Compliance Dashboard
Realtidsövervakning av regulatorisk efterlevnad
AI Act Gap-analys pågår — 3 kritiska krav kvarstår. Deadline: 30 juni 2026. Ansvarig: Anna Lindqvist.
87%
COMPLIANCE SCORE
↑ +3% från förra månaden
Mål: 92% till Q3
Öppna Findings
12
3 kritiska · 6 medel · 3 låg
↑ +2 från förra veckan
Aktiva Policyer
24
3 under review · 1 utgången
→ Oförändrat
Nästa Audit
15 Jun
ISO 27001 extern revision
43 dagar kvar
Risk-score
34
Skala 0–100 · Medel
↓ -5 från förra kvartalet
Certifieringar
3/6
ISO 9001 · GDPR · PCI DSS
↑ 1 ny sedan feb
Övervakade Regelverk
8
GDPR · ISO · AI Act · SOC 2 +4
→ Stabilt
Regelverk — Status
GDPR
EU General Data Protection Regulation
✅ Compliant
ISO 27001
Information Security Management
⚠️ Under certifiering
AI Act
EU Artificial Intelligence Act
🔴 Gap-analys pågår
SOC 2
System & Organization Controls
⚠️ Planerad
PCI DSS
Payment Card Industry Standards
✅ Compliant
NIS2
Network & Information Security Dir.
⚠️ Utvärdering
Kritiska Findings
3 kritiska
FIND-2026-047
Otillräcklig loggning av AI-beslut
AI Act kräver spårbarhet för automatiserade beslut av hög risk. Saknar audit trail för quiXzoom-rekommendationer.
FIND-2026-041
DPA-avtal saknas för 2 leverantörer
Databehandlingsavtal krävs enligt GDPR Art. 28 för alla personuppgiftsbiträden. Saknas för Cloudflare Analytics och Wavult CRM.
FIND-2026-039
Penetrationstest saknas 2025
ISO 27001 A.12.6 kräver regelbunden sårbarhetstestning. Senaste pentest: mars 2024.
Kommande Deadlines
15 maj 2026
DPA-avtal Cloudflare & Wavult CRM
GDPR Art. 28 · Ansvarig: Marcus Holm
01 jun 2026
Penetrationstest genomfört
ISO 27001 A.12.6 · Ansvarig: Erik Svensson
15 jun 2026
ISO 27001 Extern Revision
Bureau Veritas · Scope: 3 bolag
30 jun 2026
AI Act Gap-analys klar
Annex III high-risk system · Anna Lindqvist
30 sep 2026
SOC 2 Type I Audit
Trust Service Criteria
Utbildningsstatus
GDPR Grundkurs18/22 klara
Informationssäkerhet14/22 klara
AI Act Medvetenhet8/22 klara
Antikorruption21/22 klara
Visselblåsarpolicy19/22 klara
Compliance Score — Trend 12 månader
Regelverk
Övervakning av tillämpliga lagar, direktiv och standarder
Compliant
2
GDPR, PCI DSS
Under arbete
3
ISO 27001, SOC 2, NIS2
Gap-analys
1
AI Act
Nästa review
Jun '26
ISO 27001 extern
Regulatorisk kartläggning
| Regelverk | Typ | Scope | Status | Ansvarig | Senaste Review | Nästa Deadline | Risk |
|---|---|---|---|---|---|---|---|
| GDPR EU 2016/679 |
EU-förordning | Alla bolag | ✅ Compliant | Marcus Holm | 14 apr 2026 | 25 maj 2026 | Medel |
| ISO 27001:2022 Infosäk standard |
ISO-standard | AAMOS Inc, quiXzoom | ⚠️ Under certifiering | Erik Svensson | 10 mar 2026 | 15 jun 2026 | Hög |
| AI Act EU 2024/1689 |
EU-förordning | AMOS, quiXzoom AI | 🔴 Gap-analys pågår | Anna Lindqvist | 02 maj 2026 | 30 jun 2026 | Kritisk |
| SOC 2 Type I AICPA TSC |
US-standard | quiXzoom SaaS | ⚠️ Planerad | Petra Nilsson | — | 30 sep 2026 | Medel |
| PCI DSS v4.0 Payment security |
Branschstandard | Betalflöden | ✅ Compliant | Jonas Berg | 01 mar 2026 | 01 mar 2027 | Låg |
| NIS2 EU 2022/2555 |
EU-direktiv | Kritisk infrastruktur | ⚠️ Utvärdering | Erik Svensson | 20 apr 2026 | 31 aug 2026 | Medel |
Compliance per bolag
