← Tillbaka till Finvis

Personuppgiftsbiträdesavtal (DPA)

Bilaga till Allmänna villkor för Finvis Senast uppdaterad: 10 maj 2026 Version: 1.0

Detta personuppgiftsbiträdesavtal ("DPA") utgör en oskiljaktig del av de Allmänna villkoren mellan Connectivo AB ("Personuppgiftsbiträdet") och Kunden ("Personuppgiftsansvarige"), tillsammans benämnda "Parterna".

DPA reglerar Personuppgiftsbiträdets behandling av personuppgifter på Personuppgiftsansvariges uppdrag i samband med tillhandahållandet av Finvis-plattformen ("Tjänsten").

DPA är upprättad i enlighet med kraven i artikel 28 i EU-förordning 2016/679 ("GDPR").

1. Bakgrund och syfte

1.1 Roller

I förhållande till behandlingen av personuppgifter som rör Personuppgiftsansvariges egna kunder ("Klientdata") gäller följande:

  • Personuppgiftsansvarig: Kunden (redovisningsbyrån eller CFO-firman)
  • Personuppgiftsbiträde: Connectivo AB (Finvis)

1.2 Syfte

Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvariges räkning i syfte att tillhandahålla Tjänsten enligt Allmänna villkoren.

2. Behandlingens art och syfte

2.1 Behandlingens karaktär

Personuppgiftsbiträdet behandlar personuppgifter genom att lagra, bearbeta, analysera, sammanställa och presentera Klientdata i Tjänsten på det sätt som krävs för att Tjänsten ska kunna tillhandahållas.

2.2 Specifika behandlingsaktiviteter

Behandlingen omfattar:

  • Insamling av Klientdata via integrationer mot tredjepartssystem (Fortnox, Visma, banker etc.)
  • Lagring av Klientdata i Tjänstens databaser
  • Bearbetning och analys av Klientdata för att generera rapporter och analyser
  • Visning av Klientdata för Personuppgiftsansvariges användare
  • Export av Klientdata på Personuppgiftsansvariges begäran
  • Säkerhetskopiering av Klientdata

2.3 Behandlingens varaktighet

Behandlingen pågår så länge som avtalet om Tjänsten är i kraft samt under den period för dataretention som anges i avsnitt 11.

3. Kategorier av registrerade och personuppgifter

3.1 Kategorier av registrerade

Behandlingen kan omfatta personuppgifter om följande kategorier av registrerade:

  • Personuppgiftsansvariges slutkunder (om enskild firma eller fysisk person)
  • Anställda hos slutkunder vars uppgifter förekommer i bokföring eller affärsdata
  • Andra personer vars uppgifter förekommer i transaktionsdata, fakturor, eller andra dokument

3.2 Kategorier av personuppgifter

Personuppgifter som behandlas kan omfatta:

  • Identifikationsuppgifter: Namn, organisationsnummer, personnummer (i förekommande fall)
  • Kontaktuppgifter: Adress, telefonnummer, e-postadress
  • Ekonomiska uppgifter: Transaktionsdata, fakturadata, kontoutdrag, bokföringsdata
  • Övriga uppgifter: Information som förekommer i bokföringsmaterial och affärsdokument

3.3 Särskilda kategorier av personuppgifter

Tjänsten är inte avsedd för behandling av särskilda kategorier av personuppgifter (såsom hälsouppgifter, religiös åskådning, politiska åsikter etc.) enligt artikel 9 GDPR. Personuppgiftsansvarige ska säkerställa att inga sådana uppgifter förs in i Tjänsten utöver vad som är nödvändigt för bokföringsändamål och med korrekt rättslig grund.

4. Personuppgiftsansvariges skyldigheter

4.1 Lagliga grunder

Personuppgiftsansvarige garanterar att den har lagliga grunder enligt GDPR för all behandling av personuppgifter som sker i Tjänsten, inklusive:

  • Att personuppgifterna har samlats in lagligt
  • Att de registrerade har informerats om behandlingen
  • Att samtycke inhämtats där det är den rättsliga grunden
  • Att andra rättsliga grunder är på plats där tillämpligt

4.2 Korrekta instruktioner

Personuppgiftsansvarige ska tillhandahålla skriftliga instruktioner till Personuppgiftsbiträdet om hur personuppgifterna ska behandlas. Dessa Allmänna villkor och DPA utgör Personuppgiftsansvariges grundläggande instruktioner. Ytterligare specifika instruktioner kan ges via Tjänstens administrationsgränssnitt.

