Personuppgiftsbiträdesavtal

PuB-avtal enligt GDPR Art. 28 • Version 1.0 • 1 mars 2026

Sammanfattning

Detta personuppgiftsbiträdesavtal (PuB) reglerar hur Kvitta AB hanterar personuppgifter för din räkning. När du ansluter din byrå till Kvitta godkänner du detta avtal automatiskt. Avtalet uppfyller kraven i GDPR artikel 28 och säkerställer att behandlingen sker lagligt och säkert.

1. Parter

Personuppgiftsansvarig

Den redovisningsbyrå som har ett aktivt abonnemang hos Kvitta och som har kopplat sitt bokföringssystem till tjänsten.

Personuppgiftsbiträde

Kvitta AB, org.nr [ORG-NR]
[ADRESS], Sverige
dpa@kvitta.se

2. Bakgrund och syfte

Biträdet tillhandahåller en AI-baserad tjänst för automatisk kontokodning av leverantörsfakturor. I samband med tjänsten behandlar Biträdet personuppgifter för Den Ansvariges räkning.

Detta avtal reglerar Biträdets behandling av personuppgifter enligt EU:s dataskyddsförordning (GDPR) artikel 28.

3. Behandlingens art och ändamål

3.1 Ändamål

Hämta fakturor från bokföringssystemet
Klassificera fakturor med AI
Presentera förslag för granskning
Skriva tillbaka godkända konteringar
Generera statistik och rapporter

3.2 Kategorier av personuppgifter

KategoriExempelKänsliga?
LeverantörsuppgifterFöretagsnamn, org.nrNej
FakturainnehållBelopp, beskrivning, datumNej*
KlientuppgifterOrg.nr, företagsnamnNej
AnvändaruppgifterNamn, e-postNej

*Fakturabeskrivningar kan i undantagsfall innehålla känsliga uppgifter (t.ex. sjukvårdstjänster). Den Ansvarige ansvarar för att informera Biträdet om sådana fall.

3.3 Kategorier av registrerade

Byråns klienter (företag)Leverantörer till klienternaByråns anställda

4. Biträdets skyldigheter

4.1 Dokumenterade instruktioner

Biträdet behandlar personuppgifter endast enligt Den Ansvariges dokumenterade instruktioner:

  • Användningsvillkoren
  • Teknisk dokumentation
  • Skriftliga meddelanden från Den Ansvarige

4.2 Konfidentialitet

Biträdet säkerställer att personer med behörighet att behandla personuppgifterna har förbundit sig till konfidentialitet eller omfattas av lagstadgad tystnadsplikt.

4.3 Säkerhetsåtgärder

Kryptering i transitTLS 1.3
Kryptering i vilaAES-256-GCM
ÅtkomstkontrollRollbaserad + MFA
IsoleringPer byrå
LoggningFullständig audit trail
Backup7 dagars retention

4.4 Underbiträden

Den Ansvarige godkänner att Biträdet anlitar följande underbiträden:

UnderbiträdeTjänstPlats
Neon Tech, Inc.Databas (PostgreSQL)EU Frankfurt
Vercel Inc.ApplikationshostingEU
Anthropic PBCAI-klassificeringEU Frankfurt

Biträdet meddelar Den Ansvarige minst 30 dagar före anlitande av nytt underbiträde. Den Ansvarige har rätt att invända.

4.5 Överföring till tredje land

Inga personuppgifter överförs till länder utanför EU/EES. All behandling sker inom EU.

5. Hjälp vid registrerades rättigheter

Biträdet bistår Den Ansvarige med att uppfylla sina skyldigheter gentemot registrerade genom att:

  • Tillhandahålla tekniska funktioner för dataexport
  • Vidarebefordra begäranden som inkommer till Biträdet
  • Bistå vid identifiering av relevant data

6. Personuppgiftsincidenter

Rapporteringstid: 24 timmar

Vid personuppgiftsincident meddelar Biträdet Den Ansvarige utan onödigt dröjsmål, senast inom 24 timmar.

Meddelandet innehåller:

  • Beskrivning av incidenten
  • Kategorier och antal berörda registrerade
  • Troliga konsekvenser
  • Vidtagna och planerade åtgärder

7. Revision och granskning

Biträdet ger Den Ansvarige all information som behövs för att visa att skyldigheterna enligt GDPR artikel 28 uppfylls.

Granskning sker efter skriftlig begäran med minst 30 dagars varsel, under normal kontorstid.

8. Avtalstid och upphörande

Detta avtal gäller så länge som huvudavtalet är i kraft. Vid upphörande:

Data raderas inom 30 dagar

Dataexport tillgänglig

Skriftlig bekräftelse

9. Ansvar

Biträdet ansvarar för skador som uppstår genom behandling i strid med detta avtal eller GDPR, i den utsträckning som följer av GDPR artikel 82.

10. Ändringar

Ändringar kräver skriftlig överenskommelse. Mindre ändringar (t.ex. underbiträden) meddelas 30 dagar i förväg. Väsentliga ändringar kräver aktivt godkännande.

11. Tillämplig lag

Avtalet lyder under svensk lag. Tvister avgörs av svensk allmän domstol med Stockholms tingsrätt som första instans.

Bilaga A: Godkännande

Genom att koppla ditt bokföringssystem till Kvitta godkänner du automatiskt detta personuppgiftsbiträdesavtal. Godkännandet registreras med tidsstämpel.

Vid behov av signerat avtal, kontakta dpa@kvitta.se.

Bilaga B: Tekniska åtgärder (TOMs)

Fysisk säkerhet

  • • ISO 27001 / SOC 2 datacenter
  • • Geografisk redundans inom EU

Åtkomstkontroll

  • • Unika användarkonton
  • • Minst 12 tecken lösenord
  • • 30 min auto-logout

Kryptering

  • • TLS 1.3 (transit)
  • • AES-256-GCM (vila)
  • • Årlig nyckelrotation

Övervakning

  • • Realtids-anomalidetektion
  • • 3 års loggretention
  • • Automatiska larm

Incident Response

  • • Dokumenterad process
  • • Dedikerat säkerhetsteam
  • • Årliga övningar

Kontinuitet

  • • RTO: 4h / RPO: 24h
  • • 7 dagars backup
  • • Geo-separerade kopior