Kaiku

Integritetspolicy

Senast uppdaterad: 25 april 2026 (v3.2)

1. Översikt och personuppgiftsansvarig

Kaiku ("Tjänsten", kaiku.live och Kaiku-mobilappen) är en AI-assisterad personlig välmåendementor. Denna integritetspolicy beskriver i enlighet med GDPR (EU 2016/679) artiklarna 13 och 14 vilka personuppgifter vi behandlar, för vilka ändamål och på vilken rättslig grund. Personuppgiftsansvarig: Tomi Ansamaa, Mannerheimintie 12 A, 00100 Helsingfors, Finland, tomi.ansamaa@gmail.com. Integritetskontakt: team@kaiku.live. Tjänsten behandlar i stor omfattning särskilda kategorier av personuppgifter enligt GDPR artikel 9 (hälsa, psykisk hälsa, biometrisk emotionsdata), så behandlingen sker på grundval av ditt uttryckliga samtycke (Art. 9(2)(a)) och fullgörande av avtal (Art. 6(1)(b)). Samtycke begärs separat för varje behandlingsändamål och kan återkallas när som helst i Inställningar utan att det påverkar behandling som skett före återkallelsen. En konsekvensbedömning enligt GDPR Art. 35 (DPIA) har genomförts och finns tillgänglig på begäran.

2. Kategorier av insamlade uppgifter

Kontouppgifter och autentisering

Vid registrering samlar vi in din e-postadress, valfritt visningsnamn, födelseår (för åldersverifiering), språkval och tidszon. Om du loggar in med Google eller Apple (OAuth) får vi från leverantören namn, e-post och en stabil identifierare. Lösenord lagras inte — autentisering hanteras via Supabase Auth. Rättslig grund: Art. 6(1)(b) fullgörande av avtal.

Samtal, röstinmatning och minnen

Alla chattmeddelanden (text och tal) lagras AES-256-GCM-krypterat. Kaiku lär sig av dina samtal och lagrar 7 minnetyper: emotionsmönster, behov, triggers, relationsdynamik, styrkor, mål och insikter. I realtidsröst bearbetas mikrofoninmatning nästan realtid (Voice Activity Detection) och omvandlas till text — råljud lagras inte permanent efter sessionen om du inte uttryckligen sparar det till Moments. Rättslig grund: Art. 6(1)(b) + Art. 9(2)(a) när innehållet rör hälso-/psykisk data.

Incheckningar, livshjul och kliniska självskattningar

Dagliga incheckningar: humör, kontakt och stressvärden (1–10), fri text om tacksamhet och oro. Livshjulet bedömer 8 livsområden. Kaiku erbjuder också självskattningar baserade på validerade kliniska instrument: PHQ-9 (sinnesstämningsbelastning), GAD-7 (stressbelastning), ECR-R (anknytningsstil), Columbia-protokollets säkerhetsscreening och andra guidade reflektionsverktyg. Dessa är inte diagnoser och ersätter inte en professionell bedömning — se ansvarsfriskrivningar. Allt detta är särskilda uppgifter enligt Art. 9(2)(a), behandlas endast med ditt uttryckliga samtycke.

Hälso-, fitness- och medicineringsdata

Du kan valfritt ansluta wearables och hälsoplattformar: Apple Health, Google Health Connect, Oura, Whoop, Polar, Suunto, Withings, Strava. Synkroniserade data kan inkludera: steg, hjärtfrekvens, HRV, sömnlängd/-kvalitet, vikt, aktiva kalorier, träningar (inkl. GPS-rutter), menscykel. Du kan också logga mediciner, medicinpåminnelser, smärta och kost. Medicinpåminnelser är inte en medicinteknisk produkt eller automatisk doserare — du bestämmer din medicinering. Du kan välja vilka datatyper som synkas och koppla bort när som helst. Rättslig grund: Art. 9(2)(a) uttryckligt samtycke.

Teknisk data och apptelemetri

IP-adress lagras endast SHA-256-hashad i revisionsloggar för säkerhetsändamål (lagringstid 12 månader). Vi behandlar dessutom: enhetstyp (mobil/dator), OS-version, appversion, språkval, sessions-ID, push-token (om du samtycker till notifikationer) och kraschrapporter (Sentry, innehåll pseudonymiserat). Vi tillhandahåller analys via PostHog (EU-hostat) baserat på ditt samtycke för att förbättra produkten — du kan tacka nej utan att det påverkar tjänstens användning. Rättslig grund: Art. 6(1)(f) berättigat intresse (säkerhet), Art. 6(1)(a) samtycke (analys).