4.3 Riktighet

Personuppgiftsansvarige ansvarar för att personuppgifter som tillförs Tjänsten är korrekta och uppdaterade.

5. Personuppgiftsbiträdets skyldigheter

5.1 Behandling enligt instruktion

Personuppgiftsbiträdet behandlar personuppgifter endast på dokumenterad instruktion från Personuppgiftsansvarige, inklusive vad gäller överföring av personuppgifter till tredjeland eller internationell organisation, om inte annat krävs enligt EU-rätt eller medlemsstats nationella rätt.

Om Personuppgiftsbiträdet är skyldigt att utföra sådan behandling enligt unionsrätten eller en medlemsstats nationella rätt, ska Personuppgiftsbiträdet informera Personuppgiftsansvarige om det rättsliga kravet innan behandlingen sker, om inte sådan information är förbjuden enligt nämnda rätt.

5.2 Sekretess

Personuppgiftsbiträdet ska säkerställa att personer som har behörighet att behandla personuppgifterna har åtagit sig att iaktta sekretess eller är underkastade lämplig lagstadgad tystnadsplikt.

5.3 Säkerhetsåtgärder

Personuppgiftsbiträdet ska vidta alla nödvändiga åtgärder enligt artikel 32 GDPR för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Specifika säkerhetsåtgärder beskrivs i Bilaga A.

5.4 Bistånd till Personuppgiftsansvarige

Personuppgiftsbiträdet ska, med beaktande av behandlingens art, bistå Personuppgiftsansvarige med:

  • Att svara på begäran från registrerade om utövande av deras rättigheter
  • Säkerställa att skyldigheterna enligt artiklarna 32–36 GDPR efterlevs (säkerhet, anmälan av personuppgiftsincident, konsekvensbedömning, samråd med tillsynsmyndigheten)

6. Underbiträden

6.1 Allmänt godkännande

Personuppgiftsansvarige ger Personuppgiftsbiträdet ett allmänt skriftligt godkännande att anlita underbiträden för behandlingen av personuppgifter.

6.2 Aktuella underbiträden

En aktuell lista över Personuppgiftsbiträdets underbiträden finns tillgänglig i Bilaga B och uppdateras löpande i Tjänstens administrationsgränssnitt.

6.3 Förändringar av underbiträden

Personuppgiftsbiträdet ska underrätta Personuppgiftsansvarige minst 30 dagar före planerade förändringar i fråga om tillägg eller ersättning av underbiträden, så att Personuppgiftsansvarige har möjlighet att invända mot sådana förändringar.

Om Personuppgiftsansvarige har sakliga skäl att invända mot ett nytt underbiträde, har Personuppgiftsansvarige rätt att säga upp avtalet om Tjänsten med iakttagande av en uppsägningstid om 30 dagar.

6.4 Krav på underbiträden

Personuppgiftsbiträdet ska säkerställa att alla underbiträden:

  • Har ingått personuppgiftsbiträdesavtal med Personuppgiftsbiträdet med villkor som ger minst samma skydd för personuppgifter som detta DPA
  • Behandlar personuppgifter inom EES eller med tillräckliga skyddsåtgärder enligt GDPR
  • Har lämpliga tekniska och organisatoriska säkerhetsåtgärder

Personuppgiftsbiträdet ansvarar gentemot Personuppgiftsansvarige för underbiträdens behandling som för egen behandling.

7. Säkerhet

7.1 Tekniska och organisatoriska åtgärder

Personuppgiftsbiträdet vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder, inklusive:

  • Pseudonymisering och kryptering av personuppgifter där lämpligt
  • Förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystem och tjänster
  • Förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident
  • Ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärderna

Detaljerade säkerhetsåtgärder beskrivs i Bilaga A.

7.2 Ny teknik och utveckling

Personuppgiftsbiträdet ska löpande utvärdera säkerhetsåtgärderna i ljuset av teknisk utveckling, kostnaden för genomförande och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för registrerade.

8. Personuppgiftsincident

8.1 Underrättelse

Vid personuppgiftsincident ska Personuppgiftsbiträdet underrätta Personuppgiftsansvarige utan onödigt dröjsmål, dock senast inom 48 timmar från det att Personuppgiftsbiträdet fått kännedom om incidenten.

