Legal
Alla legala Policies
Samling av allt vårt väsentliga pappersarbete
Integritetspolicy
Integritetspolicy
Hiems Handelsbolag
Senast uppdaterad: 2026-01-01
Hiems Handelsbolag värnar om din integritet och strävar efter att vara transparenta kring hur vi behandlar personuppgifter i samband med våra tjänster.
1. Introduktion
Hiems Handelsbolag (org.nr: 969802-0246) är personuppgiftsansvarig för behandling av personuppgifter som sker inom ramen för våra tjänster, webbplatser och affärsrelationer.
Denna integritetspolicy beskriver hur vi samlar in, använder, lagrar, delar och skyddar personuppgifter samt vilka rättigheter du har enligt gällande dataskyddslagstiftning.
Kontakt:
E-post: contact@hiems.se
2. Vilka personuppgifter vi samlar in
Beroende på relation och användning kan följande kategorier av personuppgifter behandlas:
Grundläggande uppgifter
Namn
E-postadress
Telefonnummer
Företagsinformation
Fakturerings- och betalningsuppgifter
Teknisk information
IP-adress
Enhetstyp och operativsystem
Webbläsarinformation
Cookies och liknande tekniker
Kommunikationsdata
Meddelanden och supportärenden
Samtalsloggar och metadata
Korrespondens via e-post, SMS eller chatt
Hiems behandlar inte avsiktligt känsliga personuppgifter. Om sådana uppgifter ändå förekommer sker behandlingen på kundens ansvar.
3. Ändamål med behandlingen
Vi behandlar personuppgifter för att:
Tillhandahålla, drifta och förbättra våra tjänster
Hantera kundrelationer, support och kommunikation
Genomföra fakturering och betalningar
Säkerställa drift, kvalitet och IT-säkerhet
Förebygga missbruk, bedrägeri och säkerhetsincidenter
Marknadsföra våra tjänster (endast där samtycke finns eller enligt berättigat intresse)
4. Rättslig grund
Behandling sker med stöd av:
Avtal (för att fullgöra våra tjänster)
Rättslig förpliktelse (bokföring, lagkrav)
Berättigat intresse (säkerhet, förbättring av tjänster)
Samtycke (marknadsföring, cookies)
5. Dina rättigheter enligt GDPR
Du har rätt att:
Begära tillgång till dina personuppgifter
Få felaktiga uppgifter rättade
Begära radering (“rätten att bli bortglömd”)
Begära begränsning av behandling
Invända mot behandling
Få ut dina uppgifter i ett strukturerat format (dataportabilitet)
För att utöva dina rättigheter, kontakta oss på contact@hiems.se.
6. Lagringstid och säkerhet
Lagringstider
Kund- och kontouppgifter: upp till 3 år efter avslutad relation
Fakturor och bokföringsdata: 7 år enligt bokföringslagen
Marknadsföringsdata: tills samtycke återkallas
Säkerhetsåtgärder
Kryptering av data i transit och vid lagring
Åtkomstkontroller och behörighetsstyrning
Tvåfaktorsautentisering där det är relevant
Loggning och övervakning
Regelbundna säkerhetsuppdateringar
7. Delning av personuppgifter och tredje parter
Personuppgifter delas endast när det är nödvändigt för att leverera våra tjänster eller uppfylla lagkrav.
Exempel på mottagare:
Moln- och IT-leverantörer
Kommunikations- och betalningstjänster
Konsulter, samarbetspartners eller provision-baserade utförare
Alla parter omfattas av sekretessåtaganden och, där så krävs, Databehandlingsavtal (DPA).
8. Underbiträden och internationell behandling
Hiems kan använda underbiträden, inklusive fristående konsulter eller samarbetspartners, för utveckling, support, drift eller försäljning – även från andra länder.
Vid behandling utanför EU/EES säkerställs att:
överföring sker med Standard Contractual Clauses (SCC) eller annan giltig mekanism
rimliga tekniska och organisatoriska skyddsåtgärder vidtas
endast nödvändiga uppgifter görs tillgängliga
åtkomst begränsas efter roll och behov
Hiems genomför rimliga riskbedömningar i linje med GDPR och gällande praxis.