Wavult AB (SE)
GDPR✅
ISO 2700172%
NIS245%
quiXzoom AB
GDPR✅
SOC 230%
AI Act40%
AAMOS Finance
GDPR✅
PCI DSS✅
ISO 2700168%
Policy-bibliotek
24 aktiva policyer · 3 under review · 1 utgången
Aktiva
24
Under Review
3
Utgångna
1
Kategorier
7
Policydokument
| Namn | Kategori | Version | Godkänd av | Gäller från | Nästa review | Status | Åtgärd |
|---|---|---|---|---|---|---|---|
| Informationssäkerhetspolicy | Infosäk | v3.1 | Erik Svensson | 01 jan 2026 | 01 jan 2027 | Aktiv | |
| Integritetspolicy (Privacy) | GDPR | v2.4 | Marcus Holm | 25 maj 2025 | 25 maj 2026 | Review krävs | |
| Acceptabel Användning (AUP) | Infosäk | v2.0 | Erik Svensson | 01 feb 2026 | 01 feb 2027 | Aktiv | |
| Lösenordspolicy | Infosäk | v4.2 | Petra Nilsson | 01 mar 2026 | 01 sep 2026 | Aktiv | |
| AI-användningspolicy | AI Act | v1.0 | Anna Lindqvist | 01 apr 2026 | 01 apr 2027 | Under review | |
| Incidentrespons-policy | Infosäk | v2.1 | Erik Svensson | 15 jan 2026 | 15 jan 2027 | Aktiv | |
| Riskhanteringspolicy | Risk | v3.0 | Erik Svensson | 01 okt 2025 | 01 okt 2026 | Aktiv | |
| Fjärråtkomstpolicy | Infosäk | v1.3 | Petra Nilsson | 01 dec 2024 | 01 dec 2025 | Utgången! | |
| Leverantörspolicy | Inköp | v2.0 | Jonas Berg | 15 mar 2026 | 15 mar 2027 | Aktiv | |
| Antikorruptionspolicy | HR | v1.5 | Erik Svensson | 01 jan 2026 | 01 jan 2027 | Aktiv |
Riskregister
Compliance- och säkerhetsrisker
Kritiska (15–25)
3
Höga (10–14)
7
Medel (5–9)
14
Låga (1–4)
22
3 kritiska risker kräver omedelbar åtgärd. Nästa riskkommitté-möte: 08 maj 2026.
Riskregister — Compliance Risker
| Risk-ID | Beskrivning | Kategori | Sannolikhet | Konsekvens | Riskvärde | Ägare | Status |
|---|---|---|---|---|---|---|---|
| R-001 | AI-system klassad som hög risk utan certifiering quiXzoom matchningsalgoritm |
AI Act | 5 | 5 | 25 — Kritisk | Anna Lindqvist | Öppen |
| R-002 | Dataintrång via tredjepartsleverantör GDPR Art. 33 anmälningsplikt inom 72h |
GDPR | 3 | 5 | 15 — Kritisk | Marcus Holm | Åtgärd pågår |
| R-003 | ISO 27001-certifiering förloras Kundkontrakt kräver aktiv certifiering |
ISO 27001 | 3 | 5 | 15 — Kritisk | Erik Svensson | Åtgärd pågår |
| R-004 | Bristfällig åtkomstkontroll interna system Minsta privilegium ej implementerat |
Infosäk | 4 | 3 | 12 — Hög | Petra Nilsson | Planerad |
| R-005 | NIS2-krav ej fullt utvärderade Kan klassas som väsentlig entitet |
NIS2 | 3 | 4 | 12 — Hög | Erik Svensson | Utvärdering |
| R-006 | Saknade Cookie-samtycken på 3 sajter | GDPR | 4 | 2 | 8 — Medel | Marcus Holm | Stängd |
Revisioner & Audits
Interna och externa revisionsplan 2026
Slutförda
3
Q1 2026
Pågående
2
ISO + AI Act
Planerade
5
Q2-Q4 2026
Öppna Fynd
12
Från senaste audit
Revisionsplan 2026
| Revision | Typ | Datum | Scope | Revisor | Status | Fynd | Rapport |
|---|---|---|---|---|---|---|---|
| GDPR Intern Audit Q1 | Intern | 15 feb 2026 | Art. 30, 32, 33, 35 | Compliance Team | Slutförd | 4 fynd (0 krit) | |
| Informationssäkerhetsrevision | Intern | 01 mar 2026 | ISO 27001 Annex A | Marcus Holm | Slutförd | 8 fynd (2 krit) | |
| AI Act Gap-analys | Extern | 15 apr – 30 jun 2026 | Annex III high-risk AI | Deloitte AI Advisory | Pågående | 3 fynd hittills | |
