Produkt
Hur det fungerarIdentifieraKvalificeraBokaSynkaFölj upp Integrationer Säkerhet & GDPR
Lösningar
Efter avdelning
SäljMarknadCustomer SuccessProduktLedningRevOps
Efter bransch
SaaSKonsultingExperttjänsterAdvokatbyråerIngenjörsbyråerFinanstjänsterIT-tjänsterB2B-e-handel
Priser
Resurser
Alla resurserBloggKundberättelserGuiderROI-kalkylatorJämförelser
Företag
Om ossTeamKarriärFaktaKontakt
Juridik
AnvändarvillkorIntegritetspolicyPersonuppgiftsbiträdesavtalPolicy för acceptabel användningCookie- och lagringspolicyIntegritetsmeddelande för slutanvändareSäkerhetsöversiktLista över underbiträden
Logga in
Boka demo Kom igång
Säkerhet & GDPR

Är Cloop GDPR-kompatibelt och säkert för EU:s B2B-data?

Cloop lagrar all kunddata i Helsingfors, Finland, tränar aldrig AI på dina samtal och verkar helt inom EU under ett standardiserat personuppgiftsbiträdesavtal.

Get started Request a demo

Last updated: April 2026

In one sentence

Cloop är GDPR-kompatibelt och EU-enbart till arkitekturen, data i Helsingfors, inferens i Nederländerna, ingen träning på din data, med DPA, lista över underbiträden och SSO i varje plan.

Hetzner Helsingfors · Nebius Nederländerna · ROFFI Oy som personuppgiftsansvarig i EU

Våra åtaganden

Tränar Cloop AI-modeller på kundsamtal?

Nej. Cloop förbjuder avtalsmässigt träning av AI-modeller på kundsamtalsdata. Detta förbud står i det standardiserade personuppgiftsbiträdesavtalet (DPA) och gäller både Cloop och AI-inferensleverantören (Nebius B.V.). Tre icke-förhandlingsbara åtaganden följer.

🇪🇺

Data enbart inom EU

All data lagras och behandlas på Hetzners infrastruktur i Helsingfors, Finland. Inga överföringar utanför EU/EES, någonsin.

🚫

Vi tränar aldrig AI på din data

Dina kundsamtal, CRM-data och besökarinformation används aldrig för att träna AI-modeller, varken våra eller någon annans. Nebius AI Studio, vår inferensleverantör, bekräftar detta avtalsmässigt.

📋

Transparent säkerhet

Varje detalj om vår infrastruktur, underbiträden och behandling är offentlig. Läs Säkerhetsöversikten, DPA och Listan över underbiträden, ingenting är dolt.

Datalagring

Var lagras Cloops kunddata?

All Cloops kunddata lagras i Helsingfors, Finland, på Hetzner Online GmbH:s infrastruktur (fi-hel-1-zonen). Ingen produktionsdata lämnar EU under några omständigheter. För EU-köpare är datalagring ett efterlevnadskrav, Cloop arkitekterades EU-först från dag ett.

🇫🇮
Primärt datacenter
Helsingfors, Finland · Hetzner
Applikationsservrar
Hetzner, Helsingfors (hel1)
Databas
Självhanterad PostgreSQL på Hetzner VPS
Objektlagring
Hetzner S3-kompatibel, Helsingfors
AI-inferens
Nebius B.V., EU:s datacenter
Vektorsökning
Lokalt på vår server (pgvector), inga externa anrop
Säkerhetskopior
Dagligen, lagras inom EU (Helsingfors)
Efterlevnad

Är Cloop kompatibelt med Schrems II?

Ja. Cloop verkar helt inom EU, inga dataöverföringar till USA eller andra jurisdiktioner utan adekvat skydd. Hetzner är EU-baserat, Nebius är EU-baserat och ROFFI Oy är EU-baserat. Schrems II-farhågor om dataöverföringar mellan EU och USA gäller inte oss. Vårt säkerhetsprogram följer även ISO 27001-, SOC 2- och ISO 42001-krav, formella certifieringar finns på vår roadmap för 2026-2027.