4. Behandlingsändamål och rättsliga grunder

Vi använder din data för: (1) Tillhandahålla tjänsten: AI-samtal, minnen, dagliga sammanfattningar, parläge — Art. 6(1)(b) + 9(2)(a); (2) Personalisering och uppbyggnad av Knowledge Graph — Art. 9(2)(a) samtycke; (3) Välmåendenotifikationer (push, e-post) — Art. 6(1)(a) samtycke, kan återkallas när som helst; (4) Säkerhet och förebyggande av missbruk: krisdetektering, hastighetsbegränsning, revisionsloggar — Art. 6(1)(f) berättigat intresse, som väger tyngre än din integritet eftersom liv kan stå på spel; (5) Lagstadgade skyldigheter (bokföring, tillsynsmyndigheter) — Art. 6(1)(c). **Vi använder inte din data för reklam, marknadsföringsprofilering, och vi säljer den inte till tredje part.** AI-leverantörer använder inte din data för att träna modeller — detta ingår i Anthropics, OpenAI:s och Groqs standardvillkor som Kaiku omfattas av (se AI-avsnittet).

3. Särskilda kategorier av personuppgifter (GDPR Art. 9)

Vi behandlar följande särskilda kategorier enligt Art. 9 uteslutande på grundval av ditt uttryckliga samtycke (Art. 9(2)(a)): (a) hälsodata — pulszoner, HRV, sömn, vikt, menscykel, träning, smärtloggar, medicinering; (b) data relaterade till psykisk hälsa — humör, stress, journalanteckningar, krisindikatorer, belastningsskattningar (PHQ-9/GAD-7/ECR-R som reflektionsverktyg); (c) data om sexualliv och intima relationer i parläge — libidosamtal, intima reflektioner. Du kan återkalla samtycke för en enskild kategori eller alla i Inställningar → Samtycken. Återkallande påverkar inte behandling som skett före återkallelsen. **Kommer i en senare version (Q4/2026 uppskattat):** biometrisk emotionsigenkänning från röst (Hume AI). Denna funktion lanseras endast med separat opt-in-samtycke och kommer inte att användas i arbets- eller utbildningssammanhang i enlighet med EU AI Act-förbudet.

4. Behandlingsändamål och rättsliga grunder

Vi använder din data för: (1) Tillhandahålla tjänsten: AI-samtal, minnen, dagliga sammanfattningar, parläge — Art. 6(1)(b) + 9(2)(a); (2) Personalisering och uppbyggnad av Knowledge Graph — Art. 9(2)(a) samtycke; (3) Välmåendenotifikationer (push, e-post) — Art. 6(1)(a) samtycke, kan återkallas när som helst; (4) Säkerhet och förebyggande av missbruk: krisdetektering, hastighetsbegränsning, revisionsloggar — Art. 6(1)(f) berättigat intresse, som väger tyngre än din integritet eftersom liv kan stå på spel; (5) Lagstadgade skyldigheter (bokföring, tillsynsmyndigheter) — Art. 6(1)(c). **Vi använder inte din data för reklam, marknadsföringsprofilering, och vi säljer den inte till tredje part.** AI-leverantörer använder inte din data för att träna modeller — detta ingår i Anthropics, OpenAI:s och Groqs standardvillkor som Kaiku omfattas av (se AI-avsnittet).

5. Artificiell intelligens och AI-transparens

**Du interagerar med artificiell intelligens.** Kaiku använder generativa AI-modeller (EU AI Act Art. 50-information). Vi använder: (a) Anthropic Claude (Sonnet, Haiku) — samtal och analyser; (b) OpenAI Whisper (tal-till-text), TTS (text-till-tal), Realtime API (realtidssamtal); (c) Groq — alternativ taligenkänning; (d) Anthropic Claude Vision — bildanalys (mat, träning, Moments). Avtalsmässigt **använder ingen av dessa leverantörer din data för att träna modeller.** Anthropic och OpenAI lagrar API-data i högst 30 dagar för missbruksövervakning, varefter den raderas. AI kan producera felaktigt eller missvisande innehåll ("hallucinationer") — lita inte på AI:s svar i medicinska, juridiska eller säkerhetskritiska situationer. Kaiku är ingen medicinteknisk produkt och ersätter inte en professionell. Vi fattar inga automatiserade beslut om dig som har rättsliga eller liknande betydande effekter (GDPR Art. 22) — AI föreslår, du beslutar. Framtida funktioner (t.ex. biometrisk röstemotionsigenkänning, Hume AI) aktiveras inte utan ditt separata opt-in-samtycke och en uppdaterad integritetspolicy.