9. Cookies och spårning
Vi använder cookies för att:
säkerställa webbplatsens funktion
analysera användarbeteende
förbättra upplevelse och marknadsföring
Detaljerad information finns i vår Cookie-policy. Samtycke kan när som helst ändras eller återkallas.
10. Klagomål och tillsynsmyndighet
Om du anser att vi behandlar dina personuppgifter felaktigt har du rätt att kontakta:
Integritetsskyddsmyndigheten (IMY)
E-post: imy@imy.se
11. Ändringar av policyn
Hiems förbehåller sig rätten att uppdatera denna integritetspolicy.
Den senaste versionen publiceras alltid på hiems.se.
Väsentliga ändringar kommuniceras på lämpligt sätt.
Användarvillkor
Senast uppdaterad: 2026-01-01
1. Allmänna bestämmelser
Dessa villkor gäller mellan Hiems Handelsbolag (969802-0246) och kunden. Genom att använda våra tjänster godkänner du dessa villkor.
2. Tjänstebeskrivning
AI-driven samtals- och meddelandehantering
SMS och notifieringar
Dashboard och analys
API-integrationer
3. Kundens ansvar
Använd tjänsten lagligt
Skydda inloggningsuppgifter
Betala avtalade avgifter
Inte skicka spam eller bryta mot lag
4. Betalning
Fakturering sker månadsvis med 30 dagars betalningsvillkor. Dröjsmålsränta enligt räntelagen.
5. Avtalstid och uppsägning
Uppsägningstid: 30 dagar. Kunddata kan exporteras inom 30 dagar efter avslut.
6. Ansvar
Hiems ansvarar endast för direkta skador upp till det belopp som betalats under de senaste 12 månaderna.
7. Immateriella rättigheter
All teknik och dokumentation tillhör Hiems Handelsbolag. Kunden får en icke-exklusiv licens under avtalstiden.
8. Sekretess
Parterna förbinder sig till sekretess under och två år efter avtalets slut.
9. Tillämplig lag och tvister
Svensk lag gäller. Tvister avgörs av Göteborgs tingsrätt.
Kontakt: contact@hiems.se
Cookie-policy
Senast uppdaterad: 2026-01-01
1. Vad är cookies?
Cookies är små textfiler som lagras på din enhet för att förbättra användarupplevelsen.
2. Typer av cookies
Nödvändiga – krävs för webbplatsens funktion
Funktionella – sparar inställningar
Analys – hjälper oss förstå användarbeteende
Marknadsföring – används för annonser
3. Hantering av cookies
Du kan ändra eller återkalla samtycke via cookie-inställningar eller din webbläsare.
4. Tredjepartstjänster
Hiems kan använda Google Analytics, Meta och LinkedIn enligt GDPR och SCC.
Kontakt: contact@hiems.se
Service Level Agreement
Version: 1.1
Gäller från och med: 2026-01-01
Publicerad av: Hiems Handelsbolag
1. Syfte
Detta Service Level Agreement ("SLA") beskriver de allmänna nivåer för tillgänglighet, support och underhåll som Hiems Handelsbolag ("Hiems", "vi", "oss") erbjuder för våra produkter och tjänster.
SLA:t gäller som tillägg till våra juridiska villkor (HAV 1.0, DPA, AUP, Integritetspolicy och Användarvillkor) och omfattar alla kunder med ett aktivt avtal eller abonnemang hos Hiems.
2. Omfattning
Hiems utvecklar och tillhandahåller skräddarsydda AI- och automationslösningar för företag, inklusive:
AI-agenter för röst och text
Automatisering och systemintegrationer
Konsultation och anpassning av AI-flöden
Drift, underhåll och support för aktiva system
Detta SLA gäller för den del av tjänsten som drivs, underhålls eller hanteras av Hiems, i den omfattning som framgår av kundens avtal.
3. Systemtillgänglighet
Hiems strävar efter att hålla alla aktiva tjänster tillgängliga minst 99% per kalendermånad, exklusive planerat underhåll.
