Trust · Sikkerhet og personvern
Sikkerhet og personvern i Skaala — slik håndterer vi dataene dine
En åpen oversikt over hvordan Skaala behandler personopplysninger og samtaledata: GDPR-posisjon, primær EU-datalagring, opptak og transkripsjoner du kontrollerer, kryptering og tilgangskontroll. Vi forteller også eksplisitt hva vi IKKE er sertifisert for, fordi den ærligheten betyr noe.
Sist oppdatert:
Skaala er databehandler under GDPR — du som kunde er behandlingsansvarlig, og en databehandleravtale (DPA) inngås ved oppstart. Personopplysninger og samtaledata behandles primært i EU-region. Du kontrollerer opptak og transkripsjoner direkte fra dashbordet: du kan eksportere, slette eller endre lagringsperiode per samtale eller for hele kontoen. Vi krever ikke spesifikke bransjesertifiseringer som Helsenormen, Norsk Helsenett, SOC 2 eller HIPAA i dag, og vi gjør ikke krav på det.
GDPR-posisjon — Skaala er databehandler, du er behandlingsansvarlig
Skaala leverer en behandlingstjeneste, ikke en datapool. Det rettslige forholdet er strukturert etter GDPR Artikkel 28: du som bruker plattformen er behandlingsansvarlig for personopplysningene som flyter gjennom — innringernavn, telefonnumre, bookinger, transkripsjoner, alt — og Skaala (AiCall AB) er din databehandler. En databehandleravtale (DPA) inngås ved oppstart og er tilgjengelig på /no/legal/dpa.
Det betyr i praksis at du har siste ord om hva som lagres, hvor lenge, og hvem som skal ha tilgang. Vi behandler dataene kun innenfor det avtalte formålet — å levere AI-telefonassistent-tjenesten til din bedrift — og vi bruker ikke kundenes opptak eller transkripsjoner til å trene generelle modeller på tvers av kunder.
For deg som behandlingsansvarlig gir GDPR konkrete plikter: rettslig grunnlag for behandlingen, informert samtykke eller annen grunn etter Art. 6, en personvernerklæring som dekker bruken av AI-en, og en plan for hvordan du oppfyller innsynsbegjæringer (DSAR) fra innringere. Vi gir deg verktøyene; vurderingen og dokumentasjonen er din.
Skaala har et internt informasjonssikkerhetsstyringssystem (ISMS) som er bygget for å være kompatibelt med GDPR-prinsippene om dataminimering, integritet, konfidensialitet og ansvarlighet. Detaljer om tekniske og organisatoriske tiltak står i personvernerklæringen på /no/legal/privacy.
EU-datalagring og datavalg
Den primære plasseringen for vår databehandling er innenfor Det europeiske økonomiske samarbeidsområdet (EØS). Det inkluderer den primære databasen (kundekonti, bookinger, kontaktkort) og samtaleopptakene som lagres i tilknyttet objektlagring.
Noen underleverandører — for eksempel for tale-syntese og enkelte AI-modeller — kan ha komponenter utenfor EØS. Der vi bruker leverandører med komponenter utenfor EØS, sikrer vi beskyttelsen gjennom Standardkontraktsklausuler (SCCs) supplert med vurderinger av overføringspåvirkning (TIA) der det er relevant, og gjennom ytterligere tekniske tiltak. Den oppdaterte og komplette listen står i DPA-en din.
For bedrifter med strengere krav til geografisk databehandling — for eksempel offentlig sektor eller bransjer med spesielle krav — er det noen ting du bør se på før du tar i bruk. Hovedregelen er fortsatt EU-primær lagring, men hvis du har null-toleranse for ethvert touchpoint utenfor EØS, kan deler av AI-stacken være på grensen. Kontakt oss før du registrerer deg så går vi gjennom det konkrete oppsettet sammen.
Underleverandører (subprosessorer)
Vi bruker et lite antall underleverandører for å levere tjenesten. Hver av disse er bundet av databehandleravtaler eller standardkontraktsklausuler, og listen oppdateres i DPA-en din. Endringer i listen varsles per e-post med rimelig frist.
Hovedunderleverandørene i dag er:
Neon (Postgres-database)
Primær lagring av kontoer, bookinger, kontakter, samtaler og innstillinger. EU-region.
Stack Auth
Identitet og tilgangskontroll for kunde- og team-pålogging. EU-region.
Stripe
Betalingsbehandling for abonnement og eventuell oppkreving av tjenester via telefon. PCI-DSS-kompatibel.
