RiskNote
Säkerhet & förtroende

Säkert från start. EU från design.

RiskNote lagrar alla dina data i Stockholm, följer GDPR och EU AI Act från första kodraden, och använder aldrig ditt riskinnehåll för att träna AI-modeller. Varje AI-förslag är rådgivande — du avgör vad som hamnar i registret.

IntegritetspolicyRapportera en säkerhetsincident

EU-hostat i Stockholm

All tjänstedata stannar på Elastx infrastruktur i Sverige — ISO 27001-certifierad, endast inom EES.

GDPR från grunden

Dokumenterad rättslig grund per ändamål. Export, rättelse och 30-dagars radering direkt i appen.

Dina data tränar aldrig AI

Anthropics kommersiella villkor förbjuder träning på API-input och -output. Personuppgifter når aldrig modellen.

AI är endast rådgivande

Varje förslag kräver ditt uttryckliga godkännande innan det hamnar i registret (GDPR art. 22).

GDPREU AI Act art. 50GDPR art. 22ISO 31000-processISO 27001-infra (Elastx)DPF + SCC för överföringar utanför EU
01

Datalokalisering & hosting

All tjänstedata — konton, risknotor, risker och loggar — lagras i Stockholm på Elastx infrastruktur. Elastx har en ISO 27001-certifiering för sina datacenter och sin drift. RiskNote självt är inte ISO 27001-certifierat; vi bygger på certifierad infrastruktur och håller vår egen hållning transparent.

Var dina data ligger

Primär databas, objektlagring och applikationsservrar ligger alla inom EES. Ingen EU-data förs ut ur regionen annat än till de specifika underbiträden som listas i sektion 06, var och en med GDPR-kompatibla skyddsåtgärder (DPF och/eller SCC).

Säkerhetskopior

Krypterade nattliga säkerhetskopior behålls i 30 dagar och lagras på Elastx infrastruktur i samma EU-region. Återställningsrutiner testas regelbundet.

Transparent underbiträdeslista

Varje förändring i vår underbiträdeslista återspeglas i integritetspolicyn. En dedikerad ändringslogg med e-postnotifieringar finns på roadmappen (se sektion 11).
02

Kryptering & transport

Under transport

TLS 1.2+ krävs för varje anslutning. HTTP omdirigeras till HTTPS. HSTS är aktiverat vid edge.

I vila

Databasvolymer och objektlagring är krypterade i vila på Elastx infrastruktur. Lösenord hashas med bcrypt.

Hemlighetshantering

API-nycklar och inloggningsuppgifter lever i miljövariabler, aldrig i källkodshantering, och utesluts från applikationsloggar. Åtkomst är begränsad till produktionsmiljön.
03

Tenantisolering

RiskNote är en multitenant-SaaS med logisk isolering. Det finns ingen synlighet mellan konton.

Avgränsat på ORM-nivå: Varje förfrågan mot användarägda resurser filtreras på den autentiserade användarens ID direkt i query-byggaren.

Policy-kontrollerad åtkomst: Laravel-auktoriseringspolicyer skyddar varje känslig resurs — controllers kan inte returnera en annan användares data ens om en ruttparameter manipuleras.

Endast uttrycklig delning: Risknotor är privata som standard. Delade risknotor (Pro och Business) kräver en uttrycklig inbjudan; åtkomst kan återkallas när som helst.

04

Autentisering

E-post + lösenord

Minst 8 tecken, blandad skiftlägeskänslighet med en siffra. Lagras som bcrypt-hashar. Återställningslänkar för lösenord löper ut efter 60 minuter.

OAuth 2.0

Logga in med Google, Microsoft eller Apple. Vi får ditt namn, din e-post och leverantörens användar-ID. Vi lagrar inte OAuth-åtkomsttokens.

Sessioner

Sessionscookies är strikt nödvändiga och därför undantagna från samtyckeskrav enligt ePrivacy art. 5(3) / svenska LEK, 6 kap. 18 §.

Varför inte magiska länkar

Vi utvärderade och valde bort magiska länkar för autentisering. För företags- och kommunkunder övervägde leveransrisken via aggressiva e-postfilter UX-fördelarna.
05

AI från grunden

AI är den mest integritetskänsliga delen av vilken modern SaaS som helst. Vi byggde RiskNotes AI-väg som om varje val skulle granskas.

Dataminimering: Endast risknotans namn, beskrivning, valda riskområden och din organisationskontext (bransch, storlek, roll, mål, utmaningar) skickas till Anthropic. Vi skickar aldrig e-post, namn, IP-adress, faktureringsdata, tokens eller data från andra användare.

Ingen träning på dina data: Bearbetning sker via Anthropics Claude API under deras kommersiella villkor, som förbjuder användning av kundinput eller -output för att träna eller förbättra modeller.

Endast rådgivande (GDPR art. 22): AI:n producerar förslag med sannolikhets- och konsekvensbedömning. Varje förslag kräver ditt uttryckliga godkännande innan det hamnar i registret. Inga beslut med rättsliga eller motsvarande betydande effekter fattas automatiskt.

AI-ursprungsmärkning (EU AI Act art. 50): Varje användargränssnitt som visar AI-genererat innehåll märker det som sådant — i appen, i PDF-exportens Källa-kolumn och disclaimer i sidfoten, och i den kommande CSV-exporten (V1.1). AI-modellidentifieraren bevaras och visas i exporter.

