Personuppgiftsbitradesavtal (DPA)

Detta personuppgiftsbitradesavtal ("DPA") ingår mellan:

• Personuppgiftsansvarig ("den Ansvarige"): Du som användare av Nordklart, i egenskap av ansvarig för de personuppgifter du registrerar i tjänsten (kunder, leverantörer, anställda m.fl.).
• Personuppgiftsbiträde ("Biträdet"): Nordklart AB, som tillhandahåller Nordklart-tjänsten och behandlar personuppgifter på dina vägnar.

Biträdet behandlar personuppgifter endast enligt den Ansvariges dokumenterade instruktioner, inklusive vid överföring av personuppgifter till tredjeland eller en internationell organisation, om inte unionsrätten eller svensk rätt ålägger Biträdet att göra det. I sådant fall informerar Biträdet den Ansvarige om det rättsliga kravet innan behandlingen sker, om inte sådan information är förbjuden enligt lag.

Om Biträdet anser att en instruktion strider mot GDPR eller andra dataskyddsbestämmelser ska Biträdet omedelbart informera den Ansvarige.

Biträdet behandlar personuppgifter för följande ändamål:

• Tillhandahållande av bokförings- och redovisningstjänster
• Lagring och arkivering av bokföringsmaterial
• Fakturering och betalningshantering
• Bankkontosynkronisering (PSD2)
• AI-assisterad kategorisering och kvittohantering (efter separat samtycke)

Kategorier av registrerade vars uppgifter behandlas:

• Den Ansvariges kunder (namn, kontaktuppgifter, organisationsnummer)
• Den Ansvariges leverantörer (namn, kontaktuppgifter, bankuppgifter)
• Den Ansvarige själv (kontouppgifter, företagsinformation)

Biträdet säkerställer att de personer som har behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt. Åtkomst till personuppgifter begränsas till personal som behöver uppgifterna för att fullgöra Biträdets åtaganden.

Biträdet vidtar följande åtgärder för att skydda personuppgifterna:

• Kryptering: All data krypteras i transit (TLS 1.3) och i vila (AES-256)
• Åtkomstkontroll: Row Level Security (RLS) säkerställer att varje användare enbart kan komma åt sina egna uppgifter
• Autentisering: Inloggning med e-post och lösenord (lösenord lagras endast som saltad hash, aldrig i klartext), tvåfaktorsautentisering (2FA via TOTP) samt BankID (på den hostade tjänsten). Tvåfaktorsautentisering kan krävas för åtkomst
• Integritetskontroll: SHA-256 checksummor för alla dokument, med regelbunden verifiering
• Revisionslogg: Alla ändringshandelser loggas automatiskt av databasen (ej redigerbara)
• Oföränderlig bokföring: Bokförda verifikationer kan inte ändras eller raderas (databasutlösare)
• Säkerhetskopior: Kontinuerliga databaskopior med point-in-time-recovery
• EU-lagring och EU-inferens: All primär datalagring sker i EU (Supabase, eu-north-1, Stockholm). AI-inferens sker, när AI-funktioner är aktiverade, inom EU via Amazon Bedrock (eu-north-1, Stockholm) — ingen överföring till tredje land

Biträdet använder underbiträden för att tillhandahålla tjänsten. En fullständig förteckning över underbiträden, inklusive syfte och geografisk plats, finns i vår integritetspolicy.

Biträdet kommer att informera den Ansvarige minst 30 dagar i förväg innan en ny underbiträde anlitas, så att den Ansvarige har möjlighet att invända.

Biträdet ålägger genom skriftligt avtal varje underbiträde samma dataskyddsskyldigheter som anges i detta avtal. Biträdet förblir fullt ansvarigt gentemot den Ansvarige för att underbiträdet fullgör sina skyldigheter.

Biträdet bistår den Ansvarige, genom lämpliga tekniska och organisatoriska åtgärder och i den mån det är möjligt, med att fullgöra den Ansvariges skyldighet att besvara begäran från registrerade om utövande av sina rättigheter enligt GDPR kapitel III (art. 12–23), däribland rätt till tillgång, rättelse, radering, begränsning, dataportabilitet och invändning.

Tjänsten tillhandahåller självbetjäningsfunktioner för export (SIE4, JSON, CSV) och radering som stöd för detta.

Vid en personuppgiftsincident ska Biträdet utan onödigt dröjsmål, och senast inom 72 timmar från det att incidenten upptäcktes, meddela den Ansvarige. Meddelandet ska innehålla:

• Typ av personuppgiftsincident
• Kategorier och ungefärligt antal registrerade som berörts
• Sannolika konsekvenser av incidenten
• Åtgärder som vidtagits eller föreslås för att hantera incidenten

Biträdet bistår den Ansvarige med att säkerställa att skyldigheterna enligt art. 32–36 i GDPR fullgörs, med beaktande av behandlingens art och den information som Biträdet har tillgång till. Detta omfattar säkerhet i behandlingen (art. 32), anmälan av personuppgiftsincidenter (art. 33–34), konsekvensbedömningar avseende dataskydd (art. 35, DPIA) samt förhandssamråd med Integritetsskyddsmyndigheten (IMY) (art. 36).

Den Ansvarige har rätt att, direkt eller genom en oberoende revisor, utföra revisioner och inspektioner för att säkerställa att Biträdet uppfyller sina åtaganden enligt detta avtal. Biträdet ska tillhandahålla all nödvändig information och medverka till revisioner.

Revisioner ska ske med rimligt varsel (minst 30 dagar) och under ordinarie kontorstider. Biträdet kan erbjuda alternativ i form av tredjepartsgranskningar eller certifieringar.

Vid uppsägning av tjänsten ska Biträdet, enligt den Ansvariges val:

• Återlämna: Exportera alla personuppgifter i maskinläsbart format (SIE4, JSON, CSV) via tjänstens exportfunktioner.
• Radera: Radera alla personuppgifter inom 30 dagar från användarens begäran, med undantag för uppgifter som måste bevaras enligt lag.

Undantag: Bokföringsmaterial som omfattas av Bokföringslagen (BFL) 7 kap. 2 § (7 års arkiveringskrav) raderas först när lagringsfristen löpt ut. Under denna period är materialet skyddat mot obehörig åtkomst och ändring.