# Azure AI Services - Data Governance and Compliance **Last updated:** 2026-05 **Status:** GA **Category:** Azure AI Services (Foundry Tools) --- ## Introduksjon Data governance og compliance for Azure AI Services handler om å etablere tekniske kontroller som oversetter regulatoriske krav og organisasjonspolicyer til konkrete mekanismer for datahåndtering. Dette omfatter styring av dataaksess, prosessering, lagring, residency, retention og auditlogging. Azure AI Services (tidligere Cognitive Services) tilbyr innebygde kapabiliteter for å møte både regulatoriske krav (GDPR, HIPAA, ISO-sertifiseringer) og interne governance-policyer. Integrasjon med Microsoft Purview, Azure Policy, Azure Monitor og Key Vault gir en helhetlig styringsmodell som dekker hele datalivssyklusen. **Primære governance-domener:** - **Data residency og sovereignty** — kontroll over geografisk lagring og prosessering - **Data retention og lifecycle** — styring av hvor lenge data lagres - **Audit logging** — sporbarhet og etterlevelse av compliance-krav - **Consent management** — brukerstyrt tilgang til personopplysninger - **Encryption og key management** — sikkerhet for data at rest og in transit **Verifikasjonsgrad:** Verified (MCP — microsoft-learn januar 2026) --- ## Kjernekomponenter ### 1. Microsoft Purview for AI Governance Microsoft Purview er den sentrale governance-plattformen for AI-applikasjoner i Azure-økosystemet. | Kapabilitet | Beskrivelse | AI Services-støtte | |-------------|-------------|-------------------| | **Compliance Manager** | Oversetter reguleringer (EU AI Act, GDPR) til tekniske kontroller | ✅ Støttet | | **Data Security Posture Management (DSPM) for AI** | Oppdager, sikrer og håndhever compliance-kontroller | ✅ Støttet via Foundry | | **Data Classification** | Identifiserer og tagget sensitiv data i prompts/responses | ✅ Støttet | | **Sensitivity Labels** | Arver og håndhever merking fra Microsoft 365-data | ✅ Støttet | | **Data Loss Prevention (DLP)** | Blokkerer deling av sensitiv informasjon til AI-endepunkter | ✅ Støttet (via Entra-registrerte apps) | | **Audit Logging** | Fanger prompts, responses og filtilganger | ✅ Unified Audit Log | | **Data Lifecycle Management** | Retention policies for AI-interaksjoner | ✅ Støttet | | **eDiscovery** | Søk, bevar og eksporter AI-interaksjoner | ✅ Støttet | **Konfigurering:** For å aktivere Purview for Azure AI Services (Foundry): 1. **Via Azure AI Foundry Portal** — Aktiver "Microsoft Purview Data Security" i Control Plane 2. **Via Microsoft Defender for Cloud** — Aktiver "Data Security for Azure AI with Microsoft Purview" **Viktig:** Krever pay-as-you-go billing i Purview (audit logging er inkludert i Purview-lisensen). ### 2. Diagnostic Logging Azure AI Services genererer rike diagnostikklogger for operasjoner, feilsøking og compliance. **Log-kategorier:** | Kategori | Innhold | Bruksområde | |----------|---------|------------| | **Audit** | Alle API-kall, autentiseringshendelser | Compliance, sikkerhet | | **RequestResponse** | Full forespørsel/respons-data (inkl. prompts) | Feilsøking, kostnadsstyring | | **AllMetrics** | Latency, throughput, feilrater | Ytelsesovervåking | **Lagringsdestinasjoner:** - **Azure Storage** — Langtidslagring for compliance (konfigurerbar retention) - **Log Analytics Workspace** — Sanntidsanalyse med Kusto Query Language (KQL) - **Event Hub** — Streaming til eksterne SIEM-systemer **Konfigurasjon:** ```bash # Via Azure Portal: # Resource → Monitoring → Diagnostic settings → Add diagnostic setting # Velg kategorier: Audit, RequestResponse, AllMetrics # Destinasjon: Storage Account + Log Analytics ``` **KQL-eksempel — Siste 10 AI Services-operasjoner:** ```kusto