RememberIT

Personuppgiftsbiträdesavtal (DPA)

Senast uppdaterad: 2026-05-21

Detta DPA gäller mellan Kunden (personuppgiftsansvarig) och RememberIT AB (personuppgiftsbiträde) för behandling av personuppgifter inom Tjänsten RememberIT Security Training. Det utgör ett tillägg till våra användarvillkor.

1. Vilka personuppgifter behandlas

  • Namn, e-postadress, avdelning, manager och roll för Kundens anställda (synkat från Entra)
  • Kursdata: tilldelningar, status, quiz-svar, slutförandedatum
  • E-post-engagemang: öppningar, klick på kurslänkar
  • Mailgranskning: avsändaradresser, ämnesrad-hash (aldrig hela mailbody) av mail som användaren själv valt att analysera
  • Säkerhetskultur-enkätsvar (anonyma, aggregerade)

2. Syfte och rättslig grund

Behandlingen sker för att tillhandahålla utbildning och säkerhetsanalys åt Kunden. Rättslig grund är Kundens berättigade intresse av att utbilda sina anställda i IT-säkerhet enligt GDPR artikel 6.1(f) samt skyldighet att vidta lämpliga säkerhetsåtgärder enligt NIS2 m.fl.

3. Lagring och region

All vilande personuppgiftsdata lagras inom EU (Supabase EU-region, Vercel EU-region). Mail-utskick sker via Microsoft Graph från RememberIT:s svenska Microsoft 365-tenant (data i transit stannar inom EU).

AI-bearbetning sker på Azure OpenAI i Sweden Central — Microsofts datacenter i Gävle. Det gäller både kursinnehållsgenerering och Outlook-tilläggets phishing-analys. Er data lämnar aldrig svenska datacenter. Ingen överföring till tredje land sker för AI-bearbetning.

4. Underbiträden

  • Supabase (databas och autentisering, EU-region)
  • Vercel (hosting, EU-region)
  • Microsoft (mail-utskick via Graph, EU-region)
  • Microsoft Azure OpenAI Service (AI-bearbetning för kursgen och Outlook-analys, Sweden Central / Gävle)

Kunden samtycker till nuvarande underbiträden. Tillkommande underbiträden meddelas via mail minst 30 dagar i förväg.

5. Säkerhetsåtgärder

  • All transit krypteras (TLS 1.2+)
  • Lagring krypteras at-rest (Supabase/Vercel default)
  • Row-level security per kund-tenant — Kunden ser endast egen data
  • Access-loggning av administratörshandlingar
  • MFA-krav för RememberIT-personal med tillgång till kunddata

6. Underbiträdesnotis vid säkerhetsincident

RememberIT meddelar Kunden inom 24 timmar om en personuppgiftsincident upptäcks som rör Kundens data.

7. Den registrerades rättigheter

Kunden ansvarar för att hantera anställdas förfrågningar om åtkomst, rättning, radering och dataportabilitet. RememberIT bistår med teknisk export och radering på begäran.

8. Radering vid avtalets upphörande

När avtalet upphör raderas all Kundens data inom 90 dagar. På begäran kan radering ske inom 14 dagar.

9. Revision

Kunden har rätt att en gång per år begära dokumentation av RememberIT:s säkerhetsåtgärder. Större revisioner kan genomföras mot rimlig kostnad.

Frågor om personuppgifter? Maila hej@rememberit.se eller vår dataskyddsombud (på samma adress just nu — separat DSO utses när vi behöver).