Juridisk tryghed

Compliance & Dokumentation

Svarflow er bygget til EU's skrappeste krav fra dag 1 — ikke som eftertanke. Her finder du vores fulde juridiske dokumentation.

🛡️

GDPR

General Data Protection Regulation — forordning (EU) 2016/679

EU-hosting

Alle kundedata hostes udelukkende i EU (Frankfurt, AWS eu-central-1). Ingen overførsler til tredjelande.

Aktiv

Automatisk sletning

Samtalelogs og optagelser slettes automatisk efter 90 dage. Konfigurerbar ned til 30 dage på Pro og Enterprise.

Aktiv

Databehandleraftale (DPA)

Færdig og klar til underskrift. GDPR artikel 28-compliant. Leveres inden onboarding.

Aktiv

Anonymisering

Følsomme oplysninger (CPR-numre, helbredsdata, betalingskort) detekteres og anonymiseres automatisk inden AI-behandling.

Aktiv

Registreredes rettigheder

Indsigt, berigtigelse og sletning håndteres via dashboard. Svar inden 72 timer.

Aktiv

Databrud-notifikation

Automatisk varsling til dataansvarlig og Datatilsynet inden for 72 timer ved brud, i overensstemmelse med artikel 33.

Aktiv
📜

EU AI Act

Forordning (EU) 2024/1689 — Article 50 i kraft 2. august 2026

Article 50 Disclosure

Nora oplyser altid ved samtalens start, at den er en AI-assistent. Kravene fra Article 50 er opfyldt fra dag 1.

Aktiv

Eskaleringsret

Slutbrugere kan til enhver tid anmode om at blive viderestillet til et menneske. Eskaleringslogik er hardkodet og kan ikke deaktiveres.

Aktiv

Audit-log

Alle samtaler logges med tidsstempel, AI-respons-ID og operator-konfiguration til fuld revisionsspor.

Aktiv

Risikoklassificering

Nora klassificeres som "Limited Risk" under EU AI Act. Vi vedligeholder teknisk dokumentation i overensstemmelse med Article 11.

Aktiv

Menneskelig tilsyn

Operator-dashboard giver fuld kontrol. Nora kan sættes i "human-handoff"-tilstand for højrisiko-interaktioner.

Aktiv

Løbende overholdelse

Vi følger GPAI Code of Practice og opdaterer implementeringen i takt med vejledning fra EU AI Office.

I pipeline
🔒

Datasikkerhed

Tekniske og organisatoriske sikkerhedsforanstaltninger

End-to-end kryptering

Al kommunikation krypteres med TLS 1.3 i transit. Data krypteres med AES-256 at rest.

Aktiv

Ingen CPR- eller sundhedsdata

CPR-numre og sundhedsoplysninger detecteres automatisk og ekskluderes fra AI-modellens kontekst.

Aktiv

SOC 2 Type II

Vores underprocessorer (AWS, Anthropic) er SOC 2 Type II-certificerede. Svarflow selv er under certificering.

Under certificering

ISO 27001

ISO 27001-certificering er planlagt til Q4 2026. ISMS er implementeret og intern audit er gennemført.

I pipeline

Adgangskontrol

RBAC med mindste-privilegium. Alle produktionssystem-adgange kræver MFA og logges til SIEM.

Aktiv

Penetrationstest

Ekstern pentest gennemføres minimum halvårligt af akkrediteret tredjepart. Seneste rapport: Q1 2026.

Aktiv
📄

Databehandleraftale

Klar til underskrift — leveres automatisk ved onboarding

Download Databehandleraftale (DPA)

Vores standardaftale dækker GDPR artikel 28-kravene fuldt ud: behandlingsformål, instruktionsbinding, underprocessorer, audit-rettigheder og brudprocedurer. Den er klar til underskrift inden for 24 timer efter anmodning.

Anmod om DPA Se oversigt

Sidst opdateret: maj 2026  ·  Spørgsmål? legal@svarflow.dk