Ingen nye sikkerhetsvurderinger. Ingen separate godkjenninger. Kaisa bruker de samme restriksjonene som IT-teamet ditt allerede har godkjent – slik at du kan stille spørsmål om anleggene dine, målere og forbruksdata i klartekst, uten å måtte gå via sikkerhetsteamet en eneste gang.
Lenger ned på siden finner du fullstendig informasjon om sikkerhet og regeloverholdelse.
Den vanligste snarveien i energi- og bærekraftsteamet: eksportere måledata til et regneark, lime det inn i en LLM, stille et spørsmål. Raskt, ja, men det sender regulert driftsdata ut av deres IT-miljø, til miljøer som deres databeskyttelsesansvarlig aldri har vurdert, uten revisjonsspor og uten tilgangskontroll. Det er en reell risiko for at disse dataene brukes til å trene tredjepartsmodeller.
Kaisa kjøres helt innenfor EGs Azure EU-miljø. Den ser hva din EnerKey-rolle tillater – ikke noe mer. Ingen kobling til offentlige AI-modeller, ingen trening på dine data, ingen skriveadgang. Hver forespørsel logges.
En nærmere titt på hvordan AI-agenten i EG EnerKey håndterer dataene dine.
Kaisa kjører inne i EGs Azure-miljø — det samme miljøet som hoster resten av EnerKey.
Skyleverandør Microsoft Azure
Leietaker EG-eid Azure-abonnement
Region EU (samsvarer med EnerKey-plattformen)
Kryptering Samtaledata krypteres i hvile
Plattformkontroller Nettverksisolering, edge-beskyttelse og hemmelighetshåndtering følger EGs standard plattformkontroller for EnerKey (detaljer tilgjengelig under taushetsavtale).
Dataen deres passerer ikke gjennom tredjeparts SaaS AI-leverandører. Det finnes ingen vei fra Kaisa til noen offentlig LLM-tjeneste.
Kaisa autentiserer som deg, via din eksisterende EG EnerKey-innlogging - ingen separat konto, ingen skyggeinnlogging. Tillatelser arves fra EnerKey, de er ikke oppfunnet for AI-ens skyld. Kaisa kan bare kalle de API-ene brukeren din allerede har rett til å kalle, og kan bare se de dataene brukeren din allerede har rett til å se. Hvis en bruker ikke har tilgang til et produktområde, får heller ikke Kaisa tilgang til disse verktøyene.
I EG EnerKey er en profil en samling anlegg, steder og målere som er gruppert sammen av administratorene dine. Kaisa opererer alltid innenfor den aktive profilen — den samme som er valgt i resten av portalen. Den kan ikke nå data i anlegg utenfor den. Å bytte profil starter en ny samtalesammenheng. Det finnes ingen mekanisme på AI-siden for å utvide datatilgangen.
Konversasjonsisolering. Hver brukers konversasjonshistorikk er isolert. Ingen bruker kan lese en annens konversasjon, uansett rolle.
Rollekartlegging anvendes på serversiden. Å skjule en funksjon på klientsiden er aldri selve sikkerhetsgrensen.
Kaisa har aldri mer tilgang enn den personen som bruker den.
Kaisa bruker GPT-klassede store språkmodeller via Azure OpenAI Service. Enterprise-distribusjonen i Azure, ikke det konsumentorienterte OpenAI API-et.
Disse Azure OpenAI-vilkårene gjelder for EG:
Dine prompter og svar brukes ikke til å trene OpenAIs eller Microsofts modeller
Data forblir innenfor EUs Azure-region
Modellversjoner spores, festes og oppgraderes under endringshåndtering. Ingen stille bytter bak produksjonstrafikken
Modellen kalles uten noen stående tilgang til dine databaser. Hver datahenting går gjennom det kontrollerte verktøyslaget som beskrevet nedenfor.
En stor språkmodell er en tekstgenerator. Den kan kun svare på spørsmål om dine data hvis noe gir den disse dataene. Vi behandler dette 'noe' som en sikkerhetsgrense.
