Detta personuppgiftsbiträdesavtal (DPA) är en del av våra användarvillkor och gäller automatiskt så snart du som B2B-kund tar en tjänst där vi behandlar personuppgifter om dina slutanvändare för din räkning (GDPR art. 28). Du behöver inte signera det separat — accepterar du villkoren accepterar du DPA.
1. Parter och roller
Personuppgiftsansvarig: du, kunden (”Kunden”).
Personuppgiftsbiträde: InternalHost (enskild firma Xaviero Kajafas, KvK 90174720).
InternalHost behandlar personuppgifter endast på Kundens instruktion och endast i den utsträckning det behövs för att leverera de avtalade tjänsterna (hosting, lagring, mail, nät).
2. Föremål och varaktighet
- Föremål: behandling av personuppgifter i samband med de IT-infrastrukturtjänster vi levererar.
- Behandlingens art: lagring, överföring (inom vår infrastruktur), backup — ingen aktiv behandling av slutanvändares innehåll från vår sida.
- Ändamål: tillhandahållande av de avtalade IT-tjänsterna.
- Kategorier av registrerade: enligt Kundens bestämmande. Vi har ingen insyn (vi tittar inte i dina databaser).
- Typer av personuppgifter: enligt Kundens bestämmande. Särskilda kategorier (hälsa, religion etc.) är tillåtna under förutsättning att Kunden vidtar lämpliga tekniska och organisatoriska åtgärder.
- Varaktighet: så länge huvudavtalet löper, plus 14 dagars återhämtningsperiod efter uppsägning.
3. Säkerhetsåtgärder
InternalHost vidtar minst följande tekniska och organisatoriska åtgärder:
- Kryptering i transit: TLS 1.2+ på alla publika endpoints, WireGuard för internt mesh.
- Kryptering at-rest: LUKS på alla lagringsvolymer. Kryptering på kundnivå är Kundens ansvar.
- Åtkomstkontroll: SSH endast via ed25519-nycklar, MFA krav för admin-åtkomst, princip om minsta privilegium.
- Loggning: åtkomst till infrastrukturen loggas (90 dagar).
- Backuper: dagliga krypterade snapshots av kundvolymer, 7d/4v/12m retention (på vår sida — applikationsbackup är Kundens ansvar).
- Fysisk säkerhet: Qupra DC har 24/7-bemannad åtkomst, ISO 27001 + 9001-certifierad, biometrisk åtkomst + mantrap.
- Mjukvaruuppdateringar: säkerhetspatchar inom 7 dagar efter release, kritiska inom 24 timmar.
- Monitorering: CrowdSec + fail2ban på alla exponerade tjänster.
En aktuell översikt över tekniska åtgärder finns på begäran via [email protected].
4. Underbiträden
Vi använder följande underbiträden. Alla i EU. Vi aviserar ändringar minst 30 dagar i förväg så Kunden kan invända.
| Underbiträde | Syfte | Plats |
|---|---|---|
| Qupra Data Centers BV | Datacenter / colocation | Amsterdam, NL |
| Mollie B.V. | Betalningar | Amsterdam, NL |
| Revolut Payments UAB | Betalningar (alternativ) | Vilnius, LT |
| Cloudflare Germany GmbH | CDN / DDoS | DE, EU-dataregion |
| Hoster B.V. (OpenProvider) | Domänregistrering (valfri) | Haag, NL |
5. Överföring utanför EU
Vi överför inte personuppgifter till länder utanför EU/EES, förutom då Cloudflare som CDN nödvändigtvis routar via icke-EU-PoP:er vid DDoS. I så fall gäller standardavtalsklausuler (SCC) mellan oss och Cloudflare.
6. Procedur vid personuppgiftsincident
Vid en personuppgiftsincident som påverkar Kunden meddelar vi Kunden inom 24 timmar efter upptäckt (via e-postadressen i registret) med:
- Incidentens art
- Kategorier och ungefärligt antal drabbade personer
- Sannolika konsekvenser
- Vidtagna eller föreslagna åtgärder
Kunden beslutar om anmälan till tillsynsmyndigheten krävs. Vi stöttar efter behov.
7. Uppsägning och dataåterlämning
Efter att huvudavtalet upphört:
- Kunden har 14 dagar på sig att ladda ner all data (via SSH/SFTP eller exportbegäran).
- Därefter raderas alla personuppgifter permanent, utom där lagstadgad lagring gäller (NL-skatt: fakturaunderlag 7 år).
- På begäran utfärdar vi ett skriftligt förstörelseintyg.
För specifika avtal (stora B2B, vård, finans) kan vi signera ett anpassat DPA. Mejla [email protected].