Skip to content

Trust · Säkerhet och integritet

Säkerhet och integritet i Skaala — så hanterar vi dina data

En öppen översikt över hur Skaala behandlar personuppgifter och samtalsdata: GDPR-position, primär EU-datalagring, inspelningar du kontrollerar, kryptering. Vi säger också vad vi INTE är certifierade för.

Senast uppdaterad:

Skaala är personuppgiftsbiträde under GDPR — du som kund är personuppgiftsansvarig, och ett personuppgiftsbiträdesavtal (DPA) tecknas vid uppstart. Personuppgifter och samtalsdata behandlas primärt i EU-region. Du kontrollerar inspelningar och transkriptioner direkt från instrumentpanelen — exportera, radera eller ändra lagringstid. Vi gör inte anspråk på specifika branschcertifieringar (Helsenormen, NHN, SOC 2, HIPAA) idag.

GDPR — Skaala är biträde, du är ansvarig

Relationen är strukturerad enligt GDPR Art. 28: du som använder plattformen är personuppgiftsansvarig; Skaala (AiCall AB) är ditt biträde. Ett DPA tecknas vid uppstart och finns på /sv/legal/dpa.

Vi behandlar data endast inom det avtalade syftet — att leverera AI-telefonassistenten — och vi använder inte kundernas inspelningar för att träna generella modeller.

För dig som personuppgiftsansvarig: rättslig grund, informerat samtycke eller annan grund enligt Art. 6, en integritetspolicy som täcker AI-användningen, och en plan för DSAR-förfrågningar.

EU-datalagring

Primär behandlingsplats är inom EES. Det inkluderar primär databas (konton, bokningar, kontakter) och samtalsinspelningar.

Vissa underleverantörer (vissa AI-modeller, vissa röstkomponenter) kan ha komponenter utanför EES. Vi använder SCC + TIA där relevant. Komplett lista i DPA.

Underleverantörer

Vi använder ett litet antal underleverantörer. Alla är bundna av DPA eller SCC. Förändringar varslas via e-post.

Huvudunderleverantörer idag:

  • Neon (Postgres)

    Primär lagring. EU-region.

  • Stack Auth

    Identitet och åtkomst. EU-region.

  • Stripe

    Betalning. PCI-DSS-kompatibel.

  • ElevenLabs

    Talsyntes. SCC på plats.

  • Twilio

    Telefoni och SMS.

  • Vercel

    Apphosting. EU-primär CDN.

  • Google (Calendar OAuth)

    Endast vid integration. Minimal åtkomst.

  • Microsoft (Outlook OAuth)

    Endast vid integration. Minimal åtkomst.

Samtalsinspelningar och transkriptioner

Varje inkommande samtal spelas in. AI:n inleder med tydlig disclosure om AI och inspelning.

Lagringstid konfigureras i instrumentpanelen — typiska val 90 dagar, 12 månader eller obegränsat under aktiv prenumeration.

Du kan exportera enskilda samtal, alla samtal för en kontakt, eller hela kontots data. Radering är slutgiltig och täcker primärlagring och säkerhetskopior.

Kryptering och åtkomstkontroll

TLS för data i transit. Kryptering vid vila i primär databas och objektlagring.

Stack Auth-baserad åtkomst per användare. MFA rekommenderas starkt för åtkomst till inspelningar.

Internt i Skaala har vi rollbaserad åtkomst till kunddata. Åtkomst loggas. Vi går aldrig in i kunddata utan konkret driftssyfte.

Radering, export och DSAR

Som personuppgiftsansvarig får du DSAR-förfrågningar — tillgång, rättelse, radering, portabilitet. Instrumentpanelen ger dig verktygen att uppfylla dem inom 30 dagar.

Tillgång: export per kontakt i ett klick. Rättelse: redigera transkription/strukturerade fält (originalinspelningen behålls). Radering: per samtal, per kontakt, eller hela kontot.

Säkerhetsincidenter

Vi notifierar enligt GDPR Art. 33/34 och DPA om en incident påverkar dina data.

För ansvarsfull säkerhetsforskning: kontakta hello@skaala.ai. Ingen formell bug bounty idag.

Vad Skaala INTE är certifierat för

Ärlighet före antydningar:

  • Vården (Helsenormen, NHN)

    Skaala är INTE Helsenormen-certifierat och INTE anslutet till Norsk Helsenett. Vården: gör egen riskbedömning innan AI hanterar journaluppgifter.

  • SOC 2, ISO 27001, HIPAA, PCI

    Inga formella SOC 2-, ISO 27001- eller HIPAA-attesteringar idag. Betalningar går via Stripe (PCI-DSS-validerat).

  • BankID, Vipps

    Ingen BankID-signering eller Vipps i samtalet idag.

  • Brönnöysund / Bolagsverket-uppslag

    Ingen direkt uppslag mot Bolagsverket idag.

  • Offentlig sektor / LOU

    Inget förgodkänt ramavtal idag. Kan göra anpassningar per kundcase.

  • Single-tenant geografisk enklav

    Ingen «endast-Sverige»-only single-tenant idag. EU-primär är standardkonfiguration.

Läs vidare

Fördjupning kring juridik och drift:

Tryggt för småföretag — prova i 7 dagar

Eget svenskt lokalnummer, GDPR-DPA, EU-primär lagring, inspelningar du kontrollerar. Betalningsmetod krävs vid registrering.