Mellom modellen og EnerKeys APIer finnes et orkestreringslag. Et lag bygget på et modent, Microsoft-støttet agentrammeverk som formidler hver verktøysanrop. Modellen har ingen fri SQL-tilkobling, ingen kodesandbox og ingen generell webtilgang.
Kun et eksplisitt, godkjent sett EnerKey-APIer eksponeres for modellen som verktøy. Endepunkter gjennomgås og godkjennes av EGs ingeniørteam før de tas med i Kaisa.
Hvert verktøysanrop:
Kjører bare med tillatelsene til brukeren som sender forespørselen
Håndheves av de samme rollekontrollene som resten av EnerKey
Logges med bruker, profil, samtale, verktøynavn og parametere
Skriv- og oppdateringsoperasjoner er ikke eksponert for Kaisa. Den har kun lesetilgang til plattformens data. Hvis en forespørsel krever data brukeren ikke har rettigheter til, mislykkes den på samme måte som den ville gjort i grensesnittet. Kaisa kan ikke omgå dette.
Hver brukermelding går gjennom flere lag før den når modellen. Hvert modelsvar går gjennom lag på vei tilbake.
Prompt injection- og jailbreak-forsvar: Microsofts administrerte AI-sikkerhetstjenester gransker inndata – inkludert innhold i opplastede dokumenter – for kjente angrepsmønstre før de når modellen.
PII-detektering: Administrerte tjenester identifiserer personopplysninger i inn- og utdata, håndtert i henhold til EGs innholdspolicy.
Filtrering av skadelig innhold: Filtre dekker kategoriene hat, seksuelt innhold, vold og selvskading, konfigurert for en enterprise B2B-kontekst.
Emnebegrensning: Kaisa opererer innen definerte områder; energi, anlegg, bærekraft og EnerKey-arbeidsflyter. Forespørsler utenfor dette avvises.
Dokumenthåndtering: Når brukere legger ved dokumenter (PDF, DOCX, XLSX, CSV, PPTX, TXT, JSON) som kontekst, behandles disse innenfor samme Azure-tenant, skannes og behandles som ikke-tillitsfulle inndata. Innholdet i dokumenter er data – ikke instrukser.
Enhver endring av Kaisa leveres via pull requests med obligatorisk kodegjennomgang. Ingen direkte redigering av prompter eller verktøydefinisjoner i produksjon. Hver release er merket og kan rulles tilbake.
Komponentene og avhengighetene våre skannes kontinuerlig, og patching følger en definert SLA. Plattformen – inkludert Kaisas grensesnitt – inngår i EGs regelmessige tredjepartspenetrasjonstestprogram, med funn som spores til tiltak.
Strukturerte logger og spor dekker hver chatøkt: hvem, når, hvilke verktøy som ble kalt, forsinkelse og eventuelle sikkerhetsfiltertiltak. Logger lagres i henhold til EGs datalagringspolicy og er tilgjengelige for EGs sikkerhetsteam for etterforskning. Hendelseshåndtering dekkes av EGs konsernovergripende prosess.
Konversasjoner lagres til du sletter dem. Fra Kaisas grensesnitt kan du endre navn på, eller slette, valgfri konversasjon når som helst. Slettingen er permanent.
Dokumenter du laster opp som kontekst kan slettes når som helst, permanent.
GDPRs rettigheter for registrerte – tilgang, retting, begrensning, portabilitet og sletting – følger den eksisterende prosessen for forespørsler i EG EnerKey. Det finnes ingen separat Kaisa-prosess.
Operasjonelle logger (verktøysanrop, sikkerhetsfiltrering, forsinkelse) lagres i henhold til EGs konsernlagringspolicy og er kun tilgjengelige for EGs sikkerhets- og driftsteam.
