RiskNote
Sikkerhed og tillid

Sikker som standard. EU efter design.

RiskNote hoster alle dine data i Stockholm, Sverige, overholder GDPR og EU AI Act fra første kodelinje, og bruger aldrig dit risikoindhold til at træne AI-modeller. Hvert AI-forslag er rådgivende — du bestemmer, hvad der ender i registret.

PrivatlivspolitikRapportér et sikkerhedsproblem

EU-hostet i Stockholm

Alle tjenestedata bliver på Elastx-infrastruktur i Sverige — ISO 27001-certificeret, kun inden for EØS.

GDPR-native

Dokumenteret retsgrundlag pr. formål. Dataeksport, rettelse og 30-dages sletning direkte i appen.

Dine data træner aldrig AI

Anthropics kommercielle vilkår forbyder træning på API-input og -output. Personoplysninger når aldrig modellen.

AI er kun rådgivende

Hvert forslag kræver din udtrykkelige accept, før det ender i registret (GDPR art. 22).

GDPREU AI Act art. 50GDPR art. 22ISO 31000-procesISO 27001-infra (Elastx)DPF + SCC for overførsler uden for EU
01

Dataplacering og hosting

Alle tjenestedata — konti, risikonoter, risici og logs — hostes i Stockholm på Elastx-infrastruktur. Elastx har ISO 27001-certificering for sine datacentre og drift. RiskNote selv er ikke ISO 27001-certificeret; vi bygger på certificeret infrastruktur og holder vores egen holdning transparent.

Hvor dine data ligger

Primær database, objektlagring og applikationsservere ligger alle inden for EØS. Ingen EU-data overføres ud af regionen ud over til de specifikke underdatabehandlere, der er anført i sektion 06, hver under GDPR-kompatible beskyttelsesforanstaltninger (DPF og/eller SCC).

Sikkerhedskopier

Krypterede natlige sikkerhedskopier opbevares i 30 dage og lagres på Elastx-infrastruktur i samme EU-region. Gendannelsesprocedurer testes regelmæssigt.

Transparent liste over underdatabehandlere

Enhver ændring i vores liste over underdatabehandlere afspejles i privatlivspolitikken. En dedikeret ændringslog med e-mailnotifikationer er på roadmappen (se sektion 11).
02

Kryptering og transport

Under transport

TLS 1.2+ kræves for hver forbindelse. HTTP omdirigeres til HTTPS. HSTS er aktiveret ved edge.

I hvile

Databasevolumener og objektlagring er krypteret i hvile på Elastx-infrastruktur. Adgangskoder hashes med bcrypt.

Hemmelighedshåndtering

API-nøgler og legitimationsoplysninger lever i miljøvariabler, aldrig i kildekontrol, og udelukkes fra applikationslogs. Adgang er begrænset til produktionsmiljøet.
03

Tenant-isolation

RiskNote er en multitenant-SaaS med logisk isolation. Der er ingen synlighed mellem konti.

Afgrænset på ORM-niveau: Hver forespørgsel mod brugerejede ressourcer filtreres på den autentificerede brugers ID direkte i query-byggeren.

Policy-beskyttet adgang: Laravel-autorisationspolicyer beskytter hver følsom ressource — controllers kan ikke returnere en anden brugers data, selv hvis en ruteparameter manipuleres.

Kun udtrykkelig deling: Risikonoter er private som standard. Delte risikonoter (Pro- og Business-planer) kræver en udtrykkelig invitation; adgang kan tilbagekaldes når som helst.

04

Godkendelse

E-mail + adgangskode

Minimum 8 tegn, blandet store og små bogstaver med et tal. Gemmes som bcrypt-hashes. Links til nulstilling af adgangskode udløber efter 60 minutter.

OAuth 2.0

Log ind med Google, Microsoft eller Apple. Vi modtager dit navn, din e-mail og udbyderens bruger-ID. Vi gemmer ikke OAuth-adgangstokens.

Sessioner

Sessionscookies er strengt nødvendige og derfor undtaget fra samtykkekrav under ePrivacy art. 5(3) / svensk LEK, kapitel 6, paragraf 18.

Hvorfor ikke magiske links

Vi evaluerede og afviste magisk-link-autentifikation. For virksomheds- og kommunekunder vejede leveringsrisikoen gennem aggressive mailfiltre tungere end UX-fordelen.
05

AI efter design

AI er den mest privatlivsfølsomme del af enhver moderne SaaS. Vi byggede RiskNotes AI-vej, som om hvert valg ville blive revideret.

Dataminimering: Kun risikonotens navn, beskrivelse, valgte risikoområder og din organisationskontekst (branche, størrelse, rolle, mål, udfordringer) sendes til Anthropic. Vi sender aldrig e-mail, navn, IP-adresse, faktureringsdata, tokens eller data fra andre brugere.

Ingen træning på dine data: Behandling foregår via Anthropics Claude API under deres kommercielle vilkår, der forbyder brug af kundeinput eller -output til at træne eller forbedre modeller.

Kun rådgivende (GDPR art. 22): AI'en producerer forslag med sandsynligheds- og konsekvensvurdering. Hvert forslag kræver din udtrykkelige accept, før det ender i registret. Ingen beslutninger med retsvirkning eller tilsvarende betydelige effekter træffes automatisk.

AI-oprindelsesmærkning (EU AI Act art. 50): Hver brugerflade, der viser AI-genereret indhold, mærker det som sådan — i appen, i PDF-eksportens Kilde-kolonne og disclaimer i sidefoden, og i den kommende CSV-eksport (V1.1). AI-modelidentifikatoren bevares og vises i eksporter.

Beskyttelse mod prompt-injection: Brugerindtastede felter trunkeres, før de sammenføjes i prompter, hvilket begrænser angrebsfladen for prompt-injection-forsøg via overdreven input.

Rate limiting: AI-analyser er begrænset til 20 pr. time pr. bruger, plus en månedlig tildeling pr. plan, for at forhindre misbrug og holde omkostningerne forudsigelige.

06

Underdatabehandlere og internationale overførsler

Den autoritative liste findes i Privatlivspolitikken, sektion 5.

LeverandørFormålPlaceringBeskyttelse
ElastxBackend- og frontend-hostingStockholm, SEEØS
AnthropicAI-risikoanalyseUSADPF + SCC
StripeWebbetalingerUSA / EUDPF + SCC
RevenueCatMobilabonnementerUSASCC

Kopier af standardkontraktbestemmelser (SCC) kan rekvireres fra privacy@risknote.io.

07

Lagring og sletning

Aktiv konto: Data opbevares, så længe din konto er aktiv.

Sletning: Kontosletning er selvbetjening fra kontosiden. Alle personoplysninger og risikovurderingsindhold slettes permanent inden for 30 dage.

Regnskabsgrundlag: Opbevares i op til 7 år i henhold til svensk bogføringslov (Bokföringslagen, SFS 1999:1078).

Anonymiseret feedback: Valgfri feedback givet ved kontosletning anonymiseres og kobles ikke til din identitet.

08

Dine rettigheder og portabilitet

I henhold til GDPR har du følgende rettigheder. Den fulde redegørelse findes i Privatlivspolitikken, sektion 7.

IndsigtAnmod om en kopi af dine personoplysninger (art. 15).
BerigtigelseRet forkerte oplysninger via kontoindstillinger eller e-mail (art. 16).
SletningSlet din konto og alle data i appen, når som helst (art. 17).
PortabilitetEksportér vurderinger som PDF eller CSV; struktureret JSON tilgængelig efter anmodning (art. 20).
BegrænsningAnmod om, at vi begrænser behandlingen af dine data (art. 18).
IndsigelseGør indsigelse mod behandling baseret på legitim interesse, herunder AI-analyse (art. 21).
Tilbagetræk samtykkeHvor behandling er baseret på samtykke, kan det trækkes tilbage når som helst (art. 7(3)).
KlageIndgiv klage til den svenske tilsynsmyndighed (IMY, imy.se).
09

Hændelseshåndtering og sårbarhedsrapportering

Rapportér en sårbarhed

Send e-mail til privacy@risknote.io med reproduktionstrin. Vi har ikke en separat security@-postkasse på dette stadie — rapporter overvåges direkte af grundlæggeren. Undgå venligst handlinger, der kan påvirke andre brugeres data under test.

Bekræftelse

Vi tilstræber at bekræfte gyldige rapporter inden for 3 arbejdsdage. Vi holder dig informeret, mens vi triagerer og udbedrer.

Anmeldelse af brud

I henhold til GDPR art. 33 underretter vi den svenske tilsynsmyndighed (IMY) inden for 72 timer efter at være blevet opmærksom på et brud på personoplysningssikkerheden, hvor det er påkrævet. I henhold til art. 34 underretter vi berørte brugere uden unødig forsinkelse, når bruddet sandsynligvis medfører høj risiko for deres rettigheder og friheder.

Bug bounty

Vi driver ikke et offentligt bounty-program endnu. Vi er taknemmelige for ansvarlig offentliggørelse og anerkender gerne rapportører, der foretrækker det.
10

Overholdelse og retsgrundlag

Et klart billede af, hvad RiskNote overholder, tilpasser sig og støtter sig på — ærligt adskilt.

RammeTypeHvordan det gælder RiskNote
GDPRRegulering vi overholderDataansvarlig for alle tjenestedata. Se privatlivspolitikken for den fulde redegørelse.
ePrivacy / LEK 6:18Regulering vi overholderSvensk implementering styrer cookie-samtykke. Analysecookies er opt-in.
EU AI Act art. 50Regulering vi overholderAI-genereret indhold mærkes i grænseflade, PDF og CSV (V1.1).
GDPR art. 22Regulering vi overholderIngen automatiske afgørelser; hvert AI-forslag kræver brugerens accept.
Svensk forbrugerretRegulering vi overholder14-dages fortrydelsesret håndteres i appen med automatisk Stripe-refundering.
ISO 31000Standard vi tilpasser osIdentificér → analysér → evaluér → behandl → overvåg. Ikke certificeret (ISO 31000-certificering findes ikke).
ISO 27001Certificering vi støtter os påIndehaves af vores hostingleverandør Elastx, ikke af RiskNote selv.
11

På vores roadmap

Ærligt fremtidsperspektiv. Intet af dette er live i dag.

Tredjeparts penetrationstestplanlagt efter lancering, når det hostede miljø er stabiliseret.

Underdatabehandler-ændringslogen offentlig side, der lister ændringer i vores liste over underdatabehandlere, med e-mailnotifikationer til abonnenter.

CSV-eksport med AI-oprindelseskolonneleveres med V1.1.

Business-niveau SSO (SAML / OIDC)koblet til lanceringen af Business-planen, ikke V1.

SOC 2 Type IIvi overvejer dette, når virksomhedsefterspørgsel retfærdiggør omkostningen og driftsaftrykket. Vi påstår det ikke, før det er virkelighed.

12

Kontakt

Sikkerhed og privatliv: privacy@risknote.io

Generel support: support@risknote.io

VER&IT AB · Nygatan 71, 462 32 Vänersborg, Sverige · Org.nr: 556985-1206

    Sikkerhed og tillid — RiskNote | RiskNote