Foveo
Hur det fungerar Funktioner För vem Resurser Vår historia Guider
EN SV
Logga in
Hur det fungerar Funktioner För vem Resurser Vår historia Guider
EN SV
Logga in

Personuppgiftsbiträdesavtal (PUB-avtal)

Version 1.2 · Senast uppdaterad: 30 juni 2026

Detta personuppgiftsbiträdesavtal ("Avtalet") utgör Bilaga 1 till villkoren för organisationer (foveoapp.com/villkor-organisationer, "Huvudavtalet") och ingås mellan den organisation som tecknar abonnemang på Foveo ("Kunden") och Tengwe AB, organisationsnummer 559580-8337, momsregistreringsnummer SE559580833701, Färnebogatan 62, 123 42 Farsta ("Foveo").

Avtalet accepteras digitalt i samband med beställningen. Foveo loggar vilken version som accepterats, vid vilken tidpunkt och av vilket konto. Strukturen följer artikel 28.3 GDPR och EU-kommissionens standardavtalsklausuler för personuppgiftsbiträden (beslut 2021/915).

Avtalet reglerar Foveos behandling av personuppgifter för Kundens räkning när Kunden är personuppgiftsansvarig och Foveo är personuppgiftsbiträde. När en privatperson använder eller köper tjänsten för privat bruk är Foveo i stället personuppgiftsansvarig — då gäller integritetspolicyn (foveoapp.com/privacy), inte detta avtal.

Vid konflikt mellan detta Avtal och Huvudavtalet har detta Avtal företräde i frågor som rör behandling av personuppgifter.

Parter

Personuppgiftsansvarig ("Kunden"): den organisation som anges vid beställningen, inklusive organisationsnummer, fakturaadress och kontaktuppgifter som Kunden lämnar i beställningsflödet.

Personuppgiftsbiträde ("Foveo"): Tengwe AB, organisationsnummer 559580-8337, momsregistreringsnummer SE559580833701, Färnebogatan 62, 123 42 Farsta. Kontakt: hej@foveoapp.com.

Parterna har ingått Huvudavtalet om tillhandahållande av tjänsten Foveo. Detta Avtal reglerar Foveos behandling av personuppgifter för Kundens räkning.

Definitioner

Begrepp som inte definieras särskilt i detta Avtal har samma betydelse som i GDPR. Med "underbiträde" avses en leverantör som Foveo anlitar för att behandla personuppgifter för Kundens räkning. Med "personuppgiftsincident" avses en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till personuppgifter.

1. Föremål och varaktighet

Foveo behandlar personuppgifter för Kundens räkning enbart i syfte att tillhandahålla tjänsten enligt Huvudavtalet. Behandlingen pågår så länge Huvudavtalet är i kraft och upphör enligt punkt 9. Föremål, art, ändamål och kategorier framgår av Bilaga A.

2. Kundens instruktioner (art. 28.3 a)

Foveo behandlar personuppgifter endast enligt Kundens dokumenterade instruktioner, inklusive detta Avtal med bilagor och senare skriftliga instruktioner (till exempel e-post). Om Foveo enligt EU-rätt eller svensk rätt är skyldig att behandla utöver instruktion informeras Kunden före behandlingen, om inte sådan information är förbjuden enligt lag.

Om Foveo anser att en instruktion strider mot GDPR eller annan dataskyddslagstiftning ska Foveo omgående informera Kunden.

3. Tystnadsplikt (art. 28.3 b)

Foveo säkerställer att personer med behörighet att behandla personuppgifterna (anställda, konsulter och annan personal under Foveos ledning) har åtagit sig att iaktta sekretess eller omfattas av lagstadgad tystnadsplikt. Åtkomst ges enligt principen om lägsta behörighet.

4. Säkerhet (art. 28.3 c, art. 32)

Foveo vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt Bilaga B, med hänsyn till att behandlingen omfattar känsliga personuppgifter (art. 9). Foveo får uppdatera åtgärderna så länge skyddsnivån inte sänks.