AzureDiagnostics | where ResourceProvider == "MICROSOFT.COGNITIVESERVICES" | take 10 ``` ### 3. Data Residency Azure AI Services lagrer og prosesserer data i den geografiske regionen du velger ved opprettelse av ressursen. **Residency-garanti:** - Data lagres **kun i valgt Geography** (eks. Europe, Norway) - Azure kan replikere innenfor samme Geography for høy tilgjengelighet - Data forlater **aldri** Geography uten eksplisitt konfigurasjon **Unntak:** - **Telemetry logs** (objektnavn som indexer, skillsets) lagres globalt i 1,5 år for Microsoft-support - **Caching-funksjoner** (Enrichment Cache, Debug Sessions) som bruker Azure Storage i annen region **Offentlig sektor Norge:** For norsk offentlig sektor anbefales: - **Norway East** (primær) + **Norway West** (sekundær) for redundans - Unngå geo-redundant storage (GRS) som replikerer til andre land - Bruk **Locally Redundant Storage (LRS)** eller **Zone Redundant Storage (ZRS)** **Konfigurasjon:** ```bash # Ved opprettelse av AI Services-ressurs: Location: "Norway East" Storage redundancy: "LRS" (ikke GRS) ``` ### 4. Data Retention og Lifecycle **Retention-krav per kategori:** | Data-type | Standard retention | Justerbar? | Slettemekanisme | |-----------|-------------------|------------|-----------------| | **Diagnostic logs** | 90 dager (Log Analytics default) | ✅ 30-730 dager | Automatisk purging | | **Training data** | Ubegrenset (kundestyrt) | ✅ Ja | Manuell sletting via API | | **Custom models** | Ubegrenset | ✅ Ja | DELETE-operasjon | | **Request/response logs** | 0 dager (opt-in) | ✅ Ja | Storage lifecycle policy | | **Purview-captured interactions** | Definerbart via retention policy | ✅ Ja | Data Lifecycle Management | **Purview Retention Policy (eksempel):** ```yaml Policy: "AI Interactions Retention" Location: Enterprise AI apps Retention: 7 years (norsk arkivlov) Action: Delete automatically after period ``` **GDPR-støtte:** - **Right to erasure** — Slett brukerdata via Azure Management API - **Right to access** — Eksporter via eDiscovery eller Storage-export - **Anonymization** — Fjern PII fra logs før langtidslagring ### 5. Consent Management Azure AI Services støtter ikke innebygd consent management, men integreres med Entra ID og Microsoft Purview for consent tracking. **Implementasjonsmønster:** 1. **User consent flow** — Autentiser via Entra ID med OAuth2-scopes 2. **Logging av consent** — Lagre consent-hendelser i Application Insights custom events 3. **Consent withdrawal** — Trigger deletion av user-specific data via Management API **Eksempel (pseudokode):** ```typescript // 1. Innhent consent ved autentisering const consentScopes = ["AIService.ReadWrite", "User.Read"]; const token = await msalClient.acquireToken(consentScopes); // 2. Logg consent-hendelse appInsights.trackEvent({ name: "UserConsentGranted", properties: { userId: token.claims.sub, scopes: consentScopes, timestamp: Date.now() } }); // 3. Ved withdrawal — slett brukerdata await aiServiceClient.deleteUserData(userId); ``` ### 6. Encryption og Key Management Azure AI Services krypterer **all data at rest** med Microsoft-managed keys som standard. **Customer-Managed Keys (CMK):** Organisasjoner kan bruke egne nøkler fra Azure Key Vault for ekstra kontroll: | Feature | Microsoft-Managed Keys | Customer-Managed Keys | |---------|------------------------|----------------------| | **Encryption at rest** | ✅ Default | ✅ Valgfritt | | **Key rotation** | Automatisk | Kundekontrollert | | **Compliance (GDPR, ISO)** | ✅ Ja | ✅ Ja (med ekstra audit trail) | | **Tilgjengelige regioner** | Alle | Alle | **Konfigurasjon via Azure Policy:** ```json { "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/67121cc7-ff39-4ab8-b7e3-95b84dab487d", "displayName": "Azure