Compliance

AI Act-klar
fra dag ét.

GDPR, EU AI Act, NIS2 og ISO 27001 — dokumenteret automatisk. Hvert AI-kald logget, klassificeret og bevisbart. Når Datatilsynet ringer, har I svaret på minutter, ikke uger.

Beregn jeres eksponering
Eksponeringskalkulator

Hvad koster én ukontrolleret AI-prompt?

GDPR Art. 83(5) og EU AI Act Art. 99 sætter loftet. Indtast jeres årlige omsætning — se det konkrete tal Datatilsynet teoretisk kan pålægge.

LIVE · Eksponeringskalkulator
DKK

For offentlige institutioner: brug drifts-/årsbudgettet.

Hurtigvalg
Maksimal regulatorisk eksponering
GDPR-bøde80.000.000 kr.
Forordning (EU) 2016/679 · Art. 83(5)
Op til 4 % af global årlig omsætning (proportionalitetsprincip).
AI Act-bøde60.000.000 kr.
Forordning (EU) 2024/1689 · Art. 99(3)
Op til 3 % af global årlig omsætning (proportionalitetsprincip).
Kombineret værste tilfælde140.000.000 kr.
GDPR + AI Act-bøder kan pålægges parallelt for samme hændelse.

Beregning: procentdel af årlig omsætning. Konvertering: €1 = DKK 7,46 (ECB gennemsnit).

Proportional eksponering baseret på årlig omsætning. Forordningerne definerer også absolutte lofte (€20M GDPR / €15M AI Act) som anvendes på storskala-overtrædelser. Faktiske bøder afgøres individuelt af Datatilsynet og relevante AI Act-myndigheder. Ikke juridisk rådgivning.
Operationelt tjek

Hvad har I faktisk — når Datatilsynet ringer?

GDPR giver jer 72 timer. AI Act kræver dokumentation efter anmodning. Her er hvad I skal kunne dokumentere — og hvad CareProxy leverer automatisk.

DPIA — Data Protection Impact Assessment
GDPR Art. 35
✕ Uden CareProxy

Manuel vurdering for hvert AI-værktøj medarbejdere bruger. Sjældent opdateret. Dokumentation spredt på tværs af Word-filer.

✓ Med CareProxy

Auto-genereret fra policy engine + faktisk AI-trafik logget per triage-beslutning.

ROPA — fortegnelse over behandlingsaktiviteter
GDPR Art. 30
✕ Uden CareProxy

Skal liste alle AI-relaterede behandlinger, behandlingsgrundlag og modtagere. Problemet: I ved ikke præcist hvad medarbejdere sender hvorhen.

✓ Med CareProxy

Hvert AI-kald er klassificeret, dirigeret og logget. ROPA kan eksporteres direkte fra audit-systemet.

Transfer Impact Assessment (Schrems II)
GDPR Art. 44–49
✕ Uden CareProxy

Kræves for al data-overførsel udenfor EU/EØS. Offentlig cloud AI = overførsel til USA. Ingen log = dokumentationsmangel.

✓ Med CareProxy

Højrisiko-data forbliver på EU-jord. For lavrisiko: hash-kædet bevis for præcis hvad der blev sendt.

AI Act Conformity Assessment
AI Act Art. 43
✕ Uden CareProxy

Høj-risiko AI-systemer kræver formel overensstemmelsesvurdering før anvendelse. Medarbejdere bruger værktøjer I aldrig har vurderet/valideret.

✓ Med CareProxy

Policy engine håndhæver at ikke validerede AI-værktøjer er blokeret. Audit-trail viser hvad der faktisk er i drift.

Databehandleraftale (DPA)
GDPR Art. 28
✕ Uden CareProxy

Kræver kontrakt med hver AI-leverandør. Medarbejdere omgår indkøb = Shadow-IT. Retslig eksponering.

✓ Med CareProxy

Kun godkendte AI-destinationer modtager trafik. Alt andet er fail-closed. Ingen Shadow-IT.

Subject Access / brud-notifikation
GDPR Art. 15 · Art. 33 (72 timer)
✕ Uden CareProxy

Den registrerede anmoder om indsigt i AI-behandlingen af deres data. Uden en central log overskrider svartiden 72-timers reglen.

✓ Med CareProxy

Slå sessions-ID op → få SHA-256-verificeret liste af routing-beslutninger, trigger-regler, destinationer. Minutter, ikke dage.

Grundlag: GDPR Forordning (EU) 2016/679 · AI Act Forordning (EU) 2024/1689 · Datatilsynet vejledning 2024–2025.

Bevisførelse i en hændelse

Hvad I konkret kan dokumentere — når myndighederne ringer

Audit-kæden, ét-klik eksporten og det eksterne tids-anker dækker tilsammen tre regulatoriske rammer. Tekniske detaljer ligger på arkitektur-siden — her er essensen.

01 · Hvad I kan bevise

For hver klinisk forespørgsel registreres: hvilken bruger, hvilken afdeling, hvilken model, hvad der blev sendt ind, hvad der kom retur, og hvilke regler der udløste en blokering. Hashet, signeret og sikret mod manipulation. Kæden overlever genstart — og kan verificeres ud fra databasen alene.

02 · Hvordan I beviser det

En et-klik-eksport fra CISO-dashboardet genererer en selvstændig JSON-fil med kæden, den offentlige nøgle og verifikationsinstruktioner. Modtageren kører openssl ts -verify plus sha256sum. Hvis noget er blevet ændret, fejler verifikationen – et bevis i sig selv.

03 · Hvad det dækker

ISO 27001 A.12.4 (logning og overvågning), GDPR art. 32 (behandlingssikkerhed), NIS2 art. 21(2)(c) (hændelseshåndtering). De konkrete krav er anført nedenfor.

De konkrete rammer

ISO 27001
A.12.4 · Logging and monitoring

Kræver opbevarede, beskyttede og manipulationssikre hændelseslogs. Vores hash-kæde + Ed25519-signatur + Postgres-lagring dækker A.12.4.1 til A.12.4.4 i én samlet mekanisme.

GDPR
Art. 32 · Security of processing

Forpligtelsen til at sikre "vedvarende fortrolighed, integritet, tilgængelighed og robusthed" i behandlingssystemer. Det eksterne RFC 3161 tidsstempel-anker dokumenterer integritet uafhængigt af jeres egen nøgle.

NIS2
Art. 21(2)(c) · Hændelseshåndtering

Ét-klik eksporten giver compliance-ansvarlige noget konkret at udlevere til myndighederne — ikke en CSV-dump uden integritets-bevis.

Tekniske detaljer på arkitektur-siden

Tillid & Compliance

Bygget til de strengeste krav i dansk og europæisk sundhedsvæsen.

GDPR Ready

Fuld overholdelse af persondataforordningen. Data forlader aldrig netværket.

EU AI Act

Compliant med den europæiske AI-forordning. Understøtter risikostyring og datagovernance per AI Act Art. 10 & 28.

ISO 27001

Informationssikkerhed efter internationale standarder.

Klar til at prøve CareProxy?

CareProxy er i aktiv pilot. Book en demo og se, hvordan vi kan hjælpe jeres organisation med AI compliance.

Skriv til os

Eller skriv direkte til kontakt@careproxy.dk

Book en demo

Lad os vise dig CareProxy live. Fortæl os lidt om jeres organisation, og vi finder et tidspunkt.