Vad är NIS2-direktivet?

NIS2 är EU:s direktiv för nätverks- och informationssäkerhet som ställer striktare krav på organisationer inom 18 utpekade sektorer. I Sverige är det implementerat genom Cybersäkerhetslagen (SFS 2025:1506).

Hur hjälper CyberKlar organisationen med NIS2?

CyberKlar ger ledning och säkerhetsfunktion ett samlat underlag för omfattning, risk, dokumentation, leverantörsbedömning och incidentberedskap, anpassat för svensk tillsyn.

Hur lång tid tar ett införande?

Mognadsnivå varierar, men de flesta organisationer når en dokumenterad baslinje för ledningens uppföljning inom 30 dagar. Därefter löper arbetet i kvartalscykler.

Integritetspolicy för CyberKlar

1. Personuppgiftsansvarig

Personuppgiftsansvarig för behandling av personuppgifter som beskrivs i denna policy är CyberKlar AB (org.nr fylls i vid bolagisering), Stockholm, Sverige. Vid frågor om behandlingen eller dina rättigheter, kontakta oss via support@cyberklar.se.

2. Vilka personuppgifter vi samlar in

2.1 Kontodata

När du registrerar ett konto via Clerk samlar vi e-postadress, namn, profilbild (om du väljer att ladda upp en) och unikt användar-ID. Vi lagrar inte lösenord själva. All autentisering sker via Clerk, som är vår identitetspartner.

2.2 Organisationsdata

När er organisation skapar en profil i plattformen samlar vi in organisationsnamn, organisationsnummer, sektor, antal anställda, omsättning och befintliga certifieringar. Dessa uppgifter används för att klassificera er enligt Cybersäkerhetslagen och för att anpassa innehåll i gap-analysen.

2.3 Komplians- och innehållsdata

Den data ni matar in i plattformen (policyer, risker, incidenter, leverantörer, utbildningsresultat och åtgärdsplaner) lagras för att ni ska kunna arbeta med och följa upp ert NIS2-arbete. Detta är er data. Vi använder den inte för att träna AI-modeller eller marknadsföra till er.

2.4 Användningsdata

Vi loggar tekniska händelser som sidvisningar, fel och inloggningstidpunkter för att upprätthålla drift, spåra incidenter och förbättra plattformen. Loggarna innehåller IP-adress och användar-ID men används inte för spårande marknadsföring.

3. Varför vi behandlar uppgifterna (rättslig grund)

Fullgörande av avtal (GDPR art. 6.1 b) för att leverera plattformen och dess funktioner.
Berättigat intresse (GDPR art. 6.1 f) för drift, säkerhet, loggning och produktförbättring.
Rättslig förpliktelse (GDPR art. 6.1 c) för bokföring och skatteredovisning.
Samtycke (GDPR art. 6.1 a) för icke-essentiella cookies och e-postutskick där det är tillämpligt.

4. Underbiträden (sub-processors)

Vi använder följande sub-processors för att leverera tjänsten. Samtliga är bundna av personuppgiftsbiträdesavtal och behandlar uppgifter inom EU/EES där det är möjligt.

Supabase (databas, lagring) i Frankfurt, Tyskland.
Clerk (autentisering) i USA, omfattas av EU Data Processing Addendum (SCC).
Stripe (betalning) i Irland och USA (SCC).
Google Cloud Run (applikationsdrift) i region europe-north1, Finland.
Resend (transaktionell e-post) inom EU.
OpenAI (AI-generering av policyer och sammanfattningar) i USA, affärsavtal som utesluter träning på vår data.
Upstash (rate-limiting, cache) inom EU.

5. Lagringstid

Vi sparar personuppgifter så länge ni är kund och därefter i högst 12 månader för att kunna återaktivera kontot. Fakturadata sparas i sju år enligt bokföringslagen. Säkerhetsloggar sparas i 90 dagar.

6. Era rättigheter enligt GDPR

Rätt till tillgång. Ni kan begära en kopia av de personuppgifter vi behandlar.
Rätt till rättelse. Felaktiga uppgifter kan ändras direkt i plattformen eller genom att kontakta oss.
Rätt till radering. Ni kan begära att era personuppgifter raderas när behandlingen inte längre behövs.
Rätt till begränsning och invändning mot viss behandling som grundar sig på berättigat intresse.
Rätt till dataportabilitet. Ni kan begära en exporterbar kopia av er data.
Rätt att klaga hos Integritetsskyddsmyndigheten (IMY) om ni anser att behandlingen är felaktig.

7. Kontakt

Dataskyddsförfrågningar skickas till support@cyberklar.se. Vi svarar inom 30 dagar i enlighet med GDPR.

8. Ändringar i denna policy

Vi uppdaterar denna policy när våra sub-processors eller behandlingar ändras. Väsentliga ändringar kommuniceras via e-post till administratörer på aktiva konton.

2. Vilka personuppgifter vi samlar in

2.1 Kontodata

2.2 Organisationsdata

2.3 Komplians- och innehållsdata

2.4 Användningsdata

3. Varför vi behandlar uppgifterna (rättslig grund)

Fullgörande av avtal (GDPR art. 6.1 b) för att leverera plattformen och dess funktioner.

Berättigat intresse (GDPR art. 6.1 f) för drift, säkerhet, loggning och produktförbättring.

Rättslig förpliktelse (GDPR art. 6.1 c) för bokföring och skatteredovisning.

Samtycke (GDPR art. 6.1 a) för icke-essentiella cookies och e-postutskick där det är tillämpligt.

4. Underbiträden (sub-processors)

Vi använder följande sub-processors för att leverera tjänsten. Samtliga är bundna av personuppgiftsbiträdesavtal och behandlar uppgifter inom EU/EES där det är möjligt.

Supabase (databas, lagring) i Frankfurt, Tyskland.

Clerk (autentisering) i USA, omfattas av EU Data Processing Addendum (SCC).

Stripe (betalning) i Irland och USA (SCC).

Google Cloud Run (applikationsdrift) i region europe-north1, Finland.

Resend (transaktionell e-post) inom EU.

OpenAI (AI-generering av policyer och sammanfattningar) i USA, affärsavtal som utesluter träning på vår data.

Upstash (rate-limiting, cache) inom EU.

6. Era rättigheter enligt GDPR

Rätt till tillgång. Ni kan begära en kopia av de personuppgifter vi behandlar.

Rätt till rättelse. Felaktiga uppgifter kan ändras direkt i plattformen eller genom att kontakta oss.

Rätt till radering. Ni kan begära att era personuppgifter raderas när behandlingen inte längre behövs.

Rätt till begränsning och invändning mot viss behandling som grundar sig på berättigat intresse.

Rätt till dataportabilitet. Ni kan begära en exporterbar kopia av er data.

Rätt att klaga hos Integritetsskyddsmyndigheten (IMY) om ni anser att behandlingen är felaktig.