Grundkrav på en säker företagsväxel
Säkerhet i en företagsväxel handlar om både teknik och organisation. Kraven nedan ska ses som ett minimum 2026.
- TLS- och SRTP-kryptering av all samtalstrafik
- Datalagring inom EU (helst Sverige)
- Tvåfaktorsautentisering (2FA / SSO)
- Rollbaserad åtkomstkontroll (RBAC)
- Loggning och audit trail
- ISO 27001 eller motsvarande certifiering
- Redundans i två datacenter
GDPR och personuppgifter i telefoni
En företagsväxel behandlar personuppgifter: telefonnummer, samtalslogg, inspelningar och i AI-fall även transkriberingar. GDPR ställer krav på laglig grund, ändamål, lagringstid och säkerhetsåtgärder.
Samtalsinspelning – så gör ni rätt
Samtalsinspelning är vanligt i kundtjänst och säljorganisationer, men kräver eftertanke.
- Informera om inspelning innan samtalet
- Dokumentera laglig grund
- Sätt en raderingsrutin (ofta 30–90 dagar)
- Begränsa åtkomsten till inspelningar
- Tillåt kunder att begära radering
DPA och underbiträden
Teckna DPA med växelleverantören och be om en lista över underbiträden (datacenter, AI-leverantör, mailtjänst). Underbiträden får inte vara utanför EU utan giltig överföringsmekanism.
Säkerhet vid AI-receptionist
När AI hanterar samtal skapas extra dataflöden: transkribering, sammanfattning, eventuella vektoriseringar. Säkerställ att AI-leverantören inte tränar på era samtal, att data raderas efter behandling och att allt ligger inom EU.
Vill du gå vidare med en konkret lösning?