AI-agenter som hanterar dispatch och transportbokningar bearbetar oundvikligen personuppgifter — förarnamn, telefonnummer, kundadresser och i vissa fall personnummer. Det innebär att GDPR gäller fullt ut. Samtidigt kräver effektiv AI-automation detaljerad loggning för att säkerställa spårbarhet och felsökning. Den här artikeln går igenom hur ni balanserar dessa krav i praktiken.

Vilka personuppgifter berörs?

I en typisk dispatchprocess hanteras följande kategorier av personuppgifter:

  • Förardata: namn, telefonnummer, fordonsinformation, positionsdata
  • Kontaktpersoner hos kund: namn, e-post, telefon
  • Leveransadresser: kan i vissa fall kopplas till identifierbara individer
  • Kommunikationsloggar: meddelanden mellan agent och förare/kund

Alla dessa faller under GDPR:s definition av personuppgifter och kräver laglig grund för behandling, definierat ändamål och begränsad lagringstid.

Laglig grund för AI-driven dispatch

Den vanligaste lagliga grunden för AI-automation i dispatch är berättigat intresse (artikel 6.1 f) — företaget har ett legitimt behov av att automatisera operativa flöden för att bedriva sin verksamhet effektivt. I vissa fall kan avtalsuppfyllelse (artikel 6.1 b) vara mer lämplig, till exempel när personuppgiftsbehandlingen är nödvändig för att fullgöra transportavtalet.

Oavsett grund behöver ni kunna visa en intresseavvägning och dokumentera varför den valda grunden är tillämplig. Det gäller särskilt automatiserat beslutsfattande enligt artikel 22 — om AI-agenten fattar beslut som väsentligt påverkar individer utan mänsklig inblandning kan särskilda krav gälla.

Loggning: nödvändigt men begränsat

Detaljerad loggning är avgörande för att AI-agenten ska vara spårbar och granskningsbar. Varje beslut — vilken förare som tilldelades, varför, när och baserat på vilken information — bör loggas. Men GDPR:s princip om uppgiftsminimering innebär att ni bara ska logga det som behövs.

Praktiska riktlinjer för loggning:

  • Logga beslut, inte allt: Spara agentens beslut och motivering, inte varje internt beräkningssteg.
  • Pseudonymisera där möjligt: Använd förar-ID istället för namn i loggar som används för analys och optimering.
  • Separera operativa loggar från analysloggar: Operativa loggar som behövs i realtid kan innehålla personuppgifter. Analysloggar bör anonymiseras eller pseudonymiseras.
  • Sätt lagringstider: Definiera hur länge varje loggkategori sparas. Operativa loggar kan behöva 30–90 dagar. Aggregerad statistik kan sparas längre.

Transparens och rättigheter

GDPR ger registrerade rätt till information om hur deras uppgifter behandlas. Det innebär att förare och kundkontakter som berörs av AI-agenten bör informeras om att automatiserad behandling sker, vilka uppgifter som behandlas, hur länge de lagras och hur de kan utöva sina rättigheter (registerutdrag, rättelse, radering).

I praktiken hanteras detta genom att uppdatera er integritetspolicy, informera berörda parter vid systemintroduktionen och säkerställa att det finns en process för att hantera begäranden om registerutdrag och radering.

Så bygger vi på NOGO Media

Alla AI-agenter vi bygger har inbyggd loggning med konfigurerbar granularitet, automatisk retention — loggar raderas efter definierad tid, stöd för registerutdrag — all data kopplad till en individ kan exporteras, och radering — personuppgifter kan raderas utan att bryta agentens funktion.

Vi hjälper er att definiera rätt loggningsnivå och lagringstider baserat på er verksamhet och era regulatoriska krav. Varje implementation inkluderar en genomgång av personuppgiftsflöden och en dokumenterad intresseavvägning.

Vill ni diskutera GDPR-aspekterna av AI-automation i er verksamhet? Boka ett strategisamtal så går vi igenom det tillsammans.

← Tillbaka till bloggen