ElevenLabs
Tale-syntese for AI-stemmen og samtaleorkestrering. Komponenter kan være utenfor EØS — SCCs på plass.
Twilio
Telefoni — innkommende og utgående anrop på det norske lokalnummeret ditt, og SMS-bekreftelser.
Vercel
Applikasjonshosting (dashboard og nettside). Globalt CDN med EU-primær.
Google (Calendar OAuth)
Kun hvis du kobler til Google Calendar — vi får minimal tilgang (tilgjengelighet, opprette hendelser). Ikke e-post, kontakter eller filer.
Microsoft (Outlook OAuth)
Kun hvis du kobler til Microsoft 365 — samme minimumstilgang som Google.
Samtaleopptak og transkripsjoner
Hvert innkommende anrop til Skaala-nummeret ditt tas opp i sin helhet. AI-en spiller av en innledning på samtalens start som varsler innringer om både at det er en AI-assistent og at samtalen tas opp — innringer som ikke ønsker å fortsette kan legge på.
Opptaket lagres som en lydfil. Samtidig genereres en transkripsjon (tekstversjon) og strukturerte metadata (kategori, sammendrag, neste handling). Alle tre er knyttet til kontaktkortet og lar deg søke historisk — for eksempel «alle samtaler om migrene siste 30 dager».
Lagringsperiode er konfigurerbar i dashbordet. Standardvalget er ubegrenset så lenge abonnementet er aktivt, men du kan sette en maksgrense — typisk 90 dager, 12 måneder eller egen verdi. For bedrifter med spesialregler (finans MiFID II, helse, jus) må du sette grensen i tråd med disse.
Du kan eksportere enkeltsamtaler (lyd + transkripsjon), alle samtaler knyttet til én kontakt (DSAR-portabilitet), eller hele kontoens datasett. Eksport leveres som strukturert format direkte fra dashbordet — ingen e-postforespørsel til support nødvendig.
Sletting er endelig. Når du sletter en samtale, en kontakt eller hele kontoens samtaledata, fjernes opptakene fra primærlagring og fra sikkerhetskopier i tråd med vår sletteprosedyre. For full bakgrunn om samtykke, lov og operasjonelt oppsett, se /no/resources/guides/telefonopptak-og-samtykke.
Kryptering og tilgangskontroll
Data i transit beskyttes med TLS for all kommunikasjon mellom nettleseren din, Skaala-tjenestene og underleverandørene. Det inkluderer dashbord-trafikk, API-kall, samtaledata og dataeksporter.
Data i hvile krypteres i den primære databasen (Neon) og i objektlagringen for samtaleopptak. Kryptografiske nøkler håndteres av plattformleverandørene våre.
Tilgangskontroll på din konto styres av Stack Auth. Hver bruker på teamet logger inn med egen identitet, og rollene styrer hva de kan se. Multi-faktor-autentisering anbefales sterkt for alle teammedlemmer som har tilgang til samtaleopptak eller eksportfunksjoner.
Internt i Skaala har vi rolle-basert tilgang til kundedata. Tilgang til kundenes opptak og transkripsjoner er begrenset til ansatte med konkret driftsformål (eksempel: feilsøking på en innmeldt sak), og slik tilgang logges. Vi går aldri inn i kundedata for «interesse» eller produktforskning uten konkret samtykke eller driftsformål.
Sletting, eksport og DSAR-håndtering
Som behandlingsansvarlig vil du regelmessig motta DSAR-forespørsler fra innringere — innsyn, retting, sletting, eller dataportabilitet under GDPR. Skaala gir deg verktøyene til å oppfylle dem fra dashbordet.
Innsyn: per kontakt kan du eksportere alle samtaler, kontaktdata, og strukturerte felt i ett klikk. Du leverer eksporten videre til innringeren.
Retting: hvis transkripsjonen eller en strukturert verdi er feil, kan du redigere den direkte. Originalopptaket beholdes; redigeringen er sporbar.
Sletting: per samtale, per kontakt, eller hele konto. Som beskrevet over er sletting endelig.
Portabilitet: eksport av alle samtaler og strukturerte data for én kontakt i et brukbart format (CSV + lyd). Innringer kan ta dette med seg til en annen tjeneste.
Innsigelse: hvis innringer protesterer mot behandling basert på berettiget interesse, kan du stoppe videre behandling for den kontakten fra dashbordet. Eksisterende opptak slettes etter dine regler.
30-dagers svarfrist under GDPR Art. 12(3) er din plikt; Skaala-dashbordet er designet for at du skal kunne handle innen den fristen uten å vente på support.
