Optale GDPR Compliance

LEGAL AI ASSESSMENT — Optale AI OS

Optale AS — Internt vurderingsdokument

Merknad: Dette er et internt vurderingsdokument etter Visma Legal AI Assessment-mal. Det utgjør ikke juridisk rådgivning. Dokumentet skal oppdateres ved vesentlige endringer i AI-systemet.

SYSTEMBESKRIVELSE

Hva systemet gjør:

• Orchestrerer et flertall av AI-agenter som utfører forretningsprosesser på vegne av klienter
• Behandler dokumenter, e-post, leads og kundedata automatisk
• Kommuniserer autonomt på vegne av klienter i noen tilfeller (e-post, Slack, CRM-oppdateringer)
• Analyserer data og genererer anbefalinger og rapporter
• Kjører 24/7 med minimalt manuelt tilsyn i daglig operasjon

SEKSJON 1: FORBUDTE AI-AKTIVITETER (EU AI ACT ART. 5)

Vurder om systemet utfører aktiviteter som er forbudt under EU AI Act.

1.1 Underbevisst manipulering

Spørsmål: Manipulerer systemet personer på en måte de ikke er klar over, på en måte som kan skade dem?

Vurdering: NEI

• Optale AI OS brukes til B2B-prosessautomatisering og markedsføring
• Kommunikasjon som genereres er transparent og på vegne av klient-virksomheten
• Ingen skjult atferdspåvirkning rettet mot enkeltpersoner

1.2 Utnyttelse av sårbare grupper

Spørsmål: Retter systemet seg mot sårbare grupper (barn, eldre, psykisk syke) på en skadelig måte?

Vurdering: NEI — med forbehold

• Systemet brukes i B2B-kontekst
• Én klient (Solveig, inkasso/finans) kan ha sårbare sluttbrukere — dette krever særskilt vurdering
• HANDLING KREVES Gjennomgå Solveig-integrasjonen spesifikt for sårbare brukergrupper

1.3 Social scoring av individer (art. 5(1)(c))

Spørsmål: Brukes systemet til å score individer basert på sosial atferd på en måte som fører til skadelig diskriminering?

Vurdering: NEI

• Lead scoring som benyttes er basert på forretningsmessig relevans, ikke sosiale faktorer
• Ingen scoring med rettslige konsekvenser for enkeltpersoner

1.4 Ansiktsgjenkjenning fra åpne datakilder

Vurdering: NEI

1.5 Biometrisk kategorisering

Vurdering: NEI

1.6 Sammenfatning Seksjon 1

Konklusjon Seksjon 1: Systemet utfører ikke forbudte AI-aktiviteter. Én action item for Solveig-integrasjonen.

SEKSJON 2: HØYRISIKO AI-SYSTEMER (EU AI ACT VEDLEGG III)

Vurder om systemet faller inn under høyrisiko-kategorier.

2.1 Kritisk infrastruktur

Status: NEI — Optale AI OS støtter SMB og mid-market, ikke nasjonal kritisk infrastruktur

2.2 Utdanning og yrkesopplæring

Status: NEI (med forbehold — dersom klienter i fremtiden er utdanningsinstitusjoner, revurder)

2.3 Ansettelse og HR

Status: DELVIS AKTUELT

• Dersom AI OS brukes til CV-screening eller kandidatvurdering for klienter: Høyrisiko
• Per i dag: ikke i bruk — men vurder fremtidige klientcases

2.4 Grunnleggende tjenester (kreditt, offentlige ytelser)

Status: MULIG AKTUELT — Solveig (inkasso)

• Solveig opererer i finanssektoren (inkasso/finans)
• AI-assistert kommunikasjon og prosessering for Solveig kan berøre personers finansielle situasjon
• HANDLING KREVES Gjennomfør separat høyrisiko-vurdering for Solveig-integrasjonen
• Krever juridisk gjennomgang av EU AI Act Vedlegg III, punkt 5(b)

2.5–2.7

Rettshåndhevelse, Migrasjon, Rettslig prosess: NEI

2.8 Sammenfatning Høyrisiko

Konklusjon Seksjon 2: Systemet er ikke høyrisiko for de fleste klienter. Solveig-integrasjonen krever separat vurdering.

