Data og sikkerhet

Infrastruktur og datalagring

Vi er forpliktet til åpenhet og behandler kun de dataene som er strengt nødvendige for å levere tjenesten vår, og sikrer at informasjonen din forblir trygg, privat og under din kontroll.

For å sikre høyest mulig beskyttelse og overholdelse av personvernforordningen (GDPR), har vi valgt en infrastruktur med fokus på sikkerhet og suverenitet.

• Lokasjon: All data lagres på servere i Googles datasentre i Frankfurt, Tyskland.
• Ingen AI-trening: Verken vi eller våre partnere bruker dataene som genereres gjennom bruk av løsningene våre (f.eks. kundenes spørsmål) til å trene opp KI-modellene våre på nytt. Dataene dine forblir dine.
• Sikkerhetskopier og katastrofegjenoppretting (Disaster Recovery): Vi utfører automatiske daglige sikkerhetskopier av databasene våre for å forhindre tap av data. Infrastrukturen vår er designet med redundans for å sikre høy tilgjengelighet, og vi har en plan for katastrofegjenoppretting på plass for å gjenopprette tjenester raskt ved større hendelser.

Fleksibel logging og lagringstid (retensjon)

Vi lagrer nødvendige data, for eksempel samtalelogger, utelukkende for statistikk, kvalitetskontroll og faktureringsformål. Vi tilbyr full fleksibilitet med tanke på hvor lenge disse dataene lagres.

Som standard slettes alle samtalelogger automatisk etter 1 år, men du kan velge en kortere lagringstid som er i tråd med dine interne retningslinjer:

• 1 dag
• 3 dager
• 14 dager
• 30 dager
• 90 dager
• 6 måneder
• 1 år (standard)

Når den valgte perioden utløper, slettes dataene automatisk. Dette sikrer at vi fortsetter å overholde vår databehandleravtale (DPA) og respekterer de registrerte personenes rett til å bli slettet («retten til å bli glemt»).

‍

Sikkerhetstiltak og protokoller

Vi benytter omfattende sikkerhetstiltak for å beskytte personopplysninger mot uautorisert tilgang og tap.

• Kryptering: Data krypteres både under overføring (in transit) ved bruk av TLS 1.2+ og under lagring (at rest) ved bruk av bransjestandard AES-kryptering.
• Tilgangskontroll: Streng styring av tilgangsrettigheter basert på prinsippet om færrest mulige privilegier (least privilege).
• Håndtering av hendelser og varsling: Vi har etablert strenge prosedyrer for hendelseshåndtering. I det usannsynlige tilfellet av et databrudd, forplikter vi oss til å varsle behandlingsansvarlig uten ugrunnet opphold og strengt innenfor 72-timersfristen som kreves av GDPR.
• Ansattes taushetsplikt og opplæring: Alle KARLA-ansatte er underlagt strenge taushetserklæringer. Videre gjennomgår teamet vårt regelmessig opplæring i sikkerhetsbevissthet for å sikre at de er oppdatert på de nyeste phishing-taktikkene og beste praksis for personvern.
• Underdatabehandlere: Vi pålegger våre underdatabehandlere de samme høye standardene for datasikkerhet og personvern som vi selv er underlagt. Alle underdatabehandlere er underlagt kontraktsmessige forpliktelser i samsvar med GDPR.

‍

Samsvar (Compliance) og overføringer til tredjeland

Vi er åpne om våre dataflyter og vårt samsvarsoppsett.

Overføringer til tredjeland

Selv om våre primære servere er lokalisert i EU, bruker vi leverandører som Google og Microsoft, som er USA-baserte selskaper. Derfor har vi sikret det juridiske grunnlaget for eventuelle overføringer til tredjeland:

1. Microsoft og Google: Overføringer skjer i samsvar med EU-U.S. Data Privacy Framework.
2. Redis: Vi har inngått en avtale basert på EU-kommisjonens standardkontraktsvilkår (SCC). Dette kombineres med en gjennomført vurdering av overføringsvirkninger (TIA - Transfer Impact Assessment) for å sikre et beskyttelsesnivå som i det vesentlige tilsvarer det i EU/EØS.

ISAE 3000 Rapport

Vi gjennomgår regelmessig uavhengige revisjoner av vår sikkerhet. Du kan laste ned vår nyeste revisjonsrapport her:

Download Karla ApS ISAE 3000 GDPR Report for 2025

‍

Beskyttelse mot sensitiv informasjon

Selv om vi ikke kan garantere at en sluttbruker aldri vil legge inn sensitiv informasjon, har vi bygget en rekke verktøy for å minimere risikoen:

• Ansvarsfraskrivelse i grensesnittet: En fast tekst i chat-grensesnittet (standard: "Ikke oppgi personopplysninger") som minner brukeren på trygg atferd. Denne kan tilpasses for å matche din stemme (Tone of Voice).
• Startmelding: Kan konfigureres til å proaktivt be om at brukere ikke sender inn personopplysninger.
• Datamaskering: Vi tilbyr en maskeringsfunksjonalitet som automatisk identifiserer og sladder potensielt sensitive data (personnummer, navn, etc.) i samtalelogger og svar hvis brukeren legger dem inn likevel.

Som behandlingsansvarlig har du også muligheten til å manuelt slette spesifikke samtaler eller eksportere data på forespørsel fra en registrert person.

Teknisk info: Informasjonskapsler (cookies) og IP-adresser

For å sikre åpenhet om sporing og teknisk lagring:

IP Adresser

Vi logger IP-adresser i serverlogger i 7 dager for sikkerhet, feilsøking og beskyttelse mot misbruk (f.eks. DDoS-angrep). Det juridiske grunnlaget for behandlingen er "berettiget interesse". Etter 7 dager slettes disse loggene automatisk.

Informasjonskapsler og lokal lagring (Local Storage)

Våre løsninger setter ingen informasjonskapsler.I stedet bruker vi lokal lagring (Local Storage) i brukerens nettleser. Dette er en teknisk nødvendighet for å:

1. Huske samtalehistorikk hvis brukeren navigerer rundt på siden eller oppdaterer nettleseren.
2. Forhindre at velkomstmeldinger "dukker opp" unødvendig flere ganger.

Siden denne lagringen er strengt teknisk nødvendig for at funksjonen skal fungere, krever ikke KARLA separat samtykke for informasjonskapsler og skal ikke blokkeres av ditt cookie-banner (jf. forskrifter om tekniske/nødvendige informasjonskapsler).

Har du spørsmål?

Hvis du har ytterligere spørsmål angående vår sikkerhet, vårt samsvar eller vår databehandleravtale, er du alltid velkommen til å kontakte vårt personvernombud (DPO) eller supportteam på compliance@getkarla.ai.