Detta databehandlingsavtal ("DBA" eller "Avtalet") ingås mellan Kunden och Swe1 AB och reglerar behandlingen av personuppgifter i samband med att Leverantören tillhandahåller tjänsten Northverify ("Tjänsten").
Avtalet utgör ett komplement till det kommersiella abonnemangsavtalet ("Huvudavtalet") och ska läsas tillsammans med Leverantörens integritetspolicy (northverify.com/integritetspolicy) och villkor för tjänsten (northverify.com/anvandarvillkor).
Parterna har kommit överens om att Leverantören, vid utförandet av Tjänsten, behandlar personuppgifter för Kundens räkning i egenskap av personuppgiftsbiträde i enlighet med vad som framgår av detta Avtal och Bilaga A.
I detta Avtal avses med:
Leverantören behandlar personuppgifter uteslutande i enlighet med Kundens dokumenterade instruktioner och i de syften som framgår av Bilaga A, och inte för egna ändamål.
Behandlingen omfattar de personuppgifter, kategorier av registrerade, behandlingsåtgärder och den behandlingstid som anges i Bilaga A.
Behandlingen utförs inom EU/EES om inget annat avtalats. Tredjelandsöverföring regleras i avsnitt 10.
Leverantören behandlar personuppgifter endast i enlighet med Kundens dokumenterade instruktioner, inklusive vad som föreskrivs i Avtalet, Bilaga A samt Huvudavtalet.
Om Leverantören anser att en instruktion strider mot GDPR eller tillämplig dataskyddslagstiftning ska Leverantören omedelbart informera Kunden om detta.
Leverantören informerar omgående Kunden om det enligt tillämplig unionsrätt eller medlemsstatslagstiftning krävs att Leverantören behandlar personuppgifter på ett sätt som avviker från Kundens instruktioner. I sådana fall ska Leverantören informera Kunden om det rättsliga kravet innan behandlingen påbörjas, om inte sådan information är förbjuden av skäl som rör viktiga allmänintressen.
Leverantören säkerställer att de personer som är behöriga att behandla personuppgifter har åtagit sig att iaktta konfidentialitet eller är bundna av en tillämplig lagstadgad tystnadsplikt.
Leverantören ger endast tillgång till personuppgifter till personal och underleverantörer i den mån det är nödvändigt för att fullgöra Avtalet, och då endast med minimala behörigheter (principle of least privilege).
Leverantören vidtar, med beaktande av den senaste tekniken, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska personers rättigheter och friheter, lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.
Åtgärderna innefattar bland annat:
En detaljerad beskrivning av Leverantörens tekniska och organisatoriska åtgärder finns tillgänglig på northverify.com/dataskydd-och-sakerhet och kan erhållas på begäran.
Kunden ger Leverantören ett generellt förhandsgodkännande att anlita underbiträden för behandling av personuppgifter, förutsatt att:
En aktuell lista över underbiträden finns tillgänglig på northverify.com/underbitraden.
Leverantören biträder Kunden, med beaktande av behandlingens art och med lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, vid fullgörandet av Kundens skyldighet att svara på begäran om utövande av den registrerades rättigheter (artiklarna 15–22 GDPR).
Leverantören biträder Kunden vid fullgörandet av skyldigheterna enligt GDPR artiklarna 32–36 (säkerhet, anmälan av säkerhetsincidenter, konsekvensbedömning och förhandssamråd).
Biträdande utöver vad som ingår i standardtjänsten kan debiteras enligt Leverantörens vid var tid gällande prislista.
Leverantören anmäler utan onödigt dröjsmål, och om möjligt inom 48 timmar från det att incidenten uppdagades, en säkerhetsincident avseende personuppgifter till Kunden. Anmälan ska innehålla:
Leverantören dokumenterar alla säkerhetsincidenter enligt artikel 33.5 GDPR. Incidenter anmäls till security@northverify.com.
Leverantören behandlar personuppgifter inom EU/EES som utgångspunkt. Om underbiträden är etablerade utanför EU/EES eller behandlar personuppgifter utanför EU/EES, säkerställer Leverantören att överföringen sker i enlighet med kapitel V GDPR, exempelvis genom:
Tillämpliga SCC-bilagan finns tillgänglig som Bilaga B eller kan erhållas på begäran via support@northverify.com.