GDPR — Kaisa behandler personopplysninger kun som en del av EG EnerKey-tjenesten. Behandlingsgrunnlaget, behandlingsansvarlig/databehandler-forholdet og de registrertes rettigheter følger den eksisterende EG EnerKey databehandleravtalen og AI DPA-en.
EU AI Act — Kaisa klassifiseres og vurderes mot EG AI Acts risikonivåer. Den fungerer som et beslutningsstøtteverktøy – ikke som en autonom beslutningstaker for energi- eller finansielle tiltak.
Datahjemsted — EU, EG-eid Azure-abonnement.
ISO / sertifiseringer — Arvet fra den underliggende EG EnerKey-plattformen. Se EG EnerKey Trust-dokumentasjon for gjeldende liste over sertifiseringer.
Underleverandører (sub-processors) — Microsoft Azure (skyleverandør, modellhosting og AI-sikkerhetstjenester) samt EGs edge-beskyttelsesleverandør. Ingen ytterligere AI-underleverandører.
Vi anser denne listen som like viktig som alt ovenfor.
Trener ikke noen modell på dine data
Dine data sendes ikke til OpenAI, Anthropic, Google eller noen annen konsum-AI-tjeneste
Det brukes ikke en stående tjenestekonto-påloggning – den bruker din sesjon
Kjører ikke vilkårlig kode for deg
Surfer ikke på det åpne internett
Lagrer ikke dokumenter eller data utenfor EnerKey-miljøet
Eksponerer ikke verktøy eller data utover brukerens eksisterende EnerKey-rolle og aktive profil
Fyller du ut et leverandørspørreskjema? EG EnerKey kan fylle ut CAIQ, SIG eller tilpassede sikkerhetsvurderinger for Kaisa sammen med plattformen. Arkitekturdiagrammer og en redigert oppsummering av penetrasjonstesting er tilgjengelig under konfidensialitetsavtale (NDA).
Kontakt din EnerKey-kundeansvarlige for å starte prosessen.
Rapporter et sikkerhetsproblem: security@enerkey.com eller via din vanlige EG EnerKey-supportkanal.
Kaisa leser EG EnerKey-dataene dine i sanntid og svarer på vanlig språk. Forbrukstrender, innsparingspotensial, utslippsmål, avvik. Eiendomsforvaltere, økonomi, bærekraftsansvarlige, alle med tilgang får samme datadrevne svar på sekunder, helt uten eksport.
Kaisa leser EG EnerKey-dataene dine i sanntid og svarer på vanlig språk. Forbrukstrender, innsparingspotensial, utslippsmål, avvik. Eiendomsforvaltere, økonomi, bærekraftsansvarlige, alle med tilgang får samme datadrevne svar på sekunder, helt uten eksport.
Energihåndtering med AI omfattes av mange regelkrav
Når din organisasjon begynner å bruke et AI-basert verktøy påtar du deg et regulatorisk ansvar. EUs lovgivning stiller krav til hvordan AI-systemer skal bygges, hvordan data håndteres og hvordan digitale tjenester skal forbli robuste. Dette gjelder ikke bare leverandøren – det gjelder deg som bruker også. Kaisa er designet med dette i tankene.
Her er de regelverkene som er mest relevante for organisasjoner som håndterer energidata og eiendomsporteføljer – og hva de innebærer for ditt valg av AI-verktøy.
EUs rammeverk for kunstig intelligens, som klassifiserer AI-systemer etter risikonivå og stiller krav til åpenhet, sporbarhet og menneskelig tilsyn.
Som "deployer" – den organisasjonen som setter et AI-system i drift – har du plikter under EU AI Act: å informere brukere om at de interagerer med AI, å sikre at systemet kan granskes og å opprettholde menneskelig tilsyn med AI-støttede beslutninger. Kaisa klassifiseres som et system med begrenset risiko (ikke høyrisiko), men krav til åpenhet og granskningsmulighet gjelder fullt ut. Kaisas svar er sporbare og basert på din livedata – ingen svarte bokser.
EUs generelle personvernforordning, som regulerer all behandling av personopplysninger.
