RiskNote
Sikkerhet og tillit

Sikkert som standard. EU etter design.

RiskNote lagrer alle dine data i Stockholm, Sverige, følger GDPR og EU AI Act fra første kodelinje, og bruker aldri ditt risikoinnhold til å trene AI-modeller. Hvert AI-forslag er rådgivende — du bestemmer hva som havner i registeret.

PersonvernerklæringRapporter et sikkerhetsproblem

EU-hostet i Stockholm

All tjenestedata blir værende på Elastx infrastruktur i Sverige — ISO 27001-sertifisert, kun innenfor EØS.

GDPR-native

Dokumentert rettslig grunnlag per formål. Dataeksport, retting og 30-dagers sletting rett i appen.

Dine data trener aldri AI

Anthropics kommersielle vilkår forbyr trening på API-input og -output. Personopplysninger når aldri modellen.

AI er kun rådgivende

Hvert forslag krever ditt uttrykkelige samtykke før det havner i registeret (GDPR art. 22).

GDPREU AI Act art. 50GDPR art. 22ISO 31000-prosessISO 27001-infra (Elastx)DPF + SCC for overføringer utenfor EU
01

Datalokalisering og hosting

All tjenestedata — kontoer, risikonotater, risikoer og logger — lagres i Stockholm på Elastx infrastruktur. Elastx har ISO 27001-sertifisering for sine datasentre og sin drift. RiskNote selv er ikke ISO 27001-sertifisert; vi bygger på sertifisert infrastruktur og holder vår egen posisjon transparent.

Hvor dataene dine ligger

Primær database, objektlagring og applikasjonsservere ligger alle innenfor EØS. Ingen EU-data overføres ut av regionen bortsett fra til de spesifikke underleverandørene som er listet i seksjon 06, hver under GDPR-kompatible beskyttelsestiltak (DPF og/eller SCC).

Sikkerhetskopier

Krypterte nattlige sikkerhetskopier beholdes i 30 dager og lagres på Elastx infrastruktur i samme EU-region. Gjenopprettingsrutiner testes regelmessig.

Transparent underleverandørliste

Enhver endring i vår underleverandørliste gjenspeiles i personvernerklæringen. En dedikert endringslogg med e-postvarsling er på veikartet (se seksjon 11).
02

Kryptering og transport

Under transport

TLS 1.2+ kreves for hver tilkobling. HTTP omdirigeres til HTTPS. HSTS er aktivert på edge.

I hvile

Databasevolumer og objektlagring er kryptert i hvile på Elastx infrastruktur. Passord hashes med bcrypt.

Hemmelighetshåndtering

API-nøkler og legitimasjon lever i miljøvariabler, aldri i kildekontroll, og ekskluderes fra applikasjonslogger. Tilgang er begrenset til produksjonsmiljøet.
03

Tenant-isolasjon

RiskNote er en multitenant-SaaS med logisk isolasjon. Det er ingen synlighet mellom kontoer.

Avgrenset på ORM-nivå: Hver spørring mot brukereide ressurser filtreres på den autentiserte brukerens ID direkte i query-byggeren.

Policy-kontrollert tilgang: Laravel-autorisasjonspolicyer beskytter hver sensitiv ressurs — controllere kan ikke returnere en annen brukers data selv om en ruteparameter manipuleres.

Kun uttrykkelig deling: Risikonotater er private som standard. Delte risikonotater (Pro- og Business-planer) krever en uttrykkelig invitasjon; tilgang kan tilbakekalles når som helst.

04

Autentisering

E-post + passord

Minimum 8 tegn, blandet store og små bokstaver med ett siffer. Lagres som bcrypt-hasher. Passordtilbakestillingslenker utløper etter 60 minutter.

OAuth 2.0

Logg inn med Google, Microsoft eller Apple. Vi mottar navn, e-post og leverandørens bruker-ID. Vi lagrer ikke OAuth-tilgangstokens.

Sesjoner

Sesjonsinformasjonskapsler er strengt nødvendige og derfor unntatt fra samtykkekrav under ePrivacy art. 5(3) / svensk LEK, kapittel 6, paragraf 18.

Hvorfor ikke magiske lenker

Vi evaluerte og forkastet magisk-lenke-autentisering. For bedrifts- og kommunekunder veide leveringsrisikoen gjennom aggressive e-postfiltre tyngre enn UX-fordelen.
05

AI etter design

AI er den mest personvernfølsomme delen av enhver moderne SaaS. Vi bygde RiskNotes AI-rute som om hvert valg skulle revideres.

Dataminimering: Kun risikonotatets navn, beskrivelse, valgte risikoområder og din organisasjonskontekst (bransje, størrelse, rolle, mål, utfordringer) sendes til Anthropic. Vi sender aldri e-post, navn, IP-adresse, faktureringsdata, tokens eller data fra andre brukere.

Ingen trening på dine data: Behandling går via Anthropics Claude API under deres kommersielle vilkår, som forbyr bruk av kundeinput eller -output til å trene eller forbedre modeller.

Kun rådgivende (GDPR art. 22): AI-en produserer forslag med sannsynlighets- og konsekvensvurdering. Hvert forslag krever ditt uttrykkelige samtykke før det havner i registeret. Ingen beslutninger med rettslige eller tilsvarende betydelige effekter fattes automatisk.

AI-opprinnelsesmerking (EU AI Act art. 50): Hver brukerflate som viser AI-generert innhold merker det som sådant — i appen, i PDF-eksportens Kilde-kolonne og disclaimer i bunntekst, og i den kommende CSV-eksporten (V1.1). AI-modellidentifikatoren bevares og vises i eksporter.

