Detta avtal upprättas i enlighet med Artikel 28 i Dataskyddsförordningen (EU) 2016/679 ("GDPR") mellan:
Biträdet behandlar personuppgifter för Personuppgiftsansvarigs räkning för att tillhandahålla B2B-leadidentifiering (SCB + Bolagsverket), kontaktverifiering, cold-mail-automation och AI-assisterad textgenerering.
Anställda hos kundens målgrupp: namn, e-postadress, telefonnummer, befattning, arbetsgivare, ort. Mottagare av cold-mail: mailadress, bounce-status, opens/clicks, replies. Kundens egna användare: namn, e-postadress, IP-adress, sessionsdata.
Personuppgiftsansvarig godkänner härmed följande underbiträden:
| Underbiträde | Tjänst | Plats |
|---|---|---|
| Cloudflare, Inc. | Hosting (Pages + Functions) — DPA v6.4 (2026-04-03) | EU + US (DPF) |
| Supabase, Inc. | Databas + auth — User DPA 2026-03-12 | EU (Stockholm) |
| OpenRouter, Inc. | AI-routing | US |
| Anthropic, PBC | Claude AI-modell | US (DPF) |
| Google LLC | Gemini AI-modell | EU (Ireland) |
| Loopia AB | SMTP/IMAP-utskick — Allmänna villkor (GDPR ingår) | Sverige |
| Stripe Payments Europe Ltd. | Betalningar | EU (Ireland) |
| Resend (Plus Five Five, Inc.) | Transactional email — DPA 2025-12-31 | US (DPF) |
| Anthropic, PBC | Claude Max (intern AI) — Business Terms | US (DPF) |
| Vercel Inc. | Hosting för GeoMonitor — DPA 2026-03-31 | US (Delaware) |
| Functional Software, Inc. (Sentry) | Error tracking (GeoMonitor) — DPA v5.1.0 | US (San Francisco) |
| OpenAI OpCo, LLC | ChatGPT (intern AI) — DPA v.010126 signerad 2026-05-16 | US (DPF) |
| DataForSEO | SERP/SEO-data (GeoMonitor m.fl.) — DPA | Estonia (EU) + US (DPF) |
| Google Cloud Platform | Cloud-infrastruktur — Google Cloud DPA (CDPA) | EU + US (DPF) |
| Sold through Link, LLC (LemonSqueezy) | Betalningar (Merchant of Record) — DPA 2026-05-16 | US (DPF) |
Biträdet informerar Personuppgiftsansvarig minst 30 dagar i förväg vid byte eller tillägg av underbiträde.
Följande är publika datakällor där vi gör outbound queries med org.nr. Inga personuppgifter skickas till dessa tjänster — de omfattas därför inte av Art. 28 sub-processor-regimen:
| Datatyp | Retention |
|---|---|
| AI-genererat innehåll | 12 mån → redaktas automatiskt |
| Outreach-mail-innehåll | 12 mån → redaktas automatiskt |
| Audit-log (Art. 30) | 24 mån → raderas |
| Bounce-events | 6 mån → raderas |
| Email-verifikationscache | 90 dagar rolling |
| Faktureringsdata | 7 år (BFL) |
Biträdet är inte ISO 27001- eller SOC 2-certifierat i nuvarande skala. Roadmap: 2026 ISO 27002-ramverk · 2027 pre-audit · 2027-2028 ISO 27001-certifiering vid ~50 betalkunder. Tills certifiering finns: skriftlig efterlevnadsförklaring + penetrationstest- rapport på begäran. Transparens > fake-credibility.
Biträdet bistår Personuppgiftsansvarig att uppfylla skyldigheter enligt Art. 15-22: åtkomst, rättelse, radering, begränsning, portabilitet, invändning. Unsubscribe-länk i varje cold-mail honoreras inom 5 arbetsdagar.
Personuppgiftsansvarig har rätt att, max 1 ggr per 12 månader, granska Biträdets efterlevnad via ackrediterad tredjepart efter 30 dgr skriftlig förvarning. Kunden bär kostnaden. Revisorn signerar NDA. Som alternativ tillhandahåller Biträdet SOC 2/ISO 27001-rapport (när tillgänglig) eller skriftlig efterlevnadsförklaring. Vid incident eller IMY-krav överrider årsbegränsningen.
Biträdet behåller compliance-relevant dokumentation i minst 3 år.
Biträdet bistår Personuppgiftsansvarig med teknisk information för DPIA enligt Art. 35 och förhandssamråd med IMY enligt Art. 36 — inklusive dataflödesdiagram, threat-model och säkerhets-sammanfattning. Personuppgiftsansvarig ansvarar för själva DPIA:n.
EU-US Data Privacy Framework (Cloudflare, Anthropic, Stripe, Google, OpenAI, Sentry m.fl.) eller EU:s standardavtalsklausuler 2021/914 för icke-DPF-certifierade underbiträden.
Vid säkerhetsincident anmäler Biträdet till Personuppgiftsansvarig utan onödigt dröjsmål och senast inom 72 timmar från upptäckt (i linje med GDPR Art. 33). Notifikationen innehåller: incidentens art, ungefärligt antal påverkade registrerade, sannolika konsekvenser och åtgärder vidtagna. Intern operationell standard hos Alserda: 24h, för marginal mot 72h-fönstret.
Notifikations-kanal: registrerad kontaktadress + kopia till richard@alserda.se.
DPA gäller så länge huvudavtalet är aktivt. Vid uppsägning raderas all personuppgiftsdata inom 30 dagar. Audit-log + fakturering behålls enligt BFL-krav (7 år).
Svensk rätt. Tvister: Stockholms tingsrätt.
Fullständig mall: docs/legal/DPA-template.md.
Kontakt om DPA: richard@alserda.se