5. Underbiträden (art. 28.2, 28.3 d, 28.4)

Kunden ger ett allmänt skriftligt förhandstillstånd till att Foveo anlitar underbiträden enligt Bilaga C. Foveo informerar Kunden i förväg vid planerat tillägg eller byte av underbiträde, i normalfallet minst 30 dagar före ändringen. Kunden har rätt att invända inom 14 dagar från meddelandet om det finns skälig grund för invändningen.

Om Kunden invänder ska parterna i första hand försöka hitta en praktisk lösning, till exempel genom förtydligande skyddsåtgärder eller alternativa instruktioner. Om en lösning inte kan nås får Kunden säga upp den berörda delen av tjänsten enligt Huvudavtalet.

Foveo ålägger varje underbiträde minst samma dataskyddsskyldigheter som i detta Avtal och ansvarar gentemot Kunden för underbiträdets behandling. Foveo håller en uppdaterad förteckning över underbiträden och gör den tillgänglig för Kunden på begäran. Kommersiellt känsliga delar av underbiträdesavtal får maskeras.

6. Registrerades rättigheter (art. 28.3 e)

Foveo bistår Kunden med lämpliga tekniska och organisatoriska åtgärder så att Kunden kan besvara begäranden från registrerade (tillgång, rättelse, radering, begränsning, dataportabilitet, invändning). Vänder sig en registrerad direkt till Foveo vidarebefordras begäran till Kunden utan onödigt dröjsmål.

Foveo företräder inte Kunden gentemot registrerade, tillsynsmyndighet eller annan tredje part utan Kundens skriftliga instruktion.

7. Assistans med Kundens skyldigheter (art. 28.3 f, art. 32–36)

Foveo bistår Kunden med säkerhet i behandlingen (art. 32), anmälan av personuppgiftsincident till tillsynsmyndighet och registrerade (art. 33–34) samt konsekvensbedömning (DPIA, art. 35) och förhandssamråd (art. 36).

Personuppgiftsincident: Foveo underrättar Kunden utan onödigt dröjsmål, dock senast 48 timmar efter att Foveo fått kännedom om incidenten, med den information Kunden behöver för sin anmälningsskyldighet.

  • en beskrivning av incidentens art och omständigheter,
  • berörda kategorier av registrerade och personuppgifter,
  • sannolika konsekvenser,
  • vidtagna eller föreslagna åtgärder,
  • kontaktväg för kompletterande information.

Om informationen inte kan lämnas samtidigt får den lämnas i omgångar utan onödigt ytterligare dröjsmål.

8. Granskning och inspektion (art. 28.3 h)

Foveo tillhandahåller Kunden den information som krävs för att visa efterlevnad av art. 28 och möjliggör samt medverkar vid granskningar och inspektioner som genomförs av Kunden eller en av Kunden bemyndigad revisor. Parterna kan komma överens om att en aktuell tredjepartsrapport (till exempel penetrationstest eller certifiering) får uppfylla granskningsbehovet i rimlig utsträckning.

Granskning ska ske med rimligt skriftligt varsel, i normalfallet minst 20 arbetsdagar, och under normal kontorstid. Den som utför granskningen ska omfattas av lämplig sekretess. Granskningen får inte i onödan störa Foveos drift eller äventyra säkerheten för andra kunder, system eller personuppgifter. Vardera parten står för sina egna kostnader om inte annat avtalas.

9. Radering eller återlämning vid upphörande (art. 28.3 g)

När behandlingen upphör ska Foveo, enligt Kundens val, radera eller återlämna samtliga personuppgifter och radera befintliga kopior, om inte EU-rätt eller svensk rätt kräver fortsatt lagring. Detta sker inom 60 dagar efter Huvudavtalets upphörande. På begäran intygar Foveo skriftligen att radering skett.

