Offentlig sektor og forvaltningsret
| Felt | Værdi |
|---|---|
| Dokumenttitel | Offentlig sektor og forvaltningsretlig vejledning for AgentBase |
| Version | 1.0 |
| Senest opdateret | 2026-05-18 |
| Dokumentejer | syv.ai (kontakt: mads@syv.ai) |
| Reviewfrekvens | Mindst én gang årligt og ved væsentlige ændringer i platformen, datahåndtering eller risikobillede |
| Tilhørende dokumenter | Systembeskrivelse, DPIA-skabelon, Databehandleraftale, Dataflow, NIS2-erklæring |
Denne side er udarbejdet til offentlige myndigheder (statslige institutioner, regioner og kommuner), der overvejer eller anvender AgentBase. Dokumentet adresserer de krav, der følger af dansk forvaltningsret, offentlighedsloven, AI-forordningens deployer-pligter, tilgængelighedsloven og sprogloven, og som ikke fuldt ud er dækket af de almindelige compliance-dokumenter for GDPR og DORA/NIS2.
Henvisninger nedenfor er til de gældende danske love samt EU-retten. Eventuelle paragraf- og artikelnumre angiver vedtagne regler pr. dokumentdatoen.
1. Parternes roller
| Rolle | Part |
|---|---|
| Dataansvarlig myndighed | Kunden (stat, region eller kommune), jf. databeskyttelsesforordningens art. 4, nr. 7 |
| Databehandler | syv.ai ApS som udbyder af AgentBase, jf. databeskyttelsesforordningens art. 4, nr. 8 |
| Forvaltningsmæssig kompetence | Hører altid hos myndigheden. AgentBase leverer beslutningsstøtte, ikke afgørelser |
AgentBase træffer ikke selvstændige afgørelser. Platformen er et værktøj, der producerer udkast, forslag og strukturerede output, som myndighedens sagsbehandler vurderer og anvender i den endelige afgørelse. Denne afgrænsning er afgørende for de forvaltningsretlige overvejelser i §2 nedenfor.
2. Forvaltningsretlige overvejelser
2.1 Officialprincippet
Officialprincippet pålægger myndigheden at sikre, at en sag er tilstrækkeligt oplyst, før der træffes afgørelse. Når AgentBase anvendes til at indhente, sammenstille eller analysere oplysninger, skal sagsbehandleren:
- Vurdere om AgentBase-outputtet er korrekt og dækkende for sagen.
- Indhente eventuelle yderligere oplysninger, der ikke er medtaget af modellen.
- Dokumentere både modellens input og output i sagen, så grundlaget kan efterprøves.
AgentBase understøtter dette ved at logge kørselsdata (input, output, fejl, tidsstempler) pr. kørsel, jf. Systembeskrivelsen §7. Logs kan eksporteres som strukturerede JSON-data og indgå i myndighedens sagsakter.
2.2 Forbud mod rent automatiserede afgørelser (GDPR art. 22)
Databeskyttelsesforordningens art. 22 forbyder som hovedregel, at en borger underkastes en afgørelse, der alene er baseret på automatisk behandling, og som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende. AgentBase er designet, så ren AI-afgørelse undgås:
| AgentBase-funktion | Sådan understøtter det art. 22 |
|---|---|
| Anmelderrolle | Agents kan ikke publiceres som apps uden godkendelse fra en bruger med rollen Anmelder, jf. Systembeskrivelsen §5. Dette sikrer, at en menneskelig medarbejder har vurderet processen, før den anvendes i produktion |
| Resultatvisning | Brugeren ser modeloutput og kan vurdere det inden eventuel videreanvendelse. Output kan redigeres af sagsbehandleren før det indsættes i sagen |
| Manuel kørsel | Apps kan startes manuelt, så sagsbehandleren godkender input før kørslen |
| Stop-funktion | Administrator kan deaktivere en publiceret app, hvis problemer opstår |
Myndigheden er ansvarlig for at sikre, at den konkrete anvendelse ikke udgør en rent automatiseret afgørelse efter art. 22. AgentBase leverer rammerne; myndighedens sagsgang skal indrettes, så et menneske tager den endelige afgørelse på et oplyst grundlag.