AI services should enable data encryption with CMK", "effect": "Audit" // eller "Deny" } ``` **Key Vault-integrasjon:** - AI Services bruker **Managed Identity** for autentisering mot Key Vault - Støtter **automatic key rotation** hvis aktivert i Key Vault - Keys kan lagres i **HSM-backed** Key Vault for FIPS 140-2 Level 3 --- ## Arkitekturmønstre ### Mønster 1: Multi-Region Compliance Architecture **Scenario:** Global organisasjon med data residency-krav i EU og Norge. ``` ┌─────────────────────────────────────────────────────┐ │ Azure Front Door │ │ (Global routing med geo-filtering) │ └───────────────────┬─────────────────────────────────┘ │ ┌───────────┴────────────┐ │ │ ┌───────▼─────────┐ ┌────────▼────────┐ │ Norway East │ │ West Europe │ │ AI Services │ │ AI Services │ │ (Norge-data) │ │ (EU-data) │ └───────┬─────────┘ └────────┬────────┘ │ │ ┌───────▼─────────┐ ┌────────▼────────┐ │ Log Analytics │ │ Log Analytics │ │ Norway East │ │ West Europe │ └───────┬─────────┘ └────────┬────────┘ │ │ └───────────┬───────────┘ ▼ ┌───────────────────────┐ │ Microsoft Purview │ │ (Central governance) │ └───────────────────────┘ ``` **Implementeringsprinsipper:** 1. **Geo-routing** — Front Door router norske IP-er til Norway East 2. **Isolerte workspaces** — Separate Log Analytics per region 3. **Sentralisert policy** — Purview Compliance Manager håndhever samme policy på tvers ### Mønster 2: Zero-Trust Governance Model **Scenario:** Offentlig sektor med GDPR/Schrems II-krav. ``` ┌──────────────────────────────────────────────────┐ │ User (Entra ID + Conditional Access) │ └────────────────────┬─────────────────────────────┘ │ │ (User context token) ▼ ┌──────────────────────────────────────────────────┐ │ Azure AI Services (Norway East) │ │ ┌────────────────────────────────────────────┐ │ │ │ Microsoft Purview DLP Policy │ │ │ │ - Block credit cards, SSN │ │ │ │ - Watermark sensitive outputs │ │ │ └────────────────────────────────────────────┘ │ └────────────────────┬─────────────────────────────┘ │ ┌───────────┴───────────┐ │ │ ┌────────▼─────────┐ ┌────────▼──────────┐ │ Diagnostic Logs │ │ Purview Audit Log │ │ (Log Analytics) │ │ (Unified Audit) │ └────────┬─────────┘ └────────┬──────────┘ │ │ └──────────┬───────────┘ ▼ ┌───────────────────────┐ │ Microsoft Sentinel │ │ (SIEM + alerting) │ └───────────────────────┘ ``` **Implementeringsprinsipper:** 1. **User context enforcement** — AI Services arver brukerens Entra ID-tilganger 2. **Real-time DLP** — Purview blokkerer sensitive prompts før prosessering 3. **Continuous monitoring** — Sentinel analyserer logs for compliance-brudd ### Mønster 3: Hybrid On-Premises/Cloud Governance **Scenario:** Skjermingsverdige data som ikke kan forlate Norge. ``` ┌──────────────────────────────────────────┐ │ On-Premises / Azure Stack HCI │ │ ┌────────────────────────────────────┐ │ │ │ Azure AI Services (Container) │ │ │ │ - Text Analytics, OCR, osv. │ │ │ │ - Ingen data forlater datacenter │ │ │ └────────────────┬───────────────────┘ │ │ │ │ │ ┌────────────────▼───────────────────┐ │ │ │ Local Storage (encrypted) │ │ │ └────────────────────────────────────┘ │ └──────────────────────────────────────────┘ │ │ (Metadata only, no content) ▼ ┌──────────────────────────────────────────┐ │ Azure (Norway East) │ │ ┌────────────────────────────────────┐ │ │ │ Microsoft Purview │ │ │ │ - Audit metadata │ │ │ │ - Compliance posture │ │ │ └────────────────────────────────────┘ │ └──────────────────────────────────────────┘ ``` **Implementeringsprinsipper:** 1. **Containerized deployment** — Azure AI Services i Docker/Kubernetes on-prem 2. **Air-gapped content** — Kun