E
EXON
Tillbaka till översikt
Version 1.1

Personuppgiftsbiträdesavtal (DPA)

Senast uppdaterad: 23 mars 2026 · Ändringar: Tillägg av underbiträdena 46elks och Sentry

1. Bakgrund och syfte

Detta Personuppgiftsbiträdesavtal ("Avtalet") reglerar EXON Insurance Platform AB:s ("Personuppgiftsbiträdet") behandling av personuppgifter för kundens ("Personuppgiftsansvariges") räkning i samband med användning av EXON-plattformen.

Avtalet uppfyller kraven i artikel 28 i EU:s dataskyddsförordning (GDPR).

2. Definitioner

  • Personuppgifter: Uppgifter enligt GDPR artikel 4.1
  • Behandling: Åtgärder enligt GDPR artikel 4.2
  • Registrerad: Den person vars uppgifter behandlas
  • Underbiträde: Tredje part som behandlar uppgifter för Biträdets räkning

3. Behandlingens omfattning

3.1 Ändamål

Personuppgiftsbiträdet behandlar personuppgifter endast för att tillhandahålla EXON-plattformen enligt huvudavtalet, inklusive:

  • Kundhantering (CRM)
  • Offert- och policyhantering
  • IDD-behovsanalys
  • Fakturering och rapportering
  • AI-assistans och analys

3.2 Kategorier av personuppgifter

KategoriExempel
IdentitetsuppgifterNamn, personnummer/org.nr
KontaktuppgifterAdress, e-post, telefon
FörsäkringsdataPolicyuppgifter, premier, skador
Finansiell dataBetalningsinformation, fakturor

3.3 Kategorier av registrerade

  • Försäkringstagare (privatpersoner och företag)
  • Kontaktpersoner hos företagskunder
  • Skadelidande och förmånstagare

4. Biträdets åtaganden

Personuppgiftsbiträdet åtar sig att:

4.1 Instruktioner

  • Endast behandla personuppgifter enligt dokumenterade instruktioner
  • Omedelbart meddela om en instruktion bedöms strida mot GDPR

4.2 Konfidentialitet

  • Säkerställa att personal som behandlar uppgifterna har tystnadsplikt
  • Begränsa åtkomst till behörig personal

4.3 Säkerhet

  • Implementera lämpliga tekniska och organisatoriska åtgärder
  • Kryptering av data i transit och i vila
  • Åtkomstkontroll och loggning
  • Regelbundna säkerhetstester

4.4 Underbiträden

Godkända underbiträden listas i Bilaga 1. Nya underbiträden meddelas 30 dagar i förväg. Den Ansvarige har rätt att invända mot nya underbiträden.

4.5 Registrerades rättigheter

Biträdet bistår den Ansvarige med att uppfylla sina skyldigheter gällande registrerades rättigheter (tillgång, rättelse, radering, etc.).

4.6 Incidenthantering

Vid personuppgiftsincident ska Biträdet utan onödigt dröjsmål, och senast inom 24 timmar, meddela den Ansvarige.

5. Tredjelandsöverföringar

Viss personuppgiftsbehandling involverar överföring till USA via leverantörer certifierade under EU-US Data Privacy Framework (DPF). Detta gäller:

  • Vercel Inc. - DPF-certifierad. Serverless functions körs i EU (Frankfurt), men viss metadata (IP-adresser för DDoS-skydd) passerar US-infrastruktur.

Övrig databehandling (databas, AI) sker uteslutande inom EU/EES.

6. Revision

Biträdet tillhandahåller på begäran dokumentation som visar efterlevnad. Den Ansvarige har rätt att genomföra revision, antingen själv eller genom oberoende tredje part, med rimligt varsel.

7. Avtalstid och upphörande

Avtalet gäller så länge huvudavtalet är i kraft. Vid upphörande ska Biträdet, enligt den Ansvariges val, radera eller återlämna alla personuppgifter inom 90 dagar.

8. Ansvar

Biträdets ansvar för skador orsakade av behandling i strid med GDPR eller detta avtal regleras i huvudavtalet.

Bilaga 1: Godkända underbiträden

UnderbiträdeTjänstPlatsSäkerhetsåtgärder
Supabase Inc.Databas, autentiseringEU (Frankfurt)SOC 2 Type II, ISO 27001
Vercel Inc.Hosting, CDN, ServerlessFunctions: EU (Frankfurt)
Edge: Global
Metadata: USA*		SOC 2 Type II, DPF-certifierad
Mistral AIAI-tjänsterFrankrike (EU)GDPR-compliant, EU-baserat
Amazon Web ServicesE-post (SES)Stockholm (eu-north-1)SOC 2, ISO 27001, GDPR DPA
46elks ABSMS-utskickSverige (Uppsala)GDPR-compliant, data lagras i Sverige, DPA tillgänglig
Sentry (Functional Software Inc.)Felövervakning (valfri)USA (DPF-certifierad)SOC 2 Type II, DPF, SCCs, GDPR DPA. Aktiveras separat per tenant.

Bilaga 2: Tekniska och organisatoriska åtgärder

Kryptering

  • TLS 1.3 för data i transit
  • AES-256 för data i vila

Åtkomstkontroll

  • Rollbaserad åtkomstkontroll (RBAC)
  • Tvåfaktorsautentisering
  • SSO-stöd (Enterprise)

Loggning

  • Fullständig audit trail
  • Loggretention: 24 månader

Incidenthantering

  • 24/7 övervakning
  • Incidentprocess enligt DORA
  • Backup och disaster recovery