Om detta avtal
Detta personuppgiftsbiträdesavtal gäller när Webbfabriken AB behandlar personuppgifter för kundens räkning i samband med leverans av tjänster som webbhotell, drift, support, utveckling, design, säkerhetstjänster, backup eller liknande. Detta avtal utgör en integrerad del av våra Allmänna villkor.
Innehåll
Huvudavtal
1. Parter och roller
Personuppgiftsansvarig (kunden):
Den juridiska person som ingått avtal med Webbfabriken för leverans av tjänster.
Personuppgiftsbiträde:
Webbfabriken AB
Org.nr: 559274-4816
Tryffelslingan 12, 181 57 Lidingö
Kunden är personuppgiftsansvarig för personuppgifter som behandlas i kundens system och tjänster. Webbfabriken AB är personuppgiftsbiträde i den utsträckning vi behandlar personuppgifter för kundens räkning och enligt kundens instruktioner.
2. Avtalets omfattning och bilagor
Detta avtal kompletteras av:
- Bilaga A - Behandlingens beskrivning
- Bilaga B - Tekniska och organisatoriska åtgärder
- Bilaga C - Underbiträden
- Bilaga D - Incidenthantering
2.1 Rangordning
Vid motstridighet gäller följande ordning:
- Detta biträdesavtal med bilagor
- Särskilda villkor och SLA som uttryckligen hänvisar till detta avtal
- Allmänna villkor
3. Behandlingens föremål, varaktighet, natur och syfte
Behandlingens föremål, varaktighet, natur och syfte anges i Bilaga A.
Avtalet gäller från kundens beställning eller när behandlingen påbörjas och löper så länge Webbfabriken AB behandlar personuppgifter för kundens räkning.
4. Instruktioner
Webbfabriken AB behandlar personuppgifter endast enligt dokumenterade instruktioner från kunden. Instruktioner kan ges via e-post eller andra överenskomna kontaktvägar.
Om Webbfabriken AB bedömer att en instruktion strider mot dataskyddsregler informerar vi kunden utan onödigt dröjsmål.
Om Webbfabriken AB är skyldig enligt EU-rätt eller svensk lag att behandla personuppgifter på annat sätt än enligt kundens instruktioner, informerar vi kunden om detta innan behandlingen påbörjas, om inte lagen förbjuder sådan information av viktiga skäl av allmänt intresse.
5. Konfidentialitet och åtkomst
Webbfabriken AB säkerställer att personer som får tillgång till personuppgifter är bundna av sekretess eller motsvarande konfidentialitetsåtaganden.
Åtkomst ges endast till behörig personal och endast när det är nödvändigt för att leverera, underhålla, felsöka eller säkra tjänsten.
6. Säkerhet
Webbfabriken AB vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter. Åtgärderna beskrivs i Bilaga B och kan uppdateras vid behov för att upprätthålla en rimlig skyddsnivå.
Som del av drift och säkerhet kan Webbfabriken AB använda övervakning, loggning, malware-scan och liknande skyddsåtgärder. Detta kan innebära att teknisk åtkomst till data kan förekomma när det är nödvändigt.
7. Underbiträden
Kunden ger Webbfabriken AB ett generellt förhandstillstånd att anlita underbiträden för att leverera tjänsten. Underbiträden och kategorier av underbiträden framgår av Bilaga C.
Webbfabriken AB säkerställer att underbiträden omfattas av dataskyddsskyldigheter som minst motsvarar detta avtal.
Vid tillägg eller byte av underbiträde informerar vi kunden i förväg via e-post, normalt minst 30 dagar innan förändringen träder i kraft när det är praktiskt möjligt. Kunden kan invända med sakliga skäl inom 14 dagar från meddelandet. Om parterna inte kan enas om en rimlig lösning kan endera parten säga upp den del av tjänsten som påverkas med omedelbar verkan eller enligt avtalad uppsägningstid, utan andra påföljder.
7.1 Tredjelandsöverföringar
Om underbiträde eller leverantör behandlar personuppgifter utanför EU/EEA säkerställer vi att överföring sker med lämpliga skyddsåtgärder enligt gällande dataskyddsregler, till exempel EU-kommissionens standardavtalsklausuler (SCC) eller annan godkänd mekanism.