Tillgänglighet avser driftstatus för Hiems infrastruktur, molnplattformar och API-tjänster.
Hiems ansvarar inte för avbrott orsakade av:
Kundens egna system, nätverk eller integrationer
Tredjepartsleverantörer (t.ex. OpenAI, Twilio, Google Cloud)
Händelser utanför Hiems rimliga kontroll (force majeure)
4. Planerat underhåll
Hiems kan utföra planerat underhåll för att förbättra säkerhet, prestanda och stabilitet.
Kunder med aktiv prenumeration eller support plan informeras minst 24 timmar i förväg.
Underhåll sker normalt mellan 22:00–06:00 svensk tid.
Kortare avbrott kan förekomma under dessa perioder.
5. Support och underhåll
Kunder som har aktiv månads- eller årsbaserad prenumeration hos Hiems har tillgång till löpande support och underhåll utan extra kostnad.
Detta inkluderar:
Hjälp med felsökning och tekniska frågor
Mindre justeringar och optimeringar av befintliga system
Säkerhets- och stabilitet uppdateringar
Tillgång till framtida förbättringar av plattformen
Kunder som har betalat en engångsavgift och därmed äger sin lösning omfattas inte av löpande support eller uppdateringar. Dessa kunder kan dock beställa hjälp, uppdateringar eller vidareutveckling som separata konsulttjänster enligt offert.
6. Incidenthantering
Hiems hanterar incidenter och driftstörningar med prioritet baserat på hur allvarligt de påverkar tjänstens funktion. Alla rapporterade problem åtgärdas så snabbt som möjligt enligt rimlig teknisk praxis.
Incidenter rapporteras till: support@hiems.se
7. Uppdateringar och förbättringar
Hiems levererar löpande förbättringar och säkerhetsförbättringar för kunder med aktiv prenumeration. Kunder som äger sin lösning kan köpa till uppdateringar eller förbättringar efter behov.
8. Ansvarsbegränsning
Hiems Handelsbolags ansvar är begränsat till det lägsta av:
Tre (3) månaders serviceavgift, eller
Det belopp som betalats för tjänsten under de senaste 90 dagarna.
Hiems ansvarar inte för indirekta skador såsom dataförlust, utebliven vinst eller avbrott i kundens verksamhet.
9. Kundens ansvar
Kunden ansvarar för att:
Tillhandahålla korrekt information, inloggningar och API-nycklar
Säkerställa kompatibilitet med egna system
Följa Hiems AUP och användarvillkor
Rapportera fel eller avbrott tydligt till supporten
10. Force Majeure
Hiems är inte ansvarigt för förseningar eller avbrott orsakade av händelser utanför rimlig kontroll, såsom naturkatastrofer, krig, myndighetsbeslut, cyberattacker eller fel hos tredjepartsleverantörer.
11. Ändringar av SLA
Hiems förbehåller sig rätten att uppdatera eller ändra detta SLA. Uppdateringar publiceras på hiems.se och träder i kraft 30 dagar efter publicering.
Fortsatt användning av tjänsten innebär att Kunden godkänner den uppdaterade versionen.
12. Tillämplig lag och tvister
Detta SLA regleras av svensk lag.
Tvister som inte kan lösas i samförstånd avgörs av Stockholms tingsrätt som första instans.
Relaterade dokument
HAV 1.0 – Allmänt Avtal
DPA – Databehandlingsavtal
AUP – Acceptable Use Policy
Integritetspolicy
Användarvillkor
Databehandlingsavtal (DPA)
Databehandlingsavtal (DPA)
Data Processing Agreement
Senast uppdaterad: 2026-01-01
Detta Databehandlingsavtal ("DPA") utgör en integrerad del av tjänsteavtalet mellan Kunden ("Personuppgiftsansvarig") och Hiems Handelsbolag (org.nr 969802-0246) ("Personuppgiftsbiträde").
Avtalet uppfyller kraven enligt EU:s dataskyddsförordning (GDPR), svensk dataskyddslag samt kompletterande nationell reglering.
