Personuppgiftsbiträdesavtal

enligt art. 28 GDPR – mellan den personuppgiftsansvarige och AX1S / AIGOY (personuppgiftsbiträde)

Detta är en svensk översättning som tillhandahålls för bekvämlighets skull. Det bindande, undertecknbara avtalet är den tyska versionen (”Auftragsverarbeitungsvertrag”); vid avvikelser gäller den tyska versionen. Nedladdningarna ovan innehåller det tyska originalet.

Personuppgiftsansvarig

[Företag / Namn]
[Gata, nr.]
[Postnummer, Ort], [Land]
företrädd av: [Namn]
”Personuppgiftsansvarig”

Personuppgiftsbiträde

Thomas Brandt, enskild näringsidkare
verksam under varumärket AX1S / AIGOY
AX1S c/o Clevver, Winterhuder Weg 29
22085 Hamburg, Tyskland
”Personuppgiftsbiträde”

§ 1 Föremål och varaktighet

Behandling av personuppgifter av personuppgiftsbiträdet på uppdrag av den personuppgiftsansvarige inom ramen för tillhandahållandet av AIGOY-plattformen (AI Governance, Risk & Compliance). Avtalstiden motsvarar huvudavtalet och upphör vid dess uppsägning.

§ 2 Behandlingens art, omfattning och syfte

Tillhandahållande av AIGOY-plattformen och dess moduler (AI-inventering, riskhantering, policyhantering, compliance-rapportering, styrelseportal, utbildningscenter, visselblåsning) samt AI-stödd framtagning av policyer och riskbedömningar genom Compliance CoWorker ”Felix” enligt fyra-ögon-principen. Behandlingen sker uteslutande för att tillhandahålla tjänsterna och enligt den personuppgiftsansvariges dokumenterade instruktioner.

§ 3 Typer av uppgifter och kategorier av registrerade

Typer av personuppgifter (typiska):

Grund-/kontaktuppgifter (namn, e-postadress i tjänsten, avdelning, roll)
Autentiseringsuppgifter (hashat lösenord, tidsstämpel för inloggning, sessionstoken)
Användnings- och loggdata för plattformen (inkl. revisionsspår)
Utbildnings-/kompetensdata (modulframsteg, certifikat)
Innehållsdata som den personuppgiftsansvarige matar in (t.ex. policyer, risker, rapporter)

Kategorier av registrerade: den personuppgiftsansvariges anställda, chefer och företrädare, plattformsanvändare samt i förekommande fall tredje parter vars uppgifter den personuppgiftsansvarige matar in som en del av sina compliance-processer.

Särskilda kategorier (art. 9 GDPR) ingår inte i den avsedda användningen; att mata in sådana uppgifter är den personuppgiftsansvariges eget ansvar och bör undvikas.

§ 4 Personuppgiftsbiträdets skyldigheter

Enligt art. 28.3 GDPR åtar sig personuppgiftsbiträdet i synnerhet att:

behandla uppgifter endast enligt den personuppgiftsansvariges dokumenterade instruktioner (inkl. överföringar till tredjeland, om det inte krävs enligt lag).
säkerställa att personer som är behöriga att behandla uppgifter har förbundit sig till konfidentialitet.
genomföra de tekniska och organisatoriska åtgärder som krävs enligt art. 32 GDPR (bilaga 1).
iaktta villkoren för att anlita ytterligare biträden (art. 28.2 och 28.4) (§ 6, bilaga 2).
bistå den personuppgiftsansvarige med att tillgodose de registrerades rättigheter (art. 12–23).
bistå den personuppgiftsansvarige med skyldigheter enligt art. 32–36 (säkerhet, anmälan av personuppgiftsincident, konsekvensbedömning).
radera eller återlämna personuppgifter efter att behandlingen avslutats, enligt den personuppgiftsansvariges val (§ 10).
tillhandahålla bevis på efterlevnad och möjliggöra granskningar (§ 9).

§ 5 Tekniska och organisatoriska åtgärder (TOM)

De tekniska och organisatoriska åtgärderna i bilaga 1 (art. 32 GDPR) gäller. Åtgärderna får anpassas till den tekniska utvecklingen förutsatt att skyddsnivån inte sänks.