8. Tredjepartstjänster
Om kunden köper eller använder tredjepartstjänster gäller leverantörens villkor för den tredjepartstjänsten. Webbfabriken AB ansvarar inte för leverantörens egna behandling eller leverans.
Om Webbfabriken AB administrerar eller supportar tredjepartstjänster åt kunden sker vår behandling enligt detta biträdesavtal i den utsträckning vi behandlar personuppgifter för kundens räkning, till exempel via administrativ åtkomst och supportarbete.
9. Hjälp till kunden
Webbfabriken AB ska, med hänsyn till tjänstens natur, bistå kunden med rimlig hjälp för att besvara förfrågningar från registrerade och för kundens efterlevnad.
Detta inkluderar, när det är relevant, rimlig hjälp för att kunden ska kunna uppfylla skyldigheter enligt GDPR artikel 32-36, med hänsyn till behandlingens art och den information som finns tillgänglig för oss.
Om hjälpen kräver omfattande arbete utöver avtalad nivå kan det debiteras enligt avtal.
10. Personuppgiftsincidenter
Webbfabriken AB ska utan onödigt dröjsmål informera kunden vid personuppgiftsincident som rör kundens data.
Målsatt svarstid:
Målet är att första avisering ska ske inom 24 timmar från att vi bekräftat incidenten, när det är praktiskt möjligt.
Se Bilaga D för kontakt och informationsflöde.
11. Återlämning och radering
När behandlingen upphör ska Webbfabriken AB, enligt kundens val och om inte lag kräver annat, radera eller återlämna personuppgifter och därefter radera.
Lagringstid:
Om inget annat avtalats kan vi radera data efter 14 dagar från avslut.
11.1 Backup för webbhotell
När kunden använder webbhotell kan Webbfabriken AB ta backup som en skyddsåtgärd för drift och säkerhet. Om inget annat avtalats gäller:
- Backup sparas i upp till 7 dagar.
- Backup är en skyddsåtgärd och inte en garanti för full återställning i alla situationer.
- Återställning kan kräva manuellt arbete och kan debiteras om det inte ingår i avtalad nivå.
11.2 Retention vid avslut
När behandlingen upphör kan kunddata raderas efter den retentiontid som anges i avtal eller allmänna villkor. Backupkopior kan finnas kvar i roterande backup under den angivna backupperioden även om tjänsten avslutats.
11.3 Bokföringsuppgifter
Uppgifter som Webbfabriken AB behöver spara som personuppgiftsansvarig för bokföring och redovisning lagras i 7 år, eller den längre tid som lag kräver. Detta omfattas inte av biträdesbehandling i kundens system, utan av Webbfabriken AB:s egen behandling som personuppgiftsansvarig.
Arbete för export, migrering eller återläsning kan debiteras om det inte ingår i avtal.
12. Revision och information
Kunden kan på begäran få rimlig information om efterlevnad av detta avtal.
Revision ska planeras i samråd och ske på ett sätt som inte riskerar säkerhet eller påverkar andra kunder.
13. Ansvarsbegränsning
Ansvar och ansvarsbegränsning följer i första hand kundens avtal och allmänna villkor, i den utsträckning detta är tillåtet enligt lag.
14. Kontakt
Frågor om dataskydd
Support & Incidenter
Bilagor
Bilaga A - Behandlingens beskrivning
1. Tjänster och omfattning
Detta avtal kan gälla följande tjänster:
- Webbhotell och drift
- Support och felsökning
- Utveckling och förvaltning
- Design och innehållshantering
- Säkerhetstjänster och övervakning
- Backup och återläsning
- E-post och samarbetsverktyg (t.ex. Microsoft 365)
2. Behandlingens varaktighet
Behandlingen sker under avtalstiden och under eventuella retentionperioder enligt avtal och allmänna villkor.
