Säkerhet & GDPR

Skrivet för organisationer som faktiskt läser DPA:er.

En sammanfattning av var din data finns, vem som får röra den och hur du får tillbaka den. Den publika översikten finns här; fullständiga upphandlings- och onboardingunderlag delas vid genomgång.

Ärlig not

Nordbrief påstår inte sådant jag ännu inte kan visa. Kontroller byggs på riktigt; inga märken före bevis.

Säkerhet & GDPR

Skrivet för organisationer som faktiskt läser DPA:er.

KontrollområdeStatusDetalj
Data-residensPå platsNordbrief körs på Vercel med Stockholm som konfigurerad applikationsregion. Produktionslagring, backuper och integrationsspecifika dataflöden granskas under access- och DPA-processen innan verklig organisationsdata läggs till.
DPA under accessgenomgångPå platsDPA-detaljer hanteras under accessgenomgång och onboarding. Versioner och undertecknare ska vara synliga innan en organisation går i produktion.
AutentiseringPilotE-post och lösenord (bcrypt), Google Workspace-inloggning och Suomi.fi (OIDC + PKCE). Microsoft-inloggning och tvåfaktorsautentisering är planerade inför lanseringen — inte i drift ännu.
Export & raderingPå platsProjektdata kan exporteras som CSV från uppföljningen redan nu. Fullständig export av arbetsytan och radering av konto hanteras via Inställningar och accessgenomgången; en raderingsbegäran behandlas inom 30 dagar och bekräftas via e-post.
KontrollprogramUnder uppbyggnadArbetar mot ISO 27001-anpassade kontroller. Aktuellt tillstånd redovisas öppet i säkerhetstillägget.
UnderleverantörerPå platsVercel för applikationshosting, Stripe när betald fakturering är aktiverad och Resend när transaktionsmejl är konfigurerat. Den aktuella listan finns på /sub-processors och granskas före produktionsaccess.
Vanliga frågor
Kan jag signera ett eget DPA?Ja. Institution- och Consortium-paket kan begära eget DPA.
Lagrar ni personbeteckning?Aldrig i klartext. Suomi.fi PIC hashas serverside och används endast som sessionsidentifierare.
Var förvaras säkerhetskopior?Backupplats och retention bekräftas under produktionsgranskningen. Den publika utfästelsen är att organisationsdata hålls i EU-hostad infrastruktur om inte en specifik integration godkänns separat.

Läs vår integritetspolicy