Security
Sist oppdatert: 17.5.2026
1. Oversikt
Kaiku behandler sensitive velværedata: samtale, sinnsstemning, helsemålinger og parforhold-refleksjoner. Vi beskytter disse opplysninger i flere lag så at selv om databasen skulle lekke, forblir krypterte meldinger uleselige uten krypteringsnøkkel. Denne siden beskriver de konkrete tekniske beskyttelseslag som vi opprettholder kontinuerlig.
AES-256-GCM Encryption
Messages, memories and other sensitive content are encrypted using AES-256-GCM.
Automatic Anonymization
Summaries are anonymized. Real names never stored in titles.
Access Control
74 Row Level Security rules protect user data.
AI Security
Your messages are not used to train AI models.
You Are in Control
Download data, set auto-deletion, or delete everything.
7. Datalokasjon — EU
All database- og analysdata lagras på EU-baserade servrar. AI-leverandører finnes delvis i USA, men överföringar bruker Standard Contractual Clauses (Kommissionens beslut EU 2021/914) og ved behov EU-US Data Privacy Framework. Exakt lista over leverandører: se Personvernerklæringen.
8. Hvilke data samles inn
Så litt som mulig — bare det som trengs for at fungere. Vi samler in samtale, brukerinnstillinger og helsedata om du kobler en pulsklokke eller smartklokke. Sted samles ikke in om du ikke selv deler ett treningsøkt GPS-rutt. Kontakter samles ikke in om du ikke selv legger til dem. Produktanalyse kjører bare med ditt samtykke og samler inn pseudonym bruksstatistikk (sidevisninger, funksjonsbruk) — uten navnet ditt eller meldingsinnhold; se informasjonskapsel-policyen.
9. Etterlevelse
Hva vi forplikter oss til:
- ✓GDPR artikel 9 — uttryckligt samtykke for behandling av sensitive opplysninger
- ✓AES-256-GCM — kryptering i hvile
- ✓TLS 1.3 — kryptering ved överföring
- ✓EU-datalagring
- ✓DPIA — konsekvensbedömning for dataskydd genomförd
- ✓Begränsning av forespørsler — DDoS-beskyttelse
- ✓Granskningsloggar — åtkomst registreras
- ✓Permanent sletting innen 30 dager etter forespørsel
10. Sikkerhetshendelser
Om en personopplysningshendelse sannsynligvis innebär en risiko for dine rettigheter informerer vi tilsynsmyndigheten uten unødig opphold og om mulig innen 72 timer fra oppdaget (GDPR art. 33), og deg uten unødig opphold om hendelsen sannsynligvis innebærer en høy risiko for dine rettigheter (art. 34) — på tydelig språk. I varsel beskriver vi hendelsens art, mulige konsekvenser, iverksatte tiltak og en kontaktperson.