Ei uusia tietoturva-arviointeja. Ei erillisiä hyväksyntöjä. EG EnerKeyn Kaisa AI-agentti toimii samoilla turvallisuusasetuksilla, jotka IT-tiimisi on jo hyväksynyt, joten voit kysyä kiinteistöjäsi, mittareitasi ja kulutustietojasi koskevia kysymyksiä ymmärrettävästi, ilman yhtäkään tukipyyntöä.
Sivun lopusta löydät tarkemmat tiedot tietoturvasta ja vaatimustenmukaisuudesta.
Yleisin kiertotie energia- ja vastuullisuustiimeissä: vie mittaridata taulukkolaskentaan, liitä se tekoälysovellukseen, kysy kysymys. Nopeaa, mutta se lähettää säänneltyä operatiivista dataa IT-ympäristösi ulkopuolelle, järjestelmiin, joita tietosuojavastaavasi ei ole koskaan arvioinut, ilman lokitietoja ja ilman käyttöoikeuksien hallintaa. On todellinen riski, että data päätyy kolmansien osapuolten mallien koulutusaineistoksi.
Kaisa AI toimii kokonaan EG:n Azure EU -ympäristössä. Se näkee vain sen, mitä EG EnerKey-roolisi sallii, ei enempää. Sillä ei ole yhteyttä julkisiin tekoälymalleihin, eikä se tee koulutusta datallasi, eikä sillä ole kirjoitusoikeuksia. Jokainen kysely kirjataan lokiin.
Lähempi katsaus siihen, miten EG EnerKeyn sisällä toimiva AI-agentti käsittelee tietojasi.
Kaisa runs inside EG’s Azure environment - the same environment that hosts the rest of EG EnerKey.
Cloud provider Microsoft Azure
Tenancy EG-owned Azure subscription
Region EU (matches the EnerKey platform)
Encryption Conversation data is encrypted at rest
Platform controls Network isolation, edge protection, and secrets management follow EG's standard EG EnerKey platform controls (detail available under NDA)
Your data does not transit through third-party SaaS AI vendors. There is no path from Kaisa to any public LLM service.
Kaisa authenticates as you, through your existing EG EnerKey login - no separate account, no shadow login. Authorization is inherited from EG EnerKey, not invented for AI.
Kaisa can only call the APIs your user is already entitled to call, and can only see the data your user is already entitled to see. If a user doesn’t have access to a product area, Kaisa doesn’t get those tools.
In EG EnerKey, a profile is a collection of facilities, sites, and meters grouped together by your administrators. Kaisa always operates inside the currently active profile - the same one selected in the rest of the portal. It cannot reach data in facilities outside it. Switching profiles starts a clean conversation context. There is no AI-side mechanism to widen data scope.
Conversation isolation. Each user’s conversation history is isolated. No user can read another’s, regardless of role.
Role mapping is enforced server-side. Hiding a feature client-side is never the security boundary.
Kaisa never has access broader than the human using it.
Kaisa uses enterprise large language models via Azure OpenAI Service - the enterprise Azure deployment, not the consumer OpenAI API.
Under the Azure OpenAI terms applicable to EG:
Your prompts and completions are not used to train OpenAI’s or Microsoft’s foundation models
Data stays within the EU Azure region
Model versions are tracked, pinned, and upgraded under change control - no silent swaps behind production traffic
The model is invoked without any standing access to your databases. Every data retrieval goes through the controlled tool layer described below.
A large language model is a text generator. It can answer questions about your data only if someone hands it that data. We treat "something" as a security boundary.
Between the model and EnerKey’s APIs sits an orchestration layer, built on a mature, Microsoft-backed agent framework, that mediates every tool call. The model has no free SQL connection, no code-execution sandbox, and no generic web access.
Only an explicit, allow-listed set of EnerKey APIs is exposed to the model as tools. Endpoints are reviewed and approved by EG's engineering team before they enter Kaisa's surface.
Every tool call:
Runs only with the permissions of the user making the request
Is enforced by the same role checks as the rest of EG EnerKey
Is logged with the user, profile, conversation, tool name, and parameters
Write and update operations are not exposed to Kaisa. It has read-only access to platform data.
If a request requires data the user doesn't have rights to, it fails the same way it would in the UI. Kaisa cannot bypass that.
Every user turn passes through several layers before it reaches the model, and every model response passes through layers on the way back.
Prompt injection and jailbreak defenses: Managed Microsoft AI safety services screen inputs - including content inside uploaded documents - for known attack patterns before they reach the model.
PII detection: Managed services identify personally identifiable information on inputs and outputs, handled according to EG’s content policy.
Harmful-content filtering: Managed filters cover hate, sexual, violence, and self-harm categories, configured for an enterprise B2B context.
Topical scoping: Kaisa operates within a defined scope - energy, facilities, sustainability and EG EnerKey workflows. Out-of-scope requests are declined.
Document handling: When users attach documents (PDF, DOCX, XLSX, CSV, PPTX, TXT, JSON) as context, they are processed inside the same Azure tenancy, scanned, and treated as untrusted input. Content in documents is data - not instructions.