2.3 Forvaltningslovens krav til partshøring, begrundelse og klagevejledning
Forvaltningslovens regler om partshøring (§19), begrundelse (§22–24) og klagevejledning (§25–26) finder anvendelse uanset, om en afgørelse er truffet med eller uden AI-støtte. AgentBase påvirker ikke disse forpligtelser. Sagsbehandleren skal sikre:
- At parten partshøres, hvis modeloutputtet bygger på oplysninger, parten ikke kender til.
- At begrundelsen i afgørelsen redegør for de hovedhensyn, der har været bestemmende, herunder hvilke oplysninger der har været tillagt vægt — også hvis disse er fremkommet via AgentBase.
- At klagevejledning indeholdes i afgørelsen.
AgentBase's kørselshistorik kan anvendes som grundlag for at dokumentere, hvilke oplysninger der har været tilvejebragt og hvornår.
2.4 Tavshedspligt
Forvaltningslovens §27 og straffelovens §152 om tavshedspligt finder anvendelse for myndighedens medarbejdere. AgentBase pålægger ikke yderligere tavshedspligt på platformniveau, men:
- syv.ai's medarbejdere er underlagt tavshedspligt, jf. Databehandleraftalen Bestemmelse 5.
- Underdatabehandlere (Hetzner, OpenAI, Mistral, Lettermint) er kontraktligt forpligtede til fortrolighed, jf. Underdatabehandlere.
3. Offentlighedsloven, notatpligt og aktindsigt
3.1 Notatpligt (offentlighedsloven §13)
Offentlighedslovens §13 pålægger myndigheden notatpligt for mundtligt eller på anden måde modtagne oplysninger af betydning for en sags afgørelse. Når AgentBase anvendes:
- Kørselshistorikken (input, output, modelversion, tidsstempel) fungerer som dokumentation af, hvilke oplysninger der har været tilvejebragt via platformen.
- Sagsbehandleren bør i tvivlstilfælde supplere med et notat i sagen, hvor det fremgår, at AgentBase har været anvendt, og hvilke konklusioner sagsbehandleren har truffet på baggrund heraf.
3.2 Journaliseringspligt (offentlighedsloven §15)
Myndigheden har pligt til at journalisere dokumenter af betydning for en sags behandling. AgentBase-output, der har betydning for en sag, skal journaliseres i myndighedens ESDH-system efter de almindelige regler. AgentBase opbevarer ikke selv sagsakter og er ikke ESDH-system, men kan integreres med myndighedens ESDH via API'et.
3.3 Aktindsigt
Borgere har som udgangspunkt ret til aktindsigt i sagsakter efter offentlighedsloven og forvaltningsloven. Når AgentBase har bidraget til en sag:
- Sagsbehandleren skal kunne udlevere relevante kørselsdata, hvis de udgør del af sagsakterne.
- Kørselshistorik kan eksporteres som strukturerede data via AgentBase's REST-API.
- Undtagelser fra aktindsigt (fx forretningshemmeligheder, personfølsomme oplysninger om tredjemand) vurderes af myndigheden efter de almindelige regler.
Modelvægte, prompts og lignende tekniske bestanddele af platformen er ikke en del af myndighedens sagsakter og er ikke undergivet aktindsigt hos myndigheden.