1. Parter
Personuppgiftsansvarig: Kunden
Personuppgiftsbiträde: Hiems Handelsbolag (969802-0246)
Personuppgiftsbiträdet behandlar personuppgifter uteslutande enligt dokumenterade instruktioner från den Personuppgiftsansvarige.
2. Syfte och behandlingens omfattning
Hiems behandlar kunddata enbart i syfte att:
tillhandahålla, drifta och förbättra Hiems tjänster
bygga, konfigurera och implementera tekniska lösningar
hantera kommunikation, kundsupport och teknisk felsökning
genomföra fakturering och administration
möjliggöra säker drift, loggning och incidenthantering
Typ av personuppgifter
Beroende på kundens användning kan följande kategorier förekomma:
Kontaktuppgifter (namn, telefonnummer, e-post)
Kommunikationsdata (meddelanden, samtalsinnehåll, loggar)
Tekniska metadata (tidsstämplar, driftinformation)
Hiems behandlar inte avsiktligt känsliga personuppgifter. Om Kunden väljer att inkludera sådana data sker det på den Personuppgiftsansvariges ansvar.
Kategorier av registrerade
Kundens kunder
Kundens användare och personal
Personer som kontaktar Kunden via Hiems tjänster
2.1 Begränsad mänsklig åtkomst och outsourced arbete
Hiems kan i begränsad omfattning använda extern arbetskraft (outsourcing eller konsulter), inklusive arbetskraft lokaliserad utanför EU/EES, uteslutande för tekniskt utvecklingsarbete, såsom:
byggande, konfigurering och test av system
utveckling av AI-flöden, integrationer och automatiseringar
teknisk implementation inför leverans av kundlösning
Denna externa arbetskraft:
har inte ansvar för drift, övervakning eller support
har ingen direktkontakt med Kund eller Kundens slutkunder
är inte involverad i någon behandling av personuppgifter efter att leverans av produkt eller lösning har slutförts
All åtkomst är tidsbegränsad, behovsstyrd och strikt kontrollerad.
3. Säkerhetsåtgärder
Personuppgiftsbiträdet vidtar lämpliga tekniska och organisatoriska åtgärder enligt GDPR artikel 32, inklusive men inte begränsat till:
Kryptering av data i transit och vid lagring
Åtkomstkontroll och rollbaserade behörigheter
Tvåfaktorsautentisering för system med känslig åtkomst
Regelbundna säkerhetsrevisioner och sårbarhetstester
Loggning av åtkomst och förändringar
Ruiner för säker säkerhetskopiering och återställning
Minimiprincip för datalagring och åtkomst
Förtydligande om mänsklig access
Åtkomst ges endast enligt principen om minsta möjliga behörighet
All mänsklig åtkomst är personlig, loggad och spårbar
Åtkomst avslutas omedelbart efter slutfört arbete
Extern arbetskraft saknar som huvudregel åtkomst till produktionsmiljöer
4. Underbiträden
Personuppgiftsbiträdet får använda godkända underbiträden för att tillhandahålla tjänsterna.
Principer:
Endast underbiträden inom EU/EES, eller med giltiga överföringsmekanismer enligt GDPR kapitel V
Kunden informeras minst 30 dagar i förväg vid ändringar
Underbiträden binds genom avtal som ger motsvarande skyddsnivå som detta DPA
Outsourced utvecklingsarbete
Extern arbetskraft som används för utvecklingsarbete betraktas som underbiträden i den mening som avses i GDPR artikel 28 och omfattas av:
sekretessavtal
dataskyddsåtaganden
säkerhetskrav och instruktioner motsvarande detta DPA
Sådan arbetskraft behandlar personuppgifter endast i den utsträckning som är tekniskt nödvändig för att bygga eller konfigurera system inför leverans.
5. Incidenthantering
Vid en personuppgiftsincident ska Personuppgiftsbiträdet:
underrätta Kunden utan onödigt dröjsmål, dock senast inom 24 timmar
tillhandahålla en incidentrapport inom 72 timmar
bistå Kunden vid anmälan till tillsynsmyndighet och registrerade
dokumentera incidenten och vidta korrigerande åtgärder
Incidentrapporten innehåller alla delar som krävs enligt GDPR artikel 33.
