Skip to content

PERSONUPPGIFTSBITRÄDESAVTAL

1.  Bakgrund och syfte 

1.1.   Mellan parterna har ingåtts avtal om tillhandahållande av tjänster (”Tjänsteavtalet”). Som ett led i Tjänsteavtalet kommer personuppgiftsbiträdet att självt och/eller genom annat anlitat personuppgiftsbiträde, behandla personuppgifter för den personuppgiftsansvariges räkning.  

1.2.  Syftet med detta Avtal är att tillse att personuppgifter behandlas i enlighet med den personuppgiftsansvariges instruktioner och tillämpliga lagar och förordningar. 

1.3.  I händelse av motstridig lydelse mellan bestämmelserna i detta Avtal och Tjänsteavtalet, ska bestämmelserna i detta Avtal äga företräde om inte parterna uttryckligen angett annat. 

 

2.  Definitioner

2.1.   ”Avtalet” avser detta Personuppgiftsbiträdesavtal samt till Avtalet hörande bilagor. 

2.2.  Med ”behandling” avses varje åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättning av personuppgifter, oberoende av om de utförs automatiserat eller ej, så som insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. 

2.3.  Med ”personuppgifter” avses varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. 

2.4.  Med ”personuppgiftsincident” avses säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. 

2.5.  Med ”register” avses en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. 

2.6.  Med ”registrerad” avses en identifierad eller identifierbar fysisk person. 

2.7.  Med ”känsliga personuppgifter” avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa samt uppgifter om en fysisk persons sexualliv eller sexuella läggning. 

2.8.  ”Systemadministratör” avser den person hos den Personuppgiftsansvarige som genomför registrering av fysisk eller juridisk person hos Personuppgiftsbiträdet i samband med Tjänsteavtalets ingående och uppstart av tjänsterna. 

2.9. Ovan definierade begrepp samt övriga begrepp och termer som används i detta Avtal skall ha den betydelse som motsvarande begrepp och termer har enligt Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 (”Dataskyddsförordningen”). 

 

3.  Personuppgiftsbiträdets skyldigheter

3.1. Behandling av personuppgifter 

3.1.1. Personuppgiftsbiträdet skall för den personuppgiftsansvariges räkning behandla personuppgifter av den art, på de sätt, för de ändamål, med den varaktighet och typ av personuppgifter samt avseende de kategorier av registrerade som anges i detta Avtal. 

3.1.2.  Personuppgiftsbiträdet får endast behandla personuppgifter i enlighet med dokumenterade instruktioner från den personuppgiftsansvarige såvida inte skyldighet följer av tillämplig dataskyddslagstiftning. Föreligger sådan skyldighet för personuppgiftsbiträdet ska denne innan personuppgifterna behandlas informera den personuppgiftsansvarige om detta rättsliga krav, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt sådan dataskyddslagstiftning.  

3.1.3.  Den Personuppgiftsansvarige bekräftar att Personuppgiftsbiträdets skyldigheter enligt detta Biträdesavtal, inklusive Bilaga 1, utgör de fullständiga instruktioner som ska följas av Personuppgiftsbiträdet. Alla ändringar i den Personuppgiftsansvariges instruktioner ska dokumenteras skriftligt och undertecknas av båda Parter. Den Personuppgiftsansvarige är skyldigt att inte, utan sådan skriftlig överenskommelse, låta Personuppgiftsbiträdet behandla andra kategorier av personuppgifter, eller behandla personuppgifter om andra kategorier av registrerade, än vad som anges i Bilaga 1. 

3.1.4. Om personuppgiftsbiträdet anser att en instruktion från den personuppgiftsansvarige strider mot Dataskyddsförordningen eller annan tillämplig dataskyddslagstiftning, ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige härom. 

3.1.5.  Om personuppgiftsbiträdet saknar instruktioner som denne bedömer är nödvändiga för att genomföra behandlingen av personuppgifter, ska personuppgiftsbiträdet utan dröjsmål informera den personuppgiftsansvarige om detta och invänta de instruktioner som den personuppgiftsansvarige bedömer erfordras och meddelar personuppgiftsbiträdet. 

