Lösning · Compliance
GDPR-kompatibel chatbot 2026 — EU-servrar och DPA-krav
En AI-chatt där all data stannar inom EU, DPA ingår per default, cookie-samtycke är inbyggt och artikel 17-krav hanteras i strukturerat flöde. Byggd i Sverige, hostad i Frankfurt och Helsingfors. Inga amerikanska underleverantörer för personuppgifter.
Skriven av Jimmy Ahlwin · Sälj- och kundansvarig · Uppdaterad 2026-07-09
Problemet: de flesta chattbotar är byggda för amerikansk marknad
Majoriteten av alla chattbotar som svenska bolag använder idag har antingen sin infrastruktur i USA, använder amerikanska AI-modell-leverantörer för inferens, eller båda. Det är sällan ett medvetet val — det är standardvägen när man klickar sig in på en Product Hunt-listad SaaS-lösning. Men resultatet är att svenska bolag i praktiken skickar personuppgifter från sina kunder till underleverantörer som omfattas av CLOUD Act och FISA-702, vilket är oförenligt med GDPR post-Schrems II.
För verksamheter som hanterar känslig information — vård, juridik, finans, HR — är risken påtaglig. Datainspektionen har utfärdat böter mot flera svenska bolag för överföringar till USA utan giltig rättslig grund. För SMB kan böterna komma upp i 4 procent av årsomsättningen. För enskilda personer som hanterar personuppgifter är böterna dessutom personliga i vissa fall.
Lösningen: en chatbot där GDPR är arkitekturell utgångspunkt
ChatNord är byggd med GDPR som utgångspunkt — inte som något som lades till efteråt. All infrastruktur är EU-baserad. AI-inferensen görs på europeiska GPU-servrar (inte OpenAI-API:er i USA för produktions-traffic med personuppgifter). Alla underleverantörer är EU-etablerade och listade i vår subprocessor-lista, som är offentlig och uppdateras vid varje förändring med 30 dagars förvarning.
DPA (personuppgiftsbiträdesavtal) ingår i alla planer och skickas som del av onboardingen. Cookie-samtycke är inbyggt i widget-flödet och integrerar med de vanligaste svenska cookie-consent-verktygen. Registrerade personers rättigheter — access, radering, portabilitet — hanteras via strukturerade flöden med tidsmätning och skriftlig bekräftelse.
Sex arkitekturbeslut för GDPR-compliance
1. Hetzner Frankfurt och Helsingfors som primär hosting
All produktionsdata (transkript, CRM, användarkonton) lagras i Hetzner-datacenter i Tyskland och Finland. Backuper krypteras och lagras enbart inom EES. Diskarna är helkrypterade i vila, all trafik är TLS 1.3 i transit. Ingen skuggkopia i USA-region "för latency".
2. Europeiska AI-inferens-servrar
AI-modellerna som besvarar chatt-frågor kör på GPU-servrar i Europa (primärt Sverige och Tyskland). Vi använder inte OpenAI-API:er i USA för produktions-traffic med personuppgifter — inference-lagret ligger på öppna modeller vi hostar själva, plus en europeisk fallback för överskott. Ingen Schrems II-problematik.
3. Cookie-samtycke som ingår i widgeten
Widgeten registrerar en cookie först när användaren interagerar med den. Om ni kör Complianz, CookieYes, Cookiebot eller Iubenda respekteras det samtycke-lagret automatiskt. Utan sido-cookies. Utan tracking-pixlar. Utan fingerprinting.
4. Strukturerat flöde för artikel 17-krav
Registrerade personer kan begära radering via chatten, mail eller telefon. Vi identifierar, verifierar, raderar all data kopplad till personen (inklusive i backuper enligt 30-dagars-schema) och skickar skriftlig bekräftelse. Genomsnittlig hanteringstid: 4 arbetsdagar.
5. Personuppgiftsincident-hantering enligt 72-timmars-regeln
Vid personuppgiftsincident (t.ex. obehörig åtkomst) meddelar vi personuppgiftsansvarig — dvs. er som kund — inom 24 timmar med preliminär bedömning. Full incidentrapport senast 72 timmar för att ni ska hinna anmäla till IMY inom lagstadgad tid. Ingen "vi utreder"-svängrum som gör att ni missar deadline.
