Compliance & Efterlevnadspolicy

Version: 2.0
Giltighet: Oktober 2025
Ansvarig: Chief Compliance Officer
Nästa översyn: April 2026

 

1. Introduktion och Syfte

Detta dokument definierar Riflas efterlevnadsramverk för AI-driven dataextraktion och dokumenthantering. Som leverantör av kritiska datatjänster till revisionsbyråer och företag med stora dokumentvolymer, har Rifla höga krav på säkerhet, integritet och regelefterlevnad.

1.1 Omfattning

Denna policy gäller för:

  • Alla anställda, konsulter och underleverantörer till Rifla AB
  • All behandling av kunddata och personuppgifter
  • Alla IT-system, AI-modeller och infrastruktur
  • Alla affärsprocesser som involverar känslig information

2. Juridiskt Ramverk och Regelefterlevnad

2.1 GDPR (General Data Protection Regulation)

Rifla efterlever samtliga krav enligt EU:s dataskyddsförordning (EU) 2016/679:

Artikel 5 – Grundläggande Principer

  • Laglighet och transparens: All databehandling sker med tydlig rättslig grund
  • Ändamålsbegränsning: Data används endast för specificerade ändamål
  • Dataminimering: Endast nödvändig data behandlas och lagras (artikel 5.1c)
  • Riktighet: Kontinuerlig validering av dataextraktion (80% tillförlitlighet på nyckeldata)
  • Lagringsminimering: Automatisk radering enligt kundspecifika policies
  • Integritet och konfidentialitet: AES-256 kryptering och rollbaserad åtkomst

Artikel 25 – Privacy by Design & Default

  • Säkerhet och integritetsskydd integrerat från systemdesign
  • Standardinställningar som minimerar datablottställning
  • Kryptering aktiverad som standard för all datatransmission
  • Granulär åtkomstkontroll implementerad på fältnivå

Artikel 32 – Säkerhet

  • Kryptering av data i transit och i vila (AES-256)
  • Regelbundna säkerhetstester och penetrationstester
  • Pseudonymisering och anonymisering där möjligt
  • Säkerhetskopiering enligt 3-2-1 principen

Artikel 33 & 34 – Dataintrång

  • Incidenthanteringsplan med notifiering inom 72 timmar
  • Automatisk loggning av alla säkerhetsincidenter
  • Transparent kommunikation med berörda registrerade

2.2 Bokföringslagen (BFL 1999:1078)

Rifla stödjer kunder i att uppfylla bokföringslagens krav:

  • § 5: All dokumentation som ligger till grund för bokföring bevaras
  • § 7: Verifikationer och räkenskapsinformation bevaras i 7 år
  • § 10: Kalibrering för svenska bokföringsregler och dokumentformat
  • § 13: Revision och spårbarhet via fullständig audit trail

2.3 Årsredovisningslagen (ÅRL 1995:1554)

  • Stöd för dokumentation som krävs för årsredovisning
  • Spårbarhet i alla transaktioner och dokumentändringar
  • Säkerställande av arkiveringsunderlag för revision

2.4 Arkivlagen (1990:782)

  • Systematisk arkivering enligt god arkivstandard
  • Metadata och indexering för snabb återfinnbarhet
  • Långtidslagring i beständiga format (PDF/A)

2.5 AI Act (EU) 2024/1689

Som AI-system för affärskritiska dokument klassificeras Rifla som begränsad risk:

  • Transparens: Tydlig kommunikation om AI-användning
  • Human-in-the-Loop: Mänsklig validering av extraherad data
  • Riskbedömning: Kontinuerlig utvärdering av AI-prestanda
  • Dokumentation: Fullständig dokumentation av AI-träning och beslut

2.6 NIS2-direktivet (Network and Information Security)

  • Cyberhotidentifiering och incidenthantering
  • Säkerhetsåtgärder för kritisk infrastruktur
  • Rapportering av allvarliga incidenter till Myndigheten för samhällsskydd och beredskap

3. Datasäkerhet och Informationsskydd

3.1 Kryptering

  • I transit: TLS 1.3 för all datakommunikation
  • I vila: AES-256 kryptering med kundspecifika nycklar
  • Nyckelhantering: Separation mellan krypterings- och dekrypteringsnycklar
  • Zero-Knowledge Arkitektur: Rifla kan inte dekryptera kunddokument utan kundnycklar