metadata (ikke innhold) sendes til Azure 3. **Hybrid governance** — Purview mottar compliance-telemetri, ikke brukerdata --- ## Beslutningsveiledning ### Når bør du bruke Customer-Managed Keys? | Scenario | Microsoft-Managed Keys | Customer-Managed Keys | |----------|------------------------|----------------------| | Offentlig sektor (Norge) | ⚠️ Mulig, men vurder CMK | ✅ Anbefalt (audit trail) | | GDPR/HIPAA-regulert | ✅ Tilstrekkelig | ✅ Økt kontroll | | Finansielle data | ⚠️ Vurder risikoappetitt | ✅ Anbefalt | | Proof-of-Concept | ✅ Enklere oppsett | ❌ Unødvendig kompleksitet | **Kostnad:** CMK har ingen ekstra Azure AI Services-kostnad, men Key Vault faktureres separat (~$0.03 per 10 000 operasjoner). ### Hvordan velge Diagnostic Log Retention? ``` ┌─────────────────────────────────────────────────┐ │ Compliance-krav? │ │ → GDPR: 6-7 år │ │ → Arkivloven (Norge): 7 år │ │ → Helsedata: 10 år │ └───────────────────┬─────────────────────────────┘ │ ┌───────────┴────────────┐ │ │ ┌───────▼─────────┐ ┌────────▼──────────┐ │ Hot tier │ │ Cool tier │ │ Log Analytics │ │ Azure Storage │ │ 30-90 dager │ │ 1-10 år │ │ $2.30/GB │ │ $0.01/GB/måned │ └─────────────────┘ └───────────────────┘ ``` **Anbefaling:** - **0-90 dager:** Log Analytics (rask KQL-søk) - **90 dager - 7 år:** Azure Storage Cool tier (compliance) - **Kostnadskontroll:** Filtrer bort høyfrekvente metrics før lagring ### DLP Policy for AI Services — Hva blokkere? | Data-type | Anbefaling | Purview-konfigurasjon | |-----------|------------|----------------------| | **Norske personnummer (11 siffer)** | ✅ Blokker | Custom SIT: `[0-9]{11}` | | **Kredittkortnummer** | ✅ Blokker | Built-in SIT: Credit Card | | **E-postadresser** | ⚠️ Vurder context | Built-in SIT: Email Address | | **Passordhint** | ✅ Blokker | Custom keyword list | | **Sensitive filreferanser** | ✅ Blokker hvis encrypted | Sensitivity Label check | **Konfigurasjon (PowerShell):** ```powershell # Opprett DLP-regel for Entra-registrert AI app New-DlpComplianceRule -Name "BlockPIIInAIPrompts" ` -Policy "AIServicesDLP" ` -BlockAccess $true ` -ContentContainsSensitiveInformation @( @{Name="Norway National ID Number"; minCount=1}, @{Name="Credit Card Number"; minCount=1} ) ` -Workload "ThirdPartyApps" ` -AppId "" ``` --- ## Integrasjon med Microsoft-stakken ### Azure AI Foundry Azure AI Foundry (tidligere Azure AI Studio) er den moderne plattformen for AI-utvikling, med førsteklasses governance-integrasjon. **Purview-aktivering:** 1. **Foundry Portal** → Control Plane → Security & Compliance → Enable Microsoft Purview Data Security 2. **Resultater:** - Prompts/responses fanges i Unified Audit Log - Klassifisering av sensitive data i Activity Explorer - Retention policies håndterer AI-interaksjoner **Agent Identity Management:** Foundry støtter Microsoft Entra Agent Identity for unik identifisering av AI-agenter: ```yaml Agent Identity: Name: "customer-support-bot-prod" Owner: "platform-team@contoso.no" Version: "2.1.0" Lifecycle: "Production" Entra ID: "a1b2c3d4-..." ``` **Observability:** - **Agent 365** — Sentralisert visning av alle AI-agenter i organisasjonen - **Dashboards** — Real-time metrics for token-forbruk, latency, feilrater - **Cost Management** — Allokering av AI-kostnader per avdeling/prosjekt ### Microsoft 365 Copilot AI Services kan integreres med M365 Copilot-data ved å respektere sensitivity labels: **Scenario:** RAG-basert AI-agent som søker i SharePoint-dokumenter. 