Sikkerhetskrav for språktjenester: komplett guide 2026
- 4. juni
- 7 min lesing
Sikkerhetskrav for språktjenester er konkrete juridiske og tekniske forpliktelser som regulerer hvordan konfidensielle dokumenter behandles under profesjonell oversettelse og lokal tilpassing. For virksomheter i helse, jus og finans er dette ikke valgfritt. GDPR artikkel 28 krever skriftlig databehandleravtale med enhver leverandør som behandler personopplysninger på dine vegne, og ISO 17100 setter minimumsstandarder for prosess og kompetanse. Å forstå disse kravene er første steg mot trygg og etterlevelsesdyktig bruk av profesjonell oversettelse i regulerte bransjer.
1. Sikkerhetskrav for språktjenester: hva loven faktisk krever
GDPR artikkel 28 definerer databehandleravtalen som kjernen i all sikker bruk av språktjenester. Avtalen er ikke bare en formalitet. Den er det juridiske grunnlaget som bestemmer hvem som har ansvar for dine data, under hvilke betingelser de behandles, og hva som skjer med dem etterpå.
Sikkerhet i språktjenester handler i praksis mer om styring av behandlingen enn selve oversettelsen. Ansvarsforhold, adgangskontroll og datalagring er de tre variablene som avgjør om en leverandør er etterlevelsesdyktig eller ikke. En leverandør som leverer utmerket oversettelseskvalitet, men mangler dokumenterte sikkerhetsprosedyrer, er ikke egnet for regulerte bransjer.
2. Hva en databehandleravtale må inneholde
Kravene i GDPR artikkel 28 er spesifikke og ikke-forhandlbare. En gyldig databehandleravtale for språktjenester må dekke følgende punkter:
Instruksjonsplikt: Leverandøren behandler data utelukkende etter din skriftlige instruks.
Taushetsplikt: Alle ansatte og frilansere som håndterer dokumentene, er bundet av konfidensialitetsforpliktelse.
Sikkerhetstiltak etter artikkel 32: Tekniske og organisatoriske tiltak skal dokumenteres og opprettholdes.
Underdatabehandlere: Leverandøren kan ikke benytte underleverandører uten din forhåndsgodkjenning.
Bistand ved registrertes rettigheter: Leverandøren skal hjelpe deg å oppfylle krav om innsyn, sletting og dataportabilitet.
Slette og tilbakeleveringsplikt: Etter oppdragets slutt skal data slettes eller returneres, dokumentert og verifiserbart.
Revisjonsrett: Du har rett til å inspisere leverandørens etterlevelse, enten selv eller via tredjepart.
Revisjonsretten er særlig viktig. Artikkel 28 krever at databehandleren gir tilgang til informasjon og mulighet for inspeksjoner. En leverandør som nekter revisjon, oppfyller ikke loven.
Proffetips: Krev alltid skriftlig bekreftelse på hvilke underdatabehandlere leverandøren bruker, og be om varsling ved endringer. Dette er et minimumskrav som mange oversikter, men som kan utgjøre et alvorlig brudd ved tilsyn.
3. Tekniske og organisatoriske sikkerhetstiltak i praksis
Effektive sikkerhetstiltak bygges inn i hele leveranseflyten, ikke bare som rutiner for etterkantshåndtering. Det betyr at konfidensialitet og integritet må sikres fra dokumentet lastes opp til det slettes.
Konkrete tiltak som skiller sikkerhetsfokuserte leverandører fra standard aktører:
EU-baserte systemer uten tredjeparts-API: Data forlater aldri din leverandørs kontrollerte infrastruktur.
Rollebasert tilgang (need-to-know): Kun prosjektleder og tildelt oversetter har tilgang til det aktuelle dokumentet.
Taushetserklæringer for alle medarbeidere: Gjelder både fast ansatte og frilansere, og skal være kontraktsfestet.
Sikker dataoverføring via SSL og krypterte kundekontoer: Ingen dokumenter sendes via ukryptert e-post.