3. Behandlingens natur och ändamål
Behandlingen sker för att:
- Tillhandahålla och administrera tjänsten
- Genomföra drift, underhåll och uppdateringar
- Felsöka, supporta och hantera incidenter
- Genomföra säkerhetsåtgärder som loggning, scanning och skydd mot skadlig kod
- Ta backup och återställa vid behov
- Genomföra migreringar och överlämning enligt kundens instruktioner
4. Kategorier av registrerade
Exempel på registrerade vars uppgifter kan behandlas:
- Kundens anställda och konsulter
- Kundens kunder och användare
- Besökare på kundens webbplats
- Mottagare och avsändare i e-post
5. Kategorier av personuppgifter
Exempel på personuppgifter som kan behandlas:
- Kontaktuppgifter (namn, e-post, telefon)
- Kontouppgifter och användar-id
- IP-adresser och loggdata
- Formulärdata och meddelanden
- Order och kundhistorik i kundens system
- Metadata i e-post och samarbetsverktyg
Tilläggstext för webbhotell och serverdrift
Webbfabriken AB tillhandahåller plattformar och driftmiljöer, till exempel webbhotell, virtuella servrar, databaser och tillhörande tjänster, där kunden kan lagra data, publicera innehåll och drifta egna applikationer.
Detta innebär att det kan förekomma olika kategorier av personuppgifter i kundens miljö, till exempel personuppgifter om kundens kunder, användare, samarbetspartners och anställda. Exempel på uppgifter kan vara namn, personnummer, organisationsnummer, postadress, telefonnummer, e-postadresser, IP-adresser, inloggningsuppgifter, formulärdata samt andra uppgifter som behövs för att kunden ska kunna leverera sina tjänster.
Webbfabriken AB behandlar normalt inte kundens innehåll aktivt. Åtkomst till data kan dock förekomma när det är nödvändigt för att leverera, administrera, felsöka, säkerhetsskanna, säkerhetskopiera, återställa eller på annat sätt upprätthålla tjänsten och säkerheten.
Webbfabriken AB ansvarar för den övergripande säkerheten i den plattform och infrastruktur som vi levererar, till exempel operativ drift, grundläggande skydd, övervakning, loggning och säkerhetsåtgärder.
Kunden ansvarar för att säkerheten i kundens applikationer, konton, behörigheter, innehåll och konfigurationer är tillräcklig för de personuppgifter som kunden väljer att behandla, inklusive att endast behandla personuppgifter som är nödvändiga och att använda lämpliga skyddsåtgärder i sina system.
6. Särskilda kategorier av personuppgifter
Som utgångspunkt ska särskilda kategorier av personuppgifter (känsliga uppgifter) inte behandlas i våra tjänster utan skriftlig överenskommelse och särskilda skyddsåtgärder.
7. Kundens instruktioner och åtkomst
Kunden instruerar Webbfabriken AB via e-post och överenskomna kontaktvägar. Webbfabriken AB kan ha teknisk åtkomst till data när det är nödvändigt för drift, support och säkerhet enligt avtalet.
8. Behandlingsplats
Behandling sker på Webbfabriken AB:s egna servrar i Sverige, om inte annat anges i avtalet eller om kunden väljer tjänster som innebär behandling på annan plats.
Bilaga B - Tekniska och organisatoriska åtgärder
1. Åtkomstkontroll
- Åtkomst ges endast till behörig personal.
- Principen om minsta privilegium tillämpas.
- Administrativ åtkomst skyddas med stark autentisering där det är praktiskt möjligt.
- Konton och behörigheter ses över vid behov.
2. Loggning och spårbarhet
- Relevanta systemhändelser kan loggas för drift och säkerhet.
- IP-adresser och nätverkshändelser kan loggas i brandväggar och tjänster som del av normal drift.
- Loggar används för felsökning, incidenthantering och säkerhetsarbete.
- Loggar lagras under skälig tid utifrån syfte och risk.
3. Skydd mot skadlig kod och intrång
- Malware-scan och skyddsåtgärder kan köras på servrar och filsystem.
- Övervakning och larm kan användas för att upptäcka avvikande beteende.
- Blockering och isolering kan genomföras vid risk för spridning eller skada.
4. Patchning och sårbarhetshantering
- Operativsystem och centrala komponenter uppdateras inom rimlig tid utifrån risk och påverkan.
- Sårbarheter kan hanteras genom uppdatering, mitigering eller konfigurationsändring.
5. Backup och återställning
- Backup kan genomföras enligt avtalad omfattning.
- Återställning testas när det är rimligt och enligt avtalad nivå.
- Backup är en skyddsåtgärd och inte en garanti för full återställning i alla situationer om inte annat avtalats.
6. Kryptering och kommunikation
- Krypterad kommunikation används där det är rimligt, till exempel TLS för webb och administrativa gränssnitt.