3.1.6.  Den Personuppgiftsansvarige bekräftar att en Systemadministratör har rätt att, för den Personuppgiftsansvariges räkning, lämna sådana instruktioner till Personuppgiftsbiträdet avseende Personuppgiftsbiträdets personuppgiftbehandlingar som är nödvändiga för att Systemadministratören och Personuppgiftsbiträdet ska kunna fullgöra sina respektive förpliktelser mot den Personuppgiftsansvarige. 

3.1.7.  Om den Personuppgiftsansvarige, till följd av avtal med en tredje part om att en sådan part ska tillhandahålla tjänster till den Personuppgiftsansvarige som ska integreras med Tjänsterna, aktiverar och godkänner sådan integration, bekräftar härmed parterna att Personuppgiftsbiträdet är skyldigt, samt berättigat, att till sådan tredje part lämna ut och motta de personuppgifter som är nödvändiga för Personuppgiftsbiträdet att lämna ut respektive motta, för att sådan tredje part och Personuppgiftsbiträdet, ska kunna fullgöra sina respektive förpliktelser mot den Personuppgiftsansvarige. 

3.2.  Datasäkerhet och sekretess 

3.2.1.  Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder så att behandling av personuppgifter uppfyller kraven i Dataskyddsförordningen och Avtalet, samt i övrigt säkerställa att registrerades rättigheter skyddas. 

3.2.1.  Personuppgiftsbiträdet har anlitat de personuppgiftsbiträden, vilket den personuppgiftsansvarige härmed godkänner, samt skall följa de säkerhetsåtgärder som anges i Bilaga

3.2.2.  Personuppgiftsbiträdet får ändra dessa säkerhetsåtgärder utan föregående medgivande från den personuppgiftsansvarige under förutsättning att ändringen inte står i strid mot Dataskyddsförordningen. Personuppgiftsbiträdet ska säkerställa att personer med behörighet att behandla personuppgifter har åtagit sig att iaktta konfidentialitet eller omfattas av lagstadgad tystnadsplikt samt endast behandlar dessa i enlighet med dokumenterade instruktioner från den personuppgiftsansvarige, såvida personerna ifråga inte är skyldiga att göra det enligt tillämplig dataskyddslagstiftning.  

3.3.  Anlitande av underbiträden 

3.3.1.  Den personuppgiftsansvarige lämnar härmed personuppgiftsbiträdet tillstånd att anlita annat personuppgiftsbiträde för behandling av personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsbiträdet ska informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådan förändring. Sådan invändning ska ske skriftligen utan oskäligt dröjsmål från det att den personuppgiftsansvarige fått informationen. 

3.3.2.  Om personuppgiftsbiträdet anlitar annat personuppgiftsbiträde för behandling av personuppgifter för den personuppgiftsansvariges räkning ska personuppgiftsbiträdet genom avtal ålägga det andra personuppgiftsbiträdet samma skyldigheter ifråga om dataskydd som gäller för personuppgiftsbiträdet enligt detta Avtal samt ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddsförordningen. 

3.4.  Information till den personuppgiftsansvarige 

3.4.1.  Personuppgiftsbiträdet ska, med hänsyn till behandlingens art, hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med Dataskyddsförordningen. 

3.4.2.  Personuppgiftsbiträdet ska med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå, bistå den personuppgiftsansvarige med nödvändig information för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter att genomföra konsekvensbedömning och förhandssamråd med tillsynsmyndigheten avseende behandling av personuppgifter under detta Avtal.  

3.4.3.  Personuppgiftsbiträdet skall ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som anges i detta Avtal har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av denne utsedd tredje part. 

3.5.  Personuppgiftsincident 

3.5.1.  Om en personuppgiftsincident inträffar skall personuppgiftsbiträdet utan dröjsmål underrätta den personuppgiftsansvarige härom efter det att incidenten kom till personuppgiftsbiträdets kännedom. 