Automatiske slettingsrutiner: Data slettes automatisk etter en definert periode, typisk 30 til 90 dager etter leveranse.
Logging og sporbarhet: Alle tilgangshendelser logges og er tilgjengelige for revisjon.
AI-støttede språktjenester introduserer et ekstra lag med kompleksitet. Når en leverandør bruker maskinoversettelse via offentlige API-er som Google Translate eller DeepL, kan sensitive dokumenter bli brukt til treningsdata eller lagret utenfor EØS. Dette er et direkte brudd på GDPR for de fleste kategorier av personopplysninger.
Proffetips: Be leverandøren svare skriftlig på fire spørsmål: Hvor lagres data? Hvor lenge? Brukes tredjeparts-API-er? Hvilke sikkerhetskontroller er implementert? Dokumenterte svar på disse spørsmålene er minimumskrav for etterlevelse i regulerte bransjer.
4. ISO 17100 og andre standarder som rammeverk for kvalitet
ISO 17100:2015 er den internasjonale standarden for profesjonelle oversettelsestjenester. Den stiller krav til kvalifikasjoner, prosessstyring og kvalitetskontroll, men løser ikke automatisk GDPR eller datasikkerhetskrav. Det er et kritisk skille mange virksomheter overser.
Standard | Dekningsområde | Begrensninger |
ISO 17100:2015 | Kompetanse, prosess, korrektur, godkjenning | Dekker ikke GDPR eller datasikkerhet |
ISO 20771 | Juridisk oversettelse, hemmelighold, dokumentasjon | Begrenset til juridisk sektor |
ISO 27001 | Informasjonssikkerhet, risikostyring, tilgangskontroll | Dekker ikke oversettelseskvalitet |
ISO 13485 | Medisinsk utstyr, kvalitetsstyring | Sektorspesifikk, ikke språkspesifikk |
ISO 17100 dekker oversettelse, kontroll, korrekturlesning og godkjenning som prosesstrinn. Standarden krever at oversettere har dokumentert faglig kompetanse, enten gjennom relevant universitetsutdanning eller fem års erfaring. Dette er et minimumskrav for profesjonell oversettelse i regulerte bransjer.
ISO 20771 gir ytterligere krav for juridisk oversettelse, inkludert krav til kompetanse og sikkerhetsgodkjenning. Standarden krever mer omfattende dokumentasjon og hemmelighold enn generell ISO 17100. For advokatfirmaer og domstoler som sender konfidensielle dokumenter til oversettelse, er ISO 20771 det relevante referansepunktet.
Det er kritisk å separere krav til språklig kvalitet og krav til datasikkerhet. En leverandør kan være ISO 17100-sertifisert og likevel mangle tilstrekkelige sikkerhetstiltak etter GDPR. Begge dimensjonene må verifiseres separat.
5. Slik gjennomfører du en risikovurdering for språktjenester
En strukturert risikovurdering for krav til språktjenester i regulerte bransjer følger fem trinn:
Identifiser datatyper og sensitivitetsnivå. Skiller du mellom alminnelige personopplysninger, særlige kategorier (helse, juridisk status) og forretningshemmeligheter? Hvert nivå krever ulike tiltak.
Kartlegg dataflyt hos leverandøren. Hvor lastes dokumentet opp? Hvem har tilgang? Hvilke systemer behandler innholdet? AI-støttede tjenester kan ha uventede dataløp som må dokumenteres og kontrolleres eksplisitt.
Vurder leverandørens tekniske og organisatoriske tiltak. Har de ISO 27001-sertifisering? Bruker de private eller offentlige skyløsninger? Er slettingsrutiner dokumentert og verifiserbare?
Integrer AI-aspekter i vurderingen. Hvis leverandøren bruker AI i oversettelsesprosessen, må du vite nøyaktig hvilken modell som brukes, om den er privat eller offentlig, og om data brukes til videreopplæring. AI-støttede språktjenester krever eksplisitte tilleggskrav i databehandleravtalen for å dekke AI-spesifikke dataløp og loggingsrutiner.
