AI Governance Audit
Swarm Auditor kører tre specialiserede AI-agenter parallelt mod dine systemlogs og leverer en komplet GDPR & EU AI Act compliance-rapport — klar til din DPO.
Problemet
En borgerservice-chatbot forvekslede sessions og afslørede en borgers psykiatriske diagnose til en anden borger. GDPR Art. 9 brud.
En chatbot hallucinerede en dækning på 10.000 kr. og bad kunden skrive CPR og kontonummer direkte i chatten. Inspireret af Air Canada-sagen.
En autonom faktura-agent overførte 48.500 DKK til en ukendt leverandør uden menneskelig godkendelse. Ingen circuit breaker.
Arkitekturen
Red-team agent der forsøger at ekstrahere persondata fra sessionen via prompt injection, encoding bypass og social engineering.
Output: severity, attack vectors, findings
Compliance-auditor der evaluerer mod GDPR, dansk DPA, og EU AI Act. Identificerer specifikke artikelovertrædelser.
Output: violations, risk level, recommendation
Governance-ingeniør der foreslår konkrete policy-patches med versionsnumre, klar til implementering i dit system.
Output: patches, rules, auto-applicable flag
Aggregeringslogik
Hvis bare en agent finder en overtrædelse → samlet verdict er FAIL
Compliance er binært. Et system der overholder GDPR men bryder EU AI Act er ikke compliant.
Demo Cases
Baseret på rigtige hændelser fra kommuner, forsikringsselskaber og virksomheder i Danmark og Europa.
Chatbot opfinder politik, beder om CPR i usikret chat.
Audit-resumé
En kundevendt forsikrings-chatbot oplyste en kunde om en dækning på 10.000 kr. der ikke findes i policen. Kunden blev derefter bedt om at indtaste CPR-nummer og kontonummer direkte i chatvinduet — uden kryptering eller samtykke. Datatilsynet skal underrettes inden 72 timer.
CPR, skizofreni-diagnose og privatadresse eksponeret til eksternt udvalg.
Audit-resumé
En kommunal AI-sagsbehandler genererede et overblik til et tværfagligt udvalg og medtog ved en fejl en borgers CPR-nummer, psykiatriske diagnose (skizofreni) og privatadresse. Oplysningerne var synlige for 8 udvalgsmedlemmer uden sikkerhedsgodkendelse til sundhedsdata. Kræver anmeldelse til Datatilsynet og underretning af den registrerede.
48.500 DKK overført til ukendt leverandør. Ingen human-in-the-loop.
Audit-resumé
En autonom faktura-agent godkendte og udbetalte 48.500 DKK til en leverandør der ikke fandtes i virksomhedens godkendte leverandørregister. Ingen medarbejder blev bedt om at godkende betalingen. AI-systemet manglede en obligatorisk godkendelsesmekanisme, hvilket er et direkte brud på kravene om menneskeligt tilsyn i EU AI Act.
Bulk-eksport af CPR, telefon og adresser med forældet policy.
Audit-resumé
En praktikant med standard-adgang bad AI-systemet om at eksportere en komplet borgerliste med CPR-numre, telefonnumre og adresser. Systemet tillod eksporten fordi det kørte på en forældet policy-version uden rollebaseret adgangskontrol. 1.247 borgeres persondata blev downloadet som CSV-fil uden logning af formål.
CPR, indlæringsvanskeligheder og forældrenavne til uautoriseret lærer.
Audit-resumé
En vikar i en folkeskole brugte skolens AI-system til at slå elevoplysninger op. Systemet viste CPR-numre, dokumenterede indlæringsvanskeligheder (ordblindhed, ADHD) og forældrenavne — uden at verificere at vikaren havde ret til at se følsomme elevdata. Sundhedsdata om mindreårige kræver særlig beskyttelse under GDPR Art. 9 og dansk DPA.
Forvekslet session-ID. Sundhedsoplysninger til forkert borger.
Audit-resumé
En borgerservice-chatbot forvekslede to samtidige sessioner og viste borger A's helbredsoplysninger (kronisk sygdom, medicinforbrug) til borger B. Fejlen skyldtes manglende session-isolation i chatbot-arkitekturen. Den berørte borger skal underrettes, og kommunen har pligt til at anmelde bruddet til Datatilsynet inden 72 timer.
Privat mobilnummer og email i faktura sendt til forkert firma.
Audit-resumé
En AI-fakturagenerator sendte en faktura til det forkerte firma. Fakturaen indeholdt kontaktpersonens private mobilnummer, personlige email og virksomhedens CVR-nummer. Modtageren var en uautoriseret tredjepart. Systemet verificerede ikke modtager-adressen inden afsendelse — en grundlæggende sikkerhedsbrist i den automatiserede faktureringsproces.
CPR, email og navn blokeret korrekt. Policy v2.4.1.
Audit-resumé
En kundeservice-agent forsøgte at videregive CPR-nummer, email og fulde navn i et svar til en tredjepart. Systemets PII-shield identificerede alle tre datafelter og blokerede svaret inden afsendelse. Kunden modtog i stedet et anonymiseret svar. Ingen persondata forlod systemet.
CPR, løn og bankoplysninger fanget inden eksport til tredjepart.
Audit-resumé
En HR-medarbejder bad AI-systemet om at eksportere løndata til en ekstern revisor. Eksporten ville have indeholdt CPR-numre, løntrin og bankkontonumre for 43 ansatte. Systemet stoppede eksporten og krævede godkendelse fra en HR-chef med databehandleraftale på plads. Korrekt håndhævelse af dataminimering.
Borgers data slettet uden eksponering under processen.
Audit-resumé
En borger anmodede om sletning af alle persondata (retten til at blive glemt). AI-systemet identificerede og slettede data på tværs af 3 databaser uden at eksponere oplysningerne under processen. Sletningen blev logget med tidsstempel, og borgeren modtog en bekræftelse. Fuld overholdelse af GDPR Art. 17.
Output
Hver audit genererer en formateret rapport med verdict, GDPR-artikler, violations og konkrete policy-patches. Klar til print eller videresendelse.
3
AI-agenter parallelt
<2 min
Fra log til rapport
10
Demo-cases klar
100%
Binær compliance
Book en 30-minutters demo hvor vi kører Swarm Auditor mod dine egne systemlogs — og du får rapporten med hjem.
Book demo →Eller kontakt os direkte: info@fluxai.dk