Senast uppdaterad: 2026-06-05

Underleverantörer (subprocessors)

Arrangören (personuppgiftsansvarig) informeras om väsentliga ändringar i denna lista enligt personuppgiftsbiträdesavtal. Version: 2026-06-05.

Personuppgiftsbiträde

Johan Jartelius (NorthTrygg) tillhandahåller NorthTrygg som personuppgiftsbiträde för eventdata. Primär lagring av deltagar- och närvarodata sker i Sverige.

Underleverantörer behandlar endast personuppgifter i den utsträckning som krävs för att tillhandahålla betalning, e-post, domän/TLS eller backup enligt tabellen nedan.

Register

NorthTrygg primär drift (operatörshanterad)

Syfte
Applikationshosting (Next.js), PostgreSQL-databas och primär lagring av eventdata.
Kategorier av uppgifter
  • Alla kategorier som behandlas i tjänsten (deltagare, närvaro, valfria hälsouppgifter, administratörer, köpdata kopplad till event)
Region
Sverige (fysisk plats hos operatör)
Överföring / SCC
Ingen avsedd överföring utanför EU/EES för primär databas. Operatören ansvarar för fysisk säkerhet enligt intern driftchecklista.
DPA-status
Egen infrastruktur (personuppgiftsbiträde — inte underbiträde)

Stripe Payments Europe, Limited / Stripe, Inc.

Syfte
Betalningshantering via Stripe Checkout och webhook för eventköp. Kortuppgifter hanteras endast av Stripe.
Kategorier av uppgifter
  • Köparens namn och e-post
  • Betalningsstatus och Stripe-referenser (session ID, customer ID)
  • Belopp, valuta och ordermetadata
  • Inte: deltagarregister, hälsouppgifter eller bulkuppgifter om deltagare
Region
EU/EES och USA (beroende på Stripe-enhet och behandlingsaktivitet)
Överföring / SCC
Överföring till tredjeland kan förekomma. Stripe tillhandahåller GDPR-biträdesavtal och standardavtalsklausuler (SCC) enligt Stripe DPA. NorthTrygg lagrar inte fullständiga kortnummer.
DPA-status
Stripe DPA tillgängligt (standard) (referens)

AgentMail

Syfte
Transaktionell e-post för administratörsinbjudningar och driftrelaterade meddelanden.
Kategorier av uppgifter
  • Mottagarens e-postadress
  • Inbjudningslänk (engångstoken i URL)
  • Event- eller organisationsnamn i meddelandetext
  • Inte: databasåtkomst eller deltagarhälsodata
Region
USA (SaaS-leverantör — bekräfta mot aktuell AgentMail-dokumentation)
Överföring / SCC
E-postadress och inbjudningsinnehåll kan behandlas utanför EU/EES. Kräver lämpliga skyddsåtgärder (SCC och/eller leverantörens DPA). NorthTrygg delar endast det som krävs för att skicka meddelandet.
DPA-status
Leverantörens DPA ska bekräftas och arkiveras före skala

Operatörshanterad krypterad backup

Syfte
Säkerhetskopiering av PostgreSQL för återställning vid driftfel eller dataförlust.
Kategorier av uppgifter
  • Fullständig databassnapshot (samma innehåll som primär databas, inklusive krypterade fält)
Region
Sverige (primär off-site-kopia hos operatör) — molnkopia endast om konfigurerad (ange EU/EES i så fall)
Överföring / SCC
Backuper krypteras innan off-site-flytt. Raderad livedata kan finnas kvar tills backup roteras (max 35 dagar efter radering i live).
DPA-status
Intern process — separat molnleverantör kräver eget DPA om införd

DNS- och domänregistrar (jartelius.com)

Syfte
Domänregistrering och DNS-uppslag för northtrygg.se och relaterade poster.
Kategorier av uppgifter
  • DNS-frågor och teknisk routingmetadata
  • Registrantkontakt enligt registrar (personuppgifter om operatören)
  • Inte: innehåll i NorthTrygg-databasen
Region
Beror på vald registrar (EEA eller utanför EEA)
Överföring / SCC
DNS-leverantörer kan logga IP-adresser och behandla registrantuppgifter globalt. SCC eller EEA-hosting ska säkerställas vid val/byte av registrar.
DPA-status
Registrar-DPA ska dokumenteras internt (ange leverantör i DPA-bilaga vid signering)

Let's Encrypt (Internet Security Research Group)

Syfte
Utfärdande och förnyelse av TLS-certifikat via ACME (Caddy på produktionshost).
Kategorier av uppgifter
  • Domännamn som valideras
  • Tillfälliga IP-adresser och ACME-valideringsloggar
  • Inte: applikationsdata
Region
USA (ICSRG) — certifikatutfärdande globalt
Överföring / SCC
Begränsad teknisk metadata för certifikatvalidering. Personuppgifter om deltagare överförs inte till Let's Encrypt. HTTPS skyddar data i transit till NorthTrygg.
DPA-status
Allmän CA-tjänst — ingen personuppgiftsbiträdesrelation för eventdata

Förändringar

Nya eller ersatta underleverantörer meddelas arrangörer minst 30 dagar i förväg när det är rimligt möjligt, via e-post till angiven administratörskontakt eller via uppdatering av denna sida.

Fullständig registerdokumentation för upphandling och DPA-bilaga: docs/SUBPROCESSOR_REGISTER.md (tillgänglig på begäran).

Kontakt

Support och frågor om personuppgiftsbehandling:

northtrygg@northtrygg.se

Personuppgiftsincidenter och säkerhetsärenden (biträde → arrangör):

northtrygg@northtrygg.se

Se även integritetssidan och villkoren.

← Tillbaka till startsidan