1. **Sensitivity label enforcement** — Hvis dokument er merket "Confidential", krever AI EXTRACT-rett 2. **User permission inheritance** — AI arver brukerens SharePoint-tilganger 3. **Audit trail** — Purview logger hvilke dokumenter AI aksesserte **Konfigurasjon:** ```yaml # Azure AI Search index med Purview-integrasjon Index: "sharepoint-docs" Data source: SharePoint Online Security trimming: Enabled (AAD-based) Sensitivity label: Enforced (EXTRACT required) ``` ### Power Platform Power Platform AI Builder bruker samme Purview-infrastruktur. **DLP Policies for Power Platform:** ```yaml Environment: "Production" Connector: Azure OpenAI Policy: "Block high-risk data" Rules: - Block if prompt contains Credit Card Number - Warn if response includes Email Address ``` --- ## Offentlig sektor (Norge) ### Juridiske rammeverk | Lov/regelverk | Relevans for AI Services | Teknisk tiltak | |---------------|--------------------------|----------------| | **Personopplysningsloven (GDPR)** | Behandling av personopplysninger | Data residency Norway, CMK, DLP | | **Arkivloven** | 7 års oppbevaringsplikt | Retention policies, Storage lifecycle | | **Sikkerhetsloven** | Sikkerhetsgradert informasjon | Air-gapped deployment (Azure Stack) | | **Schrems II** | Dataoverføring til USA | Norway-only regions, no US support access | ### Anbefalt konfigurasjon for offentlig sektor ```yaml AI Services Configuration (Norway Public Sector): Region: Norway East Backup region: Norway West Storage redundancy: ZRS (Zone Redundant, ikke GRS) Encryption: Customer-Managed Keys (Azure Key Vault Norway) Diagnostic logs: Destination: Log Analytics (Norway East) Retention: 7 years (Arkivloven) Categories: Audit, RequestResponse Purview: DLP policies: Block personnummer, kredittkortnummer Sensitivity labels: Enforce EXTRACT right Retention: 7 years Network: Public access: Disabled Private endpoint: Enabled (VNet-integration) Firewall: Restrict to public sector IP ranges Support: Microsoft support access: Disabled (Lockbox not approved) Telemetry: Object names only (no content) ``` ### Data Processor Agreement (DPA) Microsoft tilbyr standard DPA for Azure-tjenester: - **EU Model Clauses** — Godkjent mekanisme for dataoverføring - **ISO 27018** — Sertifisering for personvern i cloud - **Compliance Manager** — Dokumentasjon for revisor **Dokumenter:** - [Microsoft Products and Services DPA](https://aka.ms/DPA) - [Azure Compliance Documentation](https://learn.microsoft.com/en-us/azure/compliance/) ### Risiko og avbøtende tiltak | Risiko | Sannsynlighet | Konsekvens | Avbøtende tiltak | |--------|---------------|------------|------------------| | Data leaks til USA | Lav | Høy | Norway-only regions, disable telemetry | | Uautorisert tilgang | Medium | Høy | Private endpoints, Entra Conditional Access | | Manglende audit trail | Lav | Medium | Purview Unified Audit Log, 7-års retention | | Support-tilgang til data | Lav | Høy | Disable Microsoft support access (Customer Lockbox) | --- ## Kostnad og lisensiering ### Azure AI Services Pricing (Compliance-relatert) | Komponent | Kostnad | Faktureringsmodell | |-----------|---------|-------------------| | **AI Services (API-kall)** | Varierer per service | Per transaksjon/token | | **Diagnostic logs (Log Analytics)** | $2.30/GB | Data ingestion + retention | | **Azure Storage (Cool tier)** | $0.01/GB/måned | Lagring + operasjoner | | **Key Vault (CMK)** | $0.03 per 10 000 ops | Per nøkkeloperasjon | | **Private Endpoint** | $0.01/time | Per endepunkt | **Purview-kostnader:** | Feature | Lisens | Pay-as-you-go | |---------|--------|---------------| | **Audit (Unified Log)** | ✅ Inkludert | — | | **DLP Policies** | ❌ Krever E5/F5 | ✅ $2 per user/måned | | **Sensitivity Labels** | ❌ Krever E3/E5 | ✅ $1 per user/måned | | **DSPM for AI** | ❌ Ikke i standard lisens | ✅ $5 per AI app/måned | **Kostnadsoptimalisering:** 1. **Filtrer metrics** — Ikke logg høyfrekvente metrics som