GDPR och AI - Så skyddar vi din data
EU-hosting, ingen träning på kunddata, och full transparens i varje steg. Så här har vi byggt Gothia AI Portal för att skydda din och dina kunders data.
Din data är helt din egen. Det kan kännas självklart, men i en värld där AI-tjänster ofta samlar in och använder kunddata för att förbättra sina modeller, är det inte självklart för alla. Tänker du på din dataskydd? Du är inte ensam, och det finns sätt att skydda din information och känna dig trygg.
Vi har byggt Gothia AI Portal med dataskydd som grundprincip och inte som en eftertanke.
Var lagras din data?
All din data finns tryggt lagrad i Sverige hos en pålitlig europeisk hostingleverantör. Det innebär att inga servrar är placerade i USA och du slipper bekymra dig för Cloud Act-krångel. Dessutom är databasen isolerad för varje kund, vilket skyddar dina uppgifter från andras tillgång.
- Databas: Lokal PostgreSQL
- Vektordatabas: Lokal Qdrant
- Hosting: Hostinger VPS i Europa
Vad händer med data som skickas till AI:n?
När HelperBot eller Compass svarar på frågor använder de Anthropic Claude som sin leverantör av språkteknologitjänster. Anthropic har en tydlig policy som de följer:
"Vi tränar inte våra modeller på kunddata som skickas via API."
Det här betyder att dina dokument, konversationer och kunduppgifter alltid är helt privata och används inte för att förbättra AI-modellen. De bearbetas bara för att generera ett svar, och det är allt.
Vi har också ett personuppgiftsbiträdesavtal (DPA) med alla våra underleverantörer för att ytterligare säkra din trygghet.
Vilka rättigheter har du?
Portalen har inbyggda GDPR-funktioner:
- Dataexport — användare kan ladda ner all sin data som JSON
- Kontoradering — 30 dagars ångerfrist, sedan permanent radering
- Data retention — AI-loggar och notifikationer rensas automatiskt efter 90 dagar
- Cookie consent — Google Analytics laddas bara om användaren godkänner
- Transparensnotiser — HelperBot och Compass visar tydligt att svaren genereras av AI
Vilka avtal finns på plats?
Vi har publicerat alla relevanta GDPR-dokument:
- DPA (Personuppgiftsbiträdesavtal) — tillgängligt på gothiaai.se/dpa
- Behandlingsregister — enligt GDPR Artikel 30
- DPIA (Konsekvensbedömning) — för AI-funktionerna i portalen
- Underleverantörslista — Anthropic, Stripe, Hostinger, one.com
Alla DPA:er med underleverantörer är verifierade och ingår automatiskt i deras tjänstevillkor.
Betalningar och PCI DSS
Kortbetalningar hanteras smidigt och säkert genom Stripe. Dina kortuppgifter förblir alltid privata eftersom de aldrig passera våra servrar. Stripe är PCI DSS Level 1-certifierade, vilket är den högsta säkerhetsnivån för betalningar.
Säkerhetsheaders och kryptering
Alla sajter (portal, webbplats, demo) serverar strikta säkerhetsheaders:
- HSTS (Strict Transport Security)
- Content Security Policy
- X-Frame-Options: DENY
- Referrer-Policy: strict-origin-when-cross-origin
All trafik krypteras med TLS/SSL via Let’s Encrypt.
Sammanfattning
| Fråga | Svar |
|---|---|
| Var lagras data? | Sverige/EU |
| Tränas AI på min data? | Nej |
| Kan jag exportera min data? | Ja |
| Kan jag radera mitt konto? | Ja (30d grace period) |
| Finns DPA? | Ja, publicerat |
| PCI DSS? | Ja, via Stripe |
Vi värnar om öppenhet eftersom det skapar förtroende. Tveka inte att höra av dig om du undrar över hur vi hanterar data – vi finns här för att hjälpa dig!