Energidata kan raskt bli personopplysninger – måleravlesninger knyttet til enkeltleiligheter, forbruksprofiler som avslører tilstedeværelse, eller data knyttet til navngitte brukere i ditt eiendomssystem. EU-basert databehandling er en forutsetning for GDPR-samsvar. Kaisa kjøres på EU-basert infrastruktur, og all databehandling skjer innenfor rammene av deres eksisterende forhold til EG EnerKey – dine data brukes aldri til å trene eksterne modeller.
EUs direktiv om cybersikkerhet for samfunnsviktige og viktige virksomheter, med obligatoriske sikkerhetskrav innen kritiske sektorer.
Energi-sektoren er uttrykkelig listet som "samfunnsviktig" under NIS2, noe som innebærer at mange EG EnerKey-kunder allerede omfattes. NIS2 krever sikkerhet i leverandørkjeden: du må sørge for at de digitale verktøyene du bruker oppfyller dine sikkerhetskrav. EU-hosting, granskningsbare svar og tydelige hendelsesrutiner er ikke bare bekvemmeligheter – det er konkrete egenskaper som gjør at du kan dokumentere Kaisa som et godkjent verktøy i deres sikkerhetsstyring.
Digital Operational Resilience Act – EUs lovgivning om digital robusthet for finansielle aktører.
Hvis din organisasjon er et forsikringsselskap, en bank, et pensjonsselskap eller et finansielt regulert eiendomsselskap gjelder DORA for deg. Forordningen krever systematisk håndtering av IKT-risikoer fra tredjepart – Kaisa og EG EnerKey må dokumenteres i ditt IKT-register og vurderes som en tredjepartstjeneste. EU-hosting og tydelige kontraktsforpliktelser er det compliance-teamene dine trenger å se.
EUs forordning om cybersikkerhetskrav for produkter med digitale elementer, inkludert programvare.
CRA stiller krav til EG som produsent av EnerKey og Kaisa – vi er forpliktet til å levere sikker programvare gjennom hele produktets livssyklus, med dokumenterte sikkerhetsprosesser og rask sårbarhetshåndtering. For deg som kjøper skaper det et rettslig grunnlag for å stille cybersikkerhetskrav til leverandører – og gir IT-sikkerhetsteamet ditt et tydelig signal om at CRA-bevissthet er integrert i hvordan Kaisa utvikles.
EUs forordning om tilgang til og deling av data fra tilkoblede enheter og tjenester, i kraft siden september 2025.
Data Act gjelder direkte for din virksomhet – de smarte energimålerne, IoT-sensorene og bygningsautomatiseringssystemene som mater EG EnerKey med data er akkurat hva denne forordningen omfatter. Du har rett til dine maskingenererte data og rett til å ta dem med deg. Kaisa analyserer dataene dine – dine data forblir dine.
EUs rammeverk for dataformidling og tverrsektor datadeling.
Data Governance Act fastsetter reglene for hvordan data flyter innen europeiske dataområder – inkludert innen energisektoren. For organisasjoner som deltar i sektortilknyttet benchmarking eller nordiske datadelingsinitiativer gir det et tydelig rammeverk for hvordan data kan bevege seg. Kaisa opererer innenfor et system med definerte dataflyter og grenser, i tråd med de åpenhetskravene loven stiller til dataformidlere.
EUs direktiv om personvern i elektronisk kommunikasjon, som dekker informasjonskapsler, kommunikasjonsdata og trafikkovervåking.
ePrivacy gjelder for kommunikasjonslagene rundt Kaisa – øktdata i chattegrensesnittet, målerdata som overføres via kommunikasjonsnettverk og plattformanalyse. Direktivet er for øyeblikket under revisjon (en forordning forventes å erstatte det), men kjerneprinsippene om dataminimering og beskyttelse av kommunikasjonsinnhold påvirker hvordan AI-chattfunksjoner i sensitive driftsmiljøer bør håndteres.