4. AI-forordningens deployer-obligationer for offentlige organer
4.1 Generelle deployer-pligter (art. 26)
Når myndigheden anvender AgentBase til en konkret højrisiko-AI-anvendelse i AI-forordningens forstand, bliver myndigheden deployer (idriftsætter) og pålægges en række pligter efter art. 26, herunder:
| Pligt | Hvor det understøttes |
|---|---|
| Anvendelse i overensstemmelse med brugsanvisning fra udbyderen | Systembeskrivelsen udgør udbyderens brugsanvisning på platformniveau; myndigheden supplerer for den konkrete anvendelse |
| Menneskeligt tilsyn af kvalificerede personer | Anmelderrolle, resultatvisning og manuel kørsel, jf. §2.2 |
| Overvågning af systemets drift | Kørselshistorik, fejlrapportering pr. node, eksporterbare logs |
| Underretning af udbyderen ved alvorlige hændelser eller risici | Kontakt: mads@syv.ai |
| Information til berørte fysiske personer | Myndighedens ansvar at oplyse borgere om, at AI anvendes, hvor det er relevant efter art. 50 |
| Logning af systemets brug | Strukturerede applikationslogs og kørselshistorik er aktiveret som standard |
4.2 Vurdering af konsekvenser for grundlæggende rettigheder (FRIA, art. 27)
AI-forordningens art. 27 pålægger særligt offentlige organer at gennemføre en vurdering af konsekvenserne for grundlæggende rettigheder (Fundamental Rights Impact Assessment, FRIA), før et højrisiko-AI-system tages i brug. Vurderingen skal omfatte:
- Beskrivelse af processer hvor systemet anvendes.
- Tidsrum og hyppighed for anvendelsen.
- Berørte fysiske personer og grupper.
- Specifikke risici for grundlæggende rettigheder.
- Foranstaltninger for menneskeligt tilsyn.
- Foranstaltninger ved materialiserede risici, herunder klagebehandling.
FRIA udfærdiges af myndigheden. AgentBase leverer den dokumentation, der skal indgå i myndighedens FRIA — særligt vedrørende processer (§1.2), risikobillede (§4), menneskeligt tilsyn (§5) og logning (§7) i Systembeskrivelsen. FRIA og DPIA kan og bør ofte gennemføres samlet, hvor begge er påkrævet; DPIA-skabelonen kan anvendes som strukturelt udgangspunkt.
4.3 Forholdet til AI-forordningens forbud (art. 5)
Visse AI-anvendelser er forbudt for både private og offentlige organer, herunder social scoring foretaget af eller på vegne af offentlige myndigheder (art. 5, stk. 1, litra c). AgentBase må ikke anvendes til formål omfattet af art. 5; dette håndhæves kontraktligt, jf. Systembeskrivelsen §1.4.
5. Behandlingsgrundlag for offentlige myndigheder
Offentlige myndigheder behandler typisk personoplysninger med hjemmel i databeskyttelsesforordningens art. 6, stk. 1, litra e (udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse), suppleret af det konkrete nationale retsgrundlag (lovgrundlag for opgaven).
For særlige kategorier af personoplysninger (art. 9) — fx helbredsoplysninger ved kommuners og regioners sagsbehandling — kræves desuden et særskilt grundlag, oftest art. 9, stk. 2, litra g (væsentlige samfundsinteresser) eller litra h (sundhedsformål) sammenholdt med databeskyttelseslovens §7. Myndigheden vurderer behandlingsgrundlaget for den konkrete anvendelse i sin DPIA, jf. DPIA-skabelonen afsnit 4.
6. Tilgængelighed (lov om tilgængelighed af offentlige organers websteder og mobilapplikationer)
Lov nr. 692 af 8. juni 2018 implementerer Web Accessibility Directive (EU) 2016/2102 og kræver, at offentlige organers websteder og mobilapplikationer opfylder WCAG 2.1 AA. Når en offentlig myndighed udstiller en app bygget i AgentBase mod borgere — fx en formular til selvbetjening — skal appen opfylde tilgængelighedskravene.
| Forhold | Status hos AgentBase |
|---|---|
| WCAG 2.1 AA-overholdelse af platformens slutbruger-UI | Ikke formelt revideret. Komponenter er baseret på shadcn/ui og Radix UI, som leverer ARIA-attributter og tastaturnavigation som standard. Et formelt tilgængelighedsaudit er ikke gennemført, og en officiel tilgængelighedserklæring foreligger ikke |
| Mulighed for myndigheden at gennemføre eget tilgængelighedsaudit | Ja. AgentBase kan stilles til rådighed for myndighedens tilgængelighedstest, og syv.ai indgår i dialog om afhjælpning af konstaterede fejl |
| Roadmap | Formel tilgængelighedserklæring og WCAG-audit er under planlægning |
Myndigheden er ansvarlig for at udarbejde og publicere sin egen tilgængelighedserklæring efter loven og for den konkrete app's overholdelse af WCAG.
