GDPR och AI - Så skyddar vi din data
Gothia AI Portal körs på EU-hosting med isolerad databas per kund. AI-funktionerna tränar inte på er data.
GDPR-funktionerna byggdes in i portalen från första dagen.
Var lagras data?
All data ligger i Frankrike hos Scaleway, en europeisk hostingleverantör. Inga servrar i USA, så Cloud Act-frågan uppstår inte. Databasen är dessutom isolerad per kund.
- Databas: Lokal PostgreSQL
- Vektordatabas: Lokal Qdrant
- Hosting: Scaleway VPS i Frankrike
Vad händer med data som skickas till AI:n?
ChatBot och Compass använder en extern språkmodell för att generera svar. Vår leverantör har en policy om att inte träna modeller på kunddata som skickas via API.
Era dokument och konversationer skickas till leverantören enbart för att generera ett svar. De lagras inte hos leverantören och används inte för modellträning.
Vi har personuppgiftsbiträdesavtal (DPA) med alla underleverantörer.
Era rättigheter
Portalen har inbyggda GDPR-funktioner:
- Dataexport — användare kan ladda ner all sin data som JSON
- Kontoradering — 30 dagars ångerfrist, sedan permanent radering
- Data retention — AI-loggar och notifikationer rensas efter 90 dagar
- Cookie consent — Google Analytics laddas bara efter godkännande
- Transparensnotiser — ChatBot och Compass visar att svaren är AI-genererade
Vilka avtal finns?
Alla relevanta GDPR-dokument är publicerade:
- DPA (Personuppgiftsbiträdesavtal) — gothiaai.se/dpa
- Behandlingsregister — enligt GDPR Artikel 30
- DPIA (Konsekvensbedömning) — för AI-funktionerna
- Underleverantörslista — komplett lista med namngivna leverantörer på gothiaai.se/dpa
Betalningar
Kortbetalningar går via Stripe, som är PCI DSS Level 1-certifierade. Kortuppgifter passerar aldrig våra servrar.
Säkerhetsheaders och kryptering
Alla sajter (portal, webbplats, demo) serverar:
- HSTS (Strict Transport Security)
- Content Security Policy
- X-Frame-Options: DENY
- Referrer-Policy: strict-origin-when-cross-origin
All trafik krypteras med TLS via Let's Encrypt.
Sammanfattning
| Fråga | Svar |
|---|---|
| Var lagras data? | Sverige/EU |
| Tränas AI på min data? | Nej |
| Kan jag exportera min data? | Ja |
| Kan jag radera mitt konto? | Ja (30 dagars ångerfrist) |
| Finns DPA? | Ja, publicerat på gothiaai.se/dpa |
| PCI DSS? | Ja, via Stripe |
Hör av er om något är oklart kring hur vi hanterar data.