AI: Er DeepSeek sikker? Og hvad med en europæisk sprogmodel?

AI: Er DeepSeek sikker? Og hvad med en europæisk sprogmodel?

Compliance Legal Tech og AI EU-ret Persondata og cybersikkerhed
Europæiske myndigheder og virksomheder skærper kravene til AI efter usikkerhed om datasæt, overførsler og sikkerhed i nye sprogmodeller. EU satser samtidig på egne modeller og dataøkosystemer for at styrke lovmedholdelighed, sproglig diversitet og teknologisk suverænitet.
SS
Sarah Paustian Sander
MP
Marlene Winther Plas

Retlige risici ved DeepSeek og lignende modeller

Udbredelsen af nye sprogmodeller øger presset på organisationer for hurtig implementering, men fravær af gennemsigtighed i træningsdata og modelarkitektur udløser væsentlige retlige og sikkerhedsmæssige risici. Flere europæiske aktører – herunder offentlige myndigheder – har midlertidigt forbudt brugen af bestemte apps på arbejdsenheder, fordi det ikke kan dokumenteres, hvordan data behandles, eller om europæisk ret efterleves.

For virksomheder betyder det, at både GDPR og AI-forordningen skal tænkes sammen: Har leverandøren et lovligt grundlag, tilstrækkelige informationer om datakilder og passende sikkerhedsforanstaltninger? Er der styr på rollefordelingen mellem dataansvarlig og databehandler, på overførsler til tredjelande samt på logning, sporbarhed og risikostyring? Uden klare svar bør anvendelsen begrænses eller sættes på pause.

Europæiske initiativer og datasuverænitet

EU og danske aktører arbejder parallelt på egne sprogmodeller og dataøkosystemer for at styrke lovmedholdelighed, kvalitet og sproglig diversitet. European Language Data Space skal skabe adgang til lovlige og højkvalitets træningsdata, mens nationale initiativer udvikler modeller, der understøtter mindre sprog som dansk. Målet er praktisk anvendelige, åbne og dokumenterbare løsninger.

Debatten om at betragte AI som kritisk infrastruktur intensiveres. Afhængighed af eksterne platforme kan påvirke samfundsvigtige funktioner, hvilket peger på behovet for teknologisk kontrol, robuste kontrakter og beredskab. Samspillet mellem AI-forordningen, NIS2 og klassiske informationssikkerhedsstandarder gør styrings- og dokumentationskrav mere forudsigelige – men også mere omfattende.

Virksomheders næste skridt

En risikobaseret tilgang bør være udgangspunktet. Start med formålsafgrænsning: Hvilke opgaver er ikke-egnede til generativ AI, og hvilke kan forsvarligt automatiseres? Fastlæg interne politikker, værktøjswhitelists og retningslinjer for klassifikation af input- og outputdata, så følsomme oplysninger aldrig forlader kontrollerede miljøer.

Samtidig bør organisationer sikre, at leverandører kan dokumentere datakilder, modelstyring og sikkerhed. Uden troværdig dokumentation om træning, finjustering og drift, herunder overførsler til tredjelande, bør anvendelsen begrænses. En praktisk ramme kan indeholde følgende elementer:

  1. Data- og formålsklassifikation med klare no-go-kategorier.
  2. DPIA og sikkerhedsvurdering, inkl. logging, adgangsstyring og outputkontrol.
  3. Leverandørdue diligence, kontraktkrav og standardkontraktbestemmelser ved overførsler.
  4. Kontinuerlig modelgovernance: versionsstyring, evalueringsmetrik og incident-håndtering.
  5. Beredskabsplaner og exit-strategi for at reducere leverandørafhængighed.

På kort sigt kan organisationer kombinere internationale modeller med europæiske alternativer til opgaver med højere risikoprofil. På længere sigt vil bedre dokumentation, stærkere datasæt og øget reguleringsklarhed støtte en ansvarlig anvendelse af sprogmodeller – uden at kompromittere sikkerhed, rettigheder eller forretningskritiske hensyn.