3.2 Dataplacering och Jurisdiktion

  • Primär hosting: AWS Frankfurt (eu-central-1)
  • Sekundär backup: EU/EES-region inom unionen
  • Garanterad dataresidency: Data lämnar aldrig Europeiska unionen
  • Europeisk jurisdiktion: Svensk och EU-lagstiftning gäller

3.3 Åtkomstkontroll och Behörigheter

Rollbaserad Åtkomst (RBAC)

  • Partner: Full åtkomst till alla kundärenden och dokument
  • Senior Manager: Åtkomst till tilldelade kunder och underställda
  • Associates: Åtkomst endast till egna tilldelade ärenden
  • Läsbehörighet: Begränsad till specifika dokumenttyper

Granulär Fältnivå-åtkomst

  • Kontroll per datafält (ex: ekonomiska värden, personuppgifter)
  • Dynamisk åtkomst baserat på dokumentkategori och innehåll
  • Separation av duties mellan roller

Teknisk Implementation

  • Multi-Factor Authentication (MFA) obligatorisk
  • Integration med Azure AD, LDAP och SAML SSO
  • SCIM-provisioning för automatisk användarhantering
  • Automatisk sessionstimeout efter 30 minuters inaktivitet

3.4 Audit Trail och Loggning

  • Fullständig spårbarhet: Alla åtkomster loggas med tidsstämpel, användar-ID, IP-adress och specifik handling
  • Oföränderlighet: Loggar skrivskyddas och kan inte raderas eller ändras
  • Lagringsperiod: Minst 24 månader, anpassningsbart per kund
  • SIEM-integration: Export till kundernas befintliga säkerhetssystem
  • Realtidsövervakning: Aktivitetslogg och statusstatistik tillgänglig i realtid

3.5 Säkerhetskopiering och Disaster Recovery

  • 3-2-1 princip: 3 kopior, 2 olika medier, 1 offsite
  • RPO (Recovery Point Objective): Max 1 timme dataförlust
  • RTO (Recovery Time Objective): System återupptas inom 4 timmar
  • Regelbundna tester: Kvartalsvis testning av återställningsprocesser

4. AI-etik och Modellhantering

4.1 Zero Data Training-garanti

  • Strikt separation: Kunddokument används ALDRIG för AI-träning
  • Endast för extraktion: Kunddata processas enbart för kundens ändamål
  • Offentliga dataset: AI-modeller tränas på anonymiserade, offentliga dataset
  • Transparent AI-utveckling: Tydlig dokumentation av träningsdata

4.2 Adaptiv AI-träning

  • Kundspecifika modeller tränas på kundens feedback och godkända data
  • Kontinuerlig förbättring av träffsäkerhet på kundspecifika dokumenttyper
  • Isolerad träning per kund – ingen delning av modeller mellan kunder

4.3 Bias-hantering och Rättvisa

  • Regelbunden utvärdering av AI-prestanda per dokumenttyp
  • Identifiering och åtgärd av systematiska fel
  • Transparent rapportering av modellbegränsningar

4.4 Förklarbarhet och Transparens

  • Human-in-the-Loop process för validering
  • Konfidenspoäng för varje extraherat datafält
  • Möjlighet att spåra AI-beslut tillbaka till källdokument

5. Tredjepartshantering och Leverantörskedja

5.1 Due Diligence

  • Säkerhetsgranskning av alla kritiska leverantörer
  • GDPR-kompatibla databehandlingsavtal (DPA)
  • Årlig omprövning av leverantörers säkerhetsstatus

5.2 Cloud Service Provider (AWS)

  • ISO 27001, SOC 2 Type II certifierad
  • Datacenters inom EU/EES
  • Regelbunden granskning av AWS compliance-rapporter

5.3 Underleverantörer

  • Skriftligt godkännande krävs för alla underleverantörer
  • Samma säkerhetskrav som för Rifla
  • Transparens gentemot kunder om använd leverantörskedja

6. Incidenthantering och Krishantering

6.1 Incidenthanteringsplan

Fas 1: Identifiering (0-1 timme)

  • Automatisk detektion via SIEM och säkerhetsövervakning
  • Eskalering till säkerhetsansvarig vid misstänkt incident
  • Initial bedömning av incidentens allvarlighetsgrad

Fas 2: Begränsning (1-4 timmar)

  • Isolering av drabbade system
  • Blockering av komprometterad åtkomst
  • Bevarande av forensisk bevisning

Fas 3: Utrotning (4-12 timmar)

  • Identifiering och åtgärd av grundorsaken
  • Säkerställande att hotet är eliminerat
  • Verifiering av systemintegritet

Fas 4: Återställning (12-24 timmar)

