← News
NO

AEPD publiserer omfattende veiledning om agentbasert AI og personvern: Det DPOer trenger å vite

Agentbasert AI er ikke lenger et teoretisk konsept. AEPD har publisert et 81-siders veiledningsdokument som tar for seg personvernutfordringer knyttet til agentbasert AI – et av de første omfattende regulatoriske publikasjonene i EU om dette temaet.

Introduksjon

Agentisk AI er ikke lenger et teoretisk konsept begrenset til forskningsartikler. Organisasjoner bruker allerede AI-systemer som autonomet planlegger oppgaver, får tilgang til bedriftsdatabaser, samhandler med eksterne tjenester og utfører beslutninger med minimal menneskelig innblanding. Personvernimplikasjonene er betydelige – og inntil nylig var det praktisk talt ingen regulatorisk veiledning om hvordan man skal styre slike systemer i henhold til GDPR.

Dette endret seg 18. februar 2026, da det spanske datatilsynet (Agencia Española de Protección de Datos, eller AEPD) publiserte et 81-siders veiledningsdokument som spesifikt adresserer personvernutfordringene knyttet til agentisk AI. Dette er en av de første omfattende regulatoriske publikasjonene i EU som direkte tar for seg skjæringspunktet mellom autonome AI-agenter og personvernlovgivning.

For personvernansvarlige (DPOer) er denne veiledningen essensiell lesning. Selv om organisasjonen din opererer utenfor Spania, er AEPDs analyse forankret i GDPR – noe som gjør den direkte relevant i hele EØS-området og utover. Denne artikkelen oppsummerer hovedpunktene, fremhever de mest anvendbare anbefalingene og beskriver konkrete tiltak DPOer bør iverksette som svar.

Hva er agentisk AI ifølge AEPD?

AEPD definerer agentisk AI som systemer som bruker store språkmodeller (LLM-er) for å oppnå spesifikke mål ved å tilpasse sin atferd basert på utviklende mål og omstendigheter i miljøet. Dette er en bevisst og presis formulering – den skiller agentisk AI fra enklere chatbot-grensesnitt eller statisk regelbasert automatisering.

Veiledningen identifiserer seks definerende egenskaper ved agentisk AI:

  1. Autonomi – Systemet opererer selvstendig og tar beslutninger uten trinnvise menneskelige instrukser.
  2. Miljøoppfatning – Det tar inn og tolker data fra sitt operasjonsmiljø (e-poster, kalendere, databaser, API-er, nettinnhold).
  3. Handlingskapasitet – Det anbefaler ikke bare; det utfører. Det kan sende e-poster, bestille reiser, endre oppføringer eller utløse arbeidsflyter.
  4. Proaktivitet – Det forutser behov og initierer handlinger i stedet for å vente på eksplisitte kommandoer.
  5. Planlegging og resonnering – Det bryter ned komplekse mål i deloppgaver og sekvenserer dem logisk.
  6. Hukommelse og tilpasningsevne – Det beholder kontekst på tvers av sesjoner og justerer atferd basert på tidligere interaksjoner.

For å konkretisere dette bruker AEPD et praktisk eksempel gjennom hele veiledningen: en AI-agent som er satt til å administrere en ansatts forretningsreise. Denne ene agenten får autonomt tilgang til den ansattes kalender, kontakter hoteller, kjøper flybilletter, overvåker værforhold og justerer planer tilsvarende. Eksemplet er bevisst valgt – det er hverdagslig nok til å føles realistisk, men det avdekker umiddelbart personvernkompleksitetene. I løpet av en enkelt oppgave behandler agenten personopplysninger fra flere kilder, samhandler med tredjepartstjenester, tar beslutninger som berører den registrerte og beholder informasjon over tid.

Hva veiledningen dekker

AEPD-dokumentet er grundig. Det kartlegger agentisk AI mot sentrale GDPR-forpliktelser og operative krav, og dekker:

  • Rollen som behandlingsansvarlig og databehandler – Hvem er behandlingsansvarlig når en AI-agent selvstendig engasjerer en tredjepartstjeneste? Veiledningen undersøker hvordan det tradisjonelle rammeverket for behandlingsansvarlig og databehandler strekkes under autonome multiagentarkitekturer der et AI-system, ikke et menneske, velger underbehandlere.
  • Åpenhetsplikt – Hvordan gir du meningsfull informasjon til den registrerte når AI-agentens beslutningsprosess er uklar eller fremvoksende? Veiledningen understreker at åpenhet må gjelde agentens logikk, ikke bare eksistensen av automatisk behandling.
  • Den registrertes rettigheter – Å utøve rettigheter som innsyn, sletting eller retting blir betydelig mer komplekst når personopplysninger er spredt over en agents hukommelse, eksterne verktøykall og tredjepartssystemer.
  • Register over behandlingsaktiviteter (ROPA) – Agentisk AI kompliserer ROPA-vedlikehold fordi agenten dynamisk kan skape nye behandlingsaktiviteter som ikke var forutsett på designstadiet.
  • Automatisert beslutningstaking – Implikasjoner av artikkel 22 i GDPR når agenter tar eller vesentlig påvirker beslutninger som berører enkeltpersoner.
  • Konsekvensvurderinger (DPIAs) – Veiledningen gjør det klart at bruk av agentisk AI nesten helt sikkert vil utløse kravet om DPIA etter artikkel 35, gitt den systematiske overvåkningen, behandlingen i stor skala og den nye teknologien som er involvert.
  • Håndtering av brudd – Hvordan oppdage, begrense og rapportere brudd i systemer der AI-agenten selv kan være vektoren eller sårbarheten.