§ 6 Underbiträden

Den personuppgiftsansvarige lämnar ett generellt godkännande för de underbiträden som anges i bilaga 2. Personuppgiftsbiträdet ingår avtal enligt art. 28 GDPR med dem som ålägger likvärdiga skyldigheter. Ändringar meddelas i förväg; den personuppgiftsansvarige kan invända på viktiga dataskyddsrättsliga grunder. För överföringar till tredjeland gäller lämpliga skyddsåtgärder (standardavtalsklausuler enligt art. 46.2 c GDPR eller EU–USA:s ramverk för dataskydd, Data Privacy Framework).

§ 7 De registrerades rättigheter

Personuppgiftsbiträdet stödjer den personuppgiftsansvarige med att besvara förfrågningar från registrerade och vidarebefordrar utan onödigt dröjsmål eventuella förfrågningar som riktas direkt till biträdet.

§ 8 Anmälan av personuppgiftsincidenter

Personuppgiftsbiträdet underrättar den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått kännedom om en personuppgiftsincident, med den information som krävs enligt art. 33 GDPR, så att den personuppgiftsansvarige kan uppfylla sina skyldigheter enligt art. 33 och 34 GDPR.

§ 9 Gransknings- och bevisrättigheter

Bevis tillhandahålls i första hand genom lämplig dokumentation (t.ex. SOC 2 Type II för den använda infrastrukturen, granskningsrapporter, dokumentation av tekniska och organisatoriska åtgärder). Vid behov möjliggör personuppgiftsbiträdet granskningar med rimligt varsel och utan oproportionerlig störning.

§ 10 Radering och återlämnande

Efter att behandlingen avslutats raderar eller återlämnar personuppgiftsbiträdet alla personuppgifter enligt den personuppgiftsansvariges val och förstör kopior, om inte en lagstadgad lagringsskyldighet gäller. Radering bekräftas på begäran.

§ 11 Ansvar

Ansvaret regleras av art. 82 GDPR och huvudavtalet.

§ 12 Slutbestämmelser

Ändringar kräver textform. Vid konflikt har dataskyddsbestämmelserna i detta avtal företräde framför huvudavtalet. Tysk rätt gäller.

Ort, datum – Personuppgiftsansvarig
Namn / befattning

Ort, datum – Personuppgiftsbiträde (AX1S / AIGOY)
Thomas Brandt

Bilaga 1 – Tekniska & organisatoriska åtgärder (art. 32 GDPR)

AIGOY utvecklas i Tyskland, hostas i Tyskland och supporteras från Tyskland.

Mål	Åtgärd
Konfidentialitet	Kryptering under överföring (TLS 1.2+) och i vila (AES-256); Row Level Security (RLS); rollbaserad åtkomst med lägsta behörighet.
Integritet	Revisionsspår med endast INSERT; fyra-ögon-godkännandecockpit – varje skrivåtgärd från Felix träder i kraft först efter godkännande.
Tillgänglighet & motståndskraft	Regelbundna säkerhetskopior inom EU-regionen; härdad infrastruktur (Supabase / AWS eu-central-1 Frankfurt, SOC 2 Type II).
Datalagringsplats	Behandling/lagring i EU (Frankfurt/Tyskland). AI-inferens: ingen träning på datan; EU-inferens (AWS Bedrock Frankfurt) under förberedelse.
Separation	Logisk separation av tenants (tenant_id) som upprätthålls via RLS.
Anlitandekontroll	Avtal enligt art. 28 med samtliga underbiträden; standardavtalsklausuler/DPF för överföringar till tredjeland.

Bilaga 2 – Godkända underbiträden

Underbiträde	Plats	Tjänst / syfte	Anmärkning
IONOS SE	Montabaur, Tyskland 🇩🇪	Webbhosting	Avtal enligt art. 28
Supabase Inc.	AWS eu-central-1, Frankfurt 🇩🇪 (EU)	Backend, databas, autentisering, Edge Functions	Avtal enligt art. 28; SOC 2 Type II
Anthropic PBC	USA 🇺🇸	AI-tjänst (Claude-modell) för analyser / CoWorker Felix	Ingen träning på datan; SCC + EU–USA DPF; avtal enligt art. 28
Stripe Payments Europe, Ltd.	Dublin, Irland 🇮🇪 (EU)	Betalningshantering	Endast Business-/Enterprise-abonnemang

Senast uppdaterad: maj 2026. Denna mall är en utgångspunkt och utgör inte juridisk rådgivning. Anpassa den till det enskilda fallet och låt den granskas juridiskt innan användning. En aktuell förteckning över underbiträden publiceras på sidan Förtroende & Säkerhet.