3.5.2.  Personuppgiftsbiträdet skall omgående efter att en personuppgiftsincident har inträffat utreda incidentens omfattning, art och sannolika konsekvenser, vidta lämpliga avhjälpande åtgärder för att förhindra eller begränsa incidentens negativa effekter samt på begäran samråda med den personuppgiftsansvarige för att avgöra om denne är skyldig att anmäla incidenten till berörd tillsynsmyndighet. Snarast efter avslutad undersökning ska personuppgiftsbiträdet tillhandahålla följande information avseende personuppgiftsincidenten: 

a) Beskrivning av personuppgiftsincidentens art, inklusive där så är möjligt kategorier av och det ungefärliga antalet registrerade som berörs, samt de kategorier av och det ungefärliga antalet personuppgiftposter som berörs, 

b) De sannolika konsekvenserna av personuppgiftsincidenten, och

c) De åtgärder som personuppgiftsbiträdet vidtagit eller avser vidta för att åtgärda personuppgiftsincidenten och för att begränsa personuppgiftsincidentens eventuella negativa effekter.  

3.5.3.  Personuppgiftsbiträdet skall på begäran tillhandahålla den personuppgiftsansvarige samlad dokumentation av alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. 

3.6.  Återlämnande av personuppgifter 

Vid Avtalets upphörande ska i enlighet med den personuppgiftsansvariges instruktion personuppgiftsbiträdet återlämna alla personuppgifter till personuppgiftsansvarig alternativt radera personuppgifterna. Har sådan instruktion inte lämnats senast 30 dagar efter Avtalets upphörande äger personuppgiftsbiträdet rätt att radera samtliga personuppgifter, såvida inte lagring av personuppgifterna krävs enligt tillämplig dataskyddslagstiftning. 

3.7.  Register 

3.7.1.  Personuppgiftsbiträdet ska föra ett register i elektronisk form över all behandling av personuppgifter som utförts för den personuppgiftsansvariges räkning. Registret ska innehålla följande uppgifter: 

a) Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar, och, i tillämpliga fall, för den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare samt dataskyddsombud,

b) Ändamålen med behandlingen,

c) Kategorierna av registrerade och av kategorierna av personuppgifter samt de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter,

d) I tillämpliga fall, överföringar till tredjeland eller en internationell organisation, med angivande av sådant tredjeland eller internationell organisationen och, vid sådana överföringar som avses i artikel 49 andra stycket Dataskyddsförordningen, dokumentation av lämpliga skyddsåtgärder.  

e) En allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1 Dataskyddsförordningen. 

3.7.2.  På begäran av behörig tillsynsmyndighet ska personuppgiftsbiträdet och av denne anlitat personuppgiftsbiträde göra registret tillgängligt för denna. 

3.7.3.  Om en registrerad begär ett registerutdrag avseende behandlingen av dennes personuppgifter, ska personuppgiftsbiträdet på begäran av den personuppgiftsansvarige tillhandahålla registerutdrag avseende sådan behandling. 

4.  Vid begäran om information 

4.1.  För det fall att registrerad eller annan tredje part, tillsynsmyndighet, domstol eller annan myndighet begär information från personuppgiftsbiträdet som rör behandling av personuppgifter eller innehållet i sådana uppgifter, ska personuppgiftsbiträdet hänvisa till den personuppgiftsansvarige, om inte annat följer av personuppgiftsbiträdets skyldigheter enligt detta Avtal eller tillämplig dataskyddslagstiftning. 

4.2.  Personuppgiftsbiträdet ska utan dröjsmål informera den personuppgiftsansvarige om begäran av information eller andra kontakter enligt punkt 4.1 ovan, som rör eller kan vara av betydelse för behandlingen av personuppgifterna.  

5.  Granskning, inspektion och revision 

5.1.  För att den personuppgiftsansvarige ska kunna kontrollera att behandlingen av personuppgifter uppfyller kraven enligt detta Avtal och Dataskyddsförordningen, ska personuppgiftsbiträdet även möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av revisor eller annan personal som bemyndigats av den personuppgiftsansvarige. 

5.2.  Personuppgiftbiträdet ska medge den personuppgiftsansvarige att själv eller genom anlitande av annan genomföra revision avseende personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. Revision ska bland annat kunna ske avseende behörighetsadministration, säkerhetsrutin, loggar, logguppföljning och spårbarhet för behandlingen av personuppgifter som personuppgiftsbiträdet ska ha enligt detta Avtal och Dataskyddsförordningen. Personuppgiftsbiträdet ska lämna den personuppgiftsansvarige det tillträde och assistans som är nödvändigt för genomförandet av sådan revision. 

