Bygd for norsk regelverk og EU-dataresidens
telkit selger til norsk offentlig sektor og regulert finans. Vi bygde samsvar inn i produktet — EØS-residens, databehandleravtale per kunde, en publisert underleverandørliste og ærlige grenser der vi har dem — i stedet for å skyve byrden over på deg.
Innholdet ditt forlater aldri Europa
All kundedata med innhold — lyd, opptak, transkripsjoner og meldingstekster — lagres og prosesseres innenfor EØS. Vi kjører på Hetzner i Finland (Helsinki) og Tyskland (Falkenstein/Nürnberg). Skulle data noen gang måtte forlate EØS, skjer det kun under EUs standardavtaler (SCC). Standarden er EU-only.
Innhold innenfor EØS
Lyd, opptak, transkripsjoner og meldingsinnhold lagres i EU-S3 og prosesseres på EØS-infrastruktur. Media-URL-er lagres aldri i databasen — kun lagringsnøkkel og token, presignert ved lesing.
Selv-hostet, åpen modell
Transkripsjon kjører på NB-Whisper (Nasjonalbiblioteket, Apache-2.0) på våre egne GPU-er i EØS. Det fjerner «amerikansk modell i et europeisk datasenter»-innvendingen: verken modellen eller leverandøren sitter utenfor Europa.
Mediaplan i Europa
Taleanrop går over en selv-hostet LiveKit-SIP-mediaplan i EØS. Lyden rører aldri en amerikansk sky underveis.
Data fysisk i Norge er et Enterprise-valg
Hetzner har ingen region fysisk i Norge — vår standard EØS-residens er Finland og Tyskland. Krever virksomheten din at dataene blir innenfor Norges grenser (ikke bare EØS), løser vi det på et dedikert Enterprise-oppsett i et norsk datasenter. Vi lover ikke norsk residens på standardnivået.
telkit er databehandler — du er behandlingsansvarlig
Du eier dataene og formålet; vi prosesserer dem kun på dine vegne. Det er ikke en formalitet — det styrer hvem som bestemmer over sletting, utlevering og bruk.
Databehandleravtale per kunde
Hver kunde får en databehandleravtale (DPA) etter GDPR artikkel 28 før produksjonsbruk. Be om utkastet i samtalen — vi sender det gjerne til juristene deres.
Prosessering på dokumenterte instrukser
Vi behandler personopplysninger kun etter dine dokumenterte instrukser og det API-et koden din faktisk kaller. Ingen videresalg, ingen modelltrening på innholdet ditt, ingen sekundærbruk.
ePrivacy og opptakssamtykke
telkit leverer verktøy for samtykke ved samtaleopptak (annonsering/pip og samtykkekonfig per nummer). Den juridiske plikten til å innhente samtykke ligger hos deg som behandlingsansvarlig.
Brudd og varsling
Et avtalt varslingsløp ved sikkerhetsbrudd, med loggene og sporet du trenger for dine egne 72-timers meldeplikter til Datatilsynet.
Hele kjeden, offentlig og oppdatert
Vi prosesserer ikke alt selv. Operatører, SMS-aggregatorer og mediainfrastruktur er underleverandører — og du har rett til å vite hvem de er. Listen er et vedlegg til databehandleravtalen, og alle er bundet til vilkår tilsvarende dine.
- DIDWWTale / PSTN-operatør
- TelnyxTale / SMS (sekundær)
- SveveSMS (Norge)
- LiveKit (self-host)Mediaplan (EU)
- Deepgram EUSTT-fallback (EU)
Alle underleverandører er bundet til databehandlervilkår som tilsvarer dine. Du varsles om endringer i listen før en ny underleverandør tas i bruk, slik at du rekker å reservere deg.
Én verifisert identitet, gjenbrukt på alle numre
Norske numre er regulert: før et nummer kan aktiveres, må forretningsidentiteten bak verifiseres. telkit samler dette i én gjenbrukbar RegulatoryBundle, så du gjør jobben én gang — ikke per nummer.