Leverantören ger Kunden tillgång till all information som är nödvändig för att påvisa att skyldigheterna i detta Avtal fullgörs och möjliggör och bidrar till revisioner, inklusive inspektioner, som utförs av Kunden eller av en revisor som Kunden anlitat.
Granskning sker på Kundens bekostnad och med skälig förvarning (minst 30 dagar) och under ordinarie arbetstid. Leverantören kan kräva att revisorn undertecknar ett sekretessavtal.
Leverantören får tillhandahålla ett tredjepartsintyg (t.ex. ISO 27001-certifikat eller SOC 2-rapport) som bevis på uppfyllelse i stället för en fysisk granskning, om parterna är överens om detta.
Vid upphörande av Avtalet, eller på Kundens begäran, ska Leverantören:
Leverantören får behålla personuppgifter i den mån det krävs av unionsrätten eller nationell lag, och i sådant fall informera Kunden om de rättsliga kraven.
Kunden kan exportera sina personuppgifter när som helst via "Exportera mina data" i kontopanelen (northverify.com/account).
Avtalet gäller från undertecknandedatumet och fortsätter att gälla så länge Leverantören behandlar personuppgifter för Kundens räkning under Huvudavtalet.
Avtalet upphör automatiskt när Huvudavtalet upphör. Bestämmelserna om sekretess, radering och ansvar gäller efter avtalets upphörande.
Vardera parts ansvar under detta Avtal regleras av ansvarsbestämmelserna i Huvudavtalet om inget annat anges. I avsaknad av Huvudavtal är Leverantörens totala ansvar gentemot Kunden under Avtalet begränsat till det belopp Kunden betalat för Tjänsten under de senaste 12 månaderna.
Leverantören ansvarar för skada som orsakas av behandling som strider mot detta Avtal eller GDPR, om Leverantören inte kan visa att Leverantören inte på något sätt bär ansvaret för den händelse som orsakade skadan.
Avtalet regleras av svensk rätt. Tvister avgörs i första hand genom förhandling. Om parterna inte kan nå en lösning avgörs tvisten av allmän domstol med Stockholms tingsrätt som första instans.
Parterna har ingått detta Avtal genom underskrift nedan. Digitala underskrifter (t.ex. BankID, Scrive eller e-signatur) är likvärdiga med fysiska underskrifter.
Denna bilaga preciserar föremålet för och den relevanta aspekten av behandlingen av personuppgifter.
Personuppgifter behandlas under avtalstiden. Skanningsresultat sparas så länge kontot är aktivt (Free-konton: 30 dagar per scan). Uppsagda konton: all data raderas automatiskt 90 dagar efter uppsägning. Fakturauppgifter sparas i enlighet med bokföringslagen (7 år). Samtyckesloggar sparas i minst 24 månader (för juridisk bevisföring). Loggar för säkerhet och felspårning anonymiseras efter 12 månader.
Personuppgifter lagras primärt i EU (Supabase / Dublin, Irland). Se northverify.com/underbitraden för aktuell lista.
| Underbiträde | Tjänst | Plats | Rättslig grund för överföring |
|---|---|---|---|
| Supabase Inc. | Databas, autentisering, edge functions | EU (Dublin, IE) | SCC (2021/914/EU) |
| Cloudflare, Inc. | CDN, Workers runtime, DDoS-skydd | EU (primärt) | SCC (2021/914/EU) |
| Stripe, Inc. | Betalningsbehandling (lagrar inga kortuppgifter hos Northverify) | USA/EU | SCC (2021/914/EU) |
| Resend, Inc. | Transaktionell e-post | USA | SCC (2021/914/EU) |
| Sentry, Inc. | Felövervakning (kräver cookie-samtycke) | USA | SCC (2021/914/EU) |
Om personuppgifter överförs till ett land utanför EU/EES utan adekvansbeslutat gäller Europeiska kommissionens standardavtalsklausuler antagna genom beslut 2021/914/EU av den 4 juni 2021 ("SCC"), Modul 2 (personuppgiftsansvarig till personuppgiftsbiträde).
SCC-klausulerna i sin helhet finns tillgängliga på: