FAQ-Uppdaterat-PUB-avtal

Publicerad 25 feb. 2026

 

  1. Varför uppdaterar ni ert PUB-avtal?

    Vi uppdaterar vårt PUB-avtal för att säkerställa att ni även framåt har ett avtal som följer gällande regelverk, branschpraxis och den tekniska utvecklingen. Uppdateringen är en del av vårt löpande dataskyddsarbete för att säkerställa tydliga, moderna och aktuella villkor.

    Som en del av detta anpassar vi avtalet närmare den senaste avtalsmallen från Sveriges Kommuner och Regioner (SKR), i linje med etablerad branschpraxis, samt uppdaterar vår förteckning av underbiträden. Det nya avtalet kommer att gälla för samtliga kunder.

  2. Vad är skillnaderna mellan det gamla avtalet och det nya?

    Det nya PUB-avtalet är framtaget för att förenkla administrationen för både oss och er kunder, samtidigt som det möter dagens krav på dataskydd och den snabba teknikutvecklingen.

    De största förändringarna är:

    • Ingen signering vid varje uppdatering av underbiträden
      I det nya avtalet behöver ni inte längre signera när vi lägger till nya underbiträden. Vi informerar i stället löpande om förändringar i en förteckning av underbiträden som kommer att finnas på vår webbplats. Detta minskar den administrativa bördan för bägge parter och stämmer överens med SKR:s nya avtalsmall.
    • Effektivare hantering i takt med AI-utvecklingen
      Med den snabba utvecklingen inom AI och automatisering krävs ett mer flexibelt och uppdateringsbart ramverk för personuppgiftsbehandling. Det nya avtalet gör det enklare att anpassa hanteringen när tekniken utvecklas eller när nya typer av tjänster införs.
    • Uppdaterad förteckning av underbiträden
      Vi har uppdaterat vår förteckning av underbiträden baserat på förändrat nyttjande. I rollen som personuppgiftsbiträde nyttjar vi inte längre Nordlo Mitt AB, Aareon Sverige AB eller Planhat. Vi har lagt till Amazon Web Services EMEA SARL och Microsoft Deutschland GmbH.

  3. Behöver vi som kund vidta några åtgärder?

    Ja, ni behöver signera avtalet som skickas ut till er firmatecknare/avtalsansvarige.

  4. Påverkas vårt personuppgiftsansvar?

    Nej, ni är fortsatt personuppgiftsansvariga för de personuppgifter som behandlas i tjänsten. Momentum är fortsatt personuppgiftsbiträde och behandlar personuppgifter enligt dokumenterade instruktioner.

  5. Använder ni underbiträden?

    Ja, vi använder underbiträden för exempelvis drift och support. En uppdaterad lista över underbiträden finns i Bilaga 2 samt på https://www.momentum.se/forteckning-av-underbitraden/

  6. Hur informerar Momentum om nya underbiträden och hur kan jag invända?

    Momentum använder underbiträden för att kunna tillhandahålla, drifta och vidareutveckla våra tjänster på ett säkert och effektivt sätt. Vi anlitar endast underbiträden som uppfyller de krav på säkerhet och efterlevnad som dataskyddsförordningen (GDPR) ställer.

    När vi avser att anlita ett nytt, ersätta eller avsluta behandlingen hos ett befintligt underbiträde informerar vi alltid skriftligen i förväg till den av er förmedlade kontaktpersonen.

    I informationen framgår:

    • underbiträdets namn, organisationsnummer och säte,
    • vilken typ av uppgifter och vilka kategorier av registrerade som behandlas, och
    • var personuppgifterna kommer att behandlas.

    Som kund har du därefter trettio (30) dagar på dig att invända mot ändringen. En invändning ska:

    • ske skriftligen,
    • innehålla en skälig anledning, och
    • tydligt beskriva vilken förändring du vill uppnå.

    Om ingen invändning lämnas inom tidsfristen anses det nya underbiträdet accepterat.

  7. Förändras något kring lagring av data?

    Momentums system driftas och lagras fortsatt i Sverige. Vi har två nya underbiträden, Microsoft och Amazon, som är amerikanska bolag. Särskilda kategorier av personuppgifter (känsliga personuuppgifter) får inte behandlas av dessa och vi har säkerställt mekanismer för säker datahantering. På punkt 8 i denna FAQ kan ni läsa mer om dessa.

  8. Användning av AI-tjänster (Microsoft Azure och Amazon Web Services (AWS))

    Bakgrund:
    Momentum arbetar alltmer med AI‑funktioner i våra tjänster. Hittills har dessa funktioner inte behandlat personuppgifter, men i takt med att vi utvecklar mer avancerade AI‑tjänster kan vissa funktioner framöver komma att göra det.

    För att säkerställa att detta sker på ett säkert och korrekt sätt har vi därför lagt till nya underbiträden med den kapacitet, säkerhet och efterlevnad som krävs för AI‑relaterad behandling.
    Vår behandling hos dessa underbiträden (bl.a. Microsoft och Amazon) uppfyller de krav på säkerhet och efterlevnad som dataskyddsförordningen (GDPR) ställer.

    Fråga:
    Överförs personuppgifter till USA eller annat tredje land när ni använder AI-tjänster? Används våra data för att träna AI-modeller?

    Svar:
    Endast en begränsad och kontrollerad mängd data skickas till AI-tjänsten, och enbart den information som är nödvändig för den specifika funktionen. Inga personuppgifter av särskilda kategorier (känsliga) eller andra extra skyddsvärda uppgifter behandlas.

    Lagring sker i Sverige och API-anrop görs via Sverige. För vissa AI-funktioner sker även själva behandlingen i Sverige. För vissa mer avancerade AI-funktioner kan viss AI-bearbetning, det vill säga själva modellkörningen, ske inom andra delar av EU/EES. Behandlingen lämnar därmed inte EU/EES.

    Tjänsterna tillhandahålls av Microsoft Azure och Amazon Web Services (AWS), som är amerikanska bolag, men den behandling som beskrivs här är konfigurerad så att data inte överförs till USA eller annat land utanför EU/EES.

    1. Geografisk databearbetning
      • AI-tjänsterna används inom våra kontrollerade Azure- och AWS-miljöer.
      • Lagring av data sker i Sverige och API-anrop går via Sverige. För vissa funktioner sker även AI-bearbetningen i Sverige. För vissa mer avancerade funktioner kan viss AI-bearbetning ske inom andra delar av EU/EES, men inte utanför EU/EES.
    2. Ändamålsbegränsning och ingen modellträning
      • Vid användning av våra AI-tjänster används kunddata (indata och utdata) enbart för att generera det svar eller den funktion som efterfrågas i den aktuella tjänsten.
      • Uppgifterna används inte för att träna, förbättra eller vidareutveckla grundmodeller.
      • Loggning kan förekomma för säkerhets- och driftsändamål och lagras under begränsad tid.
    3. Dataminimering och skyddsåtgärder
      • Endast uppgifter som är nödvändiga för den aktuella funktionen överförs till AI-tjänsten.
      • Personuppgifter pseudonymiseras eller avidentifieras där det är möjligt.
      • Behandlingen omfattas av tekniska och organisatoriska säkerhetsåtgärder i enlighet med GDPR.
    4. Kontrollerad användning
      • AI-funktioner används endast inom våra kontrollerade AWS- och Azure-miljöer.
      • Publika konsumenttjänster används inte för behandling av kunddata.

  9. När träder det nya PUB-avtalet i kraft?

    Från det datum som PUB-avtalet signeras.

  10. Vad gör vi om vi har frågor eller vill diskutera avtalet?

    Om ni har frågor kring detta får ni gärna kontakta ylva.lindgren@momentum.se eller dataskyddsombud@momentum.se.