Biträdesavtal

Personuppgifts-
biträdesavtal.

När du bokför i Astrid behandlar vi personuppgifter på ditt uppdrag: namn på motparter, uppgifter på kvitton och, om du använder Lön, uppgifter om dina anställda. Det här avtalet reglerar den behandlingen enligt artikel 28 i dataskyddsförordningen (GDPR).

Du är ansvarig, vi är biträde

För personuppgifter i din bokföring (motparter, anställda, kvitton) är du personuppgiftsansvarig. Vi behandlar dem bara på ditt uppdrag, för att leverera tjänsten.

Data inom EU

Bokföringsdata och underlag lagras i EU (GCP europe-north1, Finland). De underbiträden som kan behandla data utanför EU gör det under SCC och likvärdiga skyddsåtgärder.

Kryptering och spårbarhet

Känsliga fält som personnummer krypteras i databasen (AES-256-GCM). Varje bokföringsåtgärd loggas i en spårbar historik enligt Bokföringslagen.

En del av villkoren

Det här avtalet gäller automatiskt som en del av användarvillkoren. Inget separat påskrivet dokument behövs för att du ska kunna använda tjänsten lagligt.

PUB-avtal

Personuppgiftsbiträdesavtal för Astrid

Detta avtal gäller mellan den organisation som använder tjänsten ("Kunden", personuppgiftsansvarig) och Jupiter Technologies AB, org. 559574-6503 ("Biträdet"), och utgör en del av användarvillkoren. Det gäller automatiskt från att Kunden börjar behandla personuppgifter i tjänsten, utan separat undertecknande.

1. Behandlingens föremål och varaktighet

  • Biträdet behandlar personuppgifter för Kundens räkning i syfte att leverera bokföringstjänsten Astrid: bokföring, kvittohantering, fakturering, lön, rapporter och rådgivningsunderlag.
  • Behandlingen pågår så länge Kunden har ett konto, och därefter så länge lagring krävs enligt punkt 9.

2. Kategorier av registrerade och uppgifter

  • Registrerade: Kundens företrädare och användare, anställda (om Lön används), kunder, leverantörer och andra motparter som förekommer i bokföringsmaterial.
  • Uppgiftstyper: namn och kontaktuppgifter, transaktions- och fakturauppgifter, uppgifter på kvitton och underlag, samt för anställda i Lön: personnummer, löne- och skatteuppgifter.
  • Personnummer är extra skyddsvärda enligt svensk rätt och krypteras i databasen. Tjänsten är inte avsedd för känsliga personuppgifter enligt artikel 9 GDPR (till exempel hälsouppgifter); ladda inte upp sådana i onödan.

3. Instruktioner

  • Biträdet behandlar personuppgifter endast enligt Kundens dokumenterade instruktioner. Instruktionerna utgörs av detta avtal, användarvillkoren och de val Kunden gör i tjänsten (till exempel att importera en bankfil eller köra en lönekörning).
  • Om Biträdet anser att en instruktion strider mot GDPR eller annan dataskyddslagstiftning informeras Kunden utan onödigt dröjsmål.
  • Om unionsrätt eller svensk rätt kräver en viss behandling får Biträdet utföra den, och informerar då Kunden om det rättsliga kravet innan behandlingen, om inte lagen förbjuder sådan information.

4. Konfidentialitet

  • Endast personer som behöver åtkomst för att leverera eller underhålla tjänsten har åtkomst till Kundens data.
  • Alla personer med åtkomst omfattas av avtalad eller lagstadgad tystnadsplikt.
  • Administrativ åtkomst till kunddata loggas.

5. Säkerhetsåtgärder (artikel 32)

  • All trafik krypteras (TLS). Data lagras krypterat i vila i Google Cloud Platform, region europe-north1 (Finland).
  • Särskilt skyddsvärda fält, som personnummer för anställda och åtkomsttoken för integrationer, krypteras dessutom på fältnivå med AES-256-GCM.
  • Åtkomst är rollstyrd per organisation. Varje bokföringsåtgärd skrivs till en spårbar, beständig auditlogg.
  • Säkerhetskopior tas dagligen med möjlighet till återställning till en tidpunkt (PITR).

6. Underbiträden

  • Kunden lämnar ett allmänt förhandstillstånd till de underbiträden som anges i integritetspolicyns avsnitt om underbiträden, bland andra Google Cloud (drift och lagring, EU), Anthropic (AI-förslag), Stripe (betalningar) och Resend (transaktionsmejl).
  • Underbiträden som kan behandla uppgifter utanför EU/EES gör det med stöd av EU:s standardavtalsklausuler (SCC) eller andra giltiga överföringsmekanismer.
  • Vid byte eller tillägg av underbiträde uppdateras listan i integritetspolicyn och väsentliga ändringar meddelas i tjänsten eller via e-post, så att Kunden kan invända. Vid invändning har Kunden alltid rätt att säga upp tjänsten och exportera sin data.
  • Biträdet ansvarar för underbiträdenas behandling som för egen behandling.

7. Bistånd till Kunden

  • Biträdet bistår Kunden med att svara på registrerades begäranden (registerutdrag, rättelse, radering) i den mån uppgifterna finns i tjänsten. Mycket kan Kunden göra själv via export- och raderingsfunktionerna.
  • Biträdet bistår Kunden med den information som rimligen behövs för konsekvensbedömningar (DPIA) och förhandssamråd.

8. Personuppgiftsincidenter

  • Biträdet underrättar Kunden utan onödigt dröjsmål efter att ha fått kännedom om en personuppgiftsincident som rör Kundens uppgifter.
  • Underrättelsen innehåller den information Kunden behöver för sin eventuella anmälan till Integritetsskyddsmyndigheten (IMY): vad som hänt, vilka uppgifter som berörs, trolig konsekvens och vidtagna åtgärder.
  • Anmälan till IMY och information till registrerade är Kundens ansvar som personuppgiftsansvarig; Biträdet bistår med underlaget.

9. Radering och återlämning

  • När kontot avslutas kan Kunden exportera sin bokföring som SIE4 och sina underlag innan radering.
  • Efter avslut raderas personuppgifter enligt de lagringstider som anges i integritetspolicyn, med undantag för uppgifter som Biträdet enligt lag måste bevara.
  • Observera att arkiveringsskyldigheten för räkenskapsinformation (sju år enligt Bokföringslagen) ligger på Kunden: exportera innan radering.

10. Granskning och insyn

  • Biträdet ger Kunden tillgång till den information som rimligen krävs för att visa att skyldigheterna i artikel 28 GDPR uppfylls.
  • Kunden har rätt att genomföra granskning (själv eller via oberoende tredje part under sekretess), på egen bekostnad, efter rimlig föranmälan och utan att andra kunders data exponeras.

11. Övrigt

  • Svensk lag gäller för detta avtal, och tvist hanteras enligt användarvillkorens tvistlösningsbestämmelse.
  • Vid konflikt mellan detta avtal och användarvillkoren har detta avtal företräde i frågor som rör behandling av personuppgifter.
  • Väsentliga ändringar av avtalet meddelas på samma sätt som ändringar av användarvillkoren.

Underbiträdeslistan och lagringstiderna finns i integritetspolicyn. Avtalet i sin helhet är en del av användarvillkoren.

Frågor om avtalet

Behöver din organisation ett undertecknat exemplar, eller har du frågor? Hör av dig.

Kontakta oss

Senast uppdaterad: 12 juli 2026 (version 2026-07-12).