Aktuella ändringar och tillägg i Anslutningsavtalet

Ändringar november 2024

I de Allmänna Villkoren har, utöver vissa mindre redaktionella ändringar, i huvudsak följande materiella ändringar gjorts:

Rollen Huvudadministratör har ersatts av Superanvändare, som också är en definierad roll i IA-systemet. Rollen Huvudadministratör har tidigare angetts som kontaktperson i avtalet, i detta avseende ersätts Huvudadministratör med rollen “Kontaktperson”, som kontaktas av Afa Försäkring vid exempelvis uppdatering av avtal.

Punkten 5.3 har uppdaterats med att när användarföretaget har en ny Kontaktperson så sker uppdatering i särskild blankett som finns publicerat på https://www.iasystemet.se

Punkten 6.3 har justerats och utveckling av unika systemlösningar har tagits bort som exempel på tilläggstjänst.

Punkten 14.1 har uppdaterats med att det numera finns en särskild blankett för uppsägning av Anslutningsavtalet och med förtydligande kring hur uppsägning formaliseras. Denna blankett finns publicerad på https://www.iasystemet.se

Punkten 15.3 som rör ändringar och tillägg i Anslutningsavtalet, har det lagts till, a att ändringarna och tilläggen publiceras 30 dagar före ikraftträdande på https://www.iasystemet.se,och att en e-post om aktuella ändringar och tillägg också skickas till angiven Kontaktperson.

I Personuppgiftsbiträdesavtalet har, utöver vissa mindre redaktionella ändringar, i huvudsak följande materiella ändringar gjorts:

Punkt 3. Personuppgiftsbiträdets skyldigheter

Punkt 3.1 har förtydligats att instruktionerna i personuppgiftsbiträdesavtalet är uttömmande och vad som utgör instruktioner.

Punkt 3.2 i Personuppgiftsbiträdesavtal daterat maj 2023 med följande lydelse utgår:

“För det fall den Personuppgiftsansvarige inkommer med nya instruktioner som går utöver vad som följer av detta Personuppgiftsbiträdesavtal eller Anslutningsavtalet och som inte är nödvändiga för att uppfylla Tillämplig Lagstiftning, ska Personuppgiftsbiträdet ha rätt till ersättning i enlighet med Personuppgiftsbiträdets vid var tid gällande prislista (se Bilaga 1 punkt 6) eller enligt särskild överenskommelse mellan Parterna.”

Punkt 3.4 är ny och har följande lydelse:

”Personuppgiftsbiträdet åtar sig att, med beaktande av typen av Behandling och tillgänglig information, bistå den Personuppgiftsansvarige i att fullgöra sina skyldigheter enligt artikel 32–36 i Dataskyddsförordningen.”

Punkt 3.5 har justerats avseende att den Personuppgiftsbiträdet omedelbart ska informera den Personuppgiftsansvariga om Personuppgiftsbiträdet inte kan fullfölja sina skyldigheter enligt avtalet.

Punkt 4. Säkerhetsåtgärder

4.1 Skyldighet att vidta tekniska och organisatoriska åtgärder för att skydda Personuppgifter

I punkt 4.1.1 har tydliggjorts avseende att personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder i enlighet med artikel 32 i Dataskyddsförordningen.

Punkt 5. Personuppgiftsincident

Punkt 5.4 har lagt till som ny punkt och har följande lydelse:
 ”Om det inträffar en personuppgiftsincident som sannolikt leder till en hög risk för den Registrerades rättigheter och friheter ska Personuppgiftsbiträdet utan onödigt dröjsmål även lämna sådan information till den Personuppgiftsansvarige som den Personuppgiftsansvarige är skyldig att lämna till den Registrerade enligt Tillämplig Dataskyddslagstiftning.” 

Punkt 6. Tillgång till information och rätt till revision

Punkt 6.2 har förtydligats med att personuppgiftsbiträdet ”på begäran” ge den Personuppgiftsansvarige tillgång till all information som krävs för att visa att Personuppgiftsbiträdet fullgjort sina skyldigheter enligt artikel 28 i Dataskyddsförordningen

Punkt 6.4. Har justerats och tydliggjorts att parterna ska samarbeta och göra relevant information tillgänglig för tillståndsmyndigheten

Punkt 7. Anlitande av underbiträden

I Punkt 7.1 har formulering tydliggjorts avseende att personuppgiftsbiträdets rätt att anlita andra personuppgiftsbiträden.

Punkt 9. Ansvar

Punkt 9.1. Personuppgiftsbiträdets begränsning kopplat till ersättningsbelopp har tagits bort

Punkt 9.2 i Personuppgiftsbiträdesavtal daterade maj 2023 med följande lydelse utgår: “Parterna är överens om att ingen Part ska vara skyldig att ersätta den andra Parten för administrativa sanktionsavgifter påförda av en tillsynsmyndighet eller domstol enligt Tillämplig Personuppgiftslagstiftning.”

Punkt 11. Återlämning av personuppgifter

Förtydligande om att personuppgifter inte kan raderas om lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt.

