Walma

AI som möter GDPR, AI-förordningen och NIS2.

Spårbarhet, datasuveränitet och incidenthantering inbyggt. Compliance som ni faktiskt kan visa upp för IMY, revisorn och er säkerhetsansvarig.

AI-förordningen kräver loggning och tillsyn. GDPR kräver kontroll på var data hamnar och hur länge den lagras. NIS2 kräver att ni rapporterar incidenter snabbt. AI Hub är byggt så att alla tre regelverken adresseras automatiskt. Varje request loggas, datan stannar i er Azure-region, retention sätter ni själva, och säkerhetshändelser hamnar i en kö som triggar er incidentprocess.

Några kunder & samarbetspartners

SKBVictoriahemOne MoreInseraJunglemapAlice LabsPublic PartnerOMIFAWS PartnerMicrosoft

Tre regelverk, en infrastruktur, många frågor från revisorn.

Vad ni behöver kunna svara på när AI-användningen granskas.

Se hur AI Hub adresserar det

Var lagras prompts och svar?

GDPR kräver svar på hela datakedjan. När prompts skickas till en LLM via internet hamnar de utanför er kontroll, ofta i en region ni inte kan peka ut. Det blir snabbt en bedömningsfråga ni inte vill ha.

Vem fattade beslutet, baserat på vad?

AI-förordningens Annex III ställer krav på spårbarhet vid högrisksanvändning. Om AI har påverkat ett beslut måste ni kunna visa prompt, kontext, modell och utfall i efterhand.

Hur snabbt upptäcker ni en AI-relaterad incident?

NIS2 kräver tidig varning till MSB inom 24 timmar och full rapport inom 72. När AI används brett i organisationen vidgas attackytan, och utan central loggning ser ni inte vad som hänt.

Compliance-by-design från APIM och nedåt.

Inte ett dokument i en folder. En levande infrastruktur.

AI Hub loggar varje request med metadata som krävs för GDPR, AI-förordningens spårbarhet och NIS2-incidenthantering. Datan lagras i er Azure-tenant, i vald region, med retention ni konfigurerar. Audit-loggen är sökbar och exporterbar för revision. Säkerhetshändelser (token-läckor, försök att kringgå policy, off-hours-användning) hamnar automatiskt i en kö som er SOC kan koppla in.

Audit log och säkerhetssignaler i AI Hub
Vad ni får

Compliance som täcker alla tre regelverken

Inte tre olika projekt utan en gemensam infrastruktur som adresserar GDPR, AI-förordningen och NIS2 parallellt.

GDPR: datasuveränitet och retention

GDPR: datasuveränitet och retention

  • All data i er Azure-tenant och Azure-region
  • Retention konfigurerbar per datatyp
  • Sub-processor-lista alltid uppdaterad
  • Right-to-be-forgotten: endpoint som raderar all data per användare
AI Act: roller, loggning och Annex III

AI Act: roller, loggning och Annex III

  • Audit log fyller AI-förordningens artikel 12 (record-keeping)
  • Mänsklig tillsyn dokumenterad per användningsområde
  • Stöd för Annex III-bedömning per use case
  • Tydliga roller: ni som deployer, leverantörerna som providers
NIS2: incidenter och rapportering

NIS2: incidenter och rapportering

  • Realtidssignaler på off-hours-användning och kontoanomalier
  • Tidig varning kan triggas inom timmar
  • Loggar exporteras i format MSB accepterar
  • Spelas in vid intrång och kan användas i forensisk analys
Tillsyn ni kan visa upp

Tillsyn ni kan visa upp

  • Compliance-vy med procent trafik inom policy
  • Per-tier dokumentation om vilka modeller som godkänts
  • Audit-trail för policyändringar (vem ändrade vad, när)
  • Rapporter färdiga för internrevision och IMY-tillsyn
Datasuveränitet i praktiken

Er data, er region, er retention

Inget skickas ut till tredje part utan att passera kontroller ni satt upp.

