Sertifiseringer og roadmap

Versjon 1.0 · 29. mai 2026 · Ærlig status på hva vi har og hva som kommer

Kort fortalt: DigiReq har ingen formelle sertifiseringer i dag — vi er i pilot- og tidlig-produksjonsfase. Vi velger å være ærlige om dette i stedet for å late som. Roadmap nedenfor viser plan for hvilke rammeverk vi tar når kundebasen rettferdiggjør kostnaden.

1. Hva vi har i dag

1.1 GDPR-compliance

Påvakt AS har registrert behandlinger internt; ingen formell sertifisering kreves for at vi skal være GDPR-compliant.

1.2 Hetzners EU-hosting

Vår infrastruktur kjører på Hetzner Cloud i Helsinki-datasenteret (EU/EØS). Hetzner har:

Vi støtter oss på Hetzners sertifiseringer for fysisk og infrastruktur- sikkerhet, men har ikke selv ISO 27001-sertifisering for DigiReq-applikasjonen.

1.3 Andre sub-prosessor-sertifiseringer

2. Roadmap for formelle sertifiseringer

2.1 ISO/IEC 27001 — Informasjonssikkerhet

2.2 ISO/IEC 27701 — Personvern-utvidelse til 27001

2.3 SOC 2 Type II

2.4 NSM Grunnprinsipper for IKT-sikkerhet

2.5 Schrems II / Internasjonal data-overføring

2.6 Eksplisitt penetrasjons-test

2.7 WCAG 2.1 nivå AA-audit

3. Hva som kreves for kommunal salg i dag

Norske kommuner kan kjøpe SaaS-tjenester under den nasjonale terskelverdien på 1,3 MNOK eks. mva. årlig uten kunngjøringsplikt på Doffin (se /pris §4 for detaljer). For pilot- og tidlig-kommersialisering kreves derfor ikke formelle sertifiseringer. Det som faktisk forventes:

4. Hvis du trenger sertifiseringer vi ikke har

Hvis ditt anskaffelses-krav inkluderer ISO 27001 eller annet vi ikke har:

5. Transparens-prinsipp

Vi velger å være ærlige om sertifiserings-statusen. Det er to ting vi forplikter oss til:

  1. Aldri claim om sertifiseringer vi ikke har
  2. Når vi får en sertifisering — publisere den her med utstedelses-dato og gyldighets-periode

6. Kontakt

Dokument-versjon 1.0 · Sist oppdatert 29. mai 2026 · sikkerhet@digireq.no