Välkommen till Intric Supportcenter
Säkerhet & Compliance
PUB-avtalsmall

PUB-avtalsmall

Intric tecknar Personuppgiftsbiträdesavtal (PUB-avtal) med alla kunder för att säkerställa att personuppgifter hanteras korrekt och säkert. Vi använder oss av Sveriges Kommuner och Regioners (SKR) standardmall.

📎 Länk till SKR’s hemsida om PUB-avtal

För att underlätta i processen har färdiga formuleringar för er att använda i bilaga 1 och 2 nedan.

Bilaga 1 - Personuppgiftsansvariges Instruktion för Behandling av Personuppgifter

Utöver vad som redan framgår av Personuppgiftsbiträdesavtalet ska Personuppgiftsbiträdet även följa nedanstående Instruktion:

1. Ändamålet, föremålet och arten

1 a. Föremålet för Personuppgiftsbiträdets Behandling av Personuppgifter åt den Personuppgiftsansvarige är att:

Tillhandahålla AI-plattformen Intric.ai (“Tjänsten”) för Personuppgiftsansvarig för att möjliggöra skapandet och nyttjandet av interna AI-assistenter och AI-drivna arbetsflöden.

1 b. Ändamålet med Personuppgiftsbiträdets Behandling av Personuppgifter åt den Personuppgiftsansvarige är att:

  • Möjliggöra autentisering och åtkomst till Tjänsten för Personuppgiftsansvarig anställda.
  • Säkerställa Tjänstens tekniska funktion, möjliggöra felsökning, övervaka prestanda och upprätthålla informationssäkerhet genom behandling av teknisk metadata och användarloggar.
  • Tillhandahålla den infrastruktur och de verktyg som krävs för att Personuppgiftsansvarig ska kunna bygga, driftsätta och administrera AI-drivna applikationer.

1 c. Personuppgiftsbiträdets Behandling av Personuppgifter på uppdrag av den Personuppgiftsansvarige avser huvudsakligen följande behandlingsåtgärder (Behandlingens art eller natur):

  • Insamling (av inloggningsuppgifter, tekniska loggdata).
  • Lagring (av användarkonton, loggdata, eventuellt innehåll från AI-chattar om detta sparas av Personuppgiftsansvarig).
  • Bearbetning (för att tillhandahålla Tjänstens funktioner, t.ex. autentisering, loggning, tillhandahållande av AI-modeller).
  • Tillhandahållande av data (t.ex. AI-svar, åtkomst till loggar för administratörer hos Personuppgiftsansvarig).
  • Radering (av data enligt instruktion, t.ex. vid kontoavslut).

2. Behandlingen omfattar följande typer av Personuppgifter

Personuppgiftsbiträdet har rätt att behandla följande typer av Personuppgifter för den Personuppgiftsansvariges räkning:

  • Namn (förnamn och efternamn, om detta synkroniseras från AD och lagras i plattformen kopplat till användar-ID).
  • E-postadress.
  • Användar-ID.
  • Organisations- och rolltillhörighet.
  • Tekniska loggdata kopplade till användarkonton (t.ex. IP-adresser, tidsstämplar och aktivitetsloggar).
  • Information delad av användare inom ramen för Tjänsten: fritext, dokument, bilagor, kunskapssamlingar och data som tillförs via integrationer eller andra datakopplingar, i den utsträckning Personuppgiftsansvarig väljer att inkludera personuppgifter i sådan information.

Den Personuppgiftsansvarige är införstådd med att Tjänsten inte avsedd att användas för Behandling av känsliga personuppgifter eller andra särskilda kategorier av personuppgifter enligt artikel 9 GDPR eller uppgifter om lagöverträdelser enligt artikel 10 GDPR, såvida detta inte uttryckligen överenskommits skriftligen mellan Parterna i denna Instruktion. Personuppgiftsansvarig ansvarar för vilka uppgifter som förs in i Tjänsten och ska säkerställa att sådan användning ligger inom ramen för denna Instruktion.