SEKSJON 3: MENNESKELIG TILSYN (HUMAN-IN-THE-LOOP)

3.1 Oversikt over autonomi-nivå

3.2 Status human-in-the-loop

Eksisterende kontroller:

• Compliant Alle agenthandlinger logges til Paperclip audit trail
• Compliant AI-genererte dokumenter merkes DRAFT automatisk
• Compliant Run-log med full sporbarhet på alle agenthandlinger
• Compliant Thor er navngitt som ansvarlig person for alle behandlinger

Mangler:

• Partial Ingen formell nedskrevet prosedyre for når menneskelig godkjenning er obligatorisk
• Partial Ingen automatisk eskalering til menneske ved høy-risiko-beslutninger
• Partial Trenger formell HITL-policy dokument

Konklusjon Seksjon 3: Grunnleggende human-in-the-loop tilsyn er på plass. Formell policy og automatisk eskalering mangler.

SEKSJON 4: BEHANDLING AV PERSONOPPLYSNINGER

4.1 Personopplysninger i systemet

4.2 Behandlingsgrunnlag per klient

4.3 Åpne punkter — personopplysninger

• Partial Supermemory: Jurisdiksjon og DPA-status ikke bekreftet. Kan lagre klientdata. Krever umiddelbar avklaring.
• Partial Pinecone: Vurder om vektor-embeddings av personopplysninger utgjør behandling under GDPR (ja, det gjør det dersom de kan re-identifiseres).
• Partial Agent-logger: Kontroller om Paperclip-run-logger inneholder personopplysninger. Definer retensjon.

SEKSJON 5: KLIENTDATA OG KONFIDENSIALITET

5.1 Klientdata i AI-systemet

Status: JA — men med kontroller

• Klientdata prosesseres av Claude API (Anthropic) og potensielt OpenAI
• Anthropic har zero data retention policy for API-kunder — data brukes ikke til opplæring
• Google Gemini: verifiser zero retention — standardinnstilling kan variere

Kontroller på plass:

• Compliant Anthropic API — zero data retention bekreftet
• Partial OpenAI API — DPA + zero retention må bekreftes per kontraktsbetingelser
• Partial Google Gemini API — sjekk enterprise-innstillinger

5.2 Konfidensialitetsforpliktelser overfor AI-leverandører

Optale AS sikrer at alle AI-leverandører som brukes i produksjon for klienter:

• Har signert DPA
• Har zero data retention (data brukes ikke til modelltrening)
• Opererer innenfor godkjent databehandlingsgeografi

SEKSJON 6: IMMATERIELLE RETTIGHETER

6.1 Output fra AI-systemet

6.2 Tredjepartsinnhold

Vurdering: AI-systemet genererer tekst basert på klientinstrukser. Risiko for utilsiktet reproduksjon av opphavsrettsbeskyttet materiale er lav, men ikke null ved generering av lengre tekstlige verk.

Anbefaling: Inkluder klausul i klientavtaler om at AI-generert innhold gjennomgås av klient før publisering.

SEKSJON 7: SAMMENDRAG OG ACTION ITEMS

7.1 Compliance-status oversikt

7.2 Prioriterte action items

DRAFT — Versjon 1.0 — 2026-03-30 — Optale AS
Krever gjennomgang av Thor Fossum Mathiesen og juridisk rådgiver.
Dette dokumentet er ikke en juridisk vurdering og erstatter ikke profesjonell juridisk rådgivning.

GDPR COMPLIANCE CHECKLIST — Optale AS

Basert på Visma GDPR Compliance Checklist for AI

Merknad: Denne sjekklisten gir en vurdering av Optale AS' nåværende GDPR-etterlevelse. Den utgjør ikke juridisk rådgivning. Alle kritiske gap-er bør løses med bistand fra juridisk rådgiver.

