Inferens som stannar i Sverige

Svensk AI-inferens
utan tredjelandsöverföring

LLM-inferens på dedikerad hårdvara i Stockholm. Era prompts och svar lämnar aldrig Sverige. Vi tecknar DPA enligt GDPR Art. 28 innan ni går live i produktion.

Boka 15 minuterHur det fungerar

Var hamnar er data?

Hela request-cykeln, från klient till svar, sker inom svenska jurisdiktionsgränser.

  Er klient                            Sverige
     │                                    │
     ├─ HTTPS (TLS 1.3) ─→  api.staik.se ─┤  Caddy reverse proxy
     │                                    │  (AWS EC2, eu-north-1 / Stockholm)
     │                                    │  → bara TLS-terminering + routing,
     │                                    │    ingen promptdata cachas eller lagras
     │                                    │
     │                              Tailscale mesh-VPN
     │                                    │
     │                                    ▼
     │                              Inferensnod (Stockholm)
     │                              ├── PostgreSQL (kund- och nyckelmetadata)
     │                              └── Ollama → open source-modeller
     │                                    │
     ◄────────  Inferenssvar  ────────────┘

     ✓ Inga API-anrop till tredjeparts-LLM
     ✓ Hela inferenscykeln inom EU/EES
     ✓ Inga prompts eller completions i loggar

Vad det betyder för er compliance

Verifierbara fakta om vår infrastruktur — inga juridiska garantier, men ett ärligt underlag för er egen bedömning.

Ingen tredjelandsöverföring av promptdata

Era prompts, completions och embeddings behandlas bara på vår dedikerade hårdvara i Stockholm. Inga personuppgifter från API-trafiken flyttas utanför EU/EES, så GDPR Art. 44 aktualiseras inte för själva inferensen.

DPA tecknas innan produktion

Vi tecknar personuppgiftsbiträdesavtal enligt GDPR Art. 28 innan ni går live. Vi har ingen jurist-granskad standardmall idag, så vi rekommenderar att ni utgår från ert eget formulär — räkna 1–3 arbetsdagar för granskning på vår sida.

Vi äger inferensen själva

Inga model providers, inga inference services, ingen edge-CDN för era prompts. Vår API-gateway körs på AWS EC2 i Stockholm-regionen för ingress (TLS-terminering och routing) — ingen prompt- eller completion-data lagras eller cachas där.

Subprocessors för promptdata: noll

Era prompts behandlas bara av oss. AWS (gateway-värdskap, Stockholm), Stripe (betalning, Irland) och Resend (transaktionell e-post) är våra enda subprocessors — ingen av dem ser API-trafiken eller modellsvar.

Berätta om ert use case

Vi svarar inom 1–2 arbetsdagar med en kalenderinbjudan och konkreta svar på era frågor. DPA tecknas separat innan ni går live i produktion.

Vi använder din info bara för att svara på din förfrågan. Inga nyhetsbrev, inga listor.

Compliance-frågor vi får ofta

Vilken rättslig grund har vi för att använda er som AI-leverantör?

Vi är personuppgiftsbiträde enligt GDPR Art. 28. Inferensen körs på vår dedikerade hårdvara i Sverige, så era prompts, completions och embeddings flyttas inte utanför EU/EES — Art. 44 om tredjelandsöverföring aktualiseras därför inte för API-anropen. Vi tecknar personuppgiftsbiträdesavtal innan ni går live i produktion.

Var körs inferensen rent fysiskt?

Inferensen körs på dedikerad GPU-hårdvara i Stockholm. Trafiken kommer in via en reverse proxy på AWS EC2 (Stockholm-regionen, eu-north-1) som bara hanterar TLS-terminering och routing vidare via mesh-VPN — ingen prompt- eller svarsdata lagras eller cachas där. På inferensnoden loggar vi request-id, kund-id, modellnamn, token-räkning och latens — aldrig promptens innehåll.

Hur är det med AI Act-efterlevnad?

AI Act trädde i kraft 2024 med stegvisa krav fram till 2026. Vi använder open source-modeller (Qwen3.5 35B, Qwen3.5 9B, Qwen3-VL 8B och Gemma 4 26B) vars vikter och dokumentation är publika. Vi har ingen pågående regulatorisk certifiering att hänvisa till — vi delar gärna teknisk information om modellerna och vår infrastruktur så ni kan göra er egen klassificering. För high-risk-användningsfall enligt AI Act rekommenderar vi att rådgöra med jurist innan implementering.

Kan vi få ett DPA innan vi testar?

Ja. Mejla jens@staik.se så signerar vi gärna ert standardformulär — vi har ingen jurist-granskad standardmall själva idag, så er egen mall är förstahandsvalet. Räkna med 1–3 arbetsdagar för granskning på vår sida. För testning utan persondata behövs inget DPA — ni kan registrera ett PAYG-konto direkt och utvärdera modellerna.

Är det säkert ur ett informationsklassningsperspektiv?

Vi krypterar all trafik (TLS 1.3) och kör all inferens i Sverige. Servrarna nås bara via autentiserat mesh-VPN. Vi är ett bootstrap-bolag och har inte ISO 27001-certifiering eller motsvarande formell informationssäkerhetsrevision — vi vill vara ärliga om det. För ärenden under offentlighets- och sekretesslagen (OSL), eller information som kräver hög säkerhetsklassning, rekommenderar vi separat säkerhetsgranskning innan produktion.

Vad händer om er hårdvara går ner?

Vi har två separata GPU-noder med automatisk failover via circuit breaker. Vi har inte ett kontrakterat SLA idag — vi är ett bootstrap-bolag och vill inte lova mer än vi kan hålla. För produktionsanvändning rekommenderar vi retry-logik (alla våra svar har X-Request-ID-headern) och en fallback-strategi för missionkritiska flöden. Vi designar gärna det tillsammans när ni har konkreta volymer.

Redo att flytta er AI hem till Sverige?

15 minuter räcker för att se om vi passar ert use case.

Boka samtal