8.2 Innehåll i underrättelse

Underrättelsen ska innehålla:

  • Beskrivning av incidentens art, inklusive om möjligt kategorier och antal registrerade och personuppgifter som berörs
  • Kontaktuppgifter till Personuppgiftsbiträdets dataskyddsombud
  • Beskrivning av de sannolika konsekvenserna av incidenten
  • Beskrivning av de åtgärder som har vidtagits eller föreslagits för att hantera incidenten

8.3 Bistånd

Personuppgiftsbiträdet ska bistå Personuppgiftsansvarige med all rimlig hjälp för att Personuppgiftsansvarige ska kunna uppfylla sina skyldigheter enligt artiklarna 33 och 34 GDPR (anmälan till tillsynsmyndighet och information till registrerade).

9. Registrerades rättigheter

9.1 Bistånd

Personuppgiftsbiträdet ska, med beaktande av behandlingens art, bistå Personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, så att Personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter enligt kapitel III i GDPR.

9.2 Hänvisning av registrerade

Om en registrerad vänder sig direkt till Personuppgiftsbiträdet med en begäran om utövande av rättigheter, ska Personuppgiftsbiträdet utan onödigt dröjsmål hänvisa den registrerade till Personuppgiftsansvarige och meddela Personuppgiftsansvarige om begäran.

10. Konsekvensbedömningar och förhandssamråd

Personuppgiftsbiträdet ska bistå Personuppgiftsansvarige med att säkerställa att skyldigheterna enligt artiklarna 35 och 36 GDPR (konsekvensbedömning av dataskyddsåtgärder och förhandssamråd) efterlevs, med beaktande av behandlingens art och den information som Personuppgiftsbiträdet har tillgång till.

11. Återlämning eller radering av personuppgifter

11.1 Vid avtalets upphörande

Vid avtalets upphörande ska Personuppgiftsbiträdet, efter Personuppgiftsansvariges val:

  • Återlämna alla personuppgifter till Personuppgiftsansvarige i ett standardiserat, maskinläsbart format (Excel, CSV, JSON eller motsvarande), eller
  • Radera alla personuppgifter

11.2 Tidsfrister

Personuppgiftsansvarige ska inom 30 dagar efter avtalets upphörande meddela Personuppgiftsbiträdet vilket alternativ som väljs. Om inget val meddelas inom denna tid raderas personuppgifterna automatiskt.

Personuppgiftsbiträdet ska genomföra raderingen inom 30 dagar efter att Personuppgiftsansvarige bekräftat radering.

11.3 Undantag

Personuppgiftsbiträdet får behålla personuppgifter i den mån behållandet krävs enligt EU-rätt eller medlemsstats rätt. I sådana fall ska Personuppgiftsbiträdet säkerställa att personuppgifterna fortsatt skyddas i enlighet med detta DPA.

11.4 Bekräftelse

Personuppgiftsbiträdet ska skriftligen bekräfta för Personuppgiftsansvarige när återlämning eller radering är genomförd.

12. Granskning och inspektion

12.1 Personuppgiftsansvariges rätt

Personuppgiftsansvarige har rätt att, en gång per år, granska Personuppgiftsbiträdets efterlevnad av detta DPA, inklusive genom inspektioner som genomförs av Personuppgiftsansvarige eller en av Personuppgiftsansvarige utsedd extern revisor.

12.2 Genomförande

Granskningar ska:

  • Aviseras minst 30 dagar i förväg
  • Genomföras under normala kontorstider och så att de inte i orimlig grad stör Personuppgiftsbiträdets verksamhet
  • Genomföras i enlighet med rimliga säkerhetskrav från Personuppgiftsbiträdet

Den utsedda revisorn ska underteckna sekretessavtal om Personuppgiftsbiträdet så begär.

12.3 Kostnader

Kostnader för Personuppgiftsansvariges granskning bärs av Personuppgiftsansvarige. Personuppgiftsbiträdet får, vid omfattande granskningar, fakturera skälig ersättning för den tid som Personuppgiftsbiträdets personal lägger på att medverka.

12.4 Alternativ till inspektion

Personuppgiftsbiträdet kan alternativt visa efterlevnad genom att tillhandahålla aktuella revisionsrapporter, certifieringar (såsom ISO 27001 eller SOC 2) eller liknande dokumentation.

