Personuppgiftsbiträdesavtal

Enligt EU:s allmänna dataskyddsförordning (GDPR)

Senast uppdaterad: 2025-10-26

GDPR-compliant
NIS2-aligned
ISO 27001-certified

1. Inledning

Detta personuppgiftsbiträdesavtal ("PUB") reglerar SecuraPilot:s ("Personuppgiftsbiträdet") behandling av personuppgifter för kundens ("Personuppgiftsansvarig") räkning i enlighet med EU:s allmänna dataskyddsförordning (GDPR).

2. Definitioner

I detta avtal gäller följande definitioner enligt GDPR:

Personuppgift
All information som kan kopplas till en identifierad eller identifierbar fysisk person
Behandling
Varje åtgärd som vidtas med personuppgifter
Personuppgiftsansvarig
Den som bestämmer ändamål och medel för behandlingen
Personuppgiftsbiträde
Den som behandlar personuppgifter för den personuppgiftsansvariges räkning

3. Behandlingens ändamål och omfattning

Personuppgiftsbiträdet ska behandla personuppgifter för följande ändamål:

  • Tillhandahållande av SecuraPilot-plattformen
  • Teknisk support och underhåll
  • Säkerhetskopiering av data

4. Personuppgiftsbiträdets skyldigheter

Personuppgiftsbiträdet förbinder sig att:

  • Endast behandla personuppgifter enligt dokumenterade instruktioner från Personuppgiftsansvarig
  • Säkerställa att personer som behandlar personuppgifter har förbundit sig till sekretess
  • Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder
  • Inte anlita underbiträde utan skriftligt godkännande
  • Bistå Personuppgiftsansvarig med att uppfylla registrerades rättigheter
  • Radera eller återlämna personuppgifter när uppdraget är slutfört
  • Tillhandahålla information för att påvisa att skyldigheterna uppfylls

5. Säkerhetsåtgärder

Personuppgiftsbiträdet implementerar tekniska och organisatoriska säkerhetsåtgärder i enlighet med GDPR artikel 32, NIS2-direktivet och ISO 27001/27002-standarder:

Tekniska Åtgärder

  • Kryptering: End-to-end kryptering (AES-256) för data i transit och i vila
  • Lagring: Säker lagring i ISO 27001-certifierade svenska datacenter
  • Åtkomst: Multi-faktor autentisering (MFA) och rollbaserad åtkomstkontroll (RBAC)
  • Backup: Automatiska, krypterade säkerhetskopior med geografisk redundans
  • Övervakning: 24/7 säkerhetsövervakning med SIEM-system (Security Information and Event Management)
  • Nätverkssäkerhet: Brandväggar, intrångsskydd (IPS/IDS) och segmentering

Organisatoriska Åtgärder

  • Incidenthantering: Etablerade processer enligt NIS2-krav för detektion och rapportering
  • Säkerhetsutbildning: Regelbunden utbildning av personal i informationssäkerhet
  • Åtkomstkontroll: Principen om minsta möjliga behörighet (least privilege)
  • Leverantörshantering: Systematisk bedömning av underbiträden enligt ISO 27001
  • Revisioner: Regelbundna interna och externa säkerhetsrevisioner

ISO 27001-certifiering: SecuraPilot är certifierat enligt ISO 27001:2022, vilket innebär att vårt ledningssystem för informationssäkerhet (LIS) uppfyller internationella standarder och genomgår regelbundna oberoende revisioner.

6. Underbiträden

Personuppgiftsbiträdet använder följande godkända underbiträden:

  • Hostingleverantörer i Sverige för datalagring
  • E-posttjänster för systemnotifikationer

Alla underbiträden måste uppfylla samma säkerhetskrav som ställs på Personuppgiftsbiträdet.

7. Personuppgiftsintrång

Vid personuppgiftsintrång ska Personuppgiftsbiträdet utan onödigt dröjsmål underrätta Personuppgiftsansvarig och bistå med utredning och åtgärder.

Underrättelsen ska innehålla:

  • Beskrivning av intrångets karaktär
  • Uppskattning av berörda personer och datakategorier
  • Beskrivning av vidtagna och planerade åtgärder
  • Kontaktuppgifter för ytterligare information

8. Dataöverföring

All personuppgiftsbehandling sker inom EU/EES. Överföring till tredje land sker endast med explicit godkännande och lämpliga skyddsåtgärder enligt GDPR kapitel V.

9. Granskning och revision

Personuppgiftsansvarig har rätt att granska Personuppgiftsbiträdets efterlevnad av detta avtal genom:

  • Tillgång till relevant dokumentation
  • Granskningar på plats med rimligt förhandsvarsel
  • Begäran om information om behandlingen

SecuraPilot är ISO 27001-certifierat, vilket säkerställer systematisk informationssäkerhetshantering.

10. Avtalstid och uppsägning

Detta avtal gäller så länge Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvarigs räkning. Vid avtalets upphörande ska Personuppgiftsbiträdet:

  • Radera eller återlämna all persondata enligt Personuppgiftsansvarigs instruktioner
  • Radera befintliga kopior om inte lagring krävs enligt lag
  • Tillhandahålla skriftlig bekräftelse på genomförda åtgärder

11. Kontakt

För frågor om detta personuppgiftsbiträdesavtal, kontakta vårt dataskyddsombud:

Dataskyddsombud

E-post: dpo@securapilot.se