Personuppgiftsbiträdesavtal
Gäller mellan VårdStart (biträde) och kund (personuppgiftsansvarig). Version 2026-04-22.
Vem gäller det här avtalet för?
Detta avtal gäller när du som kund använder VårdStart för att hantera personuppgifter i din egen HVB-verksamhet, exempelvis klientdata, personalregister, incidentrapporter eller kvalitetsledningssystem. I den relationen är du personuppgiftsansvarig och VårdStart är personuppgiftsbiträde. Avtalet ingår automatiskt när du köper en prenumeration som inkluderar kvalitetsledningsmodulen. För behandling av dina egna kontouppgifter är VårdStart personuppgiftsansvarig, se integritetspolicyn.
1. Parter
Detta personuppgiftsbiträdesavtal har ingåtts mellan:
- Personuppgiftsansvarig ("Kunden"): den fysiska eller juridiska person som registrerat ett konto hos VårdStart och accepterat användarvillkoren.
- Personuppgiftsbiträde ("Biträdet"): VårdStart, info@vardstart.se.
2. Bakgrund och syfte
Biträdet tillhandahåller en plattform för HVB-verksamhet som omfattar utbildning, dokumentgenerering, kvalitetsledningssystem, e-signering och AI-assistent. För att leverera tjänsten behöver Biträdet behandla personuppgifter för Kundens räkning. Detta avtal reglerar den behandlingen och uppfyller kraven i GDPR artikel 28.
3. Föremål, varaktighet, typ av behandling
| Parameter | Specifikation |
|---|---|
| Föremål | Behandling av personuppgifter som Kunden lägger in i plattformen för sin HVB-verksamhet. |
| Varaktighet | Så länge Kundens prenumeration är aktiv, plus tid som krävs för radering eller återlämning. |
| Typ av behandling | Insamling, lagring, strukturering, visning, ändring, utlämning via export, radering. |
| Syfte | Leverera plattformens funktioner (dokument, kvalitet, signering, AI-support). |
| Kategorier av registrerade | Kundens anställda, Kundens klienter (i HVB: placerade barn eller vuxna), anhöriga, samarbetspartners. |
| Kategorier av uppgifter | Identitetsuppgifter, kontaktuppgifter, anställningsuppgifter, i förekommande fall uppgifter om hälsa (art. 9) och personnummer. |
4. Biträdets skyldigheter
- Behandla uppgifterna endast enligt dokumenterade instruktioner från Kunden. Användarvillkoren och plattformens gränssnitt utgör sådana instruktioner. Ändringar meddelas skriftligen.
- Säkerställa att personer som har tillgång till uppgifterna har förbundit sig till sekretess eller omfattas av lagstadgad tystnadsplikt.
- Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 (se bilaga A).
- Bistå Kunden med att fullgöra sina skyldigheter gentemot registrerade enligt artikel 12-23, i synnerhet vid begäran om tillgång, rättelse, radering, dataportabilitet och invändning.
- Bistå Kunden vid konsekvensbedömning (DPIA) och förhandssamråd enligt artikel 35-36 när det krävs.
- Utan onödigt dröjsmål underrätta Kunden om en personuppgiftsincident, och senast inom 24 timmar efter att Biträdet fått kännedom om den. Underrättelsen ska innehålla tillgänglig information enligt artikel 33.3.
- Vid avtalets upphörande, efter Kundens val, radera eller återlämna alla personuppgifter inom 30 dagar, om inte lagstadgad förpliktelse kräver fortsatt lagring (t.ex. bokföringslagen för fakturor).
- På begäran göra all information tillgänglig som krävs för att visa att skyldigheterna i artikel 28 efterlevs, och medverka vid revisioner som Kunden eller en av Kunden utsedd revisor genomför, under rimliga former.
5. Underbiträden
Kunden lämnar härmed ett allmänt förhandsgodkännande till anlitande av följande underbiträden:
| Underbiträde | Tjänst | Plats |
|---|---|---|
| Supabase Inc. | Databas och autentisering | EU (Stockholm) |
| Netlify Inc. | Webbhosting och CDN | EU/US (SCCs) |
| Sendinblue SAS (Brevo) | Transaktionell e-post | EU (Frankrike) |
| Fortnox AB | Bokföring och fakturering | EU (Sverige) |
Biträdet ska informera Kunden om planerade ändringar av underbiträden senast 30 dagar i förväg via e-post eller i plattformen, så att Kunden har möjlighet att invända. Aktuell lista finns alltid publicerad på denna sida.
Biträdet ansvarar gentemot Kunden för att underbiträden uppfyller samma dataskyddsskyldigheter genom skriftliga avtal.
6. Överföring till tredje land
Primär lagring sker inom EU/EES. När överföring till tredje land sker (t.ex. stödfunktioner i USA hos Netlify) säkerställs skyddet genom EU-kommissionens standardavtalsklausuler (SCCs) och, i förekommande fall, EU-US Data Privacy Framework.
7. Ansvar, skadestånd och sanktioner
Om någon part bryter mot sina skyldigheter enligt GDPR eller detta avtal, och detta leder till skadeståndsanspråk från en registrerad eller till administrativ sanktion från tillsynsmyndighet, ska parterna fördela ansvaret enligt artikel 82. Vardera parts ansvar gentemot den andra parten är begränsat till vad som motsvarar de avgifter Kunden har betalat för prenumerationen de senaste tolv månaderna, utom vid grov vårdslöshet eller uppsåt.
8. Avtalstid och uppsägning
Avtalet gäller så länge Biträdet behandlar personuppgifter för Kundens räkning. Det upphör automatiskt vid Kundens uppsägning av tjänsten. Efter upphörandet har Kunden 30 dagar på sig att exportera sina uppgifter via plattformen, därefter raderas uppgifterna i enlighet med punkt 4.7.
9. Tillämplig lag och tvistelösning
Svensk rätt tillämpas. Tvister ska i första hand lösas genom förhandling, därefter vid svensk allmän domstol med Stockholms tingsrätt som första instans.
Bilaga A. Säkerhetsåtgärder enligt artikel 32
- Kryptering: TLS 1.2 eller högre under överföring. AES-256 i vila för databasvolymer. Personnummer krypteras med pgcrypto och åtkomstloggas.
- Åtkomstkontroll: Row Level Security (RLS) i databasen, krav på stark autentisering för personal hos Biträdet, principen om minsta behörighet.
- Loggning: Alla känsliga åtgärder (export, radering, dekryptering av pnr, adminåtgärder mot annans data) loggas i en write-once-read-many auditlogg.
- Redundans och säkerhetskopiering: Dagliga säkerhetskopior med 7 dagars retention, återställning testas kvartalsvis.
- Incidentprocess: 72-timmars rapportering till IMY, 24-timmars underrättelse till Kunden, löpande dokumentation av incidentåtgärder.
- Organisation: Sekretessförbindelser för all personal, introduktionsutbildning i dataskydd, årlig genomgång av registerutdrag och säkerhetspolicyer.
Kontakt
Frågor om detta avtal eller dataskyddsfrågor i övrigt skickas till info@vardstart.se.