Appendix 2.1

Beskrivning av behandling av Personuppgifter som omfattas om av Personuppgiftsbiträdesavtalet

Några förtydliganden avseende vilka kategorier av personuppgifter som behandlas

Vi har genomfört en omfattande uppdatering av bilagan. Punkterna har skrivits om för att förbättra tydligheten och relevansen. Vi har uppdaterat varje avsnitt med aktuell information och gjort flera förändringar för att reflektera de senaste säkerhetskraven kopplat till vår arbetsprocess.

En av de mest betydande uppdateringarna är att bilagan nu inkluderar information om vår ISO 27001-certifiering, vilket tydliggör vårt åtagande att upprätthålla en hög nivå av informationssäkerhet. Denna certifiering innebär att vi kontinuerligt arbetar med att förbättra våra säkerhetsrutiner genom regelbundna interna och externa revisioner. Detta är en viktig del av vårt säkerhetsarbete och något vi vill belysa i den uppdaterade bilagan.

Utöver generella uppdateringar kan följande uppdateringar särskilt nämnas:

1.     Fokus på API: Bilagan ger en mer detaljerad beskrivning av API-hantering, inklusive versionshantering och loggning av importer/exporter.

2.     Specifik kryptering: Kryptering av data i vila och under transport beskrivs mer detaljerat i bilagan, inklusive specifikation av TLS 1.2 och minst AES128.

3.     Personsäkerhet: Dokumentet lägger större vikt på tystnadsplikt, bakgrundskontroller, och utbildning för personal som hanterar IA-systemet.

Bilaga 4 – Informationsspridning fr.o.m. 28 november 2024 

Endast redaktionella förändringar

Ändringar juni 2023

Det har gjorts en översyn över de allmänna villkoren där strukturen har justerats och ett flertal förtydliganden och kompletteringar har införts. Bl.a. har förtydliganden gjorts avseende immateriella rättigheter i punkten 9 (Immateriella rättigheter och data) och i punkten 13 (Intrång i immateriella rättigheter) har villkor kring parternas ansvar vid intrång i immateriella rättigheter lagts till.

I personuppgiftsbiträdesavtal har, utöver vissa mindre redaktionella ändringar, i huvudsak följande materiella ändringar gjorts:

Punkten 3.2: Texten har förtydligats med ”[…] och som inte är nödvändiga för att uppfylla Tillämplig Lagstiftning, [..]”i första meningen.

Punkten 5.3 andra stycket: Texten har i sista meningen förtydligats med att Personuppgiftsbiträdets rätt till ersättning gäller ”[…] om Personuppgiftsincidenten beror på omständighet som Personuppgiftsbiträdet inte haft kontroll över.”

Punkten 7.4: Texten har kompletterats med tydliggörande Information om anlitande av nytt ”Information om nytt Underbiträde publiceras på https://www.afaforsakring.se/ia/andringar nittio (90) dagar innan ändringen träder i kraft”. 

Punkten 7.5: Tydliggörande har inkluderats om den Personuppgiftsansvariges rätt att frånträda Anslutningsavtalet innan ändring av Underbiträde sker med ”Personuppgiftsbiträdet har även rätt att frånträda Anslutningsavtalet senast den dag ändringen av Underbiträde sker, genom att skriftligen meddela den Personuppgiftsansvarige. Fortsatt användning av IA-Systemet efter Underbiträdet anlitats, innebär att ändringen i Underbiträden har accepterats av Personuppgiftsbiträdet.”

Bilaga 2.1 Beskrivning av behandling av Personuppgifter som omfattas om Personuppgiftsbiträdesavtalet: Tabellen har förtydligats med text om geografisk placering för behandling av Personuppgifter för Personuppgiftsansvarige och Underbiträdet.

Endast mindre justeringar.

Bilagan IT-säkerhet har utvecklats med mer detaljerade skrivningar men innefattar ingen ändring i sak.

Bilaga 2 – Personuppgiftsbiträdesavtal

Punkten 6.3  –”Datainspektionen” ersätts med ”Tillsynsmyndighet"

Punkten 12.1.3: Tidigare lydelse: det enligt Personuppgiftsbiträdets uppfattning är möjligt att förlita sig på ett annat undantag enligt Tillämplig Personuppgiftslagstiftning för överföringen av Personuppgifter.

Ny lydelse 12.1.3 det är möjligt att förlita sig på ett annat undantag enligt Tillämplig Per­sonuppgiftslagstiftning för överföringen av Personuppgifter.

Förändring gällande bilagenumrering

Tidigare bilaga 3 ”Informationsspridning” blir bilaga 4.
Tidigare bilaga 4 ”IT-säkerhet” blir istället bilaga 3.

Bilaga 3 – IT-säkerhet

Punkt 12.2 Webbläsare och verktyg. En hänvisning till användarvillkoren och privacy policy för Google Maps är tillagd.