Kompatibel

GDPR

Finskt företag direkt underställt EU:s dataskyddslagstiftning. Fullständig DPA tillgänglig. Alla registrerades rättigheter stöds.

Visa DPA →
Processkompatibel · Cert. 2026

ISO 27001

Vårt ledningssystem för informationssäkerhet är byggt enligt ISO 27001-standarder. Formell certifiering planerad till 2026.

Processkompatibel · Cert. 2026-2027

SOC 2

Kontroller och processer följer SOC 2 Trust Services-kriterier (Säkerhet, Tillgänglighet, Konfidentialitet). Type I-revision planerad till 2026.

Processkompatibel · Cert. 2027

ISO/IEC 42001:2023

Standard för ledningssystem för AI. Vi styr vår AI-förvaltning enligt ISO 42001-ramverket, ett av få europeiska B2B-verktyg som gör det.

Kompatibel

ePrivacy-direktivet

Widgeten använder localStorage (inte cookies) för besökaridentifiering. Inga annonsspårare, ingen fingerprinting.

Kompatibel

Finsk dataskyddslag

Registrerat finskt företag (Org.nr 3500046-5), direkt övervakat av Finlands dataombudsman.

Teknisk säkerhet

Vilka tekniska säkerhetsrutiner använder Cloop?

Cloop kör sex lager av tekniska kontroller, kryptering, autentisering, auktorisering, indatavalidering, hastighetsbegränsning och granskningsloggning, med SSO via Microsoft Entra ID, Google Workspace och SAML 2.0 på Team-planer. Säkerhet är ingen bock i kanten som läggs till sist, den finns i varje lager, från nätverk till applikation till AI.

🔒 Kryptering

  • TLS 1.2+ för alla anslutningar, HSTS påtvingat
  • Heldisk-kryptering i vila (Hetzner VPS)
  • Krypterade säkerhetskopior inom EU

🔐 Autentisering

  • OAuth 2.0 / OpenID Connect
  • Google-, GitHub- och Microsoft-inloggning
  • JWT-tokens i Authorization-headers
  • Inga sessionscookies = ingen CSRF-attackyta

🛡️ Auktorisering

  • Multitenant-isolering: varje fråga avgränsad av tenant-ID
  • Rollbaserad åtkomst (Ägare, Admin, Medlem)
  • Funktionsbegränsning påtvingad på API-nivå
  • Webbplatsspecifika widget-inbäddningstokens

⚙️ Indatavalidering

  • Parametriserade frågor (ingen SQL-injektion)
  • SSRF-skydd i webbcrawlern
  • Validering av innehållstyp och storlek vid uppladdningar
  • Widgeten sanerar allt renderat innehåll (ingen XSS)

🚦 Hastighetsbegränsning

  • Flernivå glidande fönster-gränser per IP
  • Separata budgetar per tenant
  • Dagligt AI-kostnadstak förhindrar skenande användning

📝 Granskningsloggning

  • Strukturerade JSON-loggar för autentiseringshändelser
  • Spårning av ändringar på webbplatsnivå
  • 12 månaders lagring för granskningsspår
AI-säkerhet

Hur AI faktiskt ser din data.

Vi är tydliga med vad som korsar gränsen till AI-leverantören, och vad som stannar på våra servrar.

Stannar på våra EU-servrar
  • Besökares e-postadresser och identifierare
  • Kontouppgifter och intern metadata
  • Data från andra tenants (multitenant-isolering)
  • Vektorinbäddningar och likhetssökning (körs lokalt via pgvector)
  • Sessionstillstånd, leadposter, analys
Skickas till Nebius AI (EU)
  • Besökarens meddelandetext (aktuell tur)
  • Relevanta innehållsdelar från din kunskapsbas
  • Systeminstruktioner (språk, persona, fas)
  • Färsk samtalskontext (aktuell session)
Nebius behandlar transient, in-/utdata lagras inte efter svar. Avtalsmässigt undantaget från modellträning.
Din data, dina rättigheter

Fulla GDPR-rättigheter, fullt stödda.

