1. Register över behandlingar

Krävs enligt Art. 30 GDPR — även för små företag. Dokumentera: vilka data, syfte, rättslig grund, lagringsperiod, mottagare. En enkel tabell räcker. PlotonIQ genererar denna översikt automatiskt.

2. Personuppgiftsbiträdesavtal (PUB)

Krävs med varje molntjänst som behandlar dina kunddata: redovisningsprogram, e-postverktyg, hosting, branschprogram. PlotonIQ tillhandahåller ett PUB. Begär ett från alla dina andra leverantörer.

3. Integritetspolicy

Specifik: vilka cookies, vilka analyser, vilka tredje parter, personuppgiftsansvariges kontaktuppgifter.

4. EU-servrar

Kunddata på amerikanska servrar är problematiskt efter Schrems II. Säkrast: tyska servrar. PlotonIQ: Hetzner Falkenstein, ISO 27001-certifierat. Inga överföringar till tredje land.

5. Lagringsperioder

Skattelag: 10 år för fakturor, 6 år för affärskorrespondens. Platsfoton: radera efter projekt + garantiperiod. Jobbansökardata: 6 månader efter avslag.

6. Kryptering

Transit: TLS 1.2+ (helst 1.3). Lagring: AES-256. Lösenord: bcrypt eller Argon2. API-nycklar: krypterade, aldrig klartext.

7. Åtkomstkontroll

Inte varje montör behöver tillgång till alla fakturor. Rollsystem: Admin (allt), Kontor (kunder, offerter, fakturor), Montör (egna jobb, tidrapportering).

8. Foton endast i hanterade appar

Platsfoton på personliga telefoner = kunddata på ohanterade enheter. Lösning: ta bilder i PlotonIQ-appen — krypterad uppladdning, aldrig lagrad på enheten.

9. Ersätt WhatsApp

WhatsApp delar metadata med Meta. Inte GDPR-kompatibelt utan Business API + PUB. För godkännanden: PlotonIQ kundportal med digital signering och tidsstämpel.

10. Konsekvensbedömning för geofencing

GPS-spårning för montörer kräver en dataskyddskonsekvensbedömning enligt Art. 35 GDPR. Dokumentera: syfte, rättslig grund, skyddsåtgärder. Anställda måste informeras.