ikke trengs for compliance 2. **Cool tier migration** — Flytt logs > 90 dager til Azure Storage Cool tier 3. **Sampling** — Bruk Application Insights sampling (eks. 10% av requests) for ikke-compliance-logs ### Lisensiering for compliance-features **Microsoft 365:** - **E3** — Sensitivity labels, basis DLP - **E5** — Avansert DLP, Insider Risk Management, eDiscovery - **F5** — Frontline workers med DLP **Azure:** - **Azure AI Services** — Ingen ekstra lisens for governance-features (betaler kun for API-bruk) - **Microsoft Purview** — Pay-as-you-go eller inkludert i M365 E5 **Anbefaling for offentlig sektor:** - **Minimum:** Azure AI Services + Purview pay-as-you-go (DLP + Audit) - **Anbefalt:** M365 E5 (full compliance-suite) + Azure AI Services --- ## For arkitekten (Cosmo) ### Sentrale beslutningspunkter **1. Data residency-valg:** **Spørsmål til kunden:** - "Har dere juridiske krav til at data ikke kan forlate Norge?" - "Er data klassifisert som sikkerhetsgradert (konfidensielt/hemmelig)?" **Avgjørelsestre:** ``` Sikkerhetsgradert data? ├─ Ja → Azure Stack HCI (on-premises) eller Azure Government └─ Nei → Norway East + Norway West ├─ GDPR/Schrems II-bekymringer? │ ├─ Ja → Disable telemetry, CMK, Private endpoints │ └─ Nei → Standard konfigurasjon OK └─ Kostnadsoptimalisering? ├─ Ja → West Europe (billigere, men EU-residency) └─ Nei → Norway East (best latency) ``` **2. Logging og retention:** **Spørsmål til kunden:** - "Hvor lenge må dere oppbevare audit logs? (Arkivloven sier 7 år)" - "Trenger dere real-time alerting på compliance-brudd?" **Anbefalinger:** - **Offentlig sektor:** 7 år retention i Azure Storage Cool tier - **Privat sektor (GDPR):** 6 år retention (etter oppbevaringsplikt) - **Real-time alerting:** Log Analytics + Microsoft Sentinel **3. DLP-konfigurasjon:** **Spørsmål til kunden:** - "Hvilke datatyper er mest kritiske å beskytte? (Personnummer, helseopplysninger, etc.)" - "Skal AI-tjenesten blokkere eller bare advare ved sensitiv data?" **Konfigurasjonsmønster:** ```yaml DLP Strategy: Phase 1 (Audit): Action: Log only Duration: 30 days Goal: Forstå datamønstre Phase 2 (Warn): Action: User warning (can override) Duration: 60 days Goal: Brukeropplæring Phase 3 (Block): Action: Hard block Goal: Håndheve compliance ``` ### Vanlige fallgruver og løsninger | Fallgruve | Symptom | Løsning | |-----------|---------|---------| | **Telemetry til USA** | Object names (index names) lagres i USA | Ikke bruk sensitive navn i Azure-ressurser | | **GRS replikerer til annet land** | Data kopieres til paired region utenfor Norge | Bruk LRS eller ZRS for Norge-only | | **Manglende audit trail** | Ingen logs i Purview | Aktiver Diagnostic Settings + Purview Data Security | | **Support får tilgang til data** | Microsoft support kan se data ved tickets | Disable support access via Customer Lockbox | | **Høye Log Analytics-kostnader** | $1000+ per måned for small-scale | Filtrer bort verbose metrics, bruk Storage Cool tier | ### Sjekkliste før produksjonsdeploy **Governance & Compliance Checklist:** ```markdown □ Region valgt (Norway East for offentlig sektor) □ Storage redundancy satt til LRS/ZRS (ikke GRS) □ Customer-Managed Keys konfigurert (hvis påkrevd) □ Diagnostic Logging aktivert (Audit + RequestResponse) □ Log Analytics Workspace opprettet (Norway East) □ Retention policy satt (7 år for Arkivloven) □ Microsoft Purview Data Security aktivert □ DLP policies opprettet og testet □ Sensitivity labels konfigurert (hvis M365-integrasjon) □ Private Endpoint aktivert (disable public access) □ Network firewall rules konfigurert □ Entra Conditional Access policies applied □ Audit log-søk testet (verifiser data fanges) □ eDiscovery-eksport