Tillitssenter

Suverenitet du kan dokumentere.

For helse, finans og offentlig sektor er det ikke nok å si at data er trygge — det må kunne vises. Her er hvordan Varing holder data og lyd under norsk og europeisk kontroll, ledd for ledd.

Rammeverk

Det vi etterlever.

GDPR

Personvern fra første linje kode: samtykke, innsyn, retting og sletting bygget inn.

EU AI Act

Innringere får vite at de snakker med AI. Vi dokumenterer bruk og risikoklasse.

Databehandleravtale

DPA på plass før produksjon, med klare roller og instrukser for behandling.

EU-datalokasjon

Drift i Helsingfors. Ingen overføring til tredjeland, ingen CLOUD Act-eksponering.

Multi-tenant isolasjon

Row-level security på hver tabell. Én kunde kan aldri se en annen kundes data.

Revisjonslogg

Append-only logg over hvem som gjorde hva og når — for etterlevelse og innsyn.

Vi kontrollerer hvor data flyter — ikke bare hvor de lagres

De fleste AI-leverandører lener seg på amerikansk-eide skyer. Under CLOUD Act kan amerikanske myndigheter kreve ut data selv om de lagres i Europa. Derfor teller vi ikke bare lagringssted, men hvert ledd dataene passerer.

  • Database og drift: PostgreSQL med row-level security, driftet i EU.
  • Tale-til-tekst: selvhostet NB-Whisper — lyden forlater aldri vår infrastruktur.
  • Språkmodell: Mistral (EU-eid). Kun tekst, aldri rå lyd, sendes videre.
  • Stemme (TTS): selvhostet, EU-suveren stemme for regulerte kunder — med en fail-closed sperre som gjør at regulerte tenants aldri rutes til en ikke-suveren leverandør.
  • Telefoni: europeisk operatør, ingen amerikansk mellomledd i taleflyten.

CRM-veggen er absolutt

Forretningsdata (leads, tilbud) kan synkroniseres til et CRM. Sluttbrukerdata — samtaler, opptak, transkripsjoner og personopplysninger om kundenes kunder — gjør det aldri. Den veggen er hardkodet, ikke en innstilling.

Når AI-en er usikker, henter den et menneske

Failover er bygget inn fra start: i åpningstiden settes vanskelige saker over til et menneske, utenom åpningstid gis en trygg beskjed. AI-en later aldri som den vet noe den ikke vet.

Dataflyt

Ledd for ledd — slik flyter data og lyd.

Et ærlig datakart over hva som skjer når en innringer ringer. Hvert ledd er enten selvhostet eller EU-eid — vi viser det, ikke bare sier det.

  1. Innringer Ringer kundens nummer
  2. Telefoni EU-operatør, ingen US-mellomledd EU
  3. Tale → tekst Selvhostet NB-Whisper — lyd forlater aldri serveren Selvhostet
  4. Språkmodell Mistral (FR, EU-eid) — kun tekst, aldri rå lyd EU
  5. Tekst → tale Regulerte kunder: selvhostet (fail-closed). Standard: ElevenLabs (kun tekst, aldri lyd inn) Per-tenant
  6. Svar Innringeren hører svaret
Database PostgreSQL med row-level security, driftet i Helsingfors (EU). Én kunde kan aldri se en annen kundes data.
EU

Hva betyr «per-tenant»?

Regulerte kunder (helse, finans, offentlig) har en strukturell sperre som gjør at stemmesyntesen alltid kjøres selvhostet — fail-closed, aldri en konfigurasjonsfeil unna en US-leverandør. Standardkunder bruker ElevenLabs for høyere stemmekvalitet; den mottar kun ferdig tekst (aldri innringerens lyd).

Trenger compliance-teamet ditt dokumentasjon?

Vi deler gjerne databehandleravtale, dataflytdiagram og sikkerhetsdokumentasjon i en samtale med teamet ditt.