Verkes redaktion

Är min data privat med AI-terapi? End-to-end-kryptering förklarat utan jargong

Verkes redaktion · April 28, 2026

Är min data privat med AI-terapi? Med Verke – ja. Dina samtal är krypterade på din enhet och nycklarna lämnar den aldrig, vilket innebär att inte ens Verkes personal kan läsa dem. Med andra AI-coachingprodukter varierar svaret mycket. Den ärliga versionen är att "din data är privat" kan betyda fem olika saker, och de flesta produkter använder den lösaste definitionen. Artikeln går igenom vad du ska leta efter i en produkts integritetspolicy, vad de tekniska termerna faktiskt innebär, och de specifika val Verke gjort – förklarat på vanlig svenska i stället för i specifikationer.

Varför det spelar roll: i AI-coaching delar man sådant som de flesta aldrig skulle berätta för en vän. Integritet är ingen abstrakt juridisk fråga i de här samtalen; det är just det som gör att du kan vara helt ärlig från början. Ett samtal du redigerar för en publik är ett annat samtal, och produktens tekniska uppbyggnad avgör om du redigerar eller inte. Nedan: vad "krypterat" faktiskt innebär, hur Verke hanterar just ditt samtal, vad vi ändå ser, vad du bör fråga vilken AI-coachingprodukt som helst, och de anonymitetsalternativ som tillsammans med kryptering ger dig ett starkt skydd överlag.

Kryptering är processen att koda om text så att den bara kan läsas med en specifik nyckel. Utan nyckeln ser den krypterade versionen ut som slumpmässiga bytes – oanvändbar för vem som helst som råkar komma åt den. Den intressanta frågan är aldrig "är det krypterat?" (nästan allt är det, någonstans). Den intressanta frågan är "vem har nyckeln?" Den frågan ensam skiljer produkterna där företaget kan läsa dina meddelanden från produkterna där de inte kan det.

End-to-end-kryptering (E2EE) innebär att nyckeln finns på användarens enhet, inte på servern. Servern ser bara kryptotext – kodade bytes – och har inget sätt att dekryptera dem, eftersom nyckeln inte finns där. Serversidekryptering eller kryptering i vila (den vanligare varianten i SaaS-produkter) innebär att företaget har nyckeln på sin sida. De har skyddat data från utomstående, men företaget kan självt dekryptera och läsa när de vill. Båda är tekniskt sett "kryptering", men de svarar på frågan om vem som kan läsa på mycket olika sätt. E2EE är svårare att bygga och ger användaren en starkare position.

När du skickar ett meddelande krypterar din enhet det innan det lämnar enheten – med AES-256-GCM, ett starkt symmetriskt chiffer som är standardvalet för den här typen av uppgift. Symmetriskt innebär att samma nyckel krypterar och dekrypterar; chiffret är algoritmen som kodar om bytesen. AES-256-GCM är vad banker, myndigheter och seriösa meddelandeappar använder för samma jobb. Det är välstuderat, välimplementerat och inte där någon angripare börjar.

För att få nycklar till rätt platser utan att någon på vägen snappar upp dem använder Verke RSA-4096 — ett asymmetriskt chiffer med ett publikt/privat nyckelpar. Asymmetriskt betyder att kryptering sker med den publika nyckeln (som kan delas) och dekryptering med den privata (som aldrig lämnar din enhet). Matematiken gör att en server kan lämna nycklar till dig utan att någonsin veta vad de nycklarna dekrypterar. 4096-bitars nyckellängd är stor enligt dagens standard och ger god marginal för framtida framsteg inom kryptoanalys.

Resultatet, i klartext: kryptotext ligger i databasen. Den privata nyckeln finns på din enhet. När Verkes personal söker i databasen ser de förvrängda bytes, inte ditt samtal. Det finns ingen bakdörr, ingen huvudnyckel, inget "men om en chef verkligen ville" – arkitekturen är densamma som används av end-to-end-krypterade meddelandeappar. Du kan läsa mer om detaljerna i vår integritetspolicy; avsnittet ovan är det viktigaste.