5.3.  Personuppgiftsbiträdet ska medge den personuppgiftsansvarige rätt att i förekommande fall på lämpligt sätt och i skälig omfattning utreda obehörig åtkomst till personuppgifterna. 

 6.  Form av överföring av personuppgifter

 6.1.  Överföring av personuppgifter mellan parterna ska ske på mellan parterna överenskommet medium. 

 6.2.  Om en registrerad lämnat begäran om åtgärder i elektronisk form, ska personuppgiftsombudet om möjligt tillhandahålla informationen i elektronisk form. 

 7.  Rättigheter och behörigheter 

7.1.  Personuppgiftsbiträdet ansvarar fullt ut för att denne har samtliga rättigheter som krävs för dennes ingående och fullgörande av personuppgiftsbiträdesavtalet. Således ska personuppgiftsbiträdet bland annat tillse att denne innehar samtliga sådana rättigheter som krävs för dennes fullgörande av sina åtaganden och tillse att dennes fullgörande av åtagandena inte utgör intrång i tredje mans rätt.  

7.2.  Personuppgiftsbiträdet har inte rätt att företräda den personuppgiftsansvarige eller på annat sätt agera för dennes räkning utan att särskild överenskommelse härom har träffats med denne. 

7.3.  Personuppgiftsbiträdet erhåller inga rättigheter till de personuppgifter som behandlas enligt detta personuppgiftsbiträdesavtal eller till resultatet av sådan behandling. 

8.  Behandling av personuppgifter i annat land 

8.1.  Personuppgiftsbiträdet eller av denne anlitat personuppgiftsbiträde får endast överföra personuppgifter till ett tredje land om villkoren i Kapitel V Dataskyddsförordningen är uppfyllda. Personuppgiftsbiträdet skall på den personuppgiftsansvariges begäran tillhandahålla en skriftlig beskrivning av hur nämnda villkor uppfylls.  

9.  Den personuppgiftsansvariges skyldigheter 

9.1.  Den personuppgiftsansvarige ansvarar för att den behandling av personuppgifter som denne uppdrar åt personuppgiftsbiträdet att svara för är lagligt grundad och nödvändig för det eller de ändamål som ligger till grund för behandlingen och i övrigt är tillåten enligt Dataskyddsförordningen och annan tillämplig dataskyddslagstiftning. 

9.2.  Den personuppgiftsansvarige ansvarar fullt ut för att denne har samtliga rättigheter som krävs för dennes ingående och fullgörande av personuppgiftsbiträdesavtalet. Således ska den personuppgiftsansvarige bland annat tillse att denne innehar samtliga sådana tillstånd och samtycken samt uppfyller alla andra krav som gäller för dennes rättsenliga fullgörande av detta Avtal samt att fullgörandet härav inte utgör intrång i tredje mans rätt. 

9.3.  Den personuppgiftsansvarige ska tillhandahålla personuppgiftsbiträdet sådana instruktioner avseende personuppgifter som är erforderliga för att personuppgiftsbiträdet ska kunna uppfylla sina skyldigheter enligt detta Avtal samt Dataskyddsförordningen.

9.4.  Den personuppgiftsansvarige ska informera personuppgiftsbiträdet om arten av de personuppgifter som denne ska behandla för den personuppgiftsansvariges räkning och särskilt om personuppgifterna kan anses utgöra känsliga personuppgifter. I sådant fall är den personuppgiftsansvarige skyldig att identifiera de säkerhetsåtgärder som kan komma att krävas vid behandling av sådana personuppgifter samt att inte låta personuppgiftsbiträdet behandla uppgifterna innan sådana säkerhetsåtgärder vidtagits. 

9.5.  Den personuppgiftsansvarige ska utan dröjsmål informera personuppgiftsbiträdet om sådana förhållanden som den personuppgiftsansvarige får kännedom om och som rimligen kan antas ha betydelse för personuppgiftsbiträdets uppfyllande av sina skyldigheter enligt detta Avtal. 