DEL 1: RETTSLIG GRUNNLAG (GDPR ART. 6)

Score Del 1: 0/5 fullt compliant — Kritisk gap

DEL 2: BEHANDLINGSPROTOKOLL — ROPA (GDPR ART. 30)

Score Del 2: 0/9 fullt compliant — Kritisk gap

Handling: Opprett behandlingsprotokoll umiddelbart. Bruk Visma-malen.

DEL 3: SIKKERHETSTILTAK (GDPR ART. 32)

Score Del 3: 1/10 fullt compliant — Vesentlige gap

DEL 4: PRIVACY BY DESIGN OG DEFAULT (GDPR ART. 25)

Score Del 4: 0/5 fullt compliant

DEL 5: PERSONVERNERKLÆRING (GDPR ART. 13/14)

Score Del 5: 1/8 fullt compliant

DEL 6: REGISTRERTES RETTIGHETER (GDPR ART. 15–22)

Score Del 6: 0/7 fullt compliant — Kritisk gap

DEL 7: DATABEHANDLERAVTALER (GDPR ART. 28)

Score Del 7: 0/5 fullt compliant — Kritisk gap

DEL 8: DPIA — PERSONVERNKONSEKVENSVURDERING (GDPR ART. 35)

Score Del 8: 0/4 fullt compliant

DEL 9: TREDJELANDSOVERFØRINGER (GDPR KAP. V)

Score Del 9: 0/4 fullt compliant

DEL 10: DATABRUDDSHANDTERING (GDPR ART. 33/34)

Score Del 10: 0/6 fullt compliant — Kritisk gap

DEL 11: DATAMINIMERING OG SLETTING (GDPR ART. 5(1)(C) OG (E))

Score Del 11: 0/5 fullt compliant

DEL 12: AI-SPESIFIKKE KRAV

Score Del 12: 1/5 fullt compliant

SAMLET STATUS

PRIORITERT HANDLINGSPLAN

HASTER Umiddelbart — Blokkerende, før neste klientoppdrag

1. Opprett behandlingsprotokoll (RoPA) — Hent mal fra Visma, fyll ut for alle behandlingsaktiviteter
2. Inngå klient-DPAer — Send Optale DPA-mal til Solveig, Førerkortsentralen, Figent
3. Inngå DPAer med sub-processors — Prioriter Supermemory (ukjent DPA-status) og verifiser resterende
4. Lag bruddhåndteringsprosedyre — Dokumenter varslingsrutine (24t intern, 72t Datatilsynet)

VIKTIG Innen 30 dager

5. DSAR-prosedyre — Lag skriftlig prosedyre for innsynsforespørsler
6. Retensjonspolicy — Definer og implementer per system
7. Oppdater personvernerklæring — Legg til AI-bruk, sub-processors, tredjelandsoverføringer
8. Transfer Impact Assessment (TIA) — Gjennomfør for Google, Anthropic, Monday.com
9. Gjennomfør DPIA — Spesielt for AI OS og Solveig-integrasjon
10. Sikkerhetsdokumentasjon — Formaliser eksisterende tilgangskontroll og audit trail

NYTTIG Innen 90 dager

11. Privacy by Design-policy
12. Intern datahåndteringspolicy
13. ISO 27001 gap-analyse
14. Samtykke-dokumentasjon fra Heyflow-skjema

DRAFT — Versjon 1.0 — 2026-03-30 — Optale AS
Ikke for ekstern distribusjon. Krever gjennomgang av Thor Fossum Mathiesen.

PRIVACY BY DESIGN AUDIT — Optale AI OS

Basert på Visma Privacy by Design and Default — 8 tiltak

Merknad: Denne revisjonen vurderer Optale AI OS mot Visma Privacy by Design-prinsippene. Den utgjør ikke juridisk rådgivning og er ikke en formell DPIA. Alle tiltak markert som «Kritisk» bør adresseres før neste klientoppdrag.