End-to-end-kryptering skyddar meddelandeinnehållet. Den skyddar inte allt som rör en interaktion. Verke ser metadata – när du loggade in, vilken coach du pratade med, hur länge sessionen varade, ungefär hur många meddelanden som utväxlades. Vi ser kraschloggar (som innehåller stackspår, inte meddelandetext – vi har kontrollerat detta noga). Vi ser sammanlagd statistik för alla användare – hur många sessioner, hur många som öppnade appen den här veckan, hur många som valde Anna jämfört med Judith. Inget av det kräver att vi läser någon enskild användares samtal, och inget av det gör vi.

Vad vi INTE ser är meddelandeinnehållet – ditt eller någon annans. Stämning, laglig avlyssning, intern utredning, nyfiken ingenjör med databasåtkomst – inget av det ger läsbar samtalstext, eftersom nycklarna för att läsa den inte finns på vår sida. Det här är inte ett löfte om vad vi inte gör. Det är en beskrivning av vad vi tekniskt sett inte kan göra. Det är den distinktionen som är hela poängen med E2EE.

Oavsett om du väljer Verke eller inte är det här en checklista värd att gå igenom innan du anförtror någon AI-coachingprodukt ditt samtalsinnehåll. De flesta produkter klarar inte minst en av dessa frågor, och svaren ligger oftast begravda i integritetspolicyer i stället för att vara tydliga från början:

• Är innehållet end-to-end-krypterat, eller bara krypterat i vila? Enbart "krypterat" brukar betyda kryptering i vila, vilket innebär att företaget fortfarande kan läsa innehållet.
• Kan företagets personal läsa användarnas samtal? Leta efter ett tydligt nej, inte ett vagt "vi följer strikta behörighetskontroller."
• Används samtalet för att träna modeller? "Avidentifierad" eller "aggregerad" träningsdata är fortfarande träning på ditt innehåll.
• Var lagras data geografiskt? Jurisdiktion påverkar vad myndigheter kan tvinga fram och vilka skydd som gäller.
• Kan jag radera mitt konto och få innehållet borttaget? Leta efter en faktisk radering, inte en 30-dagars mjuk radering begravd i ett lagringschema.
• Finns det ett databehandlingsavtal (DPA)? Det krävs för en seriös integritetshållning, särskilt enligt GDPR.

Verke kräver ingen e-postadress, inget telefonnummer och inga betalningsuppgifter för att starta provperioden. Ett smeknamn räcker. Det tekniska skälet är enkelt: ju mindre identitet som är knuten till kontot, desto mindre finns att läcka ens i värsta fall. Ur ett produktperspektiv spelar det också roll: en del av de personer som allra mest behöver den här typen av samtal är just de som är mest tveksamma till att koppla en verklig identitet till dem. Att be om en e-postadress direkt filtrerar bort dem, och det finns ingen god anledning att fråga.

I kombination med end-to-end-kryptering ger detta dig en ganska stark integritetsprofil: ingen identitet kopplad till dina samtal hos Verke, och inget läsbart innehåll även om så hade varit fallet. Om du senare bestämmer dig för att prenumerera och betala tillkommer en betalningsidentifierare – men samtalets innehåll förblir lika ogenomskinligt för oss som det var under provperioden då du bara använde smeknamn. Krypteringsgränsen rubbas inte när faktureringsrelationen inleds.

Självhjälp och AI-coaching kan göra mycket, men de räcker inte hela vägen. Om du lever med en svår depression som inte släppt, panikattacker som bryter sönder vardagen, tankar på att skada dig själv, pågående traumabearbetning eller ett beroende – då är det dags att söka hjälp hos en legitimerad psykolog eller läkare, inte att kämpa hårdare med ett coachverktyg. Mer prisvärda alternativ hittar du på opencounseling.com eller internationella stödlinjer via findahelpline.com. Det finns inget pris för att vänta längre än du behöver.

Integritet handlar i grunden om tillit, och tillit är vad djupare arbete kräver. Annas psykodynamiska metod är det närmaste du kommer en tankepartner hos Verke som du kan vara helt öppen med — den sortens samtal där det du normalt skulle redigera bort får stanna kvar. Krypteringen ovan är det som gör den hållningen möjlig inte bara känslomässigt utan också tekniskt: samtalet är mellan dig och coachen, ingen publik, inget arkiv som någon annan kan läsa. Läs mer om metoden under Psykodynamisk terapi.

Prata igenom det med Anna — ingen registrering, ingen e-post, inget kreditkort.