| ISO 27001 Extern Certifiering | Extern | 15 jun 2026 | Fullständig ISMS | Bureau Veritas | Planerad | — | — |
| Leverantörsrevision — AWS | Intern | 01 aug 2026 | DPA, infosäk, SLA | Marcus Holm | Planerad | — | — |
| SOC 2 Type I Audit | Extern | 01 sep – 30 sep 2026 | TSC: Security, Availability | KPMG | Planerad | — | — |
| NIS2 Beredskapsrevision | Intern | 15 okt 2026 | Art. 21 säkerhetsåtgärder | Compliance Team | Planerad | — | — |
| Årsrevision Q4 GDPR | Intern | 15 nov 2026 | Fullständig GDPR-genomgång | Compliance Team | Planerad | — | — |
Incidentlogg
Compliance- och säkerhetsincidenter 2025–2026
Öppna
2
Under utredning
1
Stängda 2026
7
MTTR snitt
4.2d
Incidenter — Compliance & Säkerhet
| ID | Datum | Typ | Allvarlighetsgrad | Beskrivning | Status | RCA | Stängt |
|---|---|---|---|---|---|---|---|
| INC-2026-011 | 28 apr 2026 | GDPR Breach | Hög | Felskickad e-post med kunddata till extern part 47 registrerade drabbade |
Öppen | Mänskligt fel | — |
| INC-2026-010 | 20 apr 2026 | Policy-brott | Medel | Anställd delade konfidentiellt dokument via privat molntjänst | Under utredning | Pågår | — |
| INC-2026-009 | 05 apr 2026 | Infosäk | Hög | Misstänkt phishing-attack mot 3 medarbetare Inga uppgifter röjda |
Stängd | Social engineering | 12 apr 2026 |
| INC-2026-007 | 15 mar 2026 | Åtkomstkontroll | Medel | Ex-anställds konto fortfarande aktivt i 14 dagar | Stängd | Bristande offboarding-process | 20 mar 2026 |
| INC-2025-043 | 10 nov 2025 | GDPR Breach | Kritisk | Sårbarhet i API exponerade kunddata under 6 timmar Anmält till IMY inom 72h |
Stängd | API-valideringsfel | 25 nov 2025 |
Compliance-utbildning
Utbildningsstatus per medarbetare och kurs
Avklarade (alla kurser)
8
av 22 medarbetare
Delvis klara
10
1–3 kurser kvar
Overdue
4
Deadline passerad
Snitt completion
74%
Kurser — Completion rate
GDPR Grundkurs (obligatorisk)18/22 (82%)
Deadline: 30 apr 2026 · 4 medarbetare overdue
Informationssäkerhet (obligatorisk)14/22 (64%)
Deadline: 31 maj 2026
AI Act Medvetenhet8/22 (36%)
Deadline: 15 jun 2026
Antikorruption21/22 (95%)
Slutförd
Visselblåsarpolicy19/22 (86%)
Overdue medarbetare4 stycken
KL
Karin Larsson
Sälj · 3 kurser overdue
PO
Per Olsson
Teknik · 2 kurser overdue
ME
Maria Ekberg
HR · 1 kurs overdue
TA
Tomas Åberg
Finance · GDPR overdue
Utbildningsstatus — Alla medarbetare
| Medarbetare | Avdelning | GDPR | Infosäk | AI Act | Antikorr. | Visselblåsare | Totalt |
|---|---|---|---|---|---|---|---|
| Erik Svensson | Ledning | ✅ | ✅ | ✅ | ✅ | ✅ | 5/5 |
| Anna Lindqvist | Compliance | ✅ | ✅ | ✅ | ✅ | ✅ | 5/5 |
| Marcus Holm | Legal/Compliance | ✅ | ✅ | ✅ | ✅ | ✅ | 5/5 |
| Petra Nilsson | IT/Säkerhet | ✅ | ✅ | ⏳ | ✅ | ✅ | 4/5 |
| Jonas Berg | Finance | ✅ | ✅ | ⏳ | ✅ | ✅ | 4/5 |
| Karin Larsson | Sälj | ❌ | ❌ | ❌ | ✅ | ⏳ | 2/5 |
| Per Olsson | Teknik | ✅ | ❌ | ❌ | ✅ | ✅ | 3/5 |
Cookies & DPIA
DPIA-register, Behandlingsregister (Art. 30 GDPR), Cookiepolicyer
DPIA genomförda
5
DPIA under arbete
2
Behandlingsaktiviteter
28
Cookiepolicyer att uppdatera
2
DPIA-register
| System/Process | Rättslig grund | Risknivå | Status | Datum |
|---|---|---|---|---|
| quiXzoom AI-matchning Automatiserade beslut | Art. 6(1)(b) | Hög | Pågår | Maj 2026 |
| AMOS Analytics | Art. 6(1)(f) | Medel | Godkänd | Jan 2026 |
| HR-system (personuppgifter) | Art. 6(1)(b) | Medel | Godkänd | Mar 2025 |
| Marketing automation | Art. 6(1)(a) | Medel | Pågår | Apr 2026 |
| Kameraövervakning kontor | Art. 6(1)(f) | Hög | Godkänd | Jun 2025 |
Cookie-policyer per domän
| Domän | Typ | Samtycke | Uppdaterad | Status |
|---|---|---|---|---|
| wavult.com | Marketing + Analytics | Aktiv CMP | 15 jan 2026 | OK |
| quixzoom.se | Funktionell + Analytics | Behöver uppdatering | Mar 2025 | ⚠️ Uppdatera |
| amos.wavult.com | Session + Auth | Tekniska cookies | 01 mar 2026 | OK |
| landvex.se | Analytics + Ads | Ingen CMP | — | ❌ Saknas |
Behandlingsregister Art. 30 GDPR (urval)
| Behandlingsaktivitet | Syfte | Personkategori | Rättslig grund | Lagring | Mottagare |
|---|---|---|---|---|---|
| Kundregister | Avtalshantering | Kunder | Art. 6(1)(b) | 7 år (bokföring) | Fortnox, intern |
| Löneadministration | Lönebetalning | Anställda | Art. 6(1)(b) | 10 år | Skatteverket, Visma |
| Webbanalys | Förbättra tjänst | Besökare | Art. 6(1)(a) | 26 månader | Google Analytics |
| quiXzoom Jobbprofiler | Matchning | Jobbsökande | Art. 6(1)(b) | 2 år | Arbetsgivare (med samtycke) |
| Support & ärenden | Kundtjänst | Kunder | Art. 6(1)(b) | 3 år | Wavult Support |
Leverantörs-compliance
Third-party risk management · DPA-avtal · Certifieringar
DPA tecknade
18
DPA saknas
2
Riskbedömning pågår
3
Total leverantörer
23
Leverantörsregister — GDPR/Infosäk
| Leverantör | Tjänst | Land | DPA | Certifieringar | Risk | Kontakt | Status |
|---|---|---|---|---|---|---|---|
| AWS | Molninfrastruktur | 🇺🇸 USA/EU | ✅ Tecknat | ISO 27001, SOC 2 | Medel | aws-dpa@amazon.com | Aktiv |
| Stripe | Betalningsprocess | 🇺🇸 USA/EU | ✅ Tecknat | PCI DSS, SOC 2 | Medel | privacy@stripe.com | Aktiv |
| Google Workspace | Produktivitet | 🇺🇸 USA/EU | ✅ Tecknat | ISO 27001, SOC 2 | Medel | — | Aktiv |
| Cloudflare Analytics | Webbanalys | 🇺🇸 USA | ❌ Saknas! | — | Hög | privacy@cloudflare.com | Action req. |
| Wavult CRM | CRM/Marketing | 🇺🇸 USA | ❌ Saknas! | ISO 27001 | Hög | privacy@hubspot.com | Action req. |
| Fortnox | Bokföring | 🇸🇪 Sverige | ✅ Tecknat | ISO 27001 | Låg | gdpr@fortnox.se | Aktiv |
| Wavult Support | Kundtjänst | 🇺🇸 USA/EU | ✅ Tecknat | ISO 27001, SOC 2 | Medel | privacy@zendesk.com | Aktiv |
| Visma | Löneadmin | 🇸🇪 Sverige | ✅ Tecknat | ISO 27001 | Låg | gdpr@visma.com | Aktiv |
Kontrollbibliotek — ISO 27001 Annex A
93 kontroller · Status per domän
Implementerade
61
66%
Partiellt
22
24%
Saknas
10
11%
Ej tillämpligt
7
av 93 totalt
A.5 Org. Kontroller (37)
28 impl · 7 partiell · 2 saknas
A.6 Personal (8)
7 impl · 1 partiell
A.7 Fysisk (14)
10 impl · 4 partiell
A.8 Teknisk (34)
20 impl · 8 partiell · 6 saknas
Kontroller (urval — kritiska)
| ID | Kontroll | Domän | Status | Ansvarig | Kommentar |
|---|---|---|---|---|---|
| A.5.1 | Policies för informationssäkerhet | Org. | Implementerad | Anna Lindqvist | Senast reviewed jan 2026 |
| A.5.7 | Hotunderrättelse | Org. | Partiell | Petra Nilsson | Manuell process, ej automatiserad |