Dokumenter og følg opp. Risikovurderingen er ikke et engangsdokument. Den skal oppdateres ved endringer hos leverandøren, ved nye prosjekttyper og ved endringer i regulatoriske krav.
En veldokumentert risikovurdering er også din viktigste dokumentasjon ved et eventuelt tilsyn fra Datatilsynet. Virksomheter som ikke kan fremvise denne dokumentasjonen, risikerer sanksjoner uavhengig av om et faktisk databrudd har skjedd.
6. Sammenligning av sikkerhetsnivåer: standard vs. spesialiserte tjenester
Ikke alle leverandører av oversettelse opererer med samme sikkerhetsnivå. Valget mellom en generell leverandør og en spesialisert aktør med AI+HUMAN hybrid translation og datasuverenitetsfokus har direkte konsekvenser for din risikoeksponering.
Kriterium | Standard leverandør | Spesialisert sikkerhetsleverandør |
Databehandleravtale | Ofte standardisert, lite tilpasset | Skreddersydd, dekker AI og underdatabehandlere |
Datalagring | Varierer, ofte uklart | Definert lagringstid, automatisk sletting |
AI-bruk | Offentlige API-er (risiko for datalekkasje) | Privat LLM-infrastruktur, ingen ekstern dataeksponering |
Revisjonsmulighet | Begrenset eller fraværende | Full revisjonsrett, dokumentert etterlevelse |
Sertifiseringer | ISO 17100 | ISO 17100, ISO 27001, GDPR, HIPAA |
Å velge en leverandør med AI+HUMAN hybrid translation og datasuverenitetsfokus gir bedre risikoreduksjon enn standard oversettelsestjenester. Dette gjelder særlig for virksomheter som behandler pasientdata, juridiske dokumenter eller upublisert forskning.
Tilpasninger som navngitte oversettere, kortere lagringstid og ekstra konfidensialitetsavtaler er ikke luksus i regulerte bransjer. De er nødvendige kontrollmekanismer. Kostnaden ved et databrudd, inkludert bøter etter GDPR, omdømmeskade og juridisk ansvar, overstiger alltid kostnaden ved å velge en sikker leverandør fra starten.
Viktigste erkjennelser
Sikkerhetskrav for språktjenester krever at virksomheter verifiserer databehandleravtale, tekniske tiltak og ISO-sertifiseringer separat og dokumentert.
Punkt | Detaljer |
Databehandleravtale er lovpålagt | GDPR artikkel 28 krever skriftlig avtale med alle leverandører som behandler personopplysninger. |
ISO 17100 dekker ikke datasikkerhet | Kvalitetssertifisering og informasjonssikkerhet er separate krav som begge må verifiseres. |
AI-bruk krever tilleggskrav i kontrakt | AI-spesifikke dataløp og loggingsrutiner må eksplisitt reguleres i databehandleravtalen. |
Risikovurdering må dokumenteres | En skriftlig og oppdatert risikovurdering er nødvendig dokumentasjon ved tilsyn. |
Revisjonsrett er ikke valgfritt | En leverandør som nekter revisjon, oppfyller ikke GDPR artikkel 28. |
Hva jeg har lært etter år med sikkerhetskrav i praksis
Skillet mellom kvalitet og sikkerhet er undervurdert
Det mest gjennomgående problemet jeg ser hos ledere i regulerte bransjer er at de behandler ISO 17100-sertifisering som en garanti for sikkerhet. Det er det ikke. ISO 17100 sier noe om prosess og kompetanse. Det sier ingenting om hvor dine dokumenter lagres, hvem som har tilgang til dem, eller om de sendes gjennom en offentlig maskinoversettelses-API på veien.
Jeg har sett virksomheter i helsesektoren sende pasientrelaterte dokumenter til leverandører med gode kvalitetssertifiseringer, uten å ha stilt et eneste spørsmål om databehandleravtale. Det er ikke leverandørens feil. Det er oppdragsgiverens ansvar å stille kravene.