Læs hele artiklen hos DLA Piper →
Søgeord
GDPR, Databehandleraftale, Generativ AI, Træningsdata, Risikovurdering, Folketinget, Datatilsynet, DPIA, Databeskyttelse, Kritisk infrastruktur, Beredskabsplaner, Standardkontraktbestemmelser, Dataminimering, NIS2, Cybersikkerhed, Sprogmodeller, AI-forordningen, Offentlig forvaltning, Model governance, Tilsynsmyndigheder, Statens It, AI compliance, Schrems II, Datasæt kvalitet, Compliance, Informationssikkerhedspolitik, Leverandørdue diligence, Tredjelands-overførsler, Open source, Datasuverænitet, Teknologisk suverænitet, European Language Data Space, Dansk Sprogmodel Konsortium, Logning og adgangsstyring, Cloud sikkerhed, Sikkerhedsprincipper

Relaterede artikler

No slowing down: The EU targets Russian interests in 19th sanctions package
Plesner

No slowing down: The EU targets Russian interests in 19th sanctions package

EU’s 19. sanktionspakke strammer grebet om energi, søtransport, finans og tjenester. LNG-import udfases, skyggeflåden rammes, Mir og SBP forbydes, og AI/HPC-tjenester omfattes. Nye ejerskabsdefinitioner og zoneembargo skærper compliancekrav på tværs af sektorer.
Østre Landsret: Klage direkte til ledelsen gav ikke beskyttelse efter whistleblowerloven
Littler Danmark

Østre Landsret: Klage direkte til ledelsen gav ikke beskyttelse efter whistleblowerloven

Østre Landsret fastslår, at klager direkte til ledelsen ikke udløser beskyttelse efter whistleblowerloven. Beskyttelse kræver indberetning via interne eller eksterne whistleblowerkanaler eller lovlig offentliggørelse. Afgørelsen skærper fokus på klare procedurer i organisationer.
Mere nyt om EU-Domstolens afgørelse om pseudonymiserede personoplysninger
Datatilsynet

Mere nyt om EU-Domstolens afgørelse om pseudonymiserede personoplysninger

Pseudonymiserede data er fortsat personoplysninger i et databehandlerforhold, fastslår Datatilsynet med henvisning til EU-Domstolen i C-413/23. Vurderingen sker fra den dataansvarliges perspektiv. Brug til egne formål kræver lovlig videregivelseshjemmel hos den oprindelige dataansvarlige.
Retssikkerhedsanalysen: Øget overvågning presser borgernes retssikkerhed
Advokatsamfundet

Retssikkerhedsanalysen: Øget overvågning presser borgernes retssikkerhed

Øget adgang til teledata, nummerpladescannere og ansigtsgenkendelse vægter tungt i advokaters og borgeres vurdering af en faldende retssikkerhed. Samtidig presser lange ventetider og hastelovgivning systemet. Der efterlyses klar hjemmel, proportionalitet, tilsyn og bedre ressourcer i straffesagskæden.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Fynbus
FynBus søger en juridisk leder til Jura
Fynbus
Lægemiddelstyrelsen
Jurastuderende til spændende opgaver med bl.a. kontrol af lægemiddelvirksomheder
Lægemiddelstyrelsen
Københavns Kommune
GDPR-jurist til Center for Digitalisering, Data og Analyse i Socialforvaltningen
Københavns Kommune
Forsvarets Efterretningstjeneste
FE søger en erfaren kontorchef til Direktionssekretariatet
Forsvarets Efterretningstjeneste
Lægemiddelstyrelsen
Erfarne jurister til komplekse opgaver i spændingsfeltet mellem forvaltningsretten og lægemiddellovgivningen
Lægemiddelstyrelsen
Forsvarets Koncernfælles Informatiktjeneste (FKIT)
Udbudskonsulenter til Sourcing Divisionen
Forsvarets Koncernfælles Informatiktjeneste (FKIT)
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →