DynamicTime är en SaaS-tjänst för automatiserad tidrapportering, riktad till tjänsteföretag som konsultbolag, advokatbyråer och redovisningsbyråer. Det här dokumentet är en teknisk översikt för IT-avdelningar och säkerhetsfunktioner.
Vad DynamicTime är
DynamicTime samlar in metadata om arbetsrelaterade händelser (möten, mejl, filer, chattar, ärenden, commits) från användarens egna molnverktyg, klassificerar händelserna mot kundens projekt- och aktivitetsstruktur med hjälp av AI och genererar färdiga tidrapporter som användaren själv granskar och får godkända. Resultatet skickas vidare till lön- och faktureringssystem eller via e-post till utsedd mottagare.
Tjänsten levereras av DynamicTime AB (svenskt aktiebolag) som personuppgiftsbiträde till kunden. Åtaganden, ansvarsfördelning, servicenivåer och rutiner regleras i Allmänna villkor och i tillhörande Personuppgiftsbiträdesavtal som finns publikt tillgängliga på vår hemsida.
ISO-certifieringar och säker systemutveckling
DynamicTime AB är certifierat enligt ISO 9001 (kvalitet), ISO 14001 (miljö) och ISO 27001 (informationssäkerhet). ISO 27001-certifieringen innebär att vi har ett dokumenterat och externt granskat ledningssystem för informationssäkerhet (ISMS) som omfattar bland annat risk- och sårbarhetshantering, behörighetsstyrning, leverantörsbedömning, kryptering, incidenthantering och kontinuitetsplanering. Certifikat och tillhörande Statement of Applicability lämnas ut under sekretess vid leverantörsbedömning.
Som en del av ledningssystemet tillämpar vi en livscykel för säker systemutveckling. Det innebär bland annat att säkerhets- och dataskyddskrav vägs in redan i kravställning och design (privacy and security by design), att all kod genomgår kollegial granskning innan den driftsätts, att förändringar levereras via en kontrollerad CI/CD-process med automatiserade tester och spårbarhet från ändring till release, samt att utvecklingsmiljö, testmiljö och produktionsmiljö är åtskilda. Tredjepartsbibliotek hålls uppdaterade och bevakas löpande mot kända sårbarheter. Vid större förändringar genomförs riskbedömning enligt vår ISMS-rutin innan driftsättning.
Drift och datalagring
DynamicTime AB tillämpar principen att personuppgifter ska behandlas inom EU/EES i största möjliga utsträckning. All infrastruktur driftas i Microsoft Azure inom EU. I första hand placeras kunddata i Azures svenska region. När en specifik tjänstkomponent inte är tillgänglig i Sverige används närmsta region inom Norra Europa.
Plattformens egna komponenter för drift, databaser, filsystem, säkerhetskopior och loggning är fullt ut placerade inom EU/EES och lämnar inte detta område.
Det enda undantaget från EU/EES-behandlingen är anrop till tjänstens AI-komponent (se separat avsnitt om AI), som idag sker mot Anthropics API i USA. Den överföringen omfattar endast metadata, aldrig innehåll i mejl, möten, dokument eller chattmeddelanden — och skyddas av EU-kommissionens standardavtalsklausuler enligt artikel 46.2(c) GDPR. Anthropic är ett ISO-certifierat AI-företag med ett etablerat ledningssystem för informationssäkerhet och AI-styrning. Aktuella certifieringar (inklusive ISO 27001, ISO 42001 och SOC 2 Type II), DPA samt aktuell underbiträdes- och säkerhetsdokumentation finns tillgängliga via Anthropics Trust Center på trust.anthropic.com.
Plattformen bygger genomgående på hanterade molntjänster i Azure, vilket innebär att grundläggande säkerhetsuppdateringar av operativsystem, runtime och plattformskomponenter hanteras löpande av Microsoft. Driftsansvar för applikationen ligger hos DynamicTime AB. Kunden har inte direkt åtkomst till databaser eller annan infrastruktur.
DynamicTime AB tillämpar löpande leverantörsbedömning av samtliga underbiträden och tjänsteleverantörer som en del av vårt ledningssystem för informationssäkerhet. Bedömningen omfattar säkerhets- och dataskyddsåtgärder, certifieringsstatus, geografisk placering av databehandling samt leverantörens egna underleverantörer. Resultatet av bedömningen påverkar val av leverantör och kan medföra byte av underbiträde om förutsättningarna förändras väsentligt.
Tillgänglighet, redundans och backup
Databastjänsten har inbyggd hög tillgänglighet inom regionen, vilket innebär att kortvariga fel på enskilda noder hanteras automatiskt av plattformen utan märkbar påverkan för användaren.
Säkerhetskopiering sker kontinuerligt och möjliggör återställning till valfri tidpunkt inom retention-perioden. Backuper lagras dessutom geo-redundant i en parad Azure-region inom EU, vilket innebär att systemet har en säkerhetskopia även om den primära regionen skulle drabbas av en omfattande störning.
Dataminimering och åtkomstprinciper
DynamicTime är byggt för att hantera så lite data som möjligt och för att skydda integriteten både gentemot användarens kollegor, chefer och vår egen personal.
Endast metadata sparas, aldrig innehåll
Plattformen lagrar metadata om arbetshändelser, exempelvis mötesrubriker, tidpunkter, domäner, filnamn och ärenderubriker. Innehållet i t.ex. mejl, möten, dokument, chattmeddelanden och commits lagras inte.
Endast användaren själv kan se sin egen kommunikation
En chef, organisationsadministratör eller godkännare kan se användarens tidrapporter och de aktiviteter som tiden fördelats på, men kan inte se vilka enskilda mejl, möten eller filer som ligger bakom. Hämtning av sådan information sker alltid i användarens egen kontext, med användarens egna behörigheter mot källsystemet, och resultatet är synligt enbart för användaren själv. Tidrapporten som skickas vidare till godkännande och fakturering innehåller projekt och tid, inte underliggande mejl eller dokument.
Begränsad åtkomst för DynamicTime AB:s personal
Vår personal har inte rutinmässig åtkomst till kunders data. Mejl, möten, dokument och annat innehåll i kundens källsystem är inte åtkomligt för vår personal överhuvudtaget, eftersom vi inte lagrar sådant innehåll. Tidrapporter och tillhörande metadata kan nås av en mycket begränsad krets driftspersonal, men endast vid uttryckligt supportärende från kunden eller användaren och i den utsträckning som behövs för att lösa ärendet. All sådan åtkomst loggas. Vi tillämpar principen om minsta privilegium: behörigheter ges bara till de roller som behöver dem och granskas regelbundet enligt vår ISMS-rutin.
Säkerhet i applikationen
Inloggning och identitet
Användarna kan logga in på flera sätt:
- med Microsoft-konto (federerad inloggning mot Microsoft Entra ID, både arbetskonton och privata konton)
- med Google-konto (federerad inloggning mot Google)
- med engångskod skickad till användarens e-postadress
Vid federerad inloggning gäller identitetsleverantörens egna policyer för MFA, villkorsstyrd åtkomst och enhetshantering fullt ut. Återkallning av åtkomst hos identitetsleverantören slår igenom omedelbart vid nästa tokenförnyelse. Vid inloggning med engångskod genereras en kortlivad kod som endast är giltig under en begränsad tid och endast kan användas en gång. Kunder som vill begränsa inloggning till ett specifikt sätt, exempelvis enbart sitt eget Entra ID, kan konfigurera det per organisation.
Sessionshantering
Backend utfärdar kortlivade signerade åtkomsttokens som förnyas via separat refresh-flöde. Refresh-tokens lagras hashade så att de inte är användbara även om databasen skulle exponeras. Signeringsnycklar hanteras genom plattformens skyddade nyckellagring.
Behörighetsmodell
Rollbaserad åtkomstkontroll med tydlig åtskillnad mellan användare, organisationsadministratörer och godkännare. Driftspersonal hos DynamicTime AB använder separata administratörskonton, frikopplade från kundernas rollstruktur, och varje supportåtkomst till kunddata loggas.
Multi-tenancy
Plattformen är logiskt separerad multi-tenant.
Kryptering
- I transit: TLS 1.2 eller högre, med tvingande HTTPS-omdirigering.
- I vila: AES-256 på databas- och filnivå genom plattformens standardmekanismer.
Loggning och spårbarhet
Skrivande operationer auditloggas (användare, tidsstämpel, förändring) och känsliga fält som tokens maskeras. Inloggningar loggas separat. Anomalidetektering och larm hanteras genom plattformens övervakningstjänster.
Personuppgifter och underbiträden
DynamicTime AB är personuppgiftsbiträde till kunden. Vårt Personuppgiftsbiträdesavtal, som finns publikt på hemsidan, reglerar ändamål, behandlingstyp, lagringstider, gallring, registerutdrag, rättelse och rutin vid personuppgiftsincident.
Aktuella underbiträden:
- Microsoft för molninfrastruktur och inloggningstjänst
- Google för inloggningstjänst (när användaren väljer det)
- Anthropic för AI-funktionalitet, se separat avsnitt
Aktuell underbiträdeslista och rutin för förändring av underbiträden specificeras i Personuppgiftsbiträdesavtalet.
DynamicTime fungerar i grunden som en koppling mellan system som kunden själv äger relationen med. Datakällorna (Microsoft 365, Google Workspace, Slack, Teams, GitHub, Azure DevOps, Linear med flera) är kundens egna system och kopplingen sker via OAuth med läsbehörigheter på användarens egen behörighetsnivå. Kopplingen kan kopplas bort av användaren när som helst. Exportmålen (Fortnox, Visma, Billecta med flera) är på samma sätt kundens egna system, dit godkända tidrapporter skickas vidare. Eftersom kunden själv är personuppgiftsansvarig för dessa system och själv har avtal med respektive leverantör, hanteras de inte som underbiträden under DynamicTime AB, utan som avtalsparter direkt till kunden.
AI och vad som skickas externt
DynamicTime använder Anthropic Claude som AI-komponent i delar av tjänsten. Hur AI används i detalj är en del av vår produkt och beskrivs inte vidare här, men vi är fullt transparenta med vilken data som lämnar plattformen.
Det som skickas till Anthropic
Metadata om arbetshändelser: mötes- och händelserubriker, tidsstämplar och längder, filnamn och dokumenttitlar samt ärenderubriker. För deltagare i möten och kommunikation skickas endast domändelen av e-postadressen (delen efter @), inte själva användarnamnet, vilket gör att enskilda personer inte kan identifieras utifrån adressen. Vidare skickas kundens projekt- och aktivitetsstruktur i form av namn och beskrivningar, så att AI:n kan göra relevanta bedömningar mot rätt kontext. Även tidrapporter i strukturerat format skickas.
Det som inte skickas
Innehåll i mejl, möten, dokument, chattmeddelanden eller commits — sådant innehåll lagras inte ens i plattformen och kan därför inte heller skickas vidare. Fullständiga e-postadresser till mötesdeltagare eller avsändare skickas inte heller. Lönedata, ekonomiska data och uppgifter från Fortnox, Visma eller andra exportmål delas inte med AI-tjänsten.
Anropet sker över TLS mot Anthropics API i USA. Anthropic agerar som underbiträde under EU-kommissionens standardavtalsklausuler enligt artikel 46.2(c) GDPR (se "Drift och datalagring"). Enligt Anthropics villkor används API-data inte för modellträning och raderas efter en kort lagringsperiod. AI-funktionaliteten kan slås av per kundorganisation, tjänsten fungerar då utan AI-stöd. All AI-användning loggas per användare för spårbarhet och kostnadskontroll.
Support och incidenthantering
Support tillhandahålls av DynamicTime AB via e-post och webbformulär. Aktuella öppettider, servicenivåer (responstid och åtgärdstid per ärendeklass), eskaleringsvägar och kontaktuppgifter regleras i Allmänna villkor.
Säkerhetsärenden och misstänkta personuppgiftsincidenter har en separat kontaktväg som specificeras i avtalet. Vid bekräftad personuppgiftsincident följs den incidenthanteringsrutin som beskrivs i Personuppgiftsbiträdesavtalet, inklusive tidsfrist för anmälan till kund. Driftstörningar kommuniceras proaktivt till utsedd kundkontakt. Underliggande molntjänster har leverantörens SLA, applikationens mål-SLA framgår av Allmänna villkor.
Avveckling och dataportabilitet
Vid avtalets slut raderas kundens data enligt den rutin som beskrivs i Allmänna villkor. På begäran kan data exporteras i strukturerat format före radering. Aggregerad och anonymiserad statistikdata kan i förekommande fall behållas, vilket framgår av Personuppgiftsbiträdesavtalet.
Vidare information
För djupare genomgång, exempelvis ISO 27001-certifikat med Statement of Applicability, fullständig underbiträdeslista och detaljerat säkerhetsdatablad, hänvisas till vår säkerhetskontaktväg enligt Allmänna villkor.
DynamicTime AB · Org. nr 559515-6901 · Forskargatan 3, 781 70 Borlänge · support@dynamictime.se