9.6.  Den personuppgiftsansvarige äger inte rätt att företräda personuppgiftsbiträdet eller på annat sätt agera för dennes räkning utan föregående särskild överenskommelse med denne. 

 10.  Ansvar vid behandling av personuppgifter

 10.1.  Personuppgiftsbiträdet ska hålla den personuppgiftsansvarige skadelös för ersättningskrav, sanktionsavgift eller andra anspråk riktade mot den personuppgiftsansvarige på grund av brott mot detta Avtal eller mot Dataskyddsförordningen med den begränsning för ansvar som följer av tjänsteavtalet.  

10.2.  Personuppgiftsbiträdet svarar dock aldrig för skada som den personuppgiftsansvarige drabbas av som är hänförlig till att personuppgiftsbiträdet agerat i enlighet med instruktioner meddelade av den personuppgiftsansvarige. Den personuppgiftsansvarige ska hålla personuppgiftsbiträdet skadelös för ersättningskrav, sanktionsavgift eller andra anspråk riktade mot personuppgiftsbiträdet på grund av agerande i enlighet med sådana meddelade instruktioner. 

10.3.  Innan part inleder förhandling, ingår förlikning eller träffar annat avtal med registrerad, myndighet eller annan tredje part med anledning av i denna punkt 10 ovan angivna anspråk ska parten informera den andre parten härom och ge denne möjlighet att biträda parten eller på annat lämpligt sätt tillvarata sina intressen. 

11.  Ersättning 

11.1.  Personuppgiftsbiträdet skall ha rätt till full ersättning för arbete, åtgärder samt utlägg och andra kostnader som följer av personuppgiftsbiträdets åligganden enligt Avtalet. Om ej annat avtalats skall ersättning utgå enligt personuppgiftsbiträdets vid var tid gällande prislista och, såvitt avser utlägg och andra kostnader, motsvarande personuppgiftsbiträdets faktiska kostnader. 

12.  Avtalstid 

12.1.  Detta Avtal gäller träder ikraft när det undertecknats av båda parter och gäller därefter tills dess Tjänsteavtalet upphör att gälla.  

13.  Tvister 

13.1.  Tvist rörande tolkning och eller tillämpning av detta Avtal ska avgöras enligt svensk lag med undantag för internationella privaträttsliga regler. 

13.2.  Tvist ska avgöras av allmän domstol där personuppgiftsbiträdet har sitt säte. 

 

 

(Bilaga 1)

Instruktioner 

Dessa instruktioner utgör en integrerad del av Avtalet och ska följas av Personuppgiftsbiträdet vid behandling av personuppgifter på den personuppgiftsansvariges vägnar. 

KATEGORIER AV PERSONUPPGIFTER OCH REGISTRERADE 

De personuppgifter som personuppgiftsbiträdet ska behandla i samband med tillhandahållandet av tjänster enligt Tjänsteavtalet utgörs av: 

  1. namn, adress, telefonnummer och mejladress avseende kunder till den personuppgiftsansvarige 

TYP AV BEHANDLING 

Överföring av personuppgifterna för att fullgöra Personuppgiftsbiträdets skyldigheter i enlighet med punkt 3 i personuppgiftsbiträdesavtalet. Behandling sker på följande sätt: 

  1. Insamling 
  2. Registrering 
  3. Lagring 
  4. Läsning 
  5. Radering 
  6. Statistisk analys 

ÄNDAMÅL MED BEHANDLING 

Behandlingen av personuppgifterna sker för följande ändamål:  

  • Utövande av ångerrätt enligt lagen (2005:59) om distansavtal och avtal utanför affärslokaler 
  • Reklamationsärende 
  • Försäkringsärende 
  • Statistisk analys 

FYSISK PLATS DÄR BEHANDLINGEN UTFÖRS 

  • Bolagets verksamhetsställen inom EU/EES 
  • Datacenter inom EU/EES tillhörande Cloudist AB 
  • Datacenter inom EU/EES tillhörande Microsoft datacenter, region nord  