13. Ansvar och ersättning

13.1 Allmänt

Vardera Parts ansvar enligt detta DPA regleras av motsvarande bestämmelser i Allmänna villkoren och tillämplig lag.

13.2 Bötesbestämmelser i GDPR

Om en Part påförs administrativa sanktionsavgifter enligt artikel 83 GDPR ska den andra Parten endast vara skyldig att ersätta sådan avgift om avgiften kan hänföras till den andra Partens brott mot detta DPA eller GDPR.

14. Tillämplig lag och tvister

Detta DPA regleras av svensk lag. Tvister i anledning av DPA ska avgöras enligt motsvarande bestämmelser i Allmänna villkoren.

Bilaga A — Tekniska och organisatoriska säkerhetsåtgärder

Personuppgiftsbiträdet vidtar följande säkerhetsåtgärder:

A.1 Tillträdeskontroll

  • Servrar och datacenter har fysisk tillträdeskontroll med passerkortssystem och övervakning
  • Endast behörig personal har fysisk tillgång
  • Datacenter uppfyller minst kraven enligt ISO 27001

A.2 Åtkomstkontroll (logisk)

  • Tvåfaktorsautentisering krävs för all administrativ åtkomst
  • Användarkonton är personliga och får inte delas
  • Roll-baserad åtkomstkontroll (RBAC)
  • Loggning av all åtkomst till personuppgifter
  • Regelbunden granskning av åtkomstbehörigheter

A.3 Krypteringsåtgärder

  • All datatrafik krypteras med TLS 1.2 eller högre
  • Lagrade personuppgifter krypteras med branschstandarder (AES-256 eller motsvarande)
  • Krypteringsnycklar hanteras enligt key management-rutiner

A.4 Pseudonymisering

  • Där det är lämpligt och tekniskt möjligt pseudonymiseras personuppgifter

A.5 Säkerhetskopiering

  • Daglig säkerhetskopiering av all data
  • Säkerhetskopior krypteras
  • Säkerhetskopior bevaras i 30 dagar
  • Återställningsprocedurer testas regelbundet

A.6 Driftsäkerhet

  • Övervakning av system 24/7
  • Patchning och uppdatering av system enligt rutin
  • Antivirus- och anti-malware-skydd
  • Brandvägg och nätverkssegmentering

A.7 Personalåtgärder

  • Sekretessavtal med all personal
  • Bakgrundskontroller där relevant
  • Regelbunden utbildning i datasäkerhet och GDPR
  • Tydliga säkerhetsrutiner och policyer

A.8 Incidenthantering

  • Incidenthanteringsplan och -rutiner
  • Loggning och övervakning för att upptäcka incidenter
  • Eskaleringsprocedurer
  • Regelbundna övningar

A.9 Säkerhetstestning

  • Regelbundna sårbarhetsscanningar
  • Säkerhetsutvärderingar vid större förändringar

A.10 Lokalisering

  • All behandling sker inom EES
  • Datacenter är lokaliserade i [land/region inom EU]
  • Inga överföringar till tredjeland utan tillräckliga skyddsåtgärder

Bilaga B — Aktuella underbiträden

Följande underbiträden anlitas av Personuppgiftsbiträdet för behandling av personuppgifter:

Underbiträde Tjänst Lokalisering Säkerhetscertifiering
[Hostingleverantör] Servrar och infrastruktur EU ISO 27001, SOC 2
[E-postleverantör] E-postdrift EU ISO 27001
[Faktureringssystem] Fakturahantering EU GDPR-compliant
[Kundsupportsystem] Supportverktyg EU GDPR-compliant
[Analysverktyg] Användningsanalys EU ISO 27001
[Backup-leverantör] Säkerhetskopiering EU ISO 27001

[Den ovanstående listan är ett exempel på struktur. Verklig lista uppdateras kontinuerligt och kommuniceras till Kunden via Tjänsten.]

Aktuell, fullständig lista finns alltid tillgänglig i Tjänstens administrationsgränssnitt under "Säkerhet och Compliance".

Underskrifter

Detta DPA är en del av Allmänna villkoren och godkänns elektroniskt vid avtalets ingående. Inga separata fysiska underskrifter krävs.

För Connectivo AB: Azadeh Brownlee

För Kunden: Genom registrering och godkännande av Allmänna villkor.