Kaiku
LEGAL

Security

Sist oppdatert: 17.5.2026

1. Oversikt

Kaiku behandler sensitive velværedata: samtale, sinnsstemning, helsemålinger og parforhold-refleksjoner. Vi beskytter disse opplysninger i flere lag så at selv om databasen skulle lekke, forblir krypterte meldinger uleselige uten krypteringsnøkkel. Denne siden beskriver de konkrete tekniske beskyttelseslag som vi opprettholder kontinuerlig.

AES-256-GCM Encryption

Messages, memories and other sensitive content are encrypted using AES-256-GCM.

Automatic Anonymization

Summaries are anonymized. Real names never stored in titles.

Access Control

74 Row Level Security rules protect user data.

AI Security

Your messages are not used to train AI models.

You Are in Control

Download data, set auto-deletion, or delete everything.

7. Datalokasjon — EU

All database- og analysdata lagras på EU-baserade servrar. AI-leverandører finnes delvis i USA, men överföringar bruker Standard Contractual Clauses (Kommissionens beslut EU 2021/914) og ved behov EU-US Data Privacy Framework. Exakt lista over leverandører: se Personvernerklæringen.

8. Hvilke data samles inn

Så litt som mulig — bare det som trengs for at fungere. Vi samler in samtale, brukerinnstillinger og helsedata om du kobler en pulsklokke eller smartklokke. Sted samles ikke in om du ikke selv deler ett treningsøkt GPS-rutt. Kontakter samles ikke in om du ikke selv legger til dem. Produktanalyse kjører bare med ditt samtykke og samler inn pseudonym bruksstatistikk (sidevisninger, funksjonsbruk) — uten navnet ditt eller meldingsinnhold; se informasjonskapsel-policyen.

9. Etterlevelse

Hva vi forplikter oss til:

  • GDPR artikel 9 — uttryckligt samtykke for behandling av sensitive opplysninger
  • AES-256-GCM — kryptering i hvile
  • TLS 1.3 — kryptering ved överföring
  • EU-datalagring
  • DPIA — konsekvensbedömning for dataskydd genomförd
  • Begränsning av forespørsler — DDoS-beskyttelse
  • Granskningsloggar — åtkomst registreras
  • Permanent sletting innen 30 dager etter forespørsel

10. Sikkerhetshendelser

Om en personopplysningshendelse sannsynligvis innebär en risiko for dine rettigheter informerer vi tilsynsmyndigheten uten unødig opphold og om mulig innen 72 timer fra oppdaget (GDPR art. 33), og deg uten unødig opphold om hendelsen sannsynligvis innebærer en høy risiko for dine rettigheter (art. 34) — på tydelig språk. I varsel beskriver vi hendelsens art, mulige konsekvenser, iverksatte tiltak og en kontaktperson.