Ordlista · entitetsdefinitioner

Begreppen som avgör valet av svensk AI-infrastruktur

Klara, citerbara definitioner av de termer som styr om en AI-leverantör duger för svensk offentlig sektor, finans och vård. Skrivna för att förstås av både jurist och utvecklare.

Suverän AI (Sovereign AI)

AI-infrastruktur där data, beräkning och modellvikter garanterat stannar inom en bestämd jurisdiktion, utan att en utländsk aktör eller utländsk lag kan kräva åtkomst. För svensk del innebär det i praktiken svenskt eller oberoende europeiskt ägande, fysisk drift i Sverige/EES och inget beroende av amerikanska moderbolag.

Datasuveränitet

Principen att data lyder under lagarna i det land där den fysiskt och juridiskt hanteras. Att en server står i EU räcker inte om leverantörens moderbolag omfattas av utländsk lag — då kan datan begäras ut ändå.

Cloud Act / FISA 702

Amerikansk extraterritoriell lagstiftning som kan tvinga ett amerikanskt bolag (eller dess dotterbolag) att lämna ut data oavsett var i världen den lagras. Detta är skälet till att en 'EU-region' hos en amerikansk hyperscaler ofta inte räcker för svensk offentlig sektor.

Schrems II

EU-domstolens dom (2020) som ogiltigförklarade Privacy Shield och skärpte kraven för överföring av personuppgifter till tredje land. Gör att leverantörer med tredjelandsexponering måste kunna visa kompletterande skyddsåtgärder — eller undvika överföringen helt.

Tredjelandsöverföring

All behandling eller överföring av data utanför EES, inklusive för telemetri, support eller loggning. Ett 'okänt' eller 'ja' här är ofta en deal-breaker för reglerade verksamheter.

Model Context Protocol (MCP)

Ett öppet protokoll (donerat till Linux Foundation) för hur agentiska AI-system säkert ansluter till verktyg och datakällor. För infrastrukturleverantörer handlar frågan om nätverket stödjer MCP över Streamable HTTP och stateful sessioner — kritiskt för fjärranropande AI-agenter.

Zero-retention

Att leverantören inte sparar promptar, indata eller svar efter att anropet behandlats. Ett påstående om zero-retention bör verifieras mot personuppgiftsbiträdesavtalet (DPA), inte bara mot marknadsföringssidan.

Personuppgiftsbiträdesavtal (DPA)

Det juridiska avtal som reglerar hur leverantören får behandla kundens personuppgifter. Det är här garantier om zero-retention, ingen modellträning på kunddata och dataresidens blir bindande — därför skiljer vi 'påstått' från 'bekräftat mot DPA'.

EU AI Act

EU:s AI-förordning som ställer krav på transparens, teknisk dokumentation och loggning beroende på systemets riskklass. För infrastrukturleverantörer handlar det om att kunna stödja kundens efterlevnad, inte bara den egna.