6. Retention och gallring per ärendetyp
Chatt-transkript kan sättas med retention per kategori (t.ex. 6 månader för säljförfrågningar, 24 månader för klagomål, 12 månader för generella supportärenden). Automatisk radering triggar vid retention-slut. Uppfyller kraven på gallringsplan enligt GDPR artikel 5.1.e.
Räkneexempel: ett HR-tech-bolag i Uppsala som bytte från amerikansk chatbot
Ett svenskt HR-tech-bolag i Uppsala med 40 anställda och en SaaS-produkt riktad mot kommunal sektor körde tidigare en välkänd amerikansk chattbot i sin support-widget. Efter en offentlig sektor-kund gjorde en GDPR-audit blev det tydligt att lösningen inte kunde behållas — kunden krävde EU-only-hantering av personuppgifter för att förnya avtalet.
Efter övergång till ChatNord Pro (2 490 kr/mn):
- Compliance-genomgång med kundens dataskyddsombud: godkänd i första omgången (mot "ej godkänd, kräver kompletterande TIA och SCC" för den amerikanska lösningen).
- Kundens fyraårskontrakt förnyades: värde 2,4 miljoner kronor.
- Två andra offentlig sektor-affärer kunde stängas inom sex månader tack vare tydlig GDPR-berättelse.
- Månadskostnad: 2 490 kr — 40 procent lägre än tidigare amerikansk lösning.
För svenska SMB som säljer till offentlig sektor, vård, kommun, region eller till reglerade branscher (bank, försäkring, juridik) är GDPR-arkitekturen sällan en teknisk detalj — den är ofta villkoret för att över huvud taget kunna sälja.
Pris — GDPR-compliance ingår, inte som tillägg
Alla ChatNord- och NordCRM-planer inkluderar EU-hosting, DPA, cookie-samtycke och stöd för registrerades rättigheter. Ingen "compliance-modul" för extra 500 kr/mn:
- ChatNord Starter — 1 290 kr/mn (500 samtal, GDPR-compliance inkluderad).
- ChatNord Pro — 2 490 kr/mn (3 000 samtal, plus custom AI-tuning för branschspecifika retention-flöden).
- Bundle Starter — 1 490 kr/mn (samma plus NordCRM Solo).
- Enterprise — custom-avtal med SLA, egen instans i EU-region efter val och särskild DPA-hantering.
Alla priser i svenska kronor. Ingen bindningstid. Vi kör en 45-minuters compliance-demo där vi går igenom er datamap, retention-policy och krav från kunder eller reglerad sektor. Er dataskyddsombud (om ni har en) är välkommen att sitta med.
Relaterat läsande
FAQ
Vanliga frågor om GDPR-compliance
All produktionsdata (chatt-transkript, användarkonton, CRM-data) lagras i Hetzner-datacenter i Frankfurt och Helsingfors. Alla server-instanser är EU-baserade. Backuper görs krypterade och lagras enbart inom EES. Vi använder inga underleverantörer utanför EU för lagring eller behandling av personuppgifter.
Vi är personuppgiftsbiträde enligt GDPR artikel 28. DPA ingår i alla planer och skickas som del av onboardingen — inget krav att jaga en säljare för att få det. DPA:n innehåller subprocessor-listan, tekniska och organisatoriska säkerhetsåtgärder samt gränser för behandling.
ChatNord Starter kostar 1 290 kr/mn — GDPR-compliance ingår, DPA ingår, EU-hosting ingår. Ingen "compliance-modul" för extra 500 kr/mn som andra leverantörer tar. Bundle Starter (1 490 kr/mn) inkluderar även NordCRM med samma GDPR-hållning.
Ja — en registrerad kan begära radering via chatten eller mail. Vi har ett strukturerat flöde: identifiering, verifiering, radering av all data kopplad till personen inom 30 dagar och skriftligt raderingsbevis. Även indirekt data (loggar, backuper) raderas enligt samma tidsplan.
Schrems II-domen (C-311/18) innebär att överföring av personuppgifter till USA under Privacy Shield är ogiltig, och att SCC + TIA krävs för amerikanska underleverantörer. ChatNord använder inga amerikanska underleverantörer för lagring eller AI-inferens av personuppgifter — våra AI-modeller körs på europeiska GPU-servrar. Ingen Schrems II-problematik.