TILTAK 1: FORMÅLSBEGRENSNING (PURPOSE LIMITATION)

«Personopplysninger skal kun brukes til det formålet de ble samlet inn for.»

Vurdering

Status tiltak 1: Delvis compliant

Konkrete funn

Problem 1: Paperclip-agenter har i prinsippet tilgang til kontekst fra flere klienter hvis de kjøres i samme instans. Det er ikke dokumentert at klientdata holdes isolert på agent/instans-nivå.

Problem 2: Supermemory brukes som langtidsminne for AI OS. Det er uklart om kundedata fra ulike engasjementer blandes i kontekstvektorer.

Tiltak

TILTAK 2: STANDARDINNSTILLINGER (PRIVACY BY DEFAULT)

«Systemet skal ha de strengeste personverninnstillingene som standard.»

Vurdering

Status tiltak 2: Delvis compliant

Tiltak

TILTAK 3: DATAMINIMERING (DATA MINIMIZATION)

«Samle kun de personopplysningene som er strengt nødvendige for formålet.»

Vurdering

Status tiltak 3: Delvis compliant

Tiltak

TILTAK 4: EKSTRA BESKYTTELSE FOR SENSITIVE DATA

«Særlige kategorier (art. 9) og andre sensitive data krever ekstra sikkerhetstiltak.»

Vurdering

Status tiltak 4: Ikke compliant — med hensyn til Solveig-integrasjon

Tiltak

TILTAK 5: ADVARSEL VED FRITEKSTFELT

«Brukere skal advares om personvern-risiko ved fritekstfelt.»

Status tiltak 5: Ikke compliant for klientvendte systemer

Tiltak

TILTAK 6: SLETTING (DELETION AND RETENTION)

«Personopplysninger skal slettes når formålet er oppfylt og oppbevaringstiden er utløpt.»

Status tiltak 6: Ikke compliant

Tiltak

TILTAK 7: TILGANGSKONTROLL (ACCESS CONTROL)

«Kun autoriserte personer skal ha tilgang til personopplysningene, basert på rollene deres.»

Status tiltak 7: Delvis compliant — strukturen er på plass, men mangler dokumentasjon og 2FA-verifisering

Tiltak

TILTAK 8: LOGGING (AUDIT TRAIL)

«Logg hvem som har hatt tilgang til personopplysninger, og hva som ble gjort med dem.»

Status tiltak 8: Delvis compliant

Paperclip-run-loggene er et sterkt punkt. Svakheten er at det mangler samlet, sentralisert oversikt over tilgangslogger og at retensjon av logger ikke er definert.

Tiltak

SAMMENDRAG — PRIVACY BY DESIGN AUDIT

Statusoversikt per tiltak

Kritiske funn (krever umiddelbar handling)

1. Ingen retensjonspolicy eller sletteprosedyre (Tiltak 6) — kritisk GDPR-gap
2. Supermemory: ukjent DPA, ukjent datalagring, ukjent tilgang (Tiltak 1, 3, 6, 7, 8)
3. Ingen DPIA for Solveig-integrasjon (Tiltak 4) — potensielt høyrisiko-behandling
4. Behandlingsprotokoll (RoPA) mangler (Tiltak 1) — obligatorisk etter GDPR art. 30

Samlet vurdering

Optale AI OS har et solid teknisk fundament:

• Paperclip audit trail gir god sporbarhet
• Hetzner Frankfurt gir EU-jurisdiksjon for kjerneinfrastruktur
• Anthropic zero-retention policy er på plass

Men den dokumentmessige og prosedyremessige compliance er svak:

• Ingen behandlingsprotokoll
• Ingen retensjonspolicy
• Ingen sletterutiner
• Ingen formell DPIA

Optale er på et nivå som er typisk for en ung, teknologidriven virksomhet — solide tekniske kontroller, men compliance-dokumentasjonen henger etter. Dette er løsbart.

PRIORITERT TILTAKSLISTE (ALLE TILTAK SAMLET)

DRAFT — Versjon 1.0 — 2026-03-30 — Optale AS
Krever gjennomgang av Thor Fossum Mathiesen.
Dette dokumentet er ikke juridisk rådgivning.