FYLLS I VIDARE AV PERSONUPPGIFTSANSVARIG

3. Behandlingen omfattar vissa kategorier av Registrerade

Personuppgiftsbiträdet har rätt att Behandla Personuppgifter avseende följande kategorier av Registrerade:

4. Ange särskilda hanteringskrav vad gäller Behandling av Personuppgifter som utförs av Personuppgiftsbiträdet

Personuppgiftsbiträdet ska iaktta följande hanteringskrav vid Behandlingen av Personuppgifter åt den Personuppgiftsansvarige:

  • Personuppgiftsbiträdet använder aldrig Personuppgiftsansvarig innehåll (prompts, uppladdad data, genererade svar) för att träna sina egna eller andra externa, proprietära AI-modeller.
  • För de fall där Personuppgiftsansvarig väljer att använda proprietära AI-modeller från tredje part via Tjänsten, säkerställer Personuppgiftsbiträdet kontraktskydd som garanterar att Personuppgiftsansvarig data inte används för träning av dessa tredjepartsmodeller.
  • Personuppgifter ska raderas från Tjänsten när ett användarkonto tas bort manuellt av en IT-administratör hos Personuppgiftsansvarig, inklusive tillhörande chattloggar (om sådana sparas).
  • Lagringstider för tekniska loggar ska definieras och följas baserat på behov för felsökning, säkerhet och regelefterlevnad, och därefter raderas eller anonymiseras. Leverantören ska specificera dessa lagringstider här: (Se PUB-avtalets §7.5 om fem år om inget annat anges).

5. Ange de särskilda tekniska och organisatoriska säkerhetsåtgärder som gäller för Personuppgiftsbiträdets Behandling av Personuppgifter

Personuppgiftbiträdet ska vidta följande säkerhetsåtgärder vid Behandlingen av Personuppgifterna:

Organisatoriska säkerhetsåtgärder:

  • Personuppgiftsbiträdet ska följa principer i enlighet med ISO/IEC 27001.
  • Personal som har tillgång till personuppgifter ska vara bunden av sekretessavtal.
  • Rutiner för hantering av personuppgiftsincidenter ska finnas.

Säkerhetsåtgärder avseende personer:

  • Behörighetskontroll: Åtkomst till personuppgifter ska begränsas till personal som behöver det för att utföra sina arbetsuppgifter. Om möjligt ska Personuppgiftsansvarig godkänna innan leverantörens personal ges åtkomst till Personuppgiftsansvarig instans och endast hos leverantörens behörig personal ges åtkomst.
  • Stöd för Single Sign-On (SSO) för säker autentisering av Personuppgiftsansvarig användare.
  • Möjlighet att definiera roller och behörigheter inom samarbetsytor (“Spaces”).

Fysiska säkerhetsåtgärder:

  • Om fysisk lagring sker hos Personuppgiftsbiträdet eller dess underbiträden, ska lämpliga fysiska säkerhetsåtgärder finnas för att skydda servrar och lagringsmedia. (Se avsnitt 7 om Lokalisering).

Tekniska säkerhetsåtgärder:

  • Stark kryptering av data i transit och i vila.
  • Loggning av väsentliga åtgärder, systemändringar och åtkomsthändelser för att skapa spårbarhet (audit trail). Loggar ska som utgångspunkt sparas i upp till fem (5) år, om inte annan lagringstid anges av Personuppgiftsansvarig i Instruktionen.
  • Skydd mot obehörig åtkomst och dataintrång.
  • Regelbundna säkerhetstester, undersökningar och utvärderingar av de tekniska och organisatoriska åtgärderna.
  • Förmåga att återställa tillgänglighet och tillgång till personuppgifter vid en fysisk eller teknisk incident.
  • Personuppgiftsansvarigs databas är delad databas (multi-tenant) med logisk separation i leverantörens tjänst. Eller Personuppgiftsansvarigs databas är isolerad (dedikerad instans) i leverantörens tjänst.

6. Ange särskilda krav på Loggning vad gäller Behandling av Personuppgifter samt vilka som ska ha tillgång till dem

Personuppgiftsbiträdet ska iaktta följande krav avseende loggning av användaraktivitet och logghantering:

  • Alla väsentliga åtgärder, systemändringar och åtkomsthändelser relaterade till Personuppgiftsansvarigs data och användarkonton ska loggas.
  • Loggarna ska inkludera information som möjliggör spårbarhet (t.ex. användar-ID, tidpunkt, typ av åtgärd, IP-adress).
  • Åtkomst till loggar ska vara strikt begränsad till behörig personal hos Personuppgiftsbiträdet för syften som felsökning, säkerhetsövervakning och support, samt till behöriga administratörer hos Personuppgiftsansvarig enligt överenskommelse.
  • Loggar ska skyddas mot obehörig åtkomst och modifiering.
  • Loggar ska som utgångspunkt sparas i upp till fem (5) år, om inte annan lagringstid anges av Personuppgiftsansvarig i Instruktionen.

7. Lokalisering och överföring av Personuppgifter till Tredje land

Personuppgiftsbiträdet ska iaktta följande krav avseende lokalisering av Personuppgifter:

Personuppgiftsbiträdet har endast rätt att behandla Personuppgifterna på följande plats/er:

Primär lagring och behandling ska ske inom EU/EES.

Om den Personuppgiftsansvarige konfigurerar Tjänsten för att använda externa AI-modeller som driftas inom eller utanför EU/EES, kan Personuppgifter överföras till sådana AI-modeller som en del av Personuppgiftsbiträdets Behandling för den Personuppgiftsansvariges räkning. Sådana AI-modellleverantörer ska anses vara Underbiträden till Personuppgiftsbiträdet. Personuppgiftsbiträdet ska säkerställa att det finns giltiga personuppgiftsbiträdesavtal med dessa Underbiträden samt att Personuppgifterna inte används för träning, vidareutveckling eller förbättring av AI-modellerna, annat än om detta uttryckligen instruerats skriftligen av den Personuppgiftsansvarige. Överföring sker under EU-US Data Privacy Framework (DPF). Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige om var respektive Underbiträde behandlar Personuppgifterna och säkerställa att eventuella överföringar till Tredje land sker i enlighet med Dataskyddslagstiftningen och med giltig överföringsmekanism enligt GDPR.

8. Behandlingens varaktighet

Personuppgiftsbiträdet får Behandla Personuppgifter åt den Personuppgiftsansvarige så länge Huvudavtalet för tillhandahållande av Intric.ai-plattformen är giltigt och därefter enligt bestämmelserna i PUB-avtalets §17 (ÅTGÄRDER VID PUB-AVTALETS UPPHÖRANDE).

Personuppgifter kopplade till enskilda användarkonton raderas när kontot avslutas.

9. Övriga Instruktioner angående Behandling av Personuppgifter som utförs av Personuppgiftsbiträdet

Personuppgiftsbiträdet ska utan onödigt dröjsmål informera den Personuppgiftsansvarige om eventuella förfrågningar från registrerade gällande deras rättigheter.

Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med att genomföra konsekvensbedömningar (DPIA) och förhandssamråd med tillsynsmyndigheten om det är nödvändigt och relaterat till den behandling som Personuppgiftsbiträdet utför.

Bilaga 2 - Lista över godkända Underbiträden

Den Personuppgiftsansvarige godkänner att Personuppgiftsbiträdet anlitar nedanstående Underbiträden för Behandling av Personuppgifter.

Bolag/ organisationAdress och kontaktLokaliseringTyper av PersonuppgifterÄndamålBehandlingstid
GleSys AB
556647-9241		Kanslistvägen 12
311 39 Falkenberg, Sverige

Marcus Agbrant
marcus.agbrant@glesys.com
0346-73 88 57		EU, SverigeIdentitetsuppgifter, Kontaktuppgifter och IT-relaterade personuppgifterKörning av plattformen i molninstans i SverigePersonuppgifterna sparas endast så länge det är motiverat för respektive ändamål och för att uppfylla lagstadgade skyldigheter (t.ex. bokföring). Därefter raderas eller anonymiseras de. GleSys gör regelbundna översyner av lagringsbehovet.
AI Iron AB (Airon)
559490-8054		Fabriksgatan 4
531 60 Lidköping