Skydd mot prompt-injektion: Användarinmatade fält trunkeras innan de sammanfogas i prompter, vilket begränsar angreppsytan för prompt-injektionsförsök via överdrivet stor input.

Rate limiting: AI-analyser är begränsade till 20 per timme per användare, plus en månatlig tilldelning per plan, för att förhindra missbruk och för att hålla kostnaderna förutsägbara.

06

Underbiträden & internationella överföringar

Den auktoritativa listan finns i Integritetspolicyn, sektion 5.

BiträdeSyftePlatsSkyddsåtgärd
ElastxBackend- & frontend-hostingStockholm, SEEES
AnthropicAI-riskanalysUSADPF + SCC
StripeWebbetalningarUSA / EUDPF + SCC
RevenueCatMobilabonnemangUSASCC

Kopior av standardavtalsklausuler (SCC) kan begäras från privacy@risknote.io.

07

Lagring & radering

Aktivt konto: Data behålls så länge ditt konto är aktivt.

Radering: Kontoradering är självbetjäning från kontosidan. Alla personuppgifter och riskbedömningsinnehåll raderas permanent inom 30 dagar.

Bokföringsunderlag: Behålls i upp till 7 år enligt bokföringslagen (SFS 1999:1078).

Anonymiserad feedback: Valfri feedback som lämnas vid kontoradering anonymiseras och kopplas inte till din identitet.

08

Dina rättigheter & portabilitet

Enligt GDPR har du följande rättigheter. Den fullständiga redogörelsen finns i Integritetspolicyn, sektion 7.

TillgångBegär en kopia av dina personuppgifter (art. 15).
RättelseRätta felaktiga uppgifter via kontoinställningarna eller via e-post (art. 16).
RaderingRadera ditt konto och alla data i appen, när som helst (art. 17).
PortabilitetExportera bedömningar som PDF eller CSV; strukturerad JSON tillgänglig på begäran (art. 20).
BegränsningBegär att vi begränsar behandlingen av dina data (art. 18).
InvändningInvänd mot behandling baserad på berättigat intresse, inklusive AI-analys (art. 21).
Återkalla samtyckeDär behandling grundas på samtycke kan du återkalla det när som helst (art. 7(3)).
KlagomålInge klagomål till Integritetsskyddsmyndigheten (IMY, imy.se).
09

Incidenthantering & sårbarhetsrapportering

Rapportera en sårbarhet

Mejla privacy@risknote.io med reproduktionssteg. Vi har ingen separat security@-brevlåda i detta skede — rapporter bevakas direkt av grundaren. Undvik åtgärder som kan påverka andra användares data under testning.

Bekräftelse

Vi strävar efter att bekräfta giltiga rapporter inom 3 arbetsdagar. Vi håller dig informerad medan vi utreder och åtgärdar.

Incidentanmälan

Enligt GDPR art. 33 anmäler vi personuppgiftsincidenter till Integritetsskyddsmyndigheten (IMY) inom 72 timmar efter att vi fått kännedom, där så krävs. Enligt art. 34 underrättar vi drabbade användare utan onödigt dröjsmål när incidenten sannolikt innebär hög risk för deras rättigheter och friheter.

Bug bounty

Vi driver ännu inget publikt bounty-program. Vi är tacksamma för ansvarsfull rapportering och ger gärna erkännande till rapportörer som vill det.
10

Efterlevnad & rättslig grund

En tydlig bild av vad RiskNote efterlever, anpassar sig till och förlitar sig på — ärligt särskilt.

RamverkTypHur det gäller RiskNote
GDPRReglering vi efterleverPersonuppgiftsansvarig för all tjänstedata. Se integritetspolicyn för fullständig redogörelse.
ePrivacy / LEK 6:18Reglering vi efterleverSvenska implementationen styr cookie-samtycke. Analyscookies är opt-in.
EU AI Act art. 50Reglering vi efterleverAI-genererat innehåll märks i gränssnitt, PDF och CSV (V1.1).
GDPR art. 22Reglering vi efterleverInga automatiska beslut; varje AI-förslag kräver användarens godkännande.
Svensk konsumentlagReglering vi efterlever14-dagars ångerrätt hanteras i appen med automatisk Stripe-återbetalning.
ISO 31000Standard vi anpassar oss tillIdentifiera → analysera → utvärdera → behandla → följa upp. Inte certifierade (ISO 31000-certifiering finns inte).
ISO 27001Certifiering vi förlitar oss påInnehas av vårt hostingbolag Elastx, inte av RiskNote självt.
11

På vår roadmap

Ärligt framtidsperspektiv. Inget av detta är live idag.

Tredjeparts penetrationstestplanerat efter lansering när den hostade miljön stabiliserats.

Underbiträdesändringsloggen publik sida som listar ändringar i vår underbiträdeslista, med e-postnotifieringar för prenumeranter.

CSV-export med AI-ursprungskolumnlevereras med V1.1.

Business-nivå SSO (SAML / OIDC)kopplat till Business-planens lansering, inte V1.

SOC 2 Type IIvi överväger detta när företagsefterfrågan motiverar kostnaden och driftbelastningen. Vi hävdar det inte innan det är verklighet.

12

Kontakt

Säkerhet & integritet: privacy@risknote.io

Allmän support: support@risknote.io

VER&IT AB · Nygatan 71, 462 32 Vänersborg, Sverige · Org.nr: 556985-1206

    Säkerhet & förtroende — RiskNote | RiskNote