VISMA SHOPPING LIST — Kamilla

Dokumenter Kamilla skal laste ned fra Visma for Optale AS

Hei Kamilla! Under finner du en komplett liste over dokumenter vi trenger fra Visma-biblioteket ditt. Dokumentene er prioritert etter hva som er mest kritisk. Takk for at du hjelper oss med dette!

HASTER Last ned umiddelbart

Disse dokumentene er blokkerende for at Optale lovlig kan behandle klientdata.

1. Databehandleravtale (DPA-mal)

Hva: Standardmal for databehandleravtale mellom behandlingsansvarlig og databehandler, i tråd med GDPR art. 28.

Søk i Visma: databehandleravtale / DPA / behandleravtale / personopplysningsloven art 28

Bruk: Vi sender denne til Solveig, Førerkortsentralen og Figent som klienter. Optale er databehandler.

Alternativt: Visma DPA-mal (engelsk) — søk: data processing agreement template

Merk: Vi har allerede Visma-DPA-en fra Codegarden/Best Eiendomsmegler-eksemplet. Søk etter oppdatert eller generisk Visma-DPA-mal om det finnes en nyere versjon.

2. Behandlingsprotokoll / Behandlingsaktivitetsregister (RoPA)

Hva: Register over alle behandlingsaktiviteter, jf. GDPR art. 30. Obligatorisk for alle virksomheter.

Søk i Visma: behandlingsprotokoll / RoPA / behandlingsaktiviteter / artikkel 30 / register over behandlingsaktiviteter

Bruk: Fyll inn Optales egne behandlingsaktiviteter per klient og system.

Format: Bør være en Excel/tabell-mal vi kan fylle ut.

3. Informasjonskapselpolicy (Cookie Policy)

Hva: Mal for informasjonskapselerklæring, inkl. kategorisering av cookies og samtykkekrav (ePrivacy + GDPR).

Søk i Visma: informasjonskapselpolicy / cookie policy / cookieerklæring / ePrivacy / cookies samtykke

Bruk: Oppdatere Optales nettsted (optale.no). Vi bruker GA4, Google Ads og Heyflow.

Merk: Trenger versjon som dekker analytiske + markedsføringscookies, ikke bare strengt nødvendige.

4. Personvernerklæring for tjenesteleverandør / nettsted

Hva: Mal for personvernerklæring (Privacy Notice) som vises på nettstedet og i klientkommunikasjon.

Søk i Visma: personvernerklæring / privacy notice / personvernmelding nettsted / personvernoversikt

Bruk: Optale har allerede en personvernerklæring, men den trenger å oppdateres med AI-bruk, sub-processors og tredjelandsoverføringer.

Trenger: Mal som dekker tjenesteleverandør-rollen og AI-prosessering.

VIKTIG Last ned innen 7 dager

Disse dokumentene trenger vi raskt, men er ikke absolutt blokkerende fra dag 1.

5. Varslingsmal for databrudd (Breach Notification Templates)

Hva: Maler for varsling ved personvernbrudd:

• a) Intern varslingsrutine (oppdagelse → eskalering)
• b) Varsling til Datatilsynet (art. 33 — 72-timersfristen)
• c) Varsling til registrerte (art. 34 — ved høy risiko)

Søk i Visma: databrudd / bruddvarsling / breach notification / hendelseshåndtering personvern / Datatilsynet varsling / personvernhendelse

Bruk: Vi har ingen bruddhåndteringsprosedyre. Dette er kritisk.

6. Personvernkonsekvensvurdering (DPIA-mal)

Hva: Mal for Data Protection Impact Assessment (DPIA), jf. GDPR art. 35.

Søk i Visma: DPIA / personvernkonsekvensvurdering / risikovurdering personvern / høyrisikobehandling / konsekvensutredning

Bruk: Vi må gjennomføre DPIA for AI OS og for Solveig-integrasjonen (finansdata, høy risiko).

