Databehandlingsavtal

Fixverse AB (org.nr 559461-3589) är personuppgiftsansvarig för behandlingen av personuppgifter i Veridat.

Supabase Inc. agerar som personuppgiftsbiträde för lagring och hantering av användardata. Data lagras i Supabase EU-region.

Supabase har ett publicerat databehandlingsavtal (DPA) som uppfyller GDPR:s krav enligt art. 28. Se Supabase DPA för fullständiga villkor.

Följande åtgärder vidtas för att skydda dina personuppgifter:

• Kryptering av data vid överföring (TLS/HTTPS) och i vila
• Row Level Security (RLS) i databasen — användare kan bara komma åt sin egen data
• Autentisering via Supabase Auth med engångslänkar (inga lösenord lagras)
• Begränsad åtkomst till produktionsmiljön
• Regelbunden granskning av säkerhetsrutiner

Följande underbiträden används för att tillhandahålla tjänsten:

Google LLC och Vercel Inc. är certifierade under EU-U.S. Data Privacy Framework (DPF), vilket säkerställer adekvat skyddsnivå för överföringar till USA i enlighet med EU-kommissionens beslut av juli 2023. Standardavtalsklausuler (SCC) tillämpas som kompletterande skyddsåtgärd.

Supabase lagrar data inom EU-regionen. Fortnox lagrar all data i Sverige.

Vid en personuppgiftsincident följer Fixverse AB GDPR artikel 33–34:

• Incidenter som medför risk för registrerades rättigheter anmäls till Integritetsskyddsmyndigheten (IMY) inom 72 timmar från upptäckt.
• Om incidenten medför hög risk för enskilda registrerade informeras dessa utan onödigt dröjsmål.
• Alla incidenter dokumenteras internt oavsett allvarlighetsgrad, inklusive omständigheter, konsekvenser och vidtagna åtgärder.
• Underbiträden (Supabase, Google, Vercel, Fortnox) är skyldiga att utan onödigt dröjsmål meddela Fixverse AB om misstänkta incidenter i enlighet med respektive personuppgiftsbiträdesavtal.

Personuppgifter gallras i enlighet med de lagringstider som anges i vår integritetspolicy. Vid avslut av konto raderas personuppgifter, med undantag för data som måste sparas enligt bokföringslagen.