1. Parterna

Detta biträdesavtal ingås mellan er som Personuppgiftsansvarig (kund av CyberKlar) och Mindverk AB (organisationsnummer 559582-5570), 125 52 Älvsjö, Sverige, som driver tjänsten CyberKlar (Personuppgiftsbiträde). Avtalet utgör en integrerad del av det abonnemangsavtal ni har med Mindverk AB och träder automatiskt i kraft när tjänsten börjar användas.

2. Behandlingens syfte och omfattning

2.1 Syfte

CyberKlar behandlar personuppgifter för att tillhandahålla NIS2-compliance-plattformen, vilket inkluderar kontohantering, AI-genererad dokumentation, risk- och incidenthantering, leverantörskedjebedömning, ledningsutbildning och export av styrelseunderlag.

2.2 Kategorier av registrerade

Anställda, konsulter och kontraktsanställda hos Kunden
Styrelseledamöter och ledande befattningshavare
Externa kontaktpersoner hos Kundens leverantörer
Berörda personer i samband med incidentrapportering

2.3 Typer av personuppgifter

Kontaktuppgifter (namn, e-post, roll)
Autentiseringsdata (hanteras via Clerk)
Användningsdata (inloggningar, åtgärder i plattformen)
Fritextuppgifter som Kunden matar in (t.ex. incidentbeskrivningar eller leverantörsnoteringar)

3. Biträdets skyldigheter

CyberKlar förbinder sig att:

Endast behandla personuppgifter enligt dokumenterade instruktioner från Kunden (abonnemangsavtalet + detta DPA).
Säkerställa att personal som har tillgång till uppgifterna är bundna av sekretess.
Vidta lämpliga tekniska och organisatoriska åtgärder enligt GDPR art. 32. Se avsnitt 5.
Bistå Kunden med att uppfylla de registrerades rättigheter enligt GDPR art. 15 till 22.
Bistå Kunden vid konsekvensbedömningar (DPIA) och förhandssamråd enligt GDPR art. 35 till 36.
Anmäla personuppgiftsincidenter till Kunden utan onödigt dröjsmål, dock senast inom 24 timmar från upptäckt. Anmälan sker via e-post till administratörens registrerade adress.
Vid avtalets upphörande radera eller återlämna all data enligt Kundens val inom 30 dagar.

4. Underbiträden

Kunden ger generellt tillstånd för följande underbiträden. Vid byte av underbiträde meddelas Kunden minst 30 dagar i förväg och Kunden har rätt att invända.

Supabase. Databas och lagring i Irland (eu-west-1, EU).
Clerk. Identitetshantering i USA under SCC.
Google Cloud Run. Applikationsdrift i europe-north1 Finland (EU).
Stripe. Betalningshantering i Irland och USA under SCC.
Maileroo. Transaktionell e-post i Australien under SCC.
OpenAI. AI-generering av policyer och sammanfattningar i USA under SCC. Avtalet utesluter träning på kunddata.
Upstash. Rate limiting och cache (EU).

För en strukturerad genomgång av vad AI-agenten faktiskt gör, vilka data som skickas och vad människan alltid beslutar, se /ai-transparens.

5. Tekniska och organisatoriska säkerhetsåtgärder

Kryptering. TLS 1.3 i transit, AES-256 at rest.
Åtkomstkontroll. Row Level Security i databasen, principen om minsta privilegiet, tvåfaktorsinloggning för administratörer.
Drift. Separerade miljöer (dev, staging, prod), Workload Identity Federation för CI/CD (inga långlivade nycklar), secrets i Google Secret Manager.
Loggning och spårbarhet. Central loggning i Google Cloud Logging, 90 dagars retention.
Backup. Dagliga automatiska backups hos Supabase med 7 dagars retention. Point-in-Time Recovery finns som tillvalsmodul och aktiveras vid kundbehov.
Säkerhetstester. Återkommande beroendeskanningar och kodgranskning via GitHub.

6. Dataöverföring till tredjeland

Huvuddelen av behandlingen sker inom EU/EES. De underbiträden som opererar utanför EU (Clerk, Stripe, Maileroo och OpenAI) omfattas av EU:s standardavtalsklausuler (SCC) och i tillämpliga fall kompletterande skyddsåtgärder enligt Schrems II.

7. Revision och granskning

Kunden har rätt att en gång per år, mot skriftligt meddelande minst 30 dagar i förväg, granska CyberKlars efterlevnad av detta biträdesavtal. Granskningen sker under kontorstid och på ett sätt som inte stör driften.