Varje rättighet som garanteras av GDPR artikel 15-22 är implementerad i Cloop, inte bara utlovad i en policy.

Artikel 15

Rätt till tillgång

Exportera din data från instrumentpanelen när som helst, eller mejla privacy@cloop.io.

Artikel 16

Rätt till rättelse

Redigera din profil och dina inställningar direkt i instrumentpanelen.

Artikel 17

Rätt till radering

Radera ditt konto i instrumentpanelen, all data tas bort inom 30 dagar.

Artikel 18

Rätt till begränsning

Pausa behandling av specifik data genom att kontakta privacy@cloop.io.

Artikel 20

Rätt till dataportabilitet

Begär en maskinläsbar export av all din data.

Artikel 21

Rätt att invända

Invänd mot behandling baserad på berättigat intresse när som helst.

Vi svarar på alla registrerades begäran inom 30 dagar (kan förlängas till 90 för komplexa begäran, med förvarning).

Incidenthantering

Litet team, direkt process, snabbt svar.

När något går fel hör du från oss snabbt, per telefon vid kritiska incidenter, per e-post alltid.

0 min

Upptäckt

Övervakningslarm, logganomalier eller kundrapport utlöser omedelbar utredning.

Inom 1 tim

Kundnotifiering inleds

Vid kritiska incidenter som påverkar din data ringer vi kontoägare per telefon. E-post följer omedelbart.

Inom 48 tim

Formell incidentanmälan (DPA)

Om en dataincident bekräftas, fulla detaljer, art, omfattning, påverkan, åtgärder, levereras enligt DPA-krav.

72 tim

Anmälan till tillsynsmyndighet (vid behov)

Vi anmäler till Finlands dataombudsman enligt GDPR artikel 33 där tillämpligt.

Underbiträden

Vilka är Cloops underbiträden?

De flesta B2B SaaS använder 15-30 underbiträden. Vi använder tre, och var och en finns i Europa.

Hetzner Online GmbH

Helsingfors, Finland 🇫🇮

Infrastrukturleverantör, servrar, databashosting, objektlagring.

Nebius B.V.

Nederländerna 🇳🇱

AI-inferens, inbäddningsgenerering och LLM-svarsgenerering. Transient behandling, ingen träning.

Let's Encrypt

Globalt (ISRG)

Utfärdande av TLS-certifikat. Behandlar endast domännamn, inga personuppgifter.

Vad vi INTE använder

Inget Google Analytics · Inget Cloudflare · Inget Sentry · Inget Intercom · Inget Mailchimp · Inga annonsspårare · Ingen CDN · Ingen fingerprinting

Visa fullständig lista över underbiträden med DPA-referenser →

Säkerhetsgranskning

Utvärderar du Cloop för din organisation?

Ditt säkerhetsteam behöver detaljer. Allt de behöver finns antingen på denna sida eller en länk bort.

Säkerhetsöversikt

Full teknisk detalj: infrastruktur, applikationssäkerhet, AI-arkitektur, incidenthantering.

Läs →

Personuppgiftsbiträdesavtal

GDPR-kompatibelt DPA. Signeringsklart. Täcker behandlingsvillkor, underbiträden, incidentanmälan.

Läs →

Lista över underbiträden

Varje tredje part som rör din data, med platser och skyddsåtgärder.

Läs →

Integritetspolicy

Datainsamling, rättslig grund för varje behandlingsaktivitet, lagringsperioder.

Läs →

Frågor dina dokument inte kan besvara? Mejla security@cloop.io, vi svarar inom 24 timmar.

Säkerhet som klarar din upphandlingsgranskning.

Boka en demo. Vi går igenom stacken direkt med ditt säkerhetsteam, och skickar dig vilka dokument, SIG-Lite eller leverantörsenkätsvar du än behöver.

Boka demo