Merk: Visma har antakelig en god mal her siden de selv er et GDPR-kompliant teknologiselskap.

7. Register over behandlingsaktiviteter — Sub-processor versjon

Hva: Mal for underleverandørliste (sub-processor register).

Søk i Visma: underleverandørliste / sub-processor / tredjepartsleverandører personvern / databehandleroversikt

Bruk: Vi trenger en formell liste over alle underleverandører (Google, Anthropic, Monday.com etc.) vedlagt klient-DPAer.

Format: Gjerne en tabellmal.

8. Slettepolicy / Dataretensjonspolicy

Hva: Mal for oppbevaringstider og sletteprosedyrer.

Søk i Visma: slettepolicy / datalagringspolicy / oppbevaringstider / retention policy / sletteprosedyre / GDPR art 5 e

Bruk: Vi må definere hvor lenge vi holder klientdata i hvert system (Gmail, Monday.com, agent-logger, etc.)

9. Personvernmelding for ansatte / medarbeidere

Hva: Mal for personvernmelding til ansatte (HR Privacy Notice), jf. GDPR art. 13.

Søk i Visma: personvernmelding ansatte / HR personvern / medarbeiderpersonvern / employee privacy notice / ansattepersonvern

Bruk: Optale har ansatte/frilansere og må informere dem om behandling av deres personopplysninger.

Merk: Visma HR-modulen har antakelig dette innebygd. Sjekk om du finner det som frittstående dokument.

10. Brukervilkår / Tjenestevilkår (Terms of Service)

Hva: Standard tjenestevilkår for IPA/konsulenttjenester.

Søk i Visma: brukervilkår / tjenestevilkår / terms of service / brukeravtale / tjenesteavtale

Bruk: Optale trenger standard vilkår for klientavtaler, spesielt for AI-tjenester.

Merk: Krever tilpasning og juridisk gjennomgang for AI-tjenester.

NYTTIG Last ned om tilgjengelig

Disse styrker vår compliance-posisjon, men ikke kritisk ennå.

11. Transfer Impact Assessment (TIA) mal

Hva: Mal for vurdering av dataoverføringer til tredjeland (Schrems II-krav).

Søk i Visma: transfer impact assessment / TIA / Schrems II / overføring tredjeland / SCC vurdering / overføringskonsekvenser

Bruk: Vi overfører data til USA via Google, Anthropic, Monday.com. Trenger TIA per leverandør.

12. Informasjonssikkerhetspolicy (intern)

Hva: Intern policy for informasjonssikkerhet og datasikkerhet.

Søk i Visma: informasjonssikkerhetspolicy / intern personvernpolicy / datasikkerhetspolicy / ISMS / sikkerhetspolicy

Bruk: Optales ansatte trenger intern policy for håndtering av persondata og konfidensiell informasjon.

13. Samtykkeskjema / Samtykkedokumentasjon

Hva: Mal for dokumentasjon av samtykke etter GDPR art. 7.

Søk i Visma: samtykke GDPR / samtykkeskjema / consent management / samtykkeerklæring / GDPR samtykke dokumentasjon

Bruk: Dokumentere samtykke fra leads via Heyflow-skjema.

14. Samsvarserklæring / Compliance Statement

Hva: Formell erklæring om GDPR-etterlevelse fra Optale AS.

Søk i Visma: samsvarserklæring / compliance statement / GDPR-erklæring / personvernbekreftelse / compliance declaration

Bruk: Relevant for anbudsrunder (offentlig sektor, enterprise). Signeres av Thor.

DOKUMENTER VI IKKE KAN FÅ FRA VISMA

Disse må vi lage internt. Gi gjerne input om du har referanser:

KONTAKT

Spørsmål til Thor: thor@optale.no

Hvis et dokument ikke finnes i Visma, eller du er usikker på hva vi trenger — bare send en melding. Alle dokumenter lastes opp til /home/thor/AI-OS/Business/Compliance/

Utarbeidet av compliance-agent — 2026-03-30
DRAFT — Gjennomgå med Thor