GDPR-samsvar

Slik sikrer KonversAI at din virksomhet er i tråd med personvernregelverket

KonversAI er utviklet med personvern som grunnprinsipp («privacy by design»). Mosaiq AS overholder EUs personvernforordning (GDPR) og norsk personopplysningslov i alle ledd av tjenesten. Denne siden forklarer våre konkrete tiltak og hvordan vi hjelper deg som kunde å oppfylle dine GDPR-forpliktelser.

1Våre GDPR-tiltak

Privacy by design

Personvern er integrert i arkitekturen fra start, ikke lagt til i etterkant.

Dataminimering

Vi samler kun inn det som er strengt nødvendig for å levere tjenesten.

Kryptering

All data krypteres under overføring (TLS 1.3) og i hvile (AES-256).

Lagring i EØS

Data lagres primært i Norge og EU. Overføringer til tredjeland skjer kun med gyldige garantier.

Tilgangsstyring

Kun autorisert personell med tjenstlig behov har tilgang til personopplysninger.

Hendelseshåndtering

Rutiner for å oppdage, varsle og håndtere brudd på personopplysningssikkerheten innen 72 timer.

2Roller og ansvar

GDPR skiller mellom to sentrale roller:

  • Behandlingsansvarlig (deg som kunde): Bestemmer formål og midler for behandlingen. Du er ansvarlig for at din bruk av KonversAI er i tråd med GDPR, herunder at det finnes rettslig grunnlag for behandlingen og at dine brukere er informert.
  • Databehandler (Mosaiq AS): Behandler personopplysninger på dine vegne og etter dine instrukser. Vi er bundet av databehandleravtalen og kan ikke benytte dataene til egne formål.
Alle kunder som behandler personopplysninger gjennom KonversAI må inngå en databehandleravtale med Mosaiq AS. Kontakt oss på contact@mosaiq.ai for å inngå avtalen.

3Underdatabehandlere

Vi benytter underleverandører for å levere tjenesten. Alle underdatabehandlere er bundet av databehandleravtale og behandler kun data i samsvar med våre instrukser.

Gjeldende underdatabehandlere inkluderer:

  • Skyleverandører: Microsoft Azure / Amazon AWS (EØS-regioner)
  • AI-prosessering: Store språkmodell-leverandører med EU SCCs på plass
  • Betalingsbehandler: Sertifisert PCI-DSS-leverandør

Kunder varsles ved tillegg av nye underdatabehandlere og har rett til å protestere ved saklig grunn knyttet til personvern.

4Registrertes rettigheter

KonversAI er bygget for å hjelpe deg å oppfylle de registrertes rettigheter etter GDPR:

  • Innsyn og dataportabilitet: Data kan eksporteres i maskinlesbart format på forespørsel.
  • Sletting: Personopplysninger kan slettes innen 30 dager etter forespørsel.
  • Retting: Feilaktige data kan korrigeres umiddelbart.
  • Innsigelse: Behandling kan begrenses eller stanses ved saklig grunn.

Send forespørsler om utøvelse av rettigheter til contact@mosaiq.ai. Vi svarer innen 30 dager.

5AI og GDPR

KonversAI behandler samtaledata på vegne av kundene. Vi tar særlige forholdsregler for AI-behandling:

  • Personopplysninger brukes ikke til å trene modeller på en måte som gjør data tilgjengelige for andre kunder.
  • Anonymiserte og aggregerte data kan benyttes til å forbedre tjenestens ytelse.
  • Automatiserte beslutninger med rettslig eller lignende virkning tilbys ikke uten at det foreligger eksplisitt samtykke og mulighet for menneskelig overprøving.
  • Vi gjennomfører konsekvensutredninger (DPIA) ved nye AI-funksjoner med høy personvernrisiko.

Har du spørsmål om GDPR-samsvar eller ønsker å inngå databehandleravtale?

Kontakt oss på contact@mosaiq.ai