Region-anchored

APIM, Supabase och Event Hub provisionerade i den Azure-region ni väljer. Sverige Central för svenska kunder, andra för andra.

Konfigurerbar retention

Audit-loggen lagras default 24 månader. Ni kan korta eller förlänga per datatyp. Längre retention för säkerhetsincidenter, kortare för prompts om så krävs.

Krypterat i vila och i transit

Allt på disk i Azure med kundnycklar (om ni vill). All trafik TLS 1.3. Inga undantag.

Varför detta är annorlunda

Compliance som verktyg, inte som projektmapp

Compliance ska inte vara något ni gör en gång om året inför revisionen.

Levande dokumentation

Era policies, tiers och godkända modeller är synliga och version-kontrollerade. Inget gap mellan vad dokumentet säger och vad systemet gör.

Realtidstillsyn

När en utvecklare försöker köra mot en modell som inte är godkänd loggas det och blockeras. Inte 'vi får se i månadsrapporten' utan här och nu.

Audit-redo varje dag

Om revisorn kommer in på måndag har ni exporten klar på fredag eftermiddagen. Allt finns redan strukturerat.

Ett möte med IMY blir kortare

Era svar på 'hur fungerar AI hos er' är inte filer i en folder. Det är dashboards. Det förkortar tillsynsdialogen rejält.

AI Hub compliance dashboard
Onboarding

Från compliance-osäkerhet till audit-redo på sex veckor

Vi börjar med riskbedömningen, slutar med dokumenterad löpande styrning.

1

Riskbedömning

Vi går igenom era use cases mot AI-förordningens Annex III, GDPR-artikel 35 (DPIA) och NIS2 entity classification.

Vecka 1
2

Tier- och policy-design

Vi designar tiers som matchar er risknivå per use case. Mänsklig tillsyn dokumenteras, godkända modeller fastställs.

Vecka 2 till 3
3

Implementation

Tiers, policies och loggning sätts upp i AI Hub. SCIM och retention konfigureras enligt riskbedömningen.

Vecka 4 till 5
4

Audit-redo

Vi levererar mall för internrevision, mall för tidig varning enligt NIS2 och en överlämning till er DPO och CISO.

Vecka 6

AI Hub. Gatewayen mellan era utvecklare och AI-modellerna.

Få kontroll på kostnad, säkerhet och policy för Claude Code, Codex och alla AI-verktyg era team redan använder.

Läs mer

Vanliga frågor om compliance med AI Hub

AI Hub adresserar artikel 12 (loggning) och stora delar av artikel 14 (mänsklig tillsyn) tekniskt. För full compliance behöver ni också processer för risk management, kvalitetsstyrning och dokumentation av enskilda system. Vi har separata tjänster för det resterande arbetet.

I er egen Supabase-instans i den Azure-region ni väljer. Vi har ingen åtkomst till datan. Sub-processors är begränsade till Microsoft (Azure) och era valda LLM-providers (Anthropic, OpenAI).

Det finns en endpoint som tar emot ett user-ID och raderar alla prompts, svar och metadata kopplade till den användaren från audit-loggen. Loggen behåller aggregerad statistik utan personuppgifter.

Inte automatiskt mot MSB, eftersom incidentklassificering kräver mänsklig bedömning. Men signaler skickas till er incidentprocess (Slack, Teams, Jira) inom minuter när tröskelvärden överträds, så er SOC kan agera snabbt.

Varje request lagras med full kontext: prompt, modell, tokens, kontextdokument (för RAG), svar, vem som körde det, vilken policy som tillämpades. Detta uppfyller artikel 12:s krav på record-keeping för loggning i högrisksystem.

AI Hub är en gateway, inte ett AI-system i AI-förordningens mening. Det är leverantörens modell som är AI-systemet. Vi som leverantör av gatewayen är inte provider i förordningens mening, däremot kan vi vara biträde under GDPR. Vi går igenom rollfördelningen i onboarding.