diff --git a/NEXT_STEPS.md b/NEXT_STEPS.md
index 98f3cef4..f573f614 100644
--- a/NEXT_STEPS.md
+++ b/NEXT_STEPS.md
@@ -59,6 +59,13 @@
 
 ## Notering 2026-04-20
 
+## Notering 2026-04-21
+
+- Rollskydd i frontend (middleware) och backend (admin på endpoints) är nu heltäckande.
+- Rate limiting, CORS-låsning och JWT_SECRET-krav är på plats.
+- Konsol-loggar borttagna ur backend.
+- Kvar: Kryptering av PII (e-post, namn i databasen), automatisering av seed_all.sql vid fresh install.
+
 Den senaste versionen av `db/seeds/seed_all.sql` är pushad till utvecklingsmiljön, men har **ännu inte körts** på databasen. Nästa gång vi vill uppdatera kategoriträdet måste seed-scriptet köras manuellt:
 
 ```bash