- Kryptering vid lagring kan användas när det är praktiskt möjligt och relevant.
7. Segmentering och skydd av infrastruktur
- Brandväggar och nätverksregler används för att begränsa åtkomst.
- Tjänster exponeras endast när det behövs.
- Begränsningar kan införas vid missbruk eller säkerhetsrisk.
8. Personalsäkerhet och rutiner
- Personal omfattas av sekretessåtaganden.
- Rutiner finns för incidenthantering och eskalering.
- Rutiner finns för förändringshantering när det är relevant.
9. Fysisk säkerhet
Servrar och infrastruktur skyddas med fysiska åtgärder genom datacenter och lokaler, där relevant.
10. Förändringar
Säkerhetsåtgärder kan uppdateras över tid för att upprätthålla en rimlig skyddsnivå och möta nya hot.
Bilaga C - Underbiträden
1. Princip
Webbfabriken AB kan anlita underbiträden för att leverera tjänster. Underbiträden ska omfattas av dataskyddsvillkor som minst motsvarar detta biträdesavtal.
2. Lista över underbiträden
Aktuella underbiträden och kategorier:
| Kategori | Leverantör | Land |
|---|---|---|
| Lagring och backup (vid köp av kund) | Storegate / CrashPlan | EU/EEA och tredjeländer enligt leverantörens villkor |
Denna lista uppdateras vid behov. Kontakta oss för senaste version.
3. Tredjepartstjänster vi administrerar
För vissa tjänster är kunden avtalspart med leverantören, men Webbfabriken AB har administrativ åtkomst för att hantera tjänsten på kundens uppdrag.
Microsoft 365 (kundens tenant)
Kunden är avtalspart för Microsoft 365 och Microsoft behandlar personuppgifter enligt Microsofts villkor och dataskyddsvillkor. Webbfabriken AB kan ha administrativ åtkomst för att hantera licenser, användare, inställningar och felsökning. Vi läser inte kundens e-postinnehåll som rutin. Åtkomst till innehåll kan endast ske om det behövs för support eller incidenthantering och då enligt kundens instruktioner.
4. Kundens egna leverantörer
Vissa leverantörer används direkt av kunden och kunden är då avtalspart, till exempel domänregistrar och DNS-leverantör som kunden själv väljer. Dessa är inte Webbfabriken AB:s underbiträden. Om Webbfabriken AB bistår med administration sker det på kundens instruktion.
5. Ändringar
Vid tillägg eller byte av underbiträde informerar vi kunden i förväg via e-post, normalt minst 30 dagar innan förändringen träder i kraft när det är praktiskt möjligt. Kunden kan invända med sakliga skäl inom 14 dagar från meddelandet. Om parterna inte kan enas om en rimlig lösning kan endera parten säga upp den del av tjänsten som påverkas med omedelbar verkan eller enligt avtalad uppsägningstid, utan andra påföljder.
Bilaga D - Incidenthantering
1. Kontaktväg
customersupport@webbfabriken.com
info@webbfabriken.com
Kunden bör ange en kontaktperson för incidenter (namn, e-post, telefon).
2. Vad som räknas som personuppgiftsincident
En personuppgiftsincident är en säkerhetshändelse som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till personuppgifter.
3. Avisering och första information
Webbfabriken AB informerar kunden utan onödigt dröjsmål när vi bekräftat att en incident rör kundens personuppgifter. Första avisering kan innehålla preliminär information och kompletteras senare.
Första avisering innehåller normalt:
- Vad som har hänt och när det upptäcktes
- Vilka system som berörs
- Bedömd påverkan och risknivå
- Åtgärder som redan vidtagits
- Rekommenderade åtgärder för kunden
- Nästa uppdateringstidpunkt
4. Samarbete och loggar
Parterna samarbetar skyndsamt för att begränsa skadan. Webbfabriken AB kan dela relevanta loggar och tekniska fynd i den utsträckning det är möjligt och utan att riskera andra kunders säkerhet.
5. Kommunikation och anmälan
Kunden ansvarar för bedömning av om incidenten ska anmälas till tillsynsmyndighet eller registrerade, om inte annat avtalats. Webbfabriken AB kan bistå med underlag enligt avtalad nivå.
Frågor om detta avtal?
Kontakta oss om du har frågor om databehandling eller detta avtal.