VARAKTIGHET AV BEHANDLINGEN 

Behandlingen av personuppgifter kommer att ske under tidsperioder som bestäms enligt följande kriterier: 

 Skärmavbild 2024-12-10 kl. 13.29.27

 

(Bilaga 2)

Säkerhetsåtgärder 

Dessa tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå utgör en integrerad del av 

Avtalet och ska följas av Personuppgiftsbiträdet vid utförande av behandling av personuppgifter. 

a). Fysisk säkerhet. Personuppgiftsbärande system ska skyddas mot elavbrott och andra störningar orsakade i tekniska försörjningsystem. Utrymmen där personuppgifter förvaras, så som serverhallar, ska skyddas genom lämpliga tillträdeskontroller för att säkerställa att endast behörig personal får tillträde. Det ska också finnas ett tillfredställande skydd mot stöld och händelser som kan förstöra IT-system och lagringsmedia. 

b). Åtkomstskydd. När datorutrustning och löstagbara datamedier hos Personuppgiftsbiträdet som innehåller eller kan ge tillgång till personuppgifter som Personuppgiftsbiträdet behandlar för Personuppgiftsansvarigs räkning, inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. I annat fall ska personuppgifterna krypteras.  

c). Skydd mot skadlig kod. Personuppgiftsbärande system ska vara skyddade mot virus, trojaner och andra former av digitala intrång. 

d). Säkerhetskopia. Personuppgifterna ska regelbundet överföras till säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så att personuppgifterna kan återskapas efter en störning. Personuppgiftsbiträdet ska ha en dokumenterad rutin för säkerhetskopiering och återläsning av säkerhetskopior, samt för test av återläsning. 

e). Behörighetskontroll. Ett tekniskt system för behörighetskontroll ska styra åtkomsten till personuppgifterna för Personuppgiftsbiträdet. Behörigheten ska begränsas till dem som behöver uppgifterna för sitt arbete. Användaridentitet och lösenord ska vara personliga och får inte överlåtas på någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter. 

f). Loggning. Åtkomst till personuppgifter ska kunna följas upp i efterhand genom loggar eller liknande underlag. Underlaget ska kunna kontrolleras av Personuppgiftsbiträdet och återrapporteras till Personuppgiftsansvarig. 

g). Datakommunikation. Anslutning för extern datakommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig. Personuppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av Personuppgiftsbiträdet ska skyddas med kryptering. 

h). Utplåning. När fasta eller löstagbara lagringsmedier som innehåller personuppgifter inte längre ska användas för sitt ändamål ska personuppgifterna raderas på sådant sätt att de inte kan återskapas. 

i). Reparation och service. När reparation och service av datorutrustning, vilken används för att lagra Personuppgiftsansvarigs personuppgifter, utförs av annan än Personuppgiftsbiträdet, ska kontrakt som reglerar säkerhet och sekretess träffas med serviceföretaget. Vid servicebesök ska servicen ske under Personuppgiftsbiträdets överinseende. Är detta inte möjligt ska lagringsmedier som innehåller personuppgifter avlägsnas. Service via fjärrstyrd datakommunikation får endast ske efter säker elektronisk identifiering av den som utför servicen. Servicepersonal ska ges åtkomst i systemet endast vid servicetillfället. Finns separat kommunikationsingång för service ska den vara stängd när service inte pågår. 

j). Personuppgiftsincident. Personuppgiftsbiträdet ska ha rutiner för att omgående underrätta Personuppgiftsansvarig vid upptäckt av obehörig åtkomst, förstörelse, ändring av personuppgifter eller liknande integritetsincidenter, samt försök därtill. Det ska finnas lämpliga och adekvata processer för att kunna säkerställa tillgängligheten och åtkomsten till personuppgifterna vid personuppgiftsincidenter. Därutöver ska Personuppgiftsbiträdet ha rutiner för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter. 

k). Pseudonymisering. Personuppgifterna ska i möjligaste mån pseudonymiseras. 

l). Insyn. Personuppgiftsansvarig ska ha rätt att utreda obehörig åtkomst, förstörelse, ändring av personuppgifter eller liknande personuppgiftsincidenter, samt försök därtill, hos Personuppgiftsbiträdet.