Hur mycket tid kräver en AI-audit av oss?

2–4 intervjuer plus delning av relevant policy och avtal. Vi anpassar oss efter er kalender.

Vi vet inte vilka AI-verktyg vi använder. Kan ni ändå hjälpa oss?

Det är precis varför ni behöver en audit. Vi hjälper er kartlägga vad som faktiskt används — inklusive det ingen pratar om.

Är ni bundna till specifika AI-leverantörer?

Nej. Vi är helt oberoende och rekommenderar alltid det som passar er bäst.

Personuppgiftsbiträdesavtal

Senast uppdaterad: februari 2026 | Version 1.0

Detta personuppgiftsbiträdesavtal ("PUB-avtal" / "DPA") gäller för uppdrag där 4Reconciliation AB behandlar personuppgifter på uppdrag av kunden, i enlighet med Art. 28 i EU:s dataskyddsförordning (GDPR). Avtalet bifogas som bilaga till huvudavtalet/tjänsteavtalet.

1. Parter

Personuppgiftsansvarig ("Kunden"): Den organisation som anlitar 4Reconciliation för tjänster enligt huvudavtalet.

Personuppgiftsbiträde ("Biträdet"): 4Reconciliation AB, org.nr 559367-9110, Sanduddsvägen 60, 178 41 Ekerö.

2. Bakgrund och syfte

Biträdet behandlar personuppgifter på uppdrag av Kunden i samband med leverans av tjänster som AI-audit, Digital Risk Check, IT-hälsokontroll och relaterade konsulttjänster. Detta avtal reglerar parternas rättigheter och skyldigheter avseende personuppgiftsbehandling i enlighet med GDPR.

3. Behandlingens art och syfte

Ändamål	Leverans av avtalade tjänster (analys, audit, riskbedömning)
Kategorier av registrerade	Kundens anställda, kontaktpersoner, användare av digitala tjänster
Typer av personuppgifter	Namn, e-post, befattning, IP-adresser, systemloggar, AI-verktygsanvändning
Behandlingsåtgärder	Insamling, strukturering, analys, lagring, radering
Varaktighet	Under avtalstiden samt max 90 dagar efter avslutat uppdrag

4. Biträdets skyldigheter

Biträdet åtar sig att:

Enbart behandla personuppgifter enligt Kundens dokumenterade instruktioner
Säkerställa att personal som behandlar personuppgifter har åtagit sig konfidentialitet
Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder (Art. 32 GDPR)
Inte anlita underbiträden utan Kundens förhandsgodkännande
Bistå Kunden med att uppfylla registrerades rättigheter (Art. 15–22 GDPR)
Bistå Kunden vid konsekvensbedömningar och förhandssamråd (Art. 35–36 GDPR)
Radera eller återlämna alla personuppgifter efter avslutad behandling
Ge Kunden tillgång till information som krävs för att visa efterlevnad

5. Säkerhetsåtgärder

Biträdet tillämpar följande tekniska och organisatoriska åtgärder:

Kryptering: TLS 1.2+ för all datatrafik, krypterad lagring
Åtkomstkontroll: Rollbaserad behörighet, MFA för systemåtkomst
Nätverkssäkerhet: Segmenterat nätverk, brandväggar, intrångsdetektering
Datalagring: Inom EU/EES, automatisk radering efter retentionsperiod
Incidenthantering: Dokumenterad process för personuppgiftsincidenter
Backup: Krypterade backuper med regelbunden verifiering
Loggning: Åtkomstloggar för revisionsändamål

6. Underbiträden

Biträdet använder följande underbiträden:

Underbiträde	Ändamål	Land
Cloudflare, Inc.	CDN, DDoS-skydd, DNS	USA (EU SCC)
Anthropic, PBC	AI-rapportgenerering (inga personuppgifter)	USA (inga PU överförs)
Microsoft (M365)	E-post, kalender	EU (M365 EU Data Boundary)

Kunden meddelas vid förändringar av underbiträden och har rätt att invända.

7. Personuppgiftsincidenter

Biträdet ska utan onödigt dröjsmål, och senast inom 24 timmar, underrätta Kunden om en personuppgiftsincident som berör Kundens data. Underrättelsen ska innehålla:

Beskrivning av incidentens art och omfattning
Kategorier och antal berörda registrerade
Sannolika konsekvenser
Vidtagna och planerade åtgärder
Kontaktuppgifter till ansvarig person

8. Tredjelandsöverföring

Personuppgifter behandlas primärt inom EU/EES. Vid överföring till tredjeland (t.ex. USA) tillämpas EU:s standardavtalsklausuler (SCC) eller annat godkänt skyddsinstrument enligt GDPR kapitel V.

9. Granskning och revision

Kunden har rätt att, med rimligt varsel och under kontorstid, genomföra eller låta genomföra revision av Biträdets behandling av personuppgifter. Biträdet ska tillhandahålla nödvändig information och medverka vid revision.

10. Avtalets giltighet

Detta avtal gäller under hela den period som Biträdet behandlar personuppgifter på uppdrag av Kunden. Skyldigheterna avseende konfidentialitet och radering kvarstår efter avtalets upphörande.

11. Kontakt

Frågor om detta avtal eller personuppgiftsbehandling:

E-post: hej@4recon.se
Telefon: 070-560 66 66
Se även vår integritetspolicy

4Reconciliation AB, org.nr 559367-9110
Sanduddsvägen 60, 178 41 Ekerö