Tilgangsstyring
Innlogging og sesjonshåndtering håndteres via Supabase. Tilgang til data i arbeidsområdet er rollebasert, og både API-ruter og databasepolitikk er bygget for å begrense tilgang til riktig virksomhet og riktig rolle.
Sikkerhet og personvern
Hvordan Kigent arbeider med sikkerhet, datadeling og personvern
Denne siden forklarer hvordan Kigent er bygget for å beskytte kontoer, arbeidsområder og widget-trafikk, og hvordan vi fordeler ansvar mellom Kigent og kundene våre. Den supplerer personvernerklæringen og de kommersielle vilkårene.
Kontakt oss på kontakt@kigent.no.
Kort oppsummert
✓
Kigent bruker autentisering, rollebasert tilgang og domenebegrensning for å hindre uautorisert bruk av dashboard og widget.
✓
Kunder er normalt behandlingsansvarlige for egne data i arbeidsområdet og opplysninger som samles inn via deres egen widget. Kigent er normalt databehandler for disse opplysningene.
✓
Kigent er behandlingsansvarlig for eget nettsted, kontaktforespørsler, konto- og abonnementsadministrasjon og sikkerhetstiltak på kigent.no.
✓
Kigent bruker underleverandører for blant annet database og autentisering, AI-behandling, betaling, hosting og valgfri analyse. Dette beskrives i personvernsiden og underleverandøroversikten.
Widget og domener
Kunder kan registrere tillatte domener for widgeten. Offentlige widget-kall verifiseres mot tillatte origins, publiserte Kigent-sider eller kortlivede trust-tokens før forespørsler aksepteres.
Lagring og sletting
Kunnskapsbase, meldingsdata og andre data lagres per arbeidsområde. Dokumenter kan ha egne oppbevaringsinnstillinger, og sletting av arbeidsområdet fjerner tilknyttede data permanent i databasen.
Rollefordeling mellom Kigent og kunden
Når Kigent er behandlingsansvarlig
Kigent er normalt behandlingsansvarlig for personopplysninger som behandles i forbindelse med kigent.no, kontaktforespørsler, konto- og tilgangsstyring, abonnement og fakturering, sikkerhetslogging og egne driftsmessige plikter.
Når Kigent er databehandler
Når en kunde laster opp dokumenter, kobler til nettsider eller bruker widgeten på eget nettsted, vil kunden normalt være behandlingsansvarlig for personopplysningene i dette innholdet. Kigent behandler da opplysningene på vegne av kunden for å levere tjenesten.
AI, dataminimering og modellbruk
Relevant kontekst
Når en widgetmelding behandles, sender Kigent bare brukerens spørsmål, instruksjoner og relevante utdrag fra kundens kunnskapsgrunnlag til valgt AI-leverandør der dette er nødvendig for å levere svaret.
Ingen generell trening
Kigent bruker ikke kundens dokumenter, samtaler eller sluttbrukerdata til å trene generelle AI-modeller uten særskilt avtale med kunden.
Sensitive opplysninger
Tjenesten er ikke ment for særlige kategorier personopplysninger eller unødvendig konfidensielt innhold med mindre dette er uttrykkelig avtalt og risikovurdert.
Underleverandører og dataflyt
Tabellen under viser sentrale leverandører og roller. Se også full underleverandøroversikt for mer detaljert informasjon.
Supabase
Underdatabehandler
Database, autentisering, tilgangskontroll og lagring
Data: Konto, workspace, roller, logger, dokumentdata, chatrelaterte data og applikasjonsdata
Region: EØS eller valgt prosjektregion, med mulig tredjelandsoverføring etter leverandørvilkår
OpenAI
Underdatabehandler
Embeddings, svargenerering og AI-behandling når OpenAI brukes
Data: Prompt, brukerens spørsmål, instruksjoner og relevante utdrag fra kundens kunnskapsgrunnlag
Region: Kan innebære behandling utenfor EØS
Kigent bruker ikke kundedata til å trene generelle AI-modeller uten særskilt avtale.
Google Gemini
Underdatabehandler
Svargenerering eller fallback når Gemini brukes
Data: Prompt, brukerens spørsmål, instruksjoner og relevante utdrag fra kundens kunnskapsgrunnlag
Region: Kan innebære behandling utenfor EØS
Brukes bare når Gemini er valgt eller aktivert som fallback i tjenesten.
Stripe
Betalingsleverandør, selvstendig behandlingsansvarlig og/eller databehandler avhengig av kontekst
Betaling, abonnement, fakturering og kundeportal
Data: Kundeopplysninger, abonnementsstatus, betalingsmetadata og fakturainformasjon
Region: EU/USA etter Stripe sitt oppsett og regelverk
Google Analytics 4
Analyseleverandør
Analyse av bruk av Kigents offentlige sider etter samtykke
Data: Tekniske data, sidevisninger, samtykkestatus og bruksstatistikk
Region: Kan innebære behandling utenfor EØS
Lastes ikke før aktivt samtykke på Kigents offentlige sider.
Calendly
Leverandør for kundestyrt bookingflyt
Bookingflyt hvis kunden aktiverer booking
Data: Navn, e-post, valgt tid, bookingmetadata og eventuell melding brukeren sender i bookingflyten
Region: Kan innebære behandling utenfor EØS
Vercel
Underdatabehandler/hosting-leverandør
Hosting, edge/serverless-kjøring og teknisk drift av webapplikasjonen
Data: Tekniske logger, IP-adresse, requestmetadata og driftsrelatert informasjon
Region: Kan innebære behandling utenfor EØS
Sentry
Underdatabehandler/observability-leverandør
Feilsporing, stabilitet og hendelsesdiagnostikk
Data: Feillogger, stack traces, tekniske metadata og begrensede requestdetaljer
Region: Kan innebære behandling utenfor EØS
Skal ikke brukes til å lagre fulle kundedokumenter eller unødvendig chatinnhold.
Overføring og ansvar
Noen behandlinger kan innebære overføring utenfor EØS
Når Kigent bruker leverandører som OpenAI, Google, Stripe eller Google Analytics, kan personopplysninger bli behandlet utenfor EØS. Kigent skal da bygge på et gyldig overføringsgrunnlag og nødvendige supplerende tiltak der regelverket krever det.
Kunden er selv ansvarlig for å ha riktig behandlingsgrunnlag for egne personopplysninger i dokumenter, nettsider, leads, bookings og annen kundespesifikk bruk av tjenesten.
Kunden er også ansvarlig for korrekt informasjon til egne brukere på eget nettsted, herunder nødvendig samtykkeløsning dersom kunden bruker Kigent-widgeten på en nettside som krever dette.
Hvis du trenger informasjon om databehandleravtale, sikkerhetsspørsmål eller personvernvurderinger, kontakt HENRIK PREMER på kontakt@kigent.no.