Sikkerhet og personvern

Bygd med personvern i kjernen.

Vi tar ikke snarveier på sikkerhet. Hver designvalg er gjort med GDPR, bokføringsloven og OWASP ASVS i bakhodet.

Slik beskytter vi data

Postgres Row-Level Security håndhever at ingen kunde kan se data fra andre. Alle queries har bedrifts-ID-sjekk i to lag (RLS + applikasjon).

Endring av prosjekt-status, sletting, eksport, invitasjon, rolle-endring - alt logges med IP, user-agent, og hvem.

Supabase daily backup + uavhengig dump til Cloudflare R2 (eu-region). Restore-test kvartalsvis.

Bcrypt-hashede passord, magic-link-alternativ, rate-limiting, brute-force-vern. MFA påkrevd for admin.

TLS 1.3 over alt. Sensitive kolonner kan krypteres med pgsodium. Ingen sensitive verdier i URL-er eller logger.

Postgres i Stockholm. Workers i eu-vest. R2-storage i eu. Ingen overføring til USA uten Standard Contractual Clauses.

Vi følger prinsippet om data-minimering - kun det som er nødvendig for tjenesten.

Kategori	Hva	Lagring
Konto	E-post, navn, telefon, org.nr, fakturadetaljer	Til konto slettes
Tidsregistreringer	Dato, varighet, aktivitet, kommentar	5 år (bokf.lov §13)
Eksport-grunnlag	PDF/Excel/CSV-snapshot per periode	5 år
Audit-logg	Hvem-hva-når på sensitive endringer	24 mnd
Samtykke-logg	Cookie-valg + IP/UA	Aktiv + 3 år
Stripe-events	Webhook-payload (idempotency)	90 dager
GDPR-forespørsler	Type, status, deadline	3 år

GDPR Art. 12-22. Vi svarer innen 30 dager.

Henvendelse til Datatilsynet

Du kan klage til Datatilsynet hvis du mener vi behandler data feilaktig. datatilsynet.no