Sikkerhet og personvern
Sikkerhet og tillit
Kravklar er en egenvurdering for NIS2, bygget og driftet i Norge av Torsvik Labs. Vi behandler så lite data som mulig, og vi er åpne om hvor det ligger og hvem som har tilgang. På denne siden forklarer vi hvordan vi håndterer sikkerhet og personvern. For en fullstendig juridisk beskrivelse, se personvernerklæringen og vilkårene.
Databehandling
Vi behandler det vi trenger for å levere tjenesten, og ikke mer. Det omfatter kontoinformasjon (navn og e-post), opplysninger om virksomheten deres, og svarene dere gir i vurderingen. Disse dataene brukes til å beregne modenhetsscore, vise resultater og – på betalt plan – lage gapanalyse og tiltaksplan. Vi selger ikke data, og vi bruker dem ikke til profilering.
Datalagring og region
Kundedata – vurderingssvar, kontoinformasjon og organisasjonsdata – lagres hos Supabase i Stockholm i Sverige, innenfor EU/EØS. Nettstedet leveres via Vercel sitt globale innholdsnettverk (CDN), men personopplysninger behandles primært i EU/EØS.
Kryptering
All trafikk mellom nettleseren deres og tjenesten krypteres med TLS (HTTPS). Data krypteres også under lagring (at rest) på databaseplattformen.
Tilgangsstyring
Kundedata er kun tilgjengelig for eieren av Torsvik Labs – én operatør – gjennom leverandørenes egne autentiserte administrasjonsgrensesnitt. I databasen håndheves rad-nivå-sikkerhet (Row Level Security), som sørger for at én kundes data aldri er synlig for en annen. Hver virksomhet er isolert fra de andre (flerleietaker-isolasjon).
Sikkerhetskopiering og gjenoppretting
Databasen sikkerhetskopieres automatisk av Supabase, slik at data kan gjenopprettes ved feil eller tap. Sikkerhetskopier rulleres ut etter databaseplattformens oppbevaringssyklus.
Sletting
Når dere sletter kontoen, fjernes personopplysninger innen 30 dager. Kontoer som ikke har vært i bruk på 12 måneder, regnes som inaktive, og dere varsles før de slettes. Sikkerhetskopier rulleres ut etter databaseplattformens oppbevaringssyklus.
Underleverandører
Vi bruker noen få underleverandører for å drive tjenesten. Alle er underlagt databehandleravtale. Overføringer ut av EU/EØS skjer på grunnlag av EUs standardavtaler (SCC) eller EU–USA-rammeverket for personvern (Data Privacy Framework, DPF).
| Underleverandør | Funksjon | Region / overføringsgrunnlag |
|---|---|---|
| Supabase | Database og autentisering | Stockholm, EU/EØS |
| Vercel | Hosting og CDN | USA-selskap – DPF / SCC |
| Stripe | Betaling | USA-selskap – DPF / SCC |
| Resend | Transaksjonell e-post | EU-region |
| Sentry | Feilovervåking | USA-selskap – DPF / SCC |
| Anonymisert annonsekonverteringsmåling | USA – DPF / SCC |
Sentry brukes kun til feilovervåking. Vi gjør ingen sesjonsopptak av bruken deres.
Vi bruker ingen sporings- eller markedsføringscookies. Den eneste cookien vi setter, er en nødvendig sesjonscookie for innlogging. Google Ads kjører med Consent Mode v2 der alle samtykker er avslått, altså uten cookies.
Sårbarhetsrapportering
Finner dere en sårbarhet, vil vi gjerne høre om den. Send funn til kontakt@kravklar.no. Vi tar imot rapporter etter prinsippet om ansvarlig rapportering og svarer så raskt vi kan. En maskinlesbar kontaktfil finnes på /.well-known/security.txt.
Hendelsesvarsling
Ved et sikkerhetsbrudd som berører personopplysninger, varsler vi berørte kunder uten ugrunnet opphold. Vi bistår også den behandlingsansvarlige – kunden – med å oppfylle pliktene som følger av bruddet.
Databehandleravtale
Betalende kunder kan få en databehandleravtale (DPA) som regulerer hvordan vi behandler personopplysninger på deres vegne. Ta kontakt på kontakt@kravklar.no, så ordner vi det.
Eierskap og eksport
Dataene tilhører dere, ikke oss. Dere kan når som helst eksportere dataene i et maskinlesbart format, laste ned PDF-rapporten og be om sletting. Dere er ikke låst til oss, og dere tar med dere det dere har lagt inn.
Sist oppdatert: juni 2026