Data og sikkerhed

Infrastruktur og datalagring

Vi forpligter os til gennemsigtighed og behandler kun de data, der er strengt nødvendige for at levere vores service, hvilket sikrer, at dine informationer forbliver sikre, private og under din kontrol.

For at sikre den højest mulige beskyttelse og overholdelse af persondataforordningen (GDPR) har vi valgt en infrastruktur med fokus på sikkerhed og suverænitet.

• Placering: Al data gemmes på servere i Googles datacentre i Frankfurt, Tyskland.Location: All data is stored on servers in Google’s data centers in Frankfurt, Germany.Placering: All data is stored on servers in Google’s data centers in Frankfurt, Germany.Beliggenhed: All data is stored on servers in Google’s data centers in Frankfurt, Germany.
• Ingen AI-træning: Vi og vores partnere bruger ikke de data, der genereres gennem brugen af vores løsninger (f.eks. dine kunders spørgsmål), til at genoptræne vores AI-modeller. Dine data forbliver dine.
• Sikkerhedskopier og gendannelse efter nedbrud: Vi udfører automatiske daglige backups af vores databaser for at forhindre datatab. Vores infrastruktur er designet med redundans for at sikre høj tilgængelighed, og vi har en Disaster Recovery-plan på plads for hurtigt at kunne gendanne tjenester i tilfælde af større hændelser.

Fleksibel logning og opbevaring

Vi gemmer nødvendige data, såsom samtalelogs, udelukkende til statistik, kvalitetskontrol og faktureringsformål. Vi tilbyder fuld fleksibilitet i forhold til, hvor længe disse data opbevares.

Som standard slettes alle samtalelogs automatisk efter 1 år, men du kan vælge en kortere opbevaringsperiode, der stemmer overens med jeres interne politikker:

• 1 dag
• 3 dage
• 14 dage
• 30 dage
• 90 dage
• 6 måneder
• 1 år (Standard)

Når den valgte periode udløber, slettes dataene automatisk. Dette sikrer, at vi fortsat overholder vores databehandleraftale (DPA) og respekterer de registreredes ret til at blive slettet ("retten til at blive glemt").
‍

Sikkerhedsforanstaltninger og -protokoller

Vi anvender omfattende sikkerhedsforanstaltninger for at beskytte persondata mod uautoriseret adgang og tab.

• Kryptering: Data krypteres både under overførsel (in transit) ved hjælp af TLS 1.2+ og under opbevaring (at rest) med branchestandard AES-kryptering.
• Adgangskontrol: Streng styring af adgangsrettigheder baseret på princippet om mindste rettighed (principle of least privilege).
• Hændelseshåndtering og underretning: Vi har etableret stringente procedurer for hændelseshåndtering. I det usandsynlige tilfælde af et brud på persondatasikkerheden forpligter vi os til at underrette den dataansvarlige uden unødig forsinkelse og strengt inden for den 72-timers tidsramme, som GDPR kræver.
• Medarbejdernes tavshedspligt og træning: Alle KARLA-medarbejdere er underlagt strenge fortrolighedsaftaler. Derudover gennemgår vores team regelmæssig træning i sikkerhedsbevidsthed for at sikre, at de er opdateret på de nyeste phishing-taktikker og best practices inden for databeskyttelse.
• Underdatabehandlere: Vi stiller de samme høje krav til datasikkerhed og databeskyttelse til vores underdatabehandlere, som vi selv er underlagt. Alle underdatabehandlere er underlagt kontraktlige forpligtelser i overensstemmelse med GDPR.
  ‍

Compliance og overførsler til tredjelande

Vi er gennemsigtige omkring vores dataflows og compliance-setup.

Overførsler til tredjelande

Selvom vores primære servere er placeret i EU, bruger vi leverandører som Google og Microsoft, som er amerikansk baserede virksomheder. Derfor har vi sikret det juridiske grundlag for eventuelle overførsler til tredjelande:

1. Microsoft og Google: Overførsler finder sted i overensstemmelse med EU-U.S. Data Privacy Framework.
2. Redis: Vi har indgået en aftale baseret på Europa-Kommissionens Standard Contractual Clauses (SCC). Dette kombineres med en udfyldt Transfer Impact Assessment (TIA) for at sikre et beskyttelsesniveau, der i det væsentlige svarer til det inden for EU/EØS.

ISAE 3000-rapport

Vi gennemgår regelmæssigt uafhængige revisioner af vores sikkerhed. Du kan downloade vores seneste revisionserklæring her:

Download Karla ApS ISAE 3000 GDPR-rapport for 2025
‍

Beskyttelse mod følsomme oplysninger

Selvom vi ikke kan garantere, at en slutbruger aldrig indtaster følsomme oplysninger, har vi bygget en række værktøjer for at minimere risikoen:

• Ansvarsfraskrivelse i grænsefladen: En fast tekst i chatgrænsefladen (standard: "Giv ikke personlige oplysninger"), der minder brugeren om sikker adfærd. Denne kan tilpasses til at matche jeres "Tone of Voice".
• Startbesked: Kan konfigureres til proaktivt at anmode om, at brugere ikke indsender persondata.
• Datamaskering: Vi tilbyder en maskeringsfunktion, der automatisk identificerer og slører potentielt følsomme data (CPR-numre, navne osv.) i samtalelogs og svar, hvis brugeren alligevel indtaster dem.

Som dataansvarlig har du også mulighed for manuelt at slette specifikke samtaler eller eksportere data efter anmodning fra en registreret.
‍

Teknisk info: Cookies og IP-adresser

For at sikre gennemsigtighed omkring sporing og teknisk lagring:

IP-adresser

Vi logger IP-adresser i serverlogs i 7 dage af hensyn til sikkerhed, fejlfinding og beskyttelse mod misbrug (f.eks. DDoS-angreb). Det juridiske grundlag for behandlingen er "legitim interesse". Efter 7 dage slettes disse logs automatisk.

Cookies og Local Storage

Vores løsninger sætter ingen cookies.

I stedet bruger vi Local Storage i brugerens browser. Dette er en teknisk nødvendighed for at:

1. Huske samtalehistorikken, hvis brugeren navigerer rundt på siden eller opdaterer browseren.
2. Forhindre velkomstbeskeder i at "poppe op" unødigt flere gange.

Da denne lagring er strengt teknisk nødvendig for, at funktionen virker, kræver KARLA ikke separat samtykke til cookies og bør ikke blokeres af jeres cookie-banner (jf. reglerne for tekniske/nødvendige cookies).

Har du spørgsmål?

Hvis du har yderligere spørgsmål til vores sikkerhed, compliance eller databehandleraftale (DPA), er du altid velkommen til at kontakte vores DPO eller supportteam på compliance@getkarla.ai.

‍