Radering omfattar inte uppgifter som vid upphörandet fortsätter att behandlas under en annan personuppgiftsansvarig eller på annan rättslig grund — till exempel när stödet kring en brukare fortsätter hos en annan organisation eller i en familjs egen användning av tjänsten (se Huvudavtalet).

10. Tredjelandsöverföring (art. 28.3 a, kap. V)

Foveo överför inte personuppgifter till tredjeland utanför EU/EES utan Kundens instruktion och utan lämpliga skyddsåtgärder (till exempel EU-kommissionens standardavtalsklausuler). Aktuella överföringar och skyddsåtgärder framgår av Bilaga D.

11. Register och myndighetskontakt

Foveo för, i den utsträckning GDPR kräver det, register över de behandlingar som Foveo utför som personuppgiftsbiträde enligt art. 30.2 GDPR och gör relevant information ur registret tillgänglig för Kunden på begäran, i den mån det behövs för att visa efterlevnad av detta Avtal.

Om en tillsynsmyndighet, registrerad eller annan tredje part kontaktar Foveo i fråga om Kundens personuppgifter informerar Foveo Kunden utan onödigt dröjsmål, om inte lag hindrar sådan information.

12. Ansvar

Parternas ansvar och eventuell ansvarsbegränsning under detta Avtal regleras av ansvarsbestämmelserna i Huvudavtalet (villkoren för organisationer, avsnittet om ansvarsbegränsning). Detta Avtal utvidgar inte och inskränker inte det ansvar som följer av Huvudavtalet, utöver vad som krävs enligt art. 28 och art. 82 GDPR.

13. Övrigt

Avtalet regleras av svensk rätt. Ändringar ska vara skriftliga. Bilagorna A–D utgör en integrerad del av Avtalet och kan uppdateras enligt punkterna ovan.

Bilaga A — Instruktion och behandlingsbeskrivning

PunktBeskrivning
FöremålBehandling av personuppgifter i tjänsten Foveo (rutinstöd för personlig assistans och liknande stöd).
VaraktighetUnder Huvudavtalets giltighetstid, därefter radering eller återlämning enligt punkt 9.
Art och ändamålLagring och behandling för att tillhandahålla rutiner, påminnelser, checklistor, instruktioner, lager, in- och utcheckning samt överlämning mellan personal.
Typ av personuppgifterNamn, kontaktuppgifter, roll, schema- och aktivitetsdata, fritext (kommentarer, instruktioner, överlämning). Känsliga personuppgifter (art. 9): uppgifter om hälsa och funktionsnedsättning kan förekomma, bland annat i fritextfält.
Kategorier av registreradeBrukare (varav barn kan förekomma), assistenter och annan personal, anhöriga, gode män och vårdnadshavare samt administratörer hos Kunden.
Särskilda kategorier / barnJa — behandlingen kan omfatta uppgifter om hälsa samt uppgifter om barn. Förhöjda skyddskrav gäller.

Bilaga B — Tekniska och organisatoriska säkerhetsåtgärder (art. 32)

