Privat AI och GDPR — egen modell, egen data, egen jurisdiktion
Att skicka företagsdata till OpenAI, Anthropic eller Gemini är ofta enklast — men inte alltid lagligt eller lämpligt. Privat AI innebär att modellerna körs i en miljö där ni kontrollerar var data ligger, vem som har åtkomst och vilka loggar som sparas.
Vad är privat AI?
Privat AI är AI-modeller som körs på infrastruktur ni eller er leverantör kontrollerar — inte som anrop till ett amerikanskt moln-API. Det kan vara öppna LLM-modeller (t.ex. Llama, Mistral, Qwen) körda i EU-miljö, eller egenutvecklade modeller för specifika uppgifter.
Funktionellt är gapet mot kommersiella moln-API:er mindre idag än för två år sedan — för många användningsfall är moderna öppna modeller fullt jämförbara.
Varför GDPR och Cloud Act är skäl nog
När personuppgifter eller företagshemligheter skickas till en amerikansk leverantör aktualiseras både GDPR och amerikansk Cloud Act. Cloud Act ger amerikanska myndigheter rätt att begära ut data oavsett var den lagras geografiskt, så länge leverantören står under amerikansk jurisdiktion.
Schrems II-domen och EDPB:s vägledning har gjort tydligt att standardavtalsklausuler inte räcker — kompletterande tekniska och organisatoriska skyddsåtgärder krävs. Det är ofta enklare att flytta hela behandlingen till en europeisk leverantör.
Sektorer där privat AI är ett krav, inte ett val
För advokatbyråer, vårdgivare, finansiella institut, försvarsindustri, säkerhetsklassad verksamhet och myndighetsleverantörer är beslutet redan taget i praktiken: data får inte behandlas av tredjeland och inte av leverantörer under utländsk jurisdiktion. Privat AI är då den enda farbara vägen.
Hur en privat AI-miljö är uppbyggd
En privat AI-miljö består typiskt av tre lager: modellservern (där LLM:en körs), söklagret (vektorindex och OpenSearch mot er data) och applikationslagret (chatt-UI, API:er, integrationer). Allt körs på infrastruktur i EU, med samma identitets- och loggningsplattform som ert övriga IT-system.
- Modellserver i EU-miljö, ingen exfiltration till tredjeland
- Vektorindex och söklager mot era egna källor
- SSO, behörigheter och loggning kopplat till befintlig IAM
- Drift, övervakning och modelluppdateringar som en löpande tjänst
Praktiska skillnader mot moln-API:er
Privat AI kräver mer infrastrukturarbete uppfront — modellservrar måste dimensioneras och driftas. I gengäld blir den löpande kostnaden mer förutsägbar (ingen prissättning per token), datasuveräniteten löst på riktigt och integrationerna mot egen data djupare.
Frågor och svar
Är ChatGPT GDPR-kompatibelt?
Det beror på avtal, datakategori och hur tjänsten används. OpenAI har EU-avtalsmodeller, men Cloud Act-exponeringen kvarstår eftersom leverantören är amerikansk.
Är öppna modeller lika bra som GPT-4?
För många uppgifter ja. Moderna öppna modeller (Llama, Mistral, Qwen) är fullt konkurrenskraftiga för sammanfattning, klassificering, sökning och kodassistans.
Var körs en privat AI-modell?
Hos ProjAlpha körs den i EU-baserad infrastruktur, integrerad med er övriga säkerhetsplattform och loggad i samma SIEM som resten av miljön.
Vad kostar privat AI jämfört med moln-API?
Tröskelkostnaden är högre eftersom infrastruktur ska driftas, men marginalkostnaden per fråga är låg och förutsägbar. För hög volym blir privat AI ofta billigare över tid.
Kan privat AI användas tillsammans med moln-API:er?
Ja. En vanlig modell är att känsliga data alltid hanteras privat medan publika eller okänsliga ärenden kan dirigeras till moln-API:er — styrt centralt.