6. Automatiserat beslutsfattande och profilering (Art. 22)

Kaiku fattar inga beslut om dig vars konsekvenser är rättsliga eller har liknande betydande effekt på ditt liv. AI-modeller producerar förslag, insikter och sammanfattningar — alla beslut (t.ex. att kontakta en terapeut, ändra medicinering, gå till läkare, lämna en partner) fattar du själv. Vi profilerar dina data endast för att förbättra kvaliteten på personlig coachning — inte för marknadsföring eller klassificering. Parlägets kommunikationsanalys (upptäckt av kommunikationsmönster) identifierar kommunikationsmönster och kan lyfta fram eskaleringsrisk — detta är **beslutsstöd**, inte automatisk intervention. Du kan begära mänsklig granskning eller begränsning av maskinell behandling: team@kaiku.live.

7. Parläge — särskilda regler

I parläge delar två vuxna användare samtal, dagliga frågor och kommunikationsanalyser. Viktigt: (a) Anslutning är alltid frivillig — den inbjudna parten ger separat samtycke före behandling av delade data; (b) Delat innehåll syns för båda; **dina egna individuella samtal med Kaiku delas inte med din partner**; (c) Kommunikationsanalyser (upptäckt av skadliga kommunikationsmönster, scorecard) är härledda data från båda parters meddelanden — vi delar inte råanalyser med tredje part; (d) Du kan upplösa parläget ensidigt när som helst; upplösning stoppar delad behandling omedelbart men raderar inte automatiskt historiken — du kan begära radering separat. **Säkerhet i sammanhang av våld i nära relation**: om du upplever att ditt samtycke inte är frivilligt eller om du är rädd för din partner kan du (1) upplösa parläget utan att meddela motparten, (2) använda 'Flykt-radering' (Inställningar → Flykt-radera parläge) som tar bort delad data helt, (3) kontakta en nationell hjälplinje för våld i nära relationer. Appen visar lokalt anpassade nödnummer.

8. Datadelning och överföringar till tredje part

Vi säljer eller hyr inte ut dina personuppgifter. Vi använder följande personuppgiftsbiträden. Ett databehandlaravtal enligt GDPR Art. 28 finns med alla leverantörer — antingen som separat avtal (Supabase, Stripe, Apple, Google) eller som del av deras standardvillkor (Anthropic ToS, OpenAI Business Terms, Groq, Tavily, Expo, Vercel, Upstash, PostHog, Sentry). Aktuell lista via team@kaiku.live. **EU-baserade:** Supabase (databas, EU/Irland), PostHog EU (analys), Upstash Redis (rate limit). **I USA med SCC-avtal + EU-US Data Privacy Framework-kontroll:** Vercel (hosting), Anthropic (Claude AI), OpenAI (röst & chatt), Groq (STT), Tavily (websök — endast sökfrågor, inga personuppgifter), Sentry (kraschrapporter, innehåll skrubbat), Stripe (betalningar, PCI DSS Level 1), Apple (App Store + IAP), Google (Play Store + Billing + Calendar OAuth), Expo (push-notifikationer), Web Push-leverantörer (webbläsar-push, VAPID). **Wearable-integrationer** (Oura, Whoop, Polar, Suunto, Withings, Strava, Apple Health, Google Health Connect, Spotify) — behandling endast på din begäran via användarspecifika OAuth-tokens; du kan koppla bort dem när som helst. Vi kan lämna ut data till brottsbekämpande myndigheter på officiell begäran i den utsträckning som krävs enligt finsk eller tillämplig EU-medlemslandslagstiftning — vi informerar dig om inte lagen förbjuder det.

9. Internationella dataöverföringar

Vissa av våra biträden är belägna i USA. Vid överföringar används Europeiska kommissionens standardavtalsklausuler (SCC) — kommissionens genomförandebeslut EU 2021/914 — och vid behov ytterligare skyddsåtgärder (kryptering at-rest och in-transit, principen om minst åtkomst). Vi förlitar oss också på EU-US Data Privacy Framework där biträdet är certifierat. Du kan få en kopia av de skyddsåtgärder som används: team@kaiku.live.

10. Lagringsperioder för personuppgifter

Vi lagrar dina data per kategori enligt följande: **Konto och grundprofil:** så länge kontot är aktivt + 30 dagar efter raderingsbegäran. **Chattmeddelanden och sessioner:** så länge kontot är aktivt; du kan aktivera autoradering efter 90 dagar eller 1 år. **Wearable- och hälsodata:** 24 månader eller tills du återkallar samtycke. **PHQ-9/GAD-7/ECR-R-skattningar:** så länge kontot är aktivt (för trendövervakning). **Revisionsloggar (IP-hash, inget innehåll):** 12 månader. **Stripe-betalningsdata (fakturor):** 6 år enligt finsk bokföringslag. **AI-leverantörers API-cache:** Anthropic och OpenAI 30 dagar, Groq ingen permanent lagring. **Push-tokens:** endast medan enheten är aktiv. **Knowledge Graph:** tills du raderar entiteten eller kontot. **Krisindikatorer och Safety Plan:** så länge kontot är aktivt av säkerhetsskäl; kan tas bort på begäran.