Every change to Kaisa ships through pull requests with mandatory code review. No live editing of prompts or tool definitions in production. Each release is tagged and can be rolled back.
Our components and dependencies are scanned continuously, and patching follows a defined SLA. The platform - including the Kaisa surface - is included in EG’s regular third-party penetration testing program, with findings tracked to closure.
Structured logs and traces cover every chat turn: who, when, which tools were called, latency and any safety filter actions. Logs are retained according to EG's data retention policy and are accessible to EG's security team for investigation. Incident response is covered by EG's group-wide process.
Conversations are retained until you delete them. From the Kaisa UI, you can rename or delete any conversation at any time. Deletion is permanent.
Documents you upload as context can be deleted at any time, permanently.
GDPR data-subject rights - access, rectification, restriction, portability, and erasure - follow the existing EG EnerKey Data Subject Request process. There is no separate Kaisa workflow.
Operational logs (tool calls, safety filtering, latency) are retained under EG’s group retention policy and accessible only to EG’s security and operations teams.
GDPR — Kaisa processes personal data only as part of the EG EnerKey service. The lawful basis, controller/processor relationship, and data subject rights follow the existing EG EnerKey Data Processing Agreement and AI DPA.
EU AI Act — Kaisa is classified and reviewed against the AI Act’s risk tiers. It operates as a decision-support assistant - not as an autonomous decision-maker for energy or financial actions.
Data residency — EU region, EG-owned Azure subscription.
ISO / certifications — Inherited from the underlying EG EnerKey platform. Refer to EG EnerKey Trust documentation for the current list of certifications.
Sub-processors — Microsoft Azure (cloud platform, model hosting, and AI safety services) and EG’s edge-protection provider. No additional AI sub-processors.
We think this list matters as much as everything above.
Does not train any model on your data
Does not send your data to OpenAI, Anthropic, Google, or any consumer AI service
Does not use a standing service-account login — it uses your session
Does not execute arbitrary code on your behalf
Does not browse the open internet
Does not persist documents or data outside the EnerKey environment
Does not expose tools or data beyond the user’s existing EnerKey role and active profile
Completing a vendor questionnaire? EG EnerKey can complete CAIQ, SIG, or custom security assessments for Kaisa alongside the platform. Architecture diagrams and a redacted penetration testing summary are available under NDA.
Contact your EnerKey account manager to start the process.
Reporting a security issue: security@enerkey.com or via your usual EnerKey support channel.
Kaisa lukee EG EnerKey -tietojasi reaaliajassa ja vastaa selkeällä kielellä. Kulutustrendit, säästöpotentiaali, päästötavoitteet, poikkeamat. Kiinteistöpäälliköt, talous, vastuullisuusvastaavat, kaikki, joilla on käyttöoikeus, saavat saman dataan perustuvan vastauksen sekunneissa, täysin ilman vientiä.
Kaisa lukee EG EnerKey -tietojasi reaaliajassa ja vastaa selkeällä kielellä. Kulutustrendit, säästöpotentiaali, päästötavoitteet, poikkeamat. Kiinteistöpäälliköt, talous, vastuullisuusvastaavat, kaikki, joilla on käyttöoikeus, saavat saman dataan perustuvan vastauksen sekunneissa, täysin ilman vientiä.
Kun organisaatiosi alkaa käyttää tekoälypohjaista työkalua, otat vastuullesi sääntelyvelvoitteita. EU:n lainsäädäntö asettaa vaatimuksia sille, miten tekoälyjärjestelmät on rakennettava, miten dataa käsitellään ja miten digitaaliset palvelut on pidettävä resilientteinä. Nämä velvoitteet eivät koske pelkästään toimittajaa, myös sinä käyttäjänä olet vastuussa. Kaisa on suunniteltu tätä silmällä pitäen.
Tässä ovat ne säädökset, jotka ovat merkityksellisimpiä energiadatan ja kiinteistöportfolion hallinnasta vastaaville organisaatioille ja mitä ne merkitsevät tekoälytyökalun valinnallesi.
EU:n tekoälyn raamiasetus, joka luokittelee tekoälyjärjestelmät riskitason mukaan ja asettaa vaatimuksia läpinäkyvyydelle, jäljitettävyydelle sekä ihmisen valvonnalle.
"Käyttöönottajana" – organisaationa, joka ottaa tekoälyjärjestelmän käyttöön – sinulla on velvollisuuksia EU AI Act -asetuksen mukaan: tiedottaa käyttäjiä siitä, että he ovat tekemisissä tekoälyn kanssa, varmistaa järjestelmän tarkastettavuus ja ylläpitää ihmisen valvontaa tekoälyn tukemissa päätöksissä. Kaisa luokitellaan rajariskisysteemiksi (ei korkean riskin) mutta läpinäkyvyys- ja tarkastettavuusvaatimukset koskevat sitä täysimääräisesti. Kaisan vastaukset ovat jäljitettäviä ja perustuvat reaaliaikaiseen dataasi – ei mustia laatikoita.