testet (verifiser GDPR-slettingsevne) □ Kostnadsvarsler satt (budsjettmål) □ Dokumentasjon for revisor ferdigstilt □ Data Processor Agreement signert (DPA) ``` ### Kommunikasjon med interessenter **For juridisk avdeling:** "Azure AI Services er GDPR-compliant ut av boksen, men krever konfigurasjon for Norge-spesifikke krav. Vi anbefaler Norway East-region med Customer-Managed Keys og 7 års audit log retention for å møte Arkivloven. Microsoft tilbyr standard Data Processor Agreement (DPA) med EU Model Clauses." **For økonomiavdeling:** "Compliance-funksjoner som audit logging og encryption er inkludert i Azure AI Services-prisen. Microsoft Purview DLP koster ca. $2 per bruker per måned (pay-as-you-go). Log retention i Azure Storage Cool tier koster ca. $0.01 per GB per måned. Estimert totalkostnad for governance: 5-10% av total AI Services-kostnad." **For sikkerhetsavdeling:** "Vi konfigurerer Private Endpoints (ingen public internet access), Customer-Managed Keys (full nøkkelkontroll), og real-time DLP-blokkering av personnummer. All aktivitet logges til Microsoft Purview Unified Audit Log med 7 års retention. Microsoft Sentinel kan alertere ved avvik. Support-tilgang fra Microsoft kan deaktiveres via Customer Lockbox." ### Ytterligere ressurser **For dypdykk i spesifikke områder:** - **Data residency-detaljer** → Les `data-residency-sovereignty.md` (når tilgjengelig) - **Audit logging-patterns** → Les `audit-logging-patterns.md` (når tilgjengelig) - **Encryption og key management** → Les `encryption-key-management.md` (når tilgjengelig) **Eksterne lenker:** - [Microsoft Trust Center — Azure Compliance](https://www.microsoft.com/en-us/trust-center/compliance/compliance-overview) - [Azure compliance documentation](https://learn.microsoft.com/en-us/azure/compliance/) - [Microsoft Purview documentation](https://learn.microsoft.com/en-us/purview/) --- ## Kilder og verifisering **Verifikasjonsmetode:** Microsoft Learn MCP (microsoft-learn) januar 2026 **Primærkilder (Verified):** 1. **Governance and security for AI agents across the organization** https://learn.microsoft.com/en-us/azure/cloud-adoption-framework/ai-agents/governance-security-across-organization *Sist bekreftet: 2026-02* 2. **Use Microsoft Purview to manage data security & compliance for Microsoft Foundry** https://learn.microsoft.com/en-us/purview/ai-azure-services *Sist bekreftet: 2026-02* 3. **Enable diagnostic logging for Azure AI services** https://learn.microsoft.com/en-us/azure/ai-services/diagnostic-logging *Sist bekreftet: 2026-02* 4. **Azure, Dynamics 365, and Power Platform accountability readiness checklist for GDPR** https://learn.microsoft.com/en-us/compliance/regulatory/gdpr-arc-azure-dynamics *Sist bekreftet: 2026-02* 5. **Govern Azure platform services (PaaS) for AI** https://learn.microsoft.com/en-us/azure/cloud-adoption-framework/scenarios/ai/platform/governance *Sist bekreftet: 2026-02 (via search)* 6. **Azure security baseline for Azure AI services** https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/cognitive-services-security-baseline *Sist bekreftet: 2026-02 (via search)* **Sekundærkilder (Baseline-kunnskap, verifisert mot MCP-søk):** - Azure Policy for AI Services - Microsoft Purview Compliance Manager - Azure Monitor og Log Analytics - Key Vault integration - Data residency commitments (Azure global infrastructure) **Confidence-gradering:** - ✅ **Verified** — Bekreftet via MCP microsoft-learn dokumentasjon (januar 2026) - ⚠️ **Baseline** — Basert på modellkunnskap, ingen motstridende MCP-data funnet **Total antall MCP-kall:** 8 (4 docs_search + 4 docs_fetch) **Unike kilder:** 6 primærkilder + 4 sekundærkilder fra søk **Sist oppdatert:** 2026-05