Det andre mønsteret jeg ser er at AI-bruk i oversettelse behandles som et teknisk spørsmål, ikke et juridisk og kontraktuelt spørsmål. Når en leverandør bruker en offentlig NMT-tjeneste som DeepL eller Google Translate som del av arbeidsflyten, forlater dokumentet din kontrollerte sone. Det er et databehandlingsbrudd, ikke en teknisk detalj.
Løsningen er ikke å unngå AI i oversettelse. Tvert imot: en privat, lukket LLM-infrastruktur som den AD VERBUM opererer, gir faktisk bedre sikkerhet enn mange manuelle arbeidsflyter, fordi tilgang, logging og sletting er systematisert. Men det forutsetter at kontrakten eksplisitt regulerer AI-bruken, og at du som oppdragsgiver har stilt spørsmålene.
Min anbefaling til ledere i 2026 er enkel: behandle valg av språktjenesteleverandør som et innkjøp med høy risikoprofil. Krev skriftlige svar, krev revisjonsrett, og krev at databehandleravtalen dekker AI-spesifikke dataløp. Det tar én time å stille de riktige spørsmålene. Det tar mye lenger tid å håndtere konsekvensene av å ikke ha gjort det.
— Viestarts
Slik møter AD VERBUM sikkerhetskravene for språktjenester
AD VERBUM er sertifisert etter ISO 27001, ISO 17100, ISO 18587 og ISO 13485, og opererer med full GDPR og HIPAA-etterlevelse. All databehandling skjer på EU-baserte servere uten eksponering mot offentlige API-er. Det betyr at dine dokumenter aldri forlater en kontrollert, kryptert infrastruktur. AI+HUMAN hybrid translation-arbeidsflyten kombinerer en proprietær LLM med fageksperter innen medisin, jus og teknologi, og gir deg både hastighet og dokumenterbar kvalitetskontroll. Databehandleravtaler er skreddersydde, revisjonsretten er reell, og slettingsrutiner er automatiserte og sporbare. For virksomheter i regulerte bransjer som trenger sikker profesjonell oversettelse med full etterlevelse, er AD VERBUM det naturlige valget.
FAQ
Hva krever GDPR av en språktjenesteleverandør?
GDPR artikkel 28 krever skriftlig databehandleravtale som regulerer instruksjonsplikt, taushetsplikt, sikkerhetstiltak, underdatabehandlere, bistand ved registrertes rettigheter og sletteplikt. Leverandøren må også gi revisjonsrett.
Dekker ISO 17100 datasikkerhet og GDPR?
Nei. ISO 17100 stiller krav til kompetanse, prosess og kvalitetskontroll i oversettelse, men dekker ikke GDPR-krav eller informasjonssikkerhet. Disse må verifiseres separat gjennom databehandleravtale og sertifiseringer som ISO 27001.
Hva er risikoen ved å bruke offentlige maskinoversettelses-API-er?
Bruk av offentlige NMT-tjenester som Google Translate eller DeepL for sensitive dokumenter innebærer at data kan lagres utenfor EØS og potensielt brukes til treningsdata. Dette er et brudd på GDPR for de fleste kategorier av personopplysninger i regulerte bransjer.
Hvordan gjennomfører jeg en risikovurdering for språktjenester?
Identifiser datatyper og sensitivitetsnivå, kartlegg dataflyt hos leverandøren, vurder tekniske og organisatoriske tiltak, integrer AI-aspekter i vurderingen, og dokumenter funnene skriftlig. Oppdater vurderingen ved endringer hos leverandøren eller i regelverket.
Når bør jeg velge en spesialisert sikkerhetsleverandør for oversettelse?
Alltid når dokumentene inneholder særlige kategorier av personopplysninger, forretningshemmeligheter, upublisert forskning eller juridisk sensitiv informasjon. Spesialiserte leverandører med ISO 27001-sertifisering og privat AI-infrastruktur gir vesentlig lavere risikoeksponering enn standard oversettelsestjenester.
Anbefaling