Säkerhet & data
Er data. Ert ansvar. Vår skyldighet.
Föreningar hanterar personnummer, barns uppgifter och ekonomisk data. Vi tar det på allvar.
Datalagring
EU-lagring
All data lagras i EU — Neon PostgreSQL i Frankfurt. Vi använder inga amerikanska molntjänster för datalagring.
Kryptering
Data krypteras i transit (TLS 1.3) och i vila. Personnummer krypteras separat med applikationsnyckel.
Säkerhetskopiering
Automatisk backup varje timme med 30 dagars retention. Point-in-time recovery vid behov.
Dataägarskap
All data tillhör er förening. Exportera allt när som helst i standardformat. Om ni avslutar raderas data efter 90 dagar.
GDPR & Personuppgifter
Personuppgiftsbiträde
Föreningsmotorn agerar personuppgiftsbiträde enligt GDPR. Vi behandlar data enbart på föreningens uppdrag och enligt vårt biträdesavtal (DPA).
Samtycken med revisionslogg
Varje samtycke loggas med tidsstämpel, IP-adress och version av villkorstexten. Föreningen kan bevisa samtycke vid granskning.
Rätt till radering
Medlemmar kan begära radering. Systemet hanterar beroenden (fakturor, närvaro) och anonymiserar där radering inte är lagligt möjlig.
Personnummerhantering
Personnummer krypteras och används enbart för LOK-stöd, IdrottOnline-synk och dubblettdetektering. Ni bestämmer vilka roller som ser fullständiga personnummer.
Åtkomstkontroll
Rollbaserad åtkomstkontroll: föreningsadmin, sektionsledare, tränare, målsman. Varje roll ser bara det de behöver.
Applikationssäkerhet
Autentisering
JWT-baserad autentisering med kort giltighetstid. Refresh tokens roteras automatiskt.
API-säkerhet
Rate limiting, input-validering och CORS-konfiguration. Alla endpoints kräver autentisering.
Revisionslogg
Alla administrativa åtgärder loggas: vem gjorde vad, när, från vilken IP.
Incidenthantering
Definierad process för säkerhetsincidenter. Ni meddelas inom 72 timmar vid dataintrång, enligt GDPR.