Trust Center

Plattformen körs i EU (Irland). All inloggning är 2FA-tvingad. Append-only-loggning på databasnivå för granskningshistorik betyder att vi själva inte kan ändra historik retroaktivt. Inte heller med admin-konto.

Krypterad lagring i vila med AES-256, TLS 1.3 i transit med HSTS-preload. Säkerhetsincidenter med påverkan på kunddata rapporteras enligt avtal och, där tillämpligt, vidare till CERT-SE inom 24 timmar. Rapportera misstänkta sårbarheter till security@cyberklar.se. Vi svarar inom 24 timmar.

Er rapport-, gap- och loggdata ligger i Supabase (managed Postgres), region eu-west-1, Irland. Filuppladdningar (bilagor, bevis-PDF:er, utbildningscertifikat) lagras i samma region.

Backuper roteras dagligen och behålls i 30 dagar. Backupperna är krypterade och stannar i EU. Ingen kunddata lämnar EU för primär lagring.

Pseudonymiserade utdrag kan skickas till externa AI-leverantörer för specifika förslagsfunktioner. Hur det fungerar i praktiken står i nästa avsnitt.

Funktioner som använder AI (utkast till styrelsebeslut, gap-formuleringar, sammanfattningar) körs mot leverantörer som avtalsmässigt inte tränar på er data. Ingen kunddata används för att förbättra modeller. Personuppgifter pseudonymiseras innan de når modellen.

Loggning på prompt-nivå sker bara med ert aktiva samtycke och är default avstängt för pilotkunder. Aktiveras det syns det i inloggat läge under Inställningar → AI-användning, där varje anrop visas med tidsstämpel, modell-id och kostnad.

Vi är personuppgiftsbiträde när ni laddar upp personuppgifter i plattformen (anställdas certifikat, kontaktlistor, utbildningsbevis). Personuppgiftsansvarig är ni som kund.

DPA finns som färdig PDF för elektronisk signering. Ändringar som påverkar behandlingen varslas 30 dagar i förväg. Innehållet följer GDPR Art. 28 och standardavtalsklausulerna där tredjelandsöverföring förekommer hos underbiträde.

Plattformens måltillgänglighet är 99,5 % per kalendermånad, exklusive planerade underhållsfönster (söndagar 02 till 04 CET). Större incidenter med påverkan på audit-funktioner kompenseras med servicekredit enligt avtal.

Audit-ready-garantin gäller separat: når ni inte audit-ready på 60 dagar enligt CyberKlars 10 kriterier, förlängs avtalet utan kostnad eller så återbetalas avgiften via Stripe enligt SFS 2025:1506. Ingen ny garanti utlovas här, bara den som redan finns på audit-ready-garanti.

Live-status med drift de senaste 90 dagarna publiceras på status.cyberklar.se. Incidenter publiceras inom 1 timme från upptäckt med kort beskrivning, omfattning och åtgärdsfönster. Postmortem publiceras inom 5 arbetsdagar.

Status-subdomänen rullas ut separat. Tills den är på plats kontaktas support@cyberklar.se för aktuell driftstatus.

Aktuella underbiträden med syfte och region. Listan speglar den fullständiga sub-processor-lista som finns i DPA:n och som administratörer aviseras om minst 30 dagar före driftsättning vid förändring.

Förändringar i listan varslas 30 dagar före driftsättning till kontoadministratörer via mejl.

Vi samlar in kontoinformation (namn, e-postadress, organisation), användarbeteende inom plattformen för drift och säkerhet, samt fakturadata. Syftet är att driva tjänsten, fakturera och upptäcka missbruk.

Kontot raderas inom 30 dagar efter uppsagt avtal. Personuppgiftsansvarig är Mindverk AB, org.nr 559582-5570.

Ni äger all data ni lägger in. Full export i JSON och CSV kan utlösas när som helst från /installningar i plattformen. Inga supportärenden behövs för att få ut den.

Radering inom 30 dagar efter uppsagt avtal, med kvitto. Auditbevis (granskningslogg, signerade styrelsebeslut) hålls separat i 7 år där bokförings- eller tillsynslag kräver det, då i anonymiserat format.