Sikkerhetshendelser og varsling
Hvis Skaala oppdager en sikkerhetshendelse som berører dine data, varsler vi deg uten ugrunnet opphold og innenfor de fristene som følger av GDPR Art. 33 og 34 og databehandleravtalen din. Varselet beskriver hva som skjedde, hvilke data som er berørt, hva vi gjør for å begrense skaden, og hva du bør gjøre videre.
For ansvarlig sikkerhetsforskning og melding av sårbarheter: kontakt oss på hello@skaala.ai. Vi tar imot varsler om reelle sårbarheter seriøst og respekterer god praksis for koordinert avsløring. Vi har ingen formell bug bounty per i dag.
For status og oppetid på tjenesten: hvis dashbordet er nede eller du opplever feil som påvirker driften, ring eller skriv til support — vi prioriterer kunder med aktive samtaler først.
Hva Skaala IKKE er sertifisert for
Ærlighet er bedre enn antydninger. Her er det vi ikke har og som du derfor ikke skal forutsette at Skaala dekker uten egen vurdering:
Helsenormen og Norsk Helsenett
Skaala er IKKE Helsenormen-sertifisert per 2026-05-13 og er IKKE tilknyttet Norsk Helsenett (NHN). For helseaktører som behandler journalopplysninger — tannleger, leger, fysioterapeuter, psykologer — anbefaler vi en konkret ROS-vurdering før AI-en gis tilgang til pasientopplysninger. Skaala kan typisk håndtere booking og generell kontakt, men ikke kliniske journaldata.
SOC 2, ISO 27001 (sertifisert), HIPAA, PCI
Skaala har IKKE per i dag formelle sertifiseringer som SOC 2 Type II, ISO 27001-revidert eller HIPAA-attestation. Vi er heller IKKE en PCI-DSS-validert betalingsprosessor. Betalinger gjennom AI-en kjøres via Stripe (som er PCI-DSS-validert). Hvis revisjonskravene dine krever sertifiserte leverandører, er Skaala ikke riktig i dag.
BankID og Vipps integrasjoner
Skaala har IKKE BankID-signering eller Vipps-betaling integrert i samtalen per i dag. Hvis identifisering via BankID eller betaling via Vipps er en kritisk del av flyten din, snakk med oss før du registrerer deg — vi er ærlige om hva som er på roadmappen.
Brønnøysund-direkteoppslag
Skaala har IKKE et direkteoppslag mot Brønnøysundregistrene per i dag. Hvis du trenger automatisk validering av organisasjonsnummer mot Brønnøysund som del av samtaleflyten, er det noe vi vurderer per kundecase — ikke en standardfunksjon.
Offentlig sektor — LOU/anskaffelser
Skaala har IKKE en formell rammeavtale med offentlige innkjøpere (LOU eller tilsvarende). For offentlige aktører som vurderer Skaala under en innkjøpsprosess gjør vi gjerne tilpasninger som DPA-tillegg og dokumentasjon, men vi er ikke pre-godkjent leverandør på noen sentral rammeavtale i dag.
Spesielle databehandlingsregioner
Skaala leverer IKKE per i dag dedikert databehandling i bestemte geografiske enklaver (for eksempel «kun-Norge» eller «kun-Sverige» single-tenant). Hovedregelen er primær EU-region, og det er konfigurasjonen som er tilgjengelig for alle kunder.
Les videre
Disse sidene utdyper de juridiske og operasjonelle delene av personvern og sikkerhet:
- Databehandleravtale (DPA) Den formelle GDPR Art. 28-avtalen mellom deg som behandlingsansvarlig og Skaala som databehandler.
- Personvernerklæring Hva Skaala behandler om deg som kunde, om sluttbrukere, og hva slags rettigheter som gjelder.
- Telefonopptak og samtykke — praktisk guide Klartekst om norsk lov, når du trenger samtykke, og hvordan Skaala lagrer og sletter opptak.
- Pris og planer Essentials (299 kr/mnd) og Business (1 499 kr/mnd). Opptak og transkripsjon er inkludert i begge.
- AI-telefonassistent — produktsiden Selve produktet sikkerheten gjelder for: norsk stemme, booking, CRM, viderekobling.
- AI for helsevesen Vurderinger for tannleger, leger og fysioterapeuter — inkludert det vi IKKE dekker uten egen ROS-vurdering.
Trygt for små bedrifter, ærlig om grensene — prøv i 7 dager
Eget norsk lokalnummer, GDPR-DPA, EU-primær lagring, opptak du selv kontrollerer. Betalingsmetode kreves ved registrering. Avslutt når som helst.