Beskyttelse mot prompt-injeksjon: Brukerinnmatede felter trunkeres før de settes sammen i prompter, noe som begrenser angrepsflaten for prompt-injeksjonsforsøk via overdreven input.

Rate limiting: AI-analyser er begrenset til 20 per time per bruker, pluss en månedlig tildeling per plan, for å forhindre misbruk og holde kostnadene forutsigbare.

06

Underleverandører og internasjonale overføringer

Den autoritative listen finnes i Personvernerklæringen, seksjon 5.

LeverandørFormålPlasseringBeskyttelse
ElastxBackend- og frontend-hostingStockholm, SEEØS
AnthropicAI-risikoanalyseUSADPF + SCC
StripeWebbetalingerUSA / EUDPF + SCC
RevenueCatMobilabonnementerUSASCC

Kopier av standard kontraktsklausuler (SCC) kan bestilles fra privacy@risknote.io.

07

Lagring og sletting

Aktiv konto: Data beholdes så lenge kontoen din er aktiv.

Sletting: Sletting av konto er selvbetjening fra kontosiden. Alle personopplysninger og risikovurderingsinnhold slettes permanent innen 30 dager.

Regnskapsgrunnlag: Beholdes i inntil 7 år i henhold til svensk bokføringslov (Bokföringslagen, SFS 1999:1078).

Anonymisert tilbakemelding: Valgfri tilbakemelding gitt ved kontosletting anonymiseres og knyttes ikke til identiteten din.

08

Dine rettigheter og portabilitet

Etter GDPR har du følgende rettigheter. Den fullstendige redegjørelsen finnes i Personvernerklæringen, seksjon 7.

InnsynBe om en kopi av dine personopplysninger (art. 15).
RettingRett feilaktige opplysninger via kontoinnstillinger eller e-post (art. 16).
SlettingSlett kontoen din og alle data i appen, når som helst (art. 17).
PortabilitetEksporter vurderinger som PDF eller CSV; strukturert JSON tilgjengelig på forespørsel (art. 20).
BegrensningBe om at vi begrenser behandlingen av dine data (art. 18).
InnsigelseGjør innsigelse mot behandling basert på berettiget interesse, inkludert AI-analyse (art. 21).
Tilbakekall samtykkeDer behandling er basert på samtykke kan du trekke det tilbake når som helst (art. 7(3)).
KlageKlag til svensk tilsynsmyndighet (IMY, imy.se).
09

Hendelseshåndtering og sårbarhetsrapportering

Rapporter en sårbarhet

Send e-post til privacy@risknote.io med reproduksjonstrinn. Vi har ingen separat security@-postkasse på dette stadiet — rapporter overvåkes direkte av grunnleggeren. Vennligst unngå handlinger som kan påvirke andre brukeres data under testing.

Bekreftelse

Vi tilstreber å bekrefte gyldige rapporter innen 3 virkedager. Vi holder deg informert mens vi undersøker og retter.

Melding om brudd

Etter GDPR art. 33 varsler vi svensk tilsynsmyndighet (IMY) innen 72 timer etter vi får kjennskap til et personopplysningsbrudd der det kreves. Etter art. 34 varsler vi berørte brukere uten ugrunnet opphold når bruddet sannsynligvis medfører høy risiko for deres rettigheter og friheter.

Bug bounty

Vi driver ikke et offentlig bounty-program ennå. Vi er takknemlige for ansvarlig rapportering og gir gjerne anerkjennelse til rapportører som ønsker det.
10

Etterlevelse og rettslig grunnlag

Et tydelig bilde av hva RiskNote etterlever, tilpasser seg og støtter seg på — ærlig atskilt.

RammeverkTypeHvordan det gjelder RiskNote
GDPRRegulering vi etterleverBehandlingsansvarlig for all tjenestedata. Se personvernerklæringen for fullstendig redegjørelse.
ePrivacy / LEK 6:18Regulering vi etterleverSvensk implementering styrer informasjonskapsel-samtykke. Analyseinformasjonskapsler er opt-in.
EU AI Act art. 50Regulering vi etterleverAI-generert innhold merkes i grensesnitt, PDF og CSV (V1.1).
GDPR art. 22Regulering vi etterleverIngen automatiske beslutninger; hvert AI-forslag krever brukerens godkjenning.
Svensk forbrukerrettRegulering vi etterlever14-dagers angrerett håndteres i appen med automatisk Stripe-refusjon.
ISO 31000Standard vi tilpasser ossIdentifiser → analyser → evaluer → behandle → overvåke. Ikke sertifisert (ISO 31000-sertifisering finnes ikke).
ISO 27001Sertifisering vi støtter oss påInnehas av vår hostingleverandør Elastx, ikke av RiskNote selv.
11

På veikartet vårt

Ærlig fremtidsperspektiv. Ingen av disse er live i dag.

Tredjeparts penetrasjonstestplanlagt etter lansering når det hostede miljøet har stabilisert seg.

Underleverandør-endringsloggen offentlig side som lister endringer i underleverandørlisten vår, med e-postvarsling for abonnenter.

CSV-eksport med AI-opprinnelseskolonneleveres med V1.1.

Business-nivå SSO (SAML / OIDC)knyttet til lanseringen av Business-planen, ikke V1.

SOC 2 Type IIvi vurderer dette når bedriftsetterspørsel rettferdiggjør kostnaden og driftsfotavtrykket. Vi hevder det ikke før det er reelt.

12

Kontakt

Sikkerhet og personvern: privacy@risknote.io

Generell støtte: support@risknote.io

VER&IT AB · Nygatan 71, 462 32 Vänersborg, Sverige · Org.nr: 556985-1206

    Sikkerhet og tillit — RiskNote | RiskNote