  • Arkitekturseparation: appens innehåll (inklusive känsliga personuppgifter) behandlas av databasbiträdet (Supabase), inte av webb-/CDN-lagret. Klienten kommunicerar krypterat (TLS) direkt med Supabase; Vercel serverar appens statiska kod och behandlar teknisk request-metadata (till exempel IP-adress, URL, driftloggar) men tar enligt nuvarande arkitektur inte del av själva innehållet i appen. Supabases produktdatabas och privata fillagring är konfigurerade i EU/EES; för viss drift- och funktionsbehandling, se Bilaga D.
  • Åtkomststyrning: rollbaserad behörighet och dataisolering per brukare och team via Row Level Security (RLS) i databasen; lägsta-behörighetsprincip.
  • Autentisering: kontoinloggning med säker sessionshantering.
  • Kryptering: kryptering av data under överföring (TLS) och i vila (kryptering på lagringsnivå hos infrastrukturleverantör).
  • Loggning: loggning av säkerhetsrelevanta händelser och driftfel i den omfattning som krävs för drift, säkerhet, felsökning och incidenthantering.
  • Säkerhetskopiering och återställning: produktionsdatabasen säkerhetskopieras dels av databasbiträdet (Supabase) enligt vald produktionsplan, dels genom Foveos egen dagliga säkerhetskopiering till AWS S3 (eu-north-1, Stockholm). Foveos egen dagliga säkerhetskopiering avser databasen. Privat fillagring hanteras av Supabase inom ramen för underliggande drift-/backupåtgärder; separat Foveo-rutin för Storage-backup/restore kan regleras särskilt om Kunden använder filer som affärskritiskt innehåll.
  • Kontinuitet och kontroll: rutiner för att upprätthålla konfidentialitet, riktighet, tillgänglighet och motståndskraft samt för att regelbundet följa upp säkerhetsnivån.
  • Gallring och radering: funktioner för radering av data; rutin för radering vid avtalsslut samt manuellt biträde för export, registrerades rättigheter och offboarding enligt punkt 6 och 9.
  • Incidenthantering: rutin för att upptäcka, hantera och rapportera personuppgiftsincidenter.
  • Personal och supportåtkomst: sekretessåtaganden och begränsad åtkomst till produktionsdata. Support- eller driftåtkomst används endast vid behov för support, säkerhet, drift eller felsökning, sker via behörig drift-/adminåtkomst och ska begränsas till vad som är nödvändigt för ärendet.
  • Utveckling: åtskillnad mellan utvecklings- och produktionsdata; produktionsdata används inte rutinmässigt i utveckling.

Bilaga C — Godkända underbiträden

Vid tillägg eller byte av underbiträde informeras Kunden i förväg enligt punkt 5.

UnderbiträdeTjänstBehandlingsplats
Supabase IncDatabas, autentisering, lagring, realtid och serverfunktioner.Produktdatabas och privat fillagring i EU/EES (AWS eu-north-1, Stockholm). Viss drift- och funktionsbehandling kan ske i flera regioner, se Bilaga D.
Amazon Web Services EMEA SARL (AWS)Lagring av Foveos egna dagliga säkerhetskopior av databasen (S3).EU/EES, eu-north-1 (Stockholm).
Vercel IncWebbhosting/CDN — serverar statisk app- och webbkod och behandlar teknisk request-metadata för leverans, drift och felsökning. Enligt nuvarande arkitektur behandlar Vercel inte appens innehåll.Globalt edge-/CDN-nät; tredjelandsöverföring kan förekomma enligt Bilaga D.
Plus Five Five, Inc. d/b/a ResendE-postleverans för inbjudningar och administrativa meddelanden.USA; tredjelandsöverföring kan förekomma enligt Bilaga D.
Arcim Technology AB (accounted/Gnubok)Svenska fakturor, fakturastatus och betalningsrelaterad kundadministration för fakturaflöden med Bankgiro/OCR.EU/EES; tredjelandsöverföring kan förekomma enligt leverantörens dataskyddsvillkor där tillämpligt.
Expo (650 Industries, Inc.)Pushförmedling — Expo Push Service tar emot push-token och avisering och vidarebefordrar till APNs/FCM.USA; tredjelandsöverföring kan förekomma enligt Bilaga D.
Google Ireland Ltd / Google LLC (Firebase Cloud Messaging)Leverans av pushnotiser till Android-enheter via FCM, inklusive Firebase installation ID, push-token, leveransmetadata och eventuell notis-payload.Globalt; tredjelandsöverföring kan förekomma enligt Bilaga D, Firebase Data Processing and Security Terms, SCCs och Google/DPF där tillämpligt.