11. Dina rättigheter enligt GDPR

Som EU/EES-användare har du rätt att: (1) **Få tillgång till dina data (Art. 15)** — Inställningar → Exportera mina data, JSON-format; (2) **Rätta dina data (Art. 16)** — Profilvyn; (3) **Begära radering (Art. 17, 'rätten att bli glömd')** — Inställningar → Radera mitt konto, behandlas inom 30 dagar; (4) **Begränsa behandling (Art. 18)** — skriv till team@kaiku.live; (5) **Få dina data i ett portabelt format (Art. 20)** — samma JSON-export; (6) **Invända mot behandling (Art. 21)** — du kan stänga av notifikationer, analys, AI-förslag; (7) **Återkalla samtycke (Art. 7(3))** — Inställningar → Samtycken, återkallande påverkar inte behandling som skett före återkallelsen; (8) **Begära mänsklig granskning av automatiserade beslut (Art. 22)** — team@kaiku.live; (9) **Lämna in klagomål till tillsynsmyndighet**: i Finland Dataombudsmannens byrå, tietosuoja@om.fi, www.tietosuoja.fi. Vi svarar utan onödigt dröjsmål, senast inom 30 dagar (Art. 12(3)). Svar är kostnadsfria utom vid uppenbart ogrundade eller orimligt upprepade förfrågningar.

12. Dataintrång

Om en personuppgiftsincident sannolikt medför risk för dina rättigheter informerar vi Dataombudsmannens byrå utan onödigt dröjsmål och om möjligt inom 72 timmar från upptäckt (Art. 33) samt dig utan onödigt dröjsmål om incidenten sannolikt medför hög risk för dina rättigheter (Art. 34) — på enkelt språk, beskrivning av incidentens art, möjliga konsekvenser, vidtagna åtgärder och kontaktperson. Vår interna incidenthanteringsprocess är dokumenterad i en separat Incident Response Playbook.

13. Cookies

På webbtjänsten använder vi nödvändiga cookies (autentisering, språk, CSRF-skydd) och med ditt samtycke analys- och funktionscookies. För en detaljerad lista, se vår separata Cookiepolicy. Mobilappen använder inte webbläsarcookies; motsvarande lokal status lagras säkert på enheten (Keychain på iOS, EncryptedSharedPreferences på Android).

14. Användare under 16 år

Kaiku är avsett för användare **16 år och äldre** (åldersgränsen för barns samtycke enligt GDPR i Finland). Vi samlar inte medvetet in personuppgifter från användare under 16 år. Parläge och sociala funktioner är endast tillgängliga för **vuxna (18+)**. Vi verifierar ålder vid registrering — om vi upptäcker konton under åldersgränsen stänger vi dem och raderar data.

15. Inte en medicinteknisk produkt

Kaiku är en välmåendeapp, inte en medicinteknisk produkt enligt MDR (EU 2017/745). Appen diagnostiserar, behandlar, lindrar eller förebygger inte sjukdomar och ersätter inte läkare, terapeut, fysioterapeut, dietist eller psykiater. Självskattningarna (PHQ-9, GAD-7 m.fl.) är reflektionsverktyg, inte diagnoser. I akuta hälso- eller psykiska kriser, kontakta lokalt nödnummer, kris- eller jourtelefon (appen visar lokalt anpassade nummer).

16. Ändringar i denna policy

Vi kan uppdatera denna policy. Väsentliga ändringar (t.ex. nya behandlingsändamål, nya underleverantörer, längre lagringstider) meddelas i appen och via e-post minst 30 dagar i förväg och vi begär nytt samtycke vid behov. Tidigare versioner finns tillgängliga på begäran. **Version 3.2 (25 april 2026):** terminologin har anpassats till Kaikus varumärkesröst — inga ändringar gällande behandlingens innehåll, rättsliga grunder eller lagringstider.

17. Kontakt och rätt att klaga

Personuppgiftsansvarig: Tomi Ansamaa, Mannerheimintie 12 A, 00100 Helsingfors, Finland, tomi.ansamaa@gmail.com. Integritetskontakt: team@kaiku.live. Förfrågningar från registrerade: team@kaiku.live (vi svarar inom 30 dagar). Tillsynsmyndighet i Finland: Dataombudsmannens byrå, PB 800, 00531 Helsingfors, tietosuoja@om.fi, www.tietosuoja.fi. EU/EES-användare har rätt att lämna in klagomål till tillsynsmyndigheten i sitt hemland.