Sikkerheit og datavern
Korleis vi handterer data, tilgang og avtaler.
Tendr er bygd slik at innkjøps-, IT- og sikkerheits-funksjonar i mellomstore og store verksemder skal kunne godkjenne bruken utan å måtte gå gjennom ein lang DPIA-prosess. Sida her er det offentlege grunnlaget. Avtaler og dokumentasjon utleverast på førespurnad.
Data-residency
All kunde-data ligg i Supabase (Postgres) i EU-regionen (Stockholm). All AI-prosessering går mot Anthropic Claude og OpenAI sine API-endepunkt med standard Zero Data Retention (ZDR) for kommersielle kundar.
For verksemder med strengare krav tilbyr vi Sovereign Cloud-tier: eige Supabase-prosjekt i EU, customer-pinna LLM via AWS Bedrock Frankfurt med BYOK (bring your own key), signert SCCs. Sjå Sovereign Cloud-planen.
Audit-trail
Alle endringar i kunde-data — innlogging, kapabilitets-endring, tilbods-redigering, tildelings-override — blir logga i ein append-only audit-tabell med tidsstempel, brukar-ID, ressurs-ID og IP-adresse.
Logg-retention er 12 månader som standard. Lengre retention tilgjengeleg på Enterprise- og Sovereign-tier. Innebygd audit-dashboard for tenant-administratorar med filter på handling, ressurs-type og dato. Logg kan eksporterast til SIEM (Splunk, Sentinel) via API på Enterprise.
Sjå live audit-dashboard på /tendr/audit etter innlogging.
Tilgangs-styring
Standard login er e-post + eingangs-kode (magic link), 30 min sesjons-utløp på inaktiv, 24-timars maks. Rolle-baserte rettar per tenant: viewer, editor,admin.
Azure AD / Entra ID single sign-on (SAML) er tilgjengeleg som tillegg på Enterprise-tier via WorkOS. Vi aktiverer ved kundespesifikk avtale, typisk innan 2 veker frå signering.
Krypterings-standardar
Data at rest: AES-256 i Supabase Postgres + S3 (kunde-dokument). Data in transit: TLS 1.3 på alle endepunkt. Sensitive felt (LLM-prompt- parametrar, library-dokument) er kryptert med tenant-spesifikk DEK (envelope-encryption) for Enterprise og Sovereign-tier.
GDPR og DPA
Erik Harry B Høydal Consulting (org.nr 936 955 533 MVA) er behandlingsansvarleg. Databehandlar-avtale (DPA) etter GDPR art. 28 er tilgjengeleg på førespurnad og vert signert som del av Enterprise- eller Sovereign-avtaler.
Underleverandørar: Supabase (EU), Anthropic (US-API med ZDR), OpenAI (US-API for embeddings, ZDR). Liste over alle underleverandørar med formål oppdatert kvartalsvis i DPA-vedlegg.
Rett til innsyn, retting, sletting og portabilitet håndterast innan 30 dagar etter dokumentert førespurnad til dpo@erikharry.no.
SLA — driftsoppetid og support
| Plan | Driftsoppetid | Support-respons (verkedagar) |
|---|---|---|
| Scout / Bid | 99.0 % månadleg, best-effort | Innan 48 timar |
| Enterprise | 99.5 % månadleg, SLA-kreditt | Innan 8 timar, dedikert kontakt |
| Sovereign Cloud | 99.9 % månadleg, SLA-kreditt | Innan 4 timar, dedikert kontakt + on-call |
Geplanlagt vedlikehald blir varsla minst 7 dagar i forvegen og lagt utanfor norsk kontortid (07-17) når mogleg. Status og hendingar publiserast på status-side (etablerast for Enterprise-kundar).
EU AI Act og openheit om AI-bruk
Tendr brukar generativ AI (large language models) til to formål: (1) tolke og strukturere anbudsdokument, (2) foreslå tilbodstekst basert på kunden sitt eige bibliotek.
AI-genererte forslag i tilbudsbyggjaren har obligatorisk pre-submit-disclosure: før endeleg PDF/DOCX-eksport stadfestar brukaren at AI-bruk er kjent og dokumentert. Kjelde-referansar ([L1], [A2] osv.) visast inline og kan klikkast for kjelde-vising. Vi tar ALDRI eit AI-svar utan kjelde-spor.
Kontakt for vurdering
For IT- eller innkjøps-funksjonar som skal vurdere Tendr: be om eit 30-min teknisk møte. Vi går gjennom arkitektur, audit-trail, DPA-utkast og spesifikke krav.
Skriv til consult@erikharry.no eller bestill 30 min på Cal.com.
Sist oppdatert: 2026-05-26. Endringar i dette dokumentet varslast eksisterande kundar minst 30 dagar i forvegen.