IT-säkerhet och GDPR
Den här sidan är till för dig som ansvarar för IT-säkerhet eller dataskydd hos en organisation som utvärderar Cowrite. Här beskriver vi hur Cowrite är uppbyggt, hur personuppgifter hanteras och vad som gäller kring ansvar, säkerhet och radering. Uppgifterna speglar driftmiljön per mars 2026.
Vad Cowrite är
Cowrite är en svensk AI-tjänst som hjälper jobbsökande att skriva CV och personligt brev samt träna inför intervjuer. Tjänsten har funnits sedan 2018 och används i dag av flera stora svenska organisationer och deras medlemmar och anställda.
Användaren svarar på frågor om sin bakgrund och jobbet hen söker. Utifrån svaren skapas ett textförslag som användaren fritt redigerar, väljer grafisk profil för och laddar ned som PDF eller Word. Dokumenten sparas på användarens konto, och användaren kan dela dem inom systemet med t.ex. en jobbcoach för feedback.
Så sitter tjänsten ihop
Webbplatsen
cowrite.com är en statisk informationssida. Här skapas inga konton och lagras inga personuppgifter. Analys- och marknadsföringsskript laddas först efter aktivt samtycke.
Appen
Själva tjänsten körs på app.cowrite.com i Google Clouds EU-region eur3 (Belgien/Nederländerna). Det är här användaren skapar sitt konto, skriver sina dokument och hanterar sina uppgifter.
Anslutningen
Er organisation ansluts på ett av två sätt: via en länk eller landningssida där användaren skapar ett eget konto hos Cowrite, eller via SSO mot ert system. Anslutningsmodellen avgör ansvarsrollerna.
Bakom tjänsten finns Google Cloud / Firebase (Google Ireland Ltd, EU) för infrastruktur, databas, autentisering och lagring, samt Google Gemini (EU) som AI-motor. Googles datacenter är certifierade enligt ISO 27001, SOC 2 och SOC 3, och personuppgiftsbiträdesavtal finns med samtliga underbiträden. En fullständig förteckning finns i GDPR-dokumentet nedan.
Inloggning, SSO och vem som är personuppgiftsansvarig
Användare loggar in med e-postadress och lösenord, eller via socialt konto (OpenID Connect). Lösenord lagras hashade med branschstandard (bcrypt/scrypt) i Firebase Authentication.
Ansvarsfördelningen följer anslutningsmodellen.
Utan SSO är Cowrite personuppgiftsansvarig. Ansluts era användare via länk eller landningssida skapar de ett eget konto direkt hos Cowrite och samtycker aktivt till behandlingen. Er organisation överför inga uppgifter till oss och behöver därför inte teckna något personuppgiftsbiträdesavtal.
Med SSO är Cowrite personuppgiftsbiträde och er organisation personuppgiftsansvarig för de uppgifter som överförs. Hanteringen regleras då i ett personuppgiftsbiträdesavtal mellan er och Cowrite.
Vilka personuppgifter som behandlas
Cowrite behandlar de uppgifter användaren själv lämnar för att skapa sina ansökningshandlingar: kontaktuppgifter, profilbild, utbildning och meriter, arbetslivserfarenhet, kompetenser, intressen samt eventuella referenser.
Insamlingen är medvetet minimerad: vi ber bara om det som behövs för att skapa relevanta dokument. Användningsanalys (Firebase Analytics) aktiveras först efter uttryckligt samtycke via Google Consent Mode v2 och gallras automatiskt efter högst 14 månader.
Säkerhetsåtgärder
Kryptering
All lagrad data krypteras med AES-256, med nycklar hanterade via Google Cloud KMS. All kommunikation sker över TLS 1.2 eller högre. Backuper omfattas av samma kryptering.
Driftmiljö
Google Cloud Platform med brandväggar, DDoS-skydd, VPC-nätverksisolering och redundans. Fysiskt skydd enligt Googles certifieringar (ISO 27001, SOC 2, SOC 3).
Loggning och sårbarheter
Relevanta system loggar användaraktivitet, systemåtkomst och säkerhetshändelser; loggar sparas i minst 12 månader skyddade mot obehörig åtkomst. Egenutvecklad kod sårbarhetsskannas regelbundet och brister åtgärdas efter risknivå.
Privacy by design
Dataminimering, anonymisering där det är möjligt och återkommande granskning av säkerhetsåtgärderna genom hela utvecklingsarbetet. Konsekvensbedömningar (DPIA) genomförs och dokumenteras vid behandlingar med hög risk.
Lagring, radering och användarens rättigheter
Uppgifterna sparas så länge kontot är aktivt. Ett konto som inte använts på sex månader räknas som inaktivt och raderas — användaren meddelas två veckor innan. Vid radering försvinner uppgifterna ur backuper inom 30 + 30 dagar; en begärd radering är alltså fullständigt genomförd inom högst 60 dagar.
Användaren kan när som helst exportera sina uppgifter i ett strukturerat, maskinläsbart format eller begära radering via support@cowrite.com. Begäranden om registrerades rättigheter (tillgång, rättelse, radering, dataportabilitet) hanteras inom 30 dagar utan kostnad.
Om något ändå händer
Cowrite har en dokumenterad incidenthanteringsplan med utsedd dataskyddsansvarig. Vid en personuppgiftsincident informeras berörd kundorganisation inom 24 timmar från upptäckt, och en slutrapport med incidenttyp, berörda personer, konsekvenser och åtgärder lämnas senast 72 timmar efter att incidenten är löst.
Incidenter som innebär risk för enskildas fri- och rättigheter anmäls till Integritetsskyddsmyndigheten (IMY) inom 72 timmar, och berörda användare informeras skyndsamt vid hög risk. Efter varje incident ses rutiner och skydd över.
Tillgänglighet och support
Tjänsten är normalt tillgänglig dygnet runt. Garanterad tillgänglighet enligt avtal: 98 % på årsbasis under vardagar kl. 08–18 och 97 % övrig tid, exklusive i förväg godkänt underhåll. Understigs nivån har kundorganisationen rätt till prisavdrag.
Användare har tillgång till mailsupport med en genomsnittlig svarstid under 24 timmar vardagar kl. 09–17. Kundorganisationer får kvartalsvisa uppföljningsmöten och kostnadsfria utbildningstillfällen via videolänk.
Dokument
Cowrite GDPR Compliance
Fullständig beskrivning av behandlingen: kategorier av uppgifter, underbiträden, tekniska och organisatoriska åtgärder, internationella överföringar och incidenthantering. Uppdaterat mars 2026.
Ladda ned (PDF)Avtalsunderlag
Allmänna villkor, tjänstebeskrivning och svar på IT-säkerhetskrav delas med er i samband med avtalsdiskussion. Även dokumentation av konsekvensbedömningar (DPIA) lämnas ut på begäran.
Begär dokumentationFrågor kvar?
Vi svarar gärna på fördjupande frågor om säkerhet, drift och dataskydd, och går igenom dokumentationen tillsammans med er.
info@cowrite.com