Säkerhet & infrastruktur

Vi följer principerna i ISO 27001 och svensk dataskyddslagstiftning, inklusive GDPR. Det innebär dokumenterade rutiner för åtkomstkontroll, behörighetshantering, loggning och regelbunden uppföljning av risker.

Endast behörig personal har åtkomst till produktionsmiljön, och all åtkomst sker via flerfaktorsautentisering över krypterade kanaler. Vi tillämpar principen om minsta möjliga behörighet och granskar åtkomsträttigheter kontinuerligt.

Tjänsten driftas i Microsoft Azure med samtliga resurser placerade i svenska datacenter. Det innebär att personuppgifter och driftdata i vår plattform lagras i Sverige, vilket är en viktig förutsättning för efterlevnad av svensk och europeisk lagstiftning.

Hela miljön är isolerad i ett eget privat nätverk (VNet) utan exponering mot publika gränssnitt utöver det som krävs för tjänstens funktion. Detta minimerar attackytan och ger oss full kontroll över trafikflöden in och ut ur systemet.

För mötestranskribering och tillhörande anteckningar använder vi en svensk leverantör som är certifierad enligt ISO 27001, lagrar data inom EU och behandlar den i enlighet med GDPR. Transkript och sammanfattningar görs tillgängliga för både kund och rådgivare på kundkortet, och omfattas av samma rutiner för åtkomstkontroll, sekretess och gallring som övrig information i tjänsten.

All trafik mellan klient och tjänst krypteras med TLS, och data i vila krypteras enligt branschstandard. Krypteringsnycklar hanteras separat från data och roteras enligt fastställda rutiner.

Vi samlar endast in de uppgifter som krävs för att leverera tjänsten, och varje behandling sker med tydlig rättslig grund. Personuppgifter lagras inte längre än nödvändigt, och våra rutiner för gallring följer GDPR.

Vi har etablerade processer för att upptäcka, hantera och rapportera säkerhetsincidenter. Loggning och övervakning sker kontinuerligt så att avvikelser kan identifieras tidigt och åtgärdas innan de påverkar våra kunder.

Vid en eventuell personuppgiftsincident informerar vi berörda parter och Integritetsskyddsmyndigheten (IMY) inom de tidsramar som GDPR föreskriver, och vi utvärderar varje incident i efterhand för att stärka våra rutiner.