Kort oppsummert
Kova er bygget for regulerte bransjer fra dag én. Her er de viktigste sikkerhetspunktene i korthet.
Data i EU (Frankfurt)
AWS eu-central-1. Backup til Stockholm. Aldri utenfor EØS.
GDPR + DPA
Databehandleravtale signeres automatisk ved oppstart.
AES-256 kryptering
I hvile og TLS 1.3 under transport. Ingen klartekst.
WCAG 2.1 AA
Skjermleser, tastatur, høykontrast. EAA-konform.
Full dataeksport
JSON/CSV på 1 klikk. Ingen innlåsing.
99,9 % oppetid
Offentlig status-side. SLA med kompensasjon.
Hvor dataen lagres
Alle kundedata lagres på krypterte databaser i EU. Ingen unntak.
- Region: AWS eu-central-1 (Frankfurt). Backup til eu-north-1 (Stockholm).
- Aldri utenfor EØS. Ingen data overføres til USA, UK eller tredjeland.
- Kryptering: AES-256 i hvile, TLS 1.3 under transport, isolerte nøkler per kunde.
- Oppbevaringstid: Samtaledata slettes etter 90 dager som standard (konfigurerbart 30–365 dager).
AI-modeller og PII
Bruk av ChatGPT har historisk vært et GDPR-problem. Her er hvordan Kova løser det.
- EU-regioner først. Azure OpenAI (EU) og Anthropic Claude via AWS Bedrock (Frankfurt).
- Zero-retention. OpenAI og Anthropic beholder ikke samtaledata etter svaret er generert. Kontraktsfestet.
- Automatisk PII-stripping. Personnavn, fødselsnummer og kontaktinfo fjernes før forespørselen sendes til modellen, når det ikke er påkrevd.
- Egen fine-tuning på åpne EU-hostede modeller tilbys for Klinikk+ for klinikker med høye krav.
Underleverandører (subprocessors)
Full åpenhet. Du varsles 30 dager før endringer.
| Leverandør | Formål | Region |
|---|---|---|
| AWS | Hosting, database, backup | Frankfurt (EU) |
| OpenAI (via Azure) | AI-språkmodell (GPT) | EU |
| Anthropic (via Bedrock) | AI-språkmodell (Claude) | Frankfurt (EU) |
| Stripe | Betalingsbehandling | Irland (EU) |
| Postmark | Transaksjonelle e-poster | EU |
| Sentry | Feilsporing (ingen personinfo) | EU |
Databehandleravtale (DPA)
Vi signerer DPA med alle kunder — automatisk ved oppstart.
- Standard GDPR-klausuler i henhold til EU-kommisjonens mal.
- Digital signering via e-sign, inkludert i kontrakten.
- Egen mal mulig. Vi signerer din DPA-mal om ønskelig.
- Forhåndsvisning: Last ned vår standardversjon før du signerer — spør her.
WCAG 2.1 AA tilgjengelighet
Fra 28. juni 2025 krever European Accessibility Act (EAA) at digitale tjenester er tilgjengelige.
- Tastaturnavigasjon: Alt fungerer uten mus — Tab, Enter, Escape, piltaster.
- Skjermleser-støtte: Korrekt ARIA-labelling, role-attributter og live-regions.
- Kontrast: Minimum 4.5:1 for tekst, 3:1 for UI-komponenter.
- Tekstforstørrelse: Fungerer opp til 200 % zoom uten tap av funksjonalitet.
- Fokus-indikatorer: Tydelige, synlige ringer på alle interaktive elementer.
Hva hvis du slutter?
Du eier dataene — ikke oss.
- Full eksport på 1 klikk: JSON eller CSV. Alle samtaler, konfigurasjon, analytics.
- 30 dagers overgangsperiode: Chatbot fortsetter å virke mens du migrerer.
- Full sletting på forespørsel: Senest 30 dager etter oppsigelse.
- Backup-sletting: Automatisk etter 90 dager.
Tekniske tiltak
Konkrete tekniske og organisatoriske tiltak som beskytter data i praksis.
- Autentisering: 2FA obligatorisk for alle admin-kontoer.
- Tilgangskontroll: Prinsipp om minst privilegium.
- Revisjonslogger: Alle admin-handlinger logges og kan revideres.
- Penetrasjonstest: Årlig test av ekstern sikkerhetsleverandør.
- Incident response: 72-timers varslingsplikt ved avvik.
- Personell: Taushetsplikt. Tilgang trekkes umiddelbart ved avgang.