RegulatoryBundle — det som kreves for et norsk lokalt nummer
Organisasjonsnummer
Registrert norsk foretak, validert mot Brønnøysundregistrene.
Firmaattest
Fersk firmaattest som bekrefter foretaket og hvem som er signaturberettiget.
Representant med pass/ID
Legitimasjon for personen som opptrer på vegne av foretaket.
Norsk gateadresse
En reell norsk forretningsadresse — en postboks holder ikke.
Adressebevis under 3 måneder
Ferskt dokument (faktura eller kontoutskrift) som bekrefter adressen.
Sluttbrukeren må ha tilstedeværelse i Norge, og norske numre kan etter ekomforskriften §16 ikke brukes permanent utenfor Norge. Dokumentene lagres og verifiseres før nummeret aktiveres. Grønne numre (toll-free) kan baseres på personlig identitet.
Telefoni er regulert — vi opplyser ærlig om grensene
telkit har meldt virksomheten til Nkom som tilbyder av elektronisk kommunikasjon, og henter numre fra operatører (DIDWW primær, Telnyx sekundær) framfor egne Nkom-serier. Det gir to plikter vi tar på alvor: nummerporting og nødanrop.
Porting via NRDB
Sluttbrukeren har rett til å beholde nummeret sitt. Mottakende tilbyder samler skriftlig fullmakt (LOA), donor porterer innen utgangen av neste virkedag, det finnes ingen winback, og sluttbrukeren betaler ikke for portingen. Alt går gjennom NRDB og eksponeres som number.port.*-hendelser.
Nødanrop (112 / 110 / 113) — ærlig opplyst
Inntil full 112-ruting med identitets- og posisjonsinjeksjon er bygd, scoper vi telkit eksplisitt som ikke en erstatning for ordinær telefoni (non-PSTN-replacement). Ekomforskriften krever at en slik begrensning opplyses — vi opplyser den i vilkårene, og du må sørge for at sluttbrukerne dine kjenner den.
I tillegg: kun autorisert anroper-ID (ingen spoofing), håndheving av en akseptabel-bruk-policy (AUP) mot spam, svindel og auto-oppringing, og per-konto rate-grenser. Norske numre kan ikke brukes permanent utenfor Norge (ekomforskriften §16).
Konfigurerbar lagring, lovpålagt der den må være
Du styrer hvor lenge opptak og transkripsjoner beholdes. Men noen telekomdata kan vi ikke slette på forespørsel før den lovpålagte lagringstiden er ute — den spenningen håndteres eksplisitt i databehandleravtalen.
Sletting vs. lovpålagt lagring
Opptak og transkripsjoner har kundekonfigurerbar lagringstid og slettes på forespørsel. CDR, KYC-dokumentasjon og data omfattet av lovpålagt lagring kan derimot ikke slettes før fristen løper ut — DPA-en avstemmer GDPRs sletterett mot ekomlovens lagringsplikt.
AES-256 i ro
All lagret data — opptak, transkripsjoner og meldingsinnhold — krypteres med AES-256.
TLS 1.3 i transitt
All API- og webhook-trafikk går over TLS 1.3. Webhooks signeres i tillegg med Ed25519.
RBAC og MFA
Rollebasert tilgangsstyring per tenant og pålagt totrinns-pålogging for konsollet.
Revisjonslogg
Tilgang og endringer logges med tidsstempel — sporet du trenger for egen etterlevelse og avvikshåndtering.
Som notifisert tilbyder modnes vi videre mot NIS2 og beredskap for lovlig avlytting (lawful interception).
Samsvar, kort og presist
De fire spørsmålene innkjøp og jurister stiller oss først.
Trenger du detaljene? Snakk med teamet vårt.
Trenger juristene dine en databehandleravtale?
Be om DPA-utkastet og underleverandørlisten, eller ta en prat om residens, KYC og oppsett for offentlig sektor.