8. Ansvar

Parternas ansvar enligt detta biträdesavtal regleras av abonnemangsavtalets ansvarsbegränsning, med de undantag som följer av GDPR art. 82.

9. Varaktighet

Detta biträdesavtal gäller så länge CyberKlar behandlar personuppgifter för Kundens räkning. Vid avslut av abonnemanget upphör behandlingen och data raderas enligt avsnitt 3.

1. Parterna

2. Behandlingens syfte och omfattning

2.1 Syfte

2.2 Kategorier av registrerade

Anställda, konsulter och kontraktsanställda hos Kunden

Styrelseledamöter och ledande befattningshavare

Externa kontaktpersoner hos Kundens leverantörer

Berörda personer i samband med incidentrapportering

2.3 Typer av personuppgifter

Kontaktuppgifter (namn, e-post, roll)

Autentiseringsdata (hanteras via Clerk)

Användningsdata (inloggningar, åtgärder i plattformen)

Fritextuppgifter som Kunden matar in (t.ex. incidentbeskrivningar eller leverantörsnoteringar)

3. Biträdets skyldigheter

CyberKlar förbinder sig att:

Endast behandla personuppgifter enligt dokumenterade instruktioner från Kunden (abonnemangsavtalet + detta DPA).

Säkerställa att personal som har tillgång till uppgifterna är bundna av sekretess.

Vidta lämpliga tekniska och organisatoriska åtgärder enligt GDPR art. 32. Se avsnitt 5.

Bistå Kunden med att uppfylla de registrerades rättigheter enligt GDPR art. 15 till 22.

Bistå Kunden vid konsekvensbedömningar (DPIA) och förhandssamråd enligt GDPR art. 35 till 36.

Anmäla personuppgiftsincidenter till Kunden utan onödigt dröjsmål, dock senast inom 24 timmar från upptäckt. Anmälan sker via e-post till administratörens registrerade adress.

Vid avtalets upphörande radera eller återlämna all data enligt Kundens val inom 30 dagar.

4. Underbiträden

Kunden ger generellt tillstånd för följande underbiträden. Vid byte av underbiträde meddelas Kunden minst 30 dagar i förväg och Kunden har rätt att invända.

Supabase. Databas och lagring i Irland (eu-west-1, EU).

Clerk. Identitetshantering i USA under SCC.

Google Cloud Run. Applikationsdrift i europe-north1 Finland (EU).

Stripe. Betalningshantering i Irland och USA under SCC.

Maileroo. Transaktionell e-post i Australien under SCC.

OpenAI. AI-generering av policyer och sammanfattningar i USA under SCC. Avtalet utesluter träning på kunddata.

Upstash. Rate limiting och cache (EU).

För en strukturerad genomgång av vad AI-agenten faktiskt gör, vilka data som skickas och vad människan alltid beslutar, se /ai-transparens.

5. Tekniska och organisatoriska säkerhetsåtgärder

Kryptering. TLS 1.3 i transit, AES-256 at rest.

Åtkomstkontroll. Row Level Security i databasen, principen om minsta privilegiet, tvåfaktorsinloggning för administratörer.

Drift. Separerade miljöer (dev, staging, prod), Workload Identity Federation för CI/CD (inga långlivade nycklar), secrets i Google Secret Manager.

Loggning och spårbarhet. Central loggning i Google Cloud Logging, 90 dagars retention.

Backup. Dagliga automatiska backups hos Supabase med 7 dagars retention. Point-in-Time Recovery finns som tillvalsmodul och aktiveras vid kundbehov.

Säkerhetstester. Återkommande beroendeskanningar och kodgranskning via GitHub.

Personuppgiftsbiträdesavtal

1. Parterna

2. Behandlingens syfte och omfattning

2.1 Syfte

2.2 Kategorier av registrerade

2.3 Typer av personuppgifter

3. Biträdets skyldigheter

4. Underbiträden

5. Tekniska och organisatoriska säkerhetsåtgärder

6. Dataöverföring till tredjeland

7. Revision och granskning

8. Ansvar

9. Varaktighet

Personuppgiftsbiträdesavtal

1. Parterna

2. Behandlingens syfte och omfattning

2.1 Syfte

2.2 Kategorier av registrerade

2.3 Typer av personuppgifter

3. Biträdets skyldigheter

4. Underbiträden

5. Tekniska och organisatoriska säkerhetsåtgärder

6. Dataöverföring till tredjeland

7. Revision och granskning

8. Ansvar

9. Varaktighet