  • Kontrollerad återstart av tjänster
  • Kontinuerlig övervakning av återställda system
  • Verifiering av normal drift

Fas 5: Rapportering och Uppföljning (24-72 timmar)

  • Notifiering till Datainspektionen inom 72 timmar (GDPR artikel 33)
  • Transparent kommunikation med berörda kunder
  • Post-incident review och åtgärdsplan

6.2 Kommunikationsplan

  • Intern: Omedelbar kommunikation till säkerhetsteam och ledning
  • Extern: Transparent kommunikation med berörda kunder
  • Myndigheter: Rapportering enligt GDPR och NIS2-krav

7. Användarhantering och Offboarding

7.1 Onboarding

  • Säkerhetsutbildning för alla nya användare
  • Bakgrundskontroller för anställda med höga behörigheter
  • Undertecknande av sekretessavtal (NDA)

7.2 Löpande Hantering

  • Årlig säkerhetsutbildning obligatorisk
  • Kvartalsvis granskning av användarbehörigheter
  • Automatisk avaktivering vid inaktivitet (90 dagar)

7.3 Offboarding

  • Omedelbar inaktivering av åtkomst vid avslut
  • Integration med HR-system för automatisk triggar
  • Bevarande av audit-loggar enligt bevaringspolicy
  • Återlämning av all företagsegendom och nycklar

8. Revision och Certifieringar

8.1 Externa Revisioner

  • Årlig ISO 27001 revision: Informationssäkerhet
  • SOC 2 Type II: Operationella kontroller
  • Penetrationstester: Kvartalsvis av oberoende säkerhetsföretag

8.2 Interna Revisioner

  • Kvartalsvis granskning av åtkomstkontroller
  • Månadsvis kontroll av säkerhetsloggar
  • Kontinuerlig övervakning av compliance-status

8.3 Kundspecifika Revisioner

  • Möjlighet för kunder att genomföra egna säkerhetsgranskningar
  • Tillhandahållande av compliance-dokumentation
  • Årlig rapportering av säkerhetsstatus

9. Personuppgiftshantering och Registrerades Rättigheter

9.1 Rättslig Grund för Behandling

  • Avtal: Behandling nödvändig för avtalsuppfyllelse
  • Rättslig förpliktelse: Bokföringslagen och skattelagstiftning
  • Berättigat intresse: Systemsäkerhet och bedrägeribekämpning

9.2 Registrerades Rättigheter

Rätt till Tillgång (Artikel 15)

  • Registrerade kan begära information om behandling
  • Utlämnande av personuppgifter inom 30 dagar

Rätt till Rättelse (Artikel 16)

  • Korrigering av felaktiga personuppgifter
  • Komplettering av ofullständiga uppgifter

Rätt till Radering (Artikel 17)

  • ”Glömskans rätt” vid återkallat samtycke
  • Automatisk radering enligt kundspecifika policies
  • Undantag för rättslig lagringsskyldighet (7 år enligt BFL)

Rätt till Dataportabilitet (Artikel 20)

  • Export av all kundens data i standardformat (CSV, JSON, XML)
  • Överföring av data till annan tjänsteleverantör

Rätt att Invända (Artikel 21)

  • Möjlighet att invända mot behandling baserad på berättigat intresse

9.3 Samtycke och Transparens

  • Tydlig information om databehandling vid onboarding
  • Möjlighet att hantera samtycken via användargränssnitt
  • Transparent information om AI-användning

10. Operationell Compliance

10.1 Dokumentation och Policies

  • Uppdatering av policies minst årligen
  • Versionskontroll av alla compliance-dokument
  • Tillgänglig dokumentation för alla anställda

10.2 Utbildning och Medvetenhet

  • Obligatorisk säkerhetsutbildning vid onboarding
  • Årlig uppdateringsutbildning
  • Regelbundna phishing-simuleringar
  • Kvartalsvis säkerhetsinformation till hela organisationen

10.3 Compliance Officer och Organisation

  • Dedikerad Chief Compliance Officer (CCO)
  • Dataskyddsombud (DPO) enligt artikel 37-39 GDPR
  • Säkerhetskommitté med representanter från alla avdelningar

 

Detta dokument är konfidentiellt och får endast distribueras till auktoriserade mottagare. Obehörig kopiering eller distribution är förbjuden.

Redo att automatisera er dokumenthantering?

Stoppa det manuella arbetet. Färre fel, sparad tid med full kontrollöver data.
Boka kostnadsfri demo idag
Rulla till toppen