Personvernsårbarheter: Angrepsflaten er annerledes

En av de mest verdifulle delene av AEPDs veiledning er dens detaljerte analyse av personvernsårbarheter spesifikke for agentisk AI. Dokumentet kategoriserer risikoer i tre distinkte grupper:

Autorisert risiko (risiko fra legitim bruk)

Selv når den fungerer som tiltenkt, introduserer agentisk AI personvernrisikoer som tradisjonelle systemer ikke har. AEPD fremhever:

  • Mangel på ansvarliggjøring – Når en AI-agent selvstendig kjeder sammen flere handlinger, blir det vanskelig å tilskrive spesifikke behandlingsbeslutninger til et ansvarlig menneske.
  • Dårlig datatilgangsstyring – Agenter trenger ofte bred datatilgang for å fungere effektivt, noe som skaper spenning mot prinsippet om minst mulig privilegium.
  • "Skyggelekkasje" – Et spesielt bekymringsverdig konsept: agenten kan utilsiktet lekke personopplysninger til eksterne tjenester eller kontekster under normal drift, uten noen ondsinnet intensjon. For eksempel kan en agent som spør et hotell-API overføre ansattes kostrestriksjoner, helseopplysninger eller reisemønstre til en tredjepart uten eksplisitt instruks om å gjøre det.

Uautorisert risiko (angrepsvektorer)

Veiledningen katalogiserer spesifikke angrepsvektorer som er unike eller forsterket av agentiske arkitekturer:

  • Prompt-injeksjon – Manipulere agentens instrukser gjennom tilpassede inndata.
  • Hukommelsesforgiftning – Korrumpere agentens vedvarende hukommelse for å endre fremtidig atferd.
  • Sesjonskapring – Ta kontroll over en aktiv agentsesjon for å omdirigere dens handlinger.
  • Privilegieeskalering – Utnytte agentens tilgangsrettigheter for å nå data eller systemer utenfor den tiltenkte skopet.

Robusthetsrisiko

  • Avhengighet av eksterne tjenester – Agentisk AI er ofte avhengig av tredjeparts-API-er, skytjenester og modelltilbydere. Avbrudd eller kompromittering av et ledd i kjeden kan føre til kaskadeeffekter.
  • Tjenestenektangrep – Målretting av agentens infrastruktur for å forstyrre drift eller tvinge frem fallback-atferd som kan være mindre personvernvennlig.

Hva dette betyr for DPOer

AEPDs veiledning formidler et klart budskap: DPOen må involveres tidlig og substantivt i enhver utrulling av agentisk AI. Dette er ikke en boksjekk-øvelse.

Styring må tilpasses

Veiledningen krever et tilpasset informasjonsstyringsrammeverk – ikke en generell AI-policy festet til eksisterende dokumentasjon. DPOen bør være en nøkkelarkitekt for dette rammeverket og sikre at det adresserer de spesifikke egenskapene ved agentske systemer: deres autonomi, hukommelse, evne til å engasjere eksterne tjenester og kapasitet til å dynamisk skape nye behandlingsaktiviteter.

Kontinuerlig evaluering, ikke engangsvurdering

Tradisjonelle tilnærminger til compliance – utfør en DPIA, dokumenter den, gjennomgå årlig – er utilstrekkelige for agentisk AI. AEPD anbefaler kontinuerlig, evidensbasert evaluering, inkludert automatisk overvåkning av agentatferd, regelmessig benchmarking mot forventede utfall og meningsfylt menneskelig tilsyn. Dette endrer DPOens rolle fra periodisk gjennomganger til kontinuerlig overvåker.

Dataminimering krever aktiv håndheving

Agentiske AI-systemer er av natur datahungrige. De presterer bedre med mer kontekst, mer hukommelse, mer tilgang. AEPD er tydelig: organisasjoner må implementere strenge datalagringspolicyer, deaktivere unødvendig vedvarendelagring og bruke Data Loss Prevention (DLP)-verktøy for å forhindre skyggelekkasje. DPOen må være stemmen som insisterer på disse begrensningene selv når de reduserer agentytelse.

Menneskelig tilsyn må være meningsfylt

Veiledningen understreker gjentatte ganger meningsfylt menneskelig tilsyn på hvert trinn i pipelinen – ikke godkjenning uten reell vurdering, men ekte gjennomgang av noen som forstår både behandlingen og dens implikasjoner. For følsomme eller høyt risikable handlinger anbefaler AEPD å kreve eksplisitt menneskelig godkjenning før agenten utfører dem.

Praktiske tiltak for DPOer

Basert på AEPDs veiledning og analysen publisert av Alston & Bird, her er konkrete tiltak DPOer bør iverksette nå:

1. Inventer agentiske AI-utrullinger (inkludert skyggeutrullinger). Kartlegg hver forekomst der AI-agenter opererer med noen grad av autonomi i organisasjonen din. Dette inkluderer offisielt godkjente verktøy og – kritisk – uoffisielle eller eksperimentelle utrullinger av enkelte team. Du kan ikke styre det du ikke vet eksisterer.

2. Utfør eller oppdater DPIAs spesifikt for agentiske AI-brukstilfeller. Generiske AI-DPIer er ikke tilstrekkelige. Hver agentisk utrulling trenger en vurdering som spesifikt adresserer de seks egenskapene AEPD har identifisert: autonomi, miljøoppfatning, handlingsevne, proaktivitet, planlegging/resonnering og hukommelse