| A.5.23 | Informationssäkerhet vid molntjänster | Org. | Partiell | Petra Nilsson | AWS täckt, övrigt saknas |
| A.8.7 | Skydd mot skadlig kod | Tekn. | Implementerad | Petra Nilsson | CrowdStrike aktivt |
| A.8.8 | Hantering av tekniska sårbarheter | Tekn. | Saknas | Petra Nilsson | Pentest ej genomfört 2025 |
| A.8.15 | Loggning | Tekn. | Partiell | Petra Nilsson | AI-beslut loggas ej |
| A.8.16 | Övervakningsaktiviteter | Tekn. | Implementerad | Petra Nilsson | AWS CloudWatch + Grafana |
| A.8.24 | Användning av kryptografi | Tekn. | Implementerad | Petra Nilsson | TLS 1.3, AES-256 |
| A.8.28 | Säker kodning | Tekn. | Saknas | Petra Nilsson | SAST/DAST verktyg ej implementerat |
Compliance-rapporter
Dashboard-export, gap-analys, management-rapporter
📊
Compliance Dashboard PDF
Sammanfattning av compliance-status för styrelse och ledning
🔍
Gap-analys Rapport
Detaljerad analys av gap vs. ISO 27001, AI Act och GDPR
📋
Management-rapport
Exekutiv sammanfattning för styrelseprotokoll, Q2 2026
🛡️
GDPR Art. 30 Rapport
Behandlingsregister för IMY-inlämning
⚖️
Risk-rapport Q2
Riskregister med heatmap och åtgärdsplan
🎓
Utbildningsrapport
Completion-rates per medarbetare och kurs
Senaste rapporter
| Rapport | Typ | Skapad | Av | Period | Åtgärd |
|---|---|---|---|---|---|
| Compliance Dashboard Q1 2026 | 01 apr 2026 | Anna Lindqvist | Jan–Mar 2026 | ||
| ISO 27001 Gap-analys v2 | 15 mar 2026 | Marcus Holm | Feb–Mar 2026 | ||
| GDPR Årsrapport 2025 | 31 jan 2026 | Marcus Holm | 2025 | ||
| Leverantörsriskbedömning Q4 | Excel | 15 jan 2026 | Anna Lindqvist | Q4 2025 |
Compliance-kalender
Deadlines, audits, certifieringsförnyelser, momsdeklarationer
Maj 2026
Mån
Tis
Ons
Tor
Fre
Lör
Sön
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
8 maj — Riskkommittémöte
15 maj — DPA Cloudflare & Wavult CRM deadline
25 maj — GDPR-dag (årsdag EU)
30 maj — Styrelsemöte
Juni 2026
Mån
Tis
Ons
Tor
Fre
Lör
Sön
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
2 jun — Pentest slutförd
15 jun — ISO 27001 Extern Revision (Bureau Veritas)
29 jun — Momsdeklaration Q2
30 jun — AI Act Gap-analys klar
Kommande compliance-deadlines — Hela 2026
| Datum | Händelse | Typ | Regelverk | Ansvarig | Status |
|---|---|---|---|---|---|
| 08 maj | Riskkommittémöte Q2 | Möte | Intern | Erik Svensson | Kommande |
| 15 maj | DPA Cloudflare + Wavult CRM | Deadline | GDPR Art. 28 | Marcus Holm | Kritisk |
| 25 maj | GDPR Dataskyddsdagen — interna utbildningar klara | Utbildning | GDPR | Anna Lindqvist | Pågår |
| 01 jun | Penetrationstest genomfört | Deadline | ISO 27001 A.12.6 | Petra Nilsson | Planerad |
| 15 jun | ISO 27001 Extern Revision — Bureau Veritas | Audit | ISO 27001 | Erik Svensson | Förbereder |
| 29 jun | Momsdeklaration Q2 | Skatt | Skattelag | Jonas Berg | Kommande |
| 30 jun | AI Act Gap-analys klar | Deadline | AI Act | Anna Lindqvist | Pågår |
| 31 aug | NIS2 Utvärdering klar | Rapport | NIS2 | Erik Svensson | Planerad |
| 30 sep | SOC 2 Type I Audit start | Audit | SOC 2 | Petra Nilsson | Planerad |
| 31 okt | Lönerevision klart | HR | Arbetsrätt | HR-chef | Planerad |
| 30 nov | Certifieringsförnyelse ISO 9001 | Certifiering | ISO 9001 | Marcus Holm | Planerad |