Underbiträdets egna underbiträden: Supabase anlitar i sin tur leverantörer (bland annat AWS för drift, lagring och säkerhetskopiering inom eu-north-1). Dessa regleras av Supabases eget personuppgiftsbiträdesavtal. Underbiträdenas aktuella villkor, säkerhetsåtgärder och underbiträdeslistor hålls tillgängliga för Kunden på begäran i den utsträckning Foveo har tillgång till dem.

Bilaga C (forts.) — Pushkedjans plattformsleverantörer

Expo är Foveos direkta underbiträde för pushförmedling och vidarebefordrar aviseringar till operativsystemens push-tjänster. Google/Firebase FCM är samtidigt dokumenterat som Foveos godkända underbiträde för Android-push enligt tabellen ovan och Firebase Data Processing and Security Terms. Apple redovisas nedan som plattformsleverantör för iOS-push.

LeverantörRollBehandlingsplats
Apple (Apple Inc. / Apple Distribution International Ltd, Irland)Plattformsleverans av pushnotiser till iOS-enheter (APNs), enligt Apples plattforms- och utvecklarvillkor.Globalt; tredjelandsöverföring kan förekomma enligt Bilaga D.

Bilaga D — Tredjelandsöverföring

  • Databas och appinnehåll: Foveos produktionsdatabas, autentisering och privata fillagring är konfigurerade i Supabases EU/EES-region; Foveos egna databassäkerhetskopior lagras hos AWS i Stockholm (eu-north-1). Viss support-, drift-, logg- och funktionsbehandling kan ske enligt Supabases avtal och underbiträdesvillkor, och vissa serverfunktioner kan köras i flera regioner. Där sådan behandling innebär tredjelandsöverföring skyddas den genom Supabases dataskyddsvillkor och standardavtalsklausuler där sådana krävs.
  • Webbhosting/CDN: Vercel kan behandla teknisk request-metadata, till exempel IP-adress, URL, tidsstämpel, user agent och driftloggar, i sitt globala edge-/CDN-nät. Tredjelandsöverföring skyddas genom Vercels dataskyddsvillkor och standardavtalsklausuler där sådana krävs.
  • E-post: Resend kan behandla mottagaradress, namn och meddelandeinnehåll för att leverera inbjudningar och administrativa meddelanden. Tredjelandsöverföring skyddas genom Resends dataskyddsvillkor och standardavtalsklausuler där sådana krävs.
  • Betalning och fakturering: Arcim Technology AB (accounted/Gnubok) kan behandla faktura- och kunduppgifter, organisationsuppgifter, kontaktuppgifter och betalningsstatus för svenska fakturor via Bankgiro/OCR. Tredjelandsöverföring kan förekomma endast enligt leverantörens dataskyddsvillkor och med lämpliga skyddsåtgärder där sådana krävs.
  • Push-aviseringar: Expo, Apple APNs och Google FCM kan behandla push-token, leveransmetadata och aviseringens innehåll för att leverera pushnotiser till användarens enhet. Foveo minimerar innehållet i pushnotiser och använder inte pushnotiser för detaljerad dokumentation av hälsa, omsorg eller andra känsliga förhållanden.
  • Eventuella andra överföringar till tredjeland sker endast med lämpliga skyddsåtgärder enligt kap. V GDPR, i första hand EU-kommissionens standardavtalsklausuler, samt vid behov en bedömning av överföringens konsekvenser.
© Foveo 2026

Stöd för rutiner i vardagen med personlig assistans.

Foveo

  • Kontakt
  • Personlig assistans
  • Resurser

Juridik

  • Integritetspolicy
  • Användarvillkor
  • Abonnemangsvillkor
  • Organisationsvillkor
  • PUB-avtal
  • Villkor för extern betalare

Konto

  • Säkerhet
  • Radera konto

Ladda ner appen

Foveo app
Ladda ned Foveo på App Store Hämta Foveo på Google Play

Följ oss

Tengwe AB · organisationsnummer 559580-8337 · momsregistreringsnummer SE559580833701 · hej@foveoapp.com