7. Sprog
Sprogloven (lov nr. 380 af 14. juni 1997) og almindelige forvaltningsretlige principper pålægger offentlige myndigheder at føre sagsbehandling og kommunikation på dansk over for borgere, medmindre andet følger af særlovgivning.
| Forhold | Status hos AgentBase |
|---|---|
| Slutbruger-UI på dansk | Ja, AgentBase's slutbrugergrænseflade er på dansk |
| Dokumentation på dansk | Ja, denne dokumentation samt øvrige compliance-dokumenter er udfærdiget på dansk |
| LLM-output på dansk | Sprogmodellerne kan producere output på dansk; det er agentens udvikler, der skal udforme prompts, så outputtet leveres på dansk |
| Support fra syv.ai på dansk | Ja, syv.ai leverer support på dansk |
8. Sikkerhedscertificeringer og tredjepartserklæringer
| Certificering | Status hos syv.ai | Bemærkning |
|---|---|---|
| ISO/IEC 27001 (ISMS) | Under implementering | Forventes at give myndigheden uafhængig tredjepartsevidens for syv.ai's ledelsessystem for informationssikkerhed |
| ISAE 3000 / 3402 | Ikke gennemført | Kan overvejes for større offentlige rammeaftaler ved konkret behov |
| D-mærket (Dataetisk Råd / Digital Tillid) | Ikke certificeret | Vurderes løbende |
| Hetzner Online GmbH (hosting-leverandør) | ISO/IEC 27001-certificeret | Gælder hosting-laget. Se Underdatabehandlere §2.1 |
9. Rammeaftaler og indkøb
| Indkøbsvej | Status |
|---|---|
| Direkte indkøb under tærskelværdi efter udbudsloven | Tilgængelig |
| SKI 02.06 (Standardsoftware) | AgentBase er ikke på rammeaftalen pr. dokumentdatoen |
| SKI 02.19 / KOMBIT-aftaler | AgentBase er ikke på rammeaftalerne pr. dokumentdatoen |
| Udbudspligtigt indkøb over tærskelværdier | syv.ai deltager gerne i udbud og leverer den efterspurgte dokumentation |
Myndigheder med behov for indkøb via rammeaftale kan tage kontakt for at drøfte alternative indkøbsveje eller relevante mini-udbud.
10. Hvad denne side ikke dækker
- Den enkelte myndigheds DPIA efter GDPR art. 35 — anvend DPIA-skabelonen.
- Den enkelte myndigheds FRIA efter AI-forordningens art. 27 — leveres af myndigheden med input fra Systembeskrivelsen.
- Sektorspecifikke regler (fx social-, beskæftigelses-, sundheds- og skatteretsregler) — vurderes af myndigheden i forhold til den konkrete anvendelse.
- Generel GDPR-dokumentation — se Databehandleraftalen, Underdatabehandlere og Dataflow.
- NIS2 og DORA — se NIS2-erklæringen og DORA-erklæringen. Visse offentlige enheder (fx væsentlige tjenester inden for offentlig forvaltning) er omfattet af NIS2.
11. Kontakt
Spørgsmål til denne side, anmodning om dokumentation til offentlige udbud, FRIA-input eller tilgængelighedsdialog kan rettes til:
syv.ai ApS Middelfartgade 18, 2100 København Ø CVR 44671247 E-mail: mads@syv.ai
12. Revisionshistorik
| Version | Dato | Ændring | Ansvarlig |
|---|---|---|---|
| 1.0 | 2026-05-18 | Første udgave af vejledningen for offentlig sektor og forvaltningsret. | syv.ai |