Bilaga 1 – Allmänna villkor

I Bilaga 1 – Allmänna villkor har, utöver vissa mindre redaktionella ändringar, i huvudsak följande materiella ändringar gjorts:

Punkten 3.1: Numrering av bilagor har ändrats på sätt att Säkerhetsbilaga IA-systemet utgör bilaga 3 (tidigare bilaga 4) och Informationsspridningsbilaga bilaga 4 (tidigare bilaga 3).

Punkten 9.2: Punkten avseende om användarföretaget utgör en myndighet, kommun eller annan organisation bunden av offentlighets- och sekretesslagen har flyttats från 
Personuppgiftsbiträdesavtalet (punkt 8.5) till dessa allmänna villkor.

Punkten 11.3: Skrivningen i punkten har förenklats och hänvisar till bilaga 4 (Informationsspridning).

Punkten 15.1: Uppsägningstiden för AFA Trygghetsförsäkring har förlängts till 6 månader (tidigare 30 dagar). Användarorganisationens uppsägningstid är som tidigare 30 dagar.

Bilaga 2 – Personuppgiftsbiträdesavtal

I Bilaga 2 – Personuppgiftsbiträdesavtal har, utöver vissa mindre redaktionella ändringar, i huvudsak följande materiella ändringar gjorts:

Punkten 8.5: Punkten avseende om användarföretaget utgör en myndighet, kommun eller annan organisation bunden av offentlighets- och sekretesslagen har flyttats från Personuppgiftsbiträdesavtalet till punkt 9.2 Allmänna villkor (bilaga 1).

Bilaga 2 – Personuppgiftsbiträdesavtal

Punkten 12.1.2 har förtydligats med texten […] samt övriga nödvändiga skyddsåtgärder som krävs i det enskilda fallet; […].     

Punkten 12.3: Om Personuppgiftsbiträdet avser att överföra Personuppgifter till tredjeland ska Personuppgiftsbiträdet, innan sådan överföring sker, informera den Personuppgiftsansvarige om detta. 

Bilaga 1 – Allmänna villkor

I Bilaga 1 – Allmänna villkor har, utöver vissa mindre redaktionella ändringar, i huvudsak följande materiella ändringar gjorts:

Punkten 3.2: Ändringar och tillägg till Anslutningsavtalet publiceras på denna sida (https://www.afaforsakring.se/ia/andringar).

Punkten 3.3: Användarföretaget har rätt att fram till och med dagen då villkorsändringen träder i kraft frånträda Anslutningsavtalet.

Punkten 6.2: Vid planerade driftavbrott meddelas Användarföretaget genom att information om driftavbrottet publiceras i IA-systemet innan avbrottet.

Punkten 8: Ansvarsfördelningen mellan AFA Trygghetsförsäkring och Användarföretaget vad gäller behandling av personuppgifter har förtydligats i syfte att ytterligare klargöra vilka personuppgiftsbehandlingar respektive part ansvarar för. 

Punkten 12.2: För tilläggstjänster såsom tekniskt systemstöd utgår en kostnad om 1 200 kr/h. 

Bilaga 2 – Personuppgiftsbiträdesavtal

I Bilaga 2 – Personuppgiftsbiträdesavtal har, utöver vissa mindre redaktionella ändringar, i huvudsak följande materiella ändringar gjorts:

Punkten 7.3 (ny): De underbiträden som behandlar personuppgifter för Användarföretagets räkning ska vid var tid framgå av https://www.afaforsakring.se/ia/underbitraden.

Kommentar: Bestämmelsen är ny och syftar till att underlätta för Användarföretaget att utöva dess ansvarsskyldighet vad gäller kontroll av vem som utför behandlingen av personuppgifter. AFA Trygghetsförsäkring kommer dock alltjämt att, i enlighet med punkten 7.4, utan onödigt dröjsmål skriftligen informera Användarföretaget om avsikten att anlita ett nytt underbiträde. 

Punkten 9 (tidigare 7): Ansvarsbestämmelsen har ändrats på så sätt att det nu är tydligare att bestämmelsen tar hänsyn till artikel 82 i Dataskyddsförordningen vad gäller ansvaret för sanktionsavgifter samt möjligheten till ansvarsbegränsningar och regress i förhållande till skadeståndsanspråk från registrerade.

Punkten 12 (tidigare 10): AFA Trygghetsförsäkring har rätt att överföra Personuppgifter som tillhör Användarföretaget till ett Tredje Land endast om någon av följande förutsättningar är uppfyllda:

• det Tredje Landet säkerställer en adekvat skyddsnivå för Personuppgifter     enligt ett beslut meddelat av EU-kommissionen;
• det finns lämpliga skyddsåtgärder på plats enligt Tillämplig Personuppgiftslagstiftning, t.ex. standardiserade dataskyddsbestämmelser som antagits av EU-kommissionen, som omfattar överföringen och Behandling av Personuppgifterna; eller
• det enligt Personuppgiftsbiträdets uppfattning är möjligt att förlita sig på ett annat undantag enligt Tillämplig Personuppgiftslagstiftning för överföringen av Personuppgifter.

Kommentar: Bestämmelsen innebär att överföring av personuppgifter till ett tredje land endast får ske i enlighet med reglerna i kapitel V i Dataskyddsförordningen.