andreas aronsson
andreas.aronsson@airon.ai
+46 722 33 60 23		EU, SverigeInformation delad av användare: fritext och bilagor via prompt, kunskapssamling och datakopplingar enligt beskrivelse i Bilaga 1 punkt 2Användning av språkmodeller som körs i SverigePersonuppgifterna bevaras endast så länge det behövs för de ändamål som anges i företagets integritetspolicy, om inte längre lagringsperiod krävs eller tillåts enligt lag; därefter raderas eller anonymiseras de.
DataCrunch Oy
FI28868098		Ruben Bryon
ruben@datacrunch.io
+358 (0)451 27 87 99		EU, FinlandInformation delad av användare: fritext och bilagor via prompt, kunskapssamling och datakopplingar enligt beskrivelse i Bilaga 1 punkt 2Användning av språkmodeller som körs i NordenPersonuppgifterna bevaras så länge det är nödvändigt för angivna ändamål men aldrig längre än 90 dagar efter att användarens konto har avslutats; därefter raderas eller anonymiseras de.
Berget AI AB
559504-7522		Andreas Lundmark
andreas@berget.ai
Götgatan 18
118 46 Stockholm, Sverige		EU, SverigeInformation delad av användare: fritext och bilagor via prompt, kunskapssamling och datakopplingar enligt beskrivelse i Bilaga 1 punkt 2Användning av språkmodeller som körs i SverigePersonuppgifterna bevaras endast så länge det behövs för de ändamål som anges i företagets integritetspolicy, om inte längre lagringsperiod krävs eller tillåts enligt lag; därefter raderas eller anonymiseras de.
Mistral AI
952 418 325		trust@mistral.ai
15 rue des Halles
75001 Paris, France		Frankrike, EUInformation delad av användare: fritext och bilagor via prompt, kunskapssamling och datakopplingar enligt beskrivelse i Bilaga 1 punkt 2Användning av språkmodeller som körs i FrankrikePersonuppgifterna bevaras endast så länge det behövs för de ändamål som anges i företagets integritetspolicy, om inte längre lagringsperiod krävs eller tillåts enligt lag; därefter raderas eller anonymiseras de.
Microsoft Ireland
Operations, Ltd.		v-vaspra@microsoft.com
Attn: Data Protection
One Microsoft Place
South County Business Park
Leopardstown Dublin 18
D18 P521, Ireland		Ireland, EUInformation delad av användare: fritext och bilagor via prompt, kunskapssamling och datakopplingar enligt beskrivelse i Bilaga 1 punkt 2Användning av språkmodeller som körs i EUPersonuppgifterna bevaras endast så länge det behövs för de ändamål som anges i företagets integritetspolicy, om inte längre lagringsperiod krävs eller tillåts enligt lag; därefter raderas eller anonymiseras de.
Linkup Technologies
SAS
930 910 740		Sacha Uzan
sacha@linkup.so
28 avenue des Pépinières
94260 Fresnes, France		Frankrike, EUInformation delad av användare: fritext och bilagor via prompt, kunskapssamling och datakopplingar enligt beskrivelse i Bilaga 1 punkt 2AI-sök på internetPersonuppgifterna bevaras endast så länge det behövs för de ändamål som anges i företagets integritetspolicy, om inte längre lagringsperiod krävs eller tillåts enligt lag; därefter raderas eller anonymiseras de.
Paragon
(Forge Technology, Inc)
84-2835616		security@useparagon.comGermany, EUInformation delad av användare: fritext och bilagor via prompt, kunskapssamling och datakopplingar enligt beskrivelse i Bilaga 2 del 2Integration mot Office 365, Google Suite, Todoist, Slack, ConfluencePersonuppgifterna bevaras endast så länge det behövs för de ändamål som anges i företagets integritetspolicy, om inte längre lagringsperiod krävs eller tillåts enligt lag; därefter raderas eller anonymiseras de.
Google Cloud
EMEA Limited		data-protection-office@google.com
Google Cloud EMEA Limited
70 Sir John Rogerson's Quay
Dublin 2
Ireland		Irland, EUInformation delad av användare: fritext och bilagor via prompt, kunskapssamling och datakopplingar enligt beskrivelse i Bilaga 2 del 2Användning av språkmodeller som körs i EUPersonuppgifterna bevaras endast så länge det behövs för de ändamål som anges i företagets integritetspolicy, om inte längre lagringsperiod krävs eller tillåts enligt lag; därefter raderas eller anonymiseras de.
Scaleway
(Scaleway SAS)		www.scaleway.com
Frankrike, EU		Frankrike, EUNamn och e-postadressFörmedla nödvändig information kopplad till miljön, såsom systemuppdateringar (release notes) och resursförbrukning (token-användning).Personuppgifterna bevaras endast så länge det behövs för de ändamål som anges i företagets integritetspolicy, om inte längre lagringsperiod krävs eller tillåts enligt lag; därefter raderas eller anonymiseras de.

Notera: Biträdeslistan i Bilaga 2 kan justeras beroende på valda driftsalternativ och vilka AI-modeller som används.

Senast uppdaterad: 2026-02-19