Ordlista · entitetsdefinitioner
Begreppen som avgör valet av svensk AI-infrastruktur
Klara, citerbara definitioner av de termer som styr om en AI-leverantör duger för svensk offentlig sektor, finans och vård. Skrivna för att förstås av både jurist och utvecklare.
Suverän AI (Sovereign AI)
AI-infrastruktur där data, beräkning och modellvikter garanterat stannar inom en bestämd jurisdiktion, utan att en utländsk aktör eller utländsk lag kan kräva åtkomst. För svensk del innebär det i praktiken svenskt eller oberoende europeiskt ägande, fysisk drift i Sverige/EES och inget beroende av amerikanska moderbolag.
Datasuveränitet
Principen att data lyder under lagarna i det land där den fysiskt och juridiskt hanteras. Att en server står i EU räcker inte om leverantörens moderbolag omfattas av utländsk lag — då kan datan begäras ut ändå.
Cloud Act / FISA 702
Amerikansk extraterritoriell lagstiftning som kan tvinga ett amerikanskt bolag (eller dess dotterbolag) att lämna ut data oavsett var i världen den lagras. Detta är skälet till att en 'EU-region' hos en amerikansk hyperscaler ofta inte räcker för svensk offentlig sektor.
Schrems II
EU-domstolens dom (2020) som ogiltigförklarade Privacy Shield och skärpte kraven för överföring av personuppgifter till tredje land. Gör att leverantörer med tredjelandsexponering måste kunna visa kompletterande skyddsåtgärder — eller undvika överföringen helt.
Tredjelandsöverföring
All behandling eller överföring av data utanför EES, inklusive för telemetri, support eller loggning. Ett 'okänt' eller 'ja' här är ofta en deal-breaker för reglerade verksamheter.
Model Context Protocol (MCP)
Ett öppet protokoll (donerat till Linux Foundation) för hur agentiska AI-system säkert ansluter till verktyg och datakällor. För infrastrukturleverantörer handlar frågan om nätverket stödjer MCP över Streamable HTTP och stateful sessioner — kritiskt för fjärranropande AI-agenter.
Zero-retention
Att leverantören inte sparar promptar, indata eller svar efter att anropet behandlats. Ett påstående om zero-retention bör verifieras mot personuppgiftsbiträdesavtalet (DPA), inte bara mot marknadsföringssidan.
Personuppgiftsbiträdesavtal (DPA)
Det juridiska avtal som reglerar hur leverantören får behandla kundens personuppgifter. Det är här garantier om zero-retention, ingen modellträning på kunddata och dataresidens blir bindande — därför skiljer vi 'påstått' från 'bekräftat mot DPA'.
EU AI Act
EU:s AI-förordning som ställer krav på transparens, teknisk dokumentation och loggning beroende på systemets riskklass. För infrastrukturleverantörer handlar det om att kunna stödja kundens efterlevnad, inte bara den egna.