EU:n yleinen tietosuoja-asetus, joka säätelee kaikkia henkilötietojen käsittelyjä.
Energiadata voi nopeasti muuttua henkilötiedoiksi – mittarilukemat, jotka liittyvät yksittäisiin asuntoihin, kulutusprofiilit, jotka paljastavat läsnäolon, tai nimetyt käyttäjätietueet kiinteistöjärjestelmässäsi. EU-isännöity datankäsittely on edellytys GDPR:n noudattamiselle. Kaisa toimii EU-pohjaisella infrastruktuurilla, ja kaikki datankäsittely tapahtuu olemassa olevan suhteesi puitteissa EG EnerKeyyn – dataasi ei koskaan käytetä ulkopuolisten mallien kouluttamiseen.
EU:n kyberturvallisuusdirektiivi yhteiskunnallisesti tärkeille ja keskeisille toimijoille, jossa on pakolliset turvallisuusvaatimukset kriittisillä aloilla.
Energia-ala on nimenomaisesti lueteltu "yhteiskunnallisesti tärkeäksi" NIS2:n alla, mikä tarkoittaa, että monet EG EnerKeyn asiakkaat kuuluvat jo vaatimusten piiriin. NIS2 edellyttää toimitusketjun turvallisuutta: sinun tulee varmistaa, että käyttämäsi digitaaliset työkalut täyttävät omat turvallisuusvaatimuksesi. EU-isännöinti, tarkastettavat vastaukset ja selkeät häiriötilanteiden käsittelyprosessit eivät ole pelkästään mukavuuksia – ne ovat konkreettisia ominaisuuksia, joiden avulla voit dokumentoida Kaisan hyväksyttynä työkaluna turvallisuuden hallinnassanne.
Digital Operational Resilience Act – EU:n digitaalista vastustuskykyä koskeva lainsäädäntö rahoitustoimijoille.
Jos organisaatiosi on vakuutusyhtiö, pankki, eläkevakuutusyhtiö tai finanssivalvonnan alainen kiinteistöyhtiö, DORA koskee sinua. Asetus vaatii kolmansien osapuolten IKT-riskien systemaattista hallintaa – Kaisa ja EG EnerKey tulee dokumentoida IKT-rekisterissäsi ja arvioida kolmannen osapuolen palveluksi. EU-isännöinti ja selkeät sopimusvelvoitteet ovat mitä compliance-tiimisi haluavat nähdä.
EU:n asetus kyberturvallisuusvaatimuksista digitaalisia elementtejä sisältäville tuotteille, mukaan lukien ohjelmisto.
CRA asettaa vaatimuksia EG:lle EnerKeyn ja Kaisan valmistajana – meillä on velvollisuus toimittaa turvallista ohjelmistoa koko tuotteen elinkaaren ajan, dokumentoiduilla turvallisuusprosesseilla ja nopealla haavoittuvuuksien hallinnalla. Sinulle ostajana tämä luo oikeudellisen perustan esittää turvallisuusvaatimuksia toimittajille – ja antaa IT-turvatiimillesi selkeän viestin siitä, että CRA:n mukainen tietoisuus on osa Kaisan kehitystä.
EU:n asetus datan saatavuudesta ja jakamisesta yhdistetyistä laitteista ja palveluista, voimassa syyskuusta 2025 lähtien.
Data Act koskee suoraan liiketoimintaasi – ne älykkäät energiamittarit, IoT-anturi ja rakennusautomaatiot, joista EG EnerKey saa dataa, kuuluvat tämän asetuksen piiriin. Sinulla on oikeus koneellisesti luotuun dataasi ja oikeus ottaa se mukaasi. Kaisa analysoi datasi – data pysyy omanasi.
EU:n kehys datavälittämiselle ja sektorirajat ylittävälle datanjakamiselle.
Data Governance Act määrittää säännöt siitä, miten data virtaa eurooppalaisissa data-alueissa – myös energia-alalla. Organisaatioille, jotka osallistuvat sektorikohtaiseen vertailuun tai pohjoismaisiin datanjakamishankkeisiin, se tarjoaa selkeän kehyksen datan liikkumiselle. Kaisa toimii määriteltyjen dataflown ja rajojen sisällä, lain asettamien läpinäkyvyysvaatimusten mukaisesti datavälittäjille.
EU:n direktiivi sähköisen viestinnän yksityisyydestä, joka kattaa evästeet, viestintädataa ja liikenteen valvonnan.
ePrivacy koskee Kaisa-palvelun ympärillä olevia viestintäkerroksia – istuntodata chat-käyttöliittymässä, mittaridata viestintäverkkojen kautta ja alustan analytiikka. Direktiiviä ollaan parhaillaan päivittämässä (asetuksen odotetaan korvaavan sen), mutta ydinkohtina ovat dataminimointi ja viestinnän sisällön suojaus, jotka vaikuttavat siihen, miten tekoälypohjaisia chat-toimintoja tulee käsitellä arkaluonteisissa käyttöympäristöissä.
Varaa lyhyt esittely, niin kerromme, miten helposti pääset liikkeelle!