6. Radering och återlämning av data
Vid avtalets upphörande, oavsett anledning, ska Personuppgiftsbiträdet utan onödigt dröjsmål och senast inom trettio (30) dagar:
radera alla personuppgifter som behandlats för Kundens räkning,
på Kundens begäran återlämna personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format,
säkerställa att all åtkomst för intern personal och eventuell extern arbetskraft avslutas,
säkerställa att ingen fortsatt behandling av Kundens personuppgifter sker efter avslutad leverans eller avtalsrelation.
Backupkopior kan existera i upp till trettio (30) dagar innan de automatiskt skrivs över och är under denna tid otillgängliga för aktiv behandling.
Efter slutförd radering ska Personuppgiftsbiträdet utfärda ett skriftligt raderingsintyg till Kunden.
6.1 Data Exit och raderingsintyg
Hiems tillämpar en standardiserad och obligatorisk Data Exit-process vid upphörande av tjänst eller avtal.
Data Exit-processen omfattar:
identifiering av all Kundrelaterad data i aktiva system, loggar och lagringsmiljöer,
export av data till Kunden i ett strukturerat, allmänt använt och maskinläsbart format, om Kunden begär detta,
fullständig radering av all Kundrelaterad data från produktionsmiljöer, testmiljöer och utvecklingsmiljöer,
verifiering av att inga aktiva kopplingar, åtkomster eller behandlingar kvarstår,
avslut av all eventuell åtkomst för underbiträden och extern arbetskraft.
Efter genomförd Data Exit ska Hiems utan särskild begäran tillhandahålla Kunden ett raderingsintyg som bekräftar att:
all personuppgiftsbehandling har upphört,
data har raderats i enlighet med GDPR artikel 28.3 g,
eventuella backupkopior endast kvarstår under tekniskt nödvändig omskrivningsperiod.
7. Hjälp till den Personuppgiftsansvarige
Hiems bistår Kunden med att uppfylla skyldigheter enligt GDPR, inklusive:
hantering av registrerades rättigheter
bedömning och hantering av personuppgiftsincidenter
stöd vid DPIA och säkerhetsbedömningar
Begränsning av manuell behandling
Hiems strävar efter att minimera manuell behandling av personuppgifter. Mänsklig åtkomst sker endast när det är tekniskt nödvändigt och alltid enligt dokumenterade instruktioner.
8. Dokumentation och revision
Hiems tillhandahåller dokumentation som krävs för att visa GDPR-efterlevnad.
Kunden har rätt att en gång per år genomföra revision, under förutsättning att:
revision sker med skälig framförhållning
revisorn omfattas av sekretess
revisionen inte stör driften eller äventyrar säkerheten
9. Sekretess
All personal och extern arbetskraft som behandlar personuppgifter omfattas av sekretess och får endast behandla data enligt detta DPA och Kundens instruktioner.
10. Överföringar till tredje land
Överföring av personuppgifter utanför EU/EES sker endast:
med stöd av Standard Contractual Clauses (SCC)
med kompletterande skyddsåtgärder
efter dokumenterad riskbedömning i linje med Schrems II
11. Tillämplig lag och tvistlösning
Detta DPA regleras av GDPR, svensk dataskyddslag och svensk rätt.
Tvister avgörs av Stockholms tingsrätt som första instans.
12. Kontakt
För frågor rörande dataskydd:
📧 contact@hiems.se
Hiems Handelsbolag – Allmänna Villkor (HAV 1.0)
Gäller från och med: 2026-01-01
Version: 1.0
Publicerad av: Hiems Handelsbolag (Org.nr 969802-0246, Stockholm, Sverige)
Kontakt: contact@hiems.se
Webbplats: https://hiems.se
1. Allmänt
Dessa allmänna villkor ("HAV") gäller för alla produkter och tjänster som levereras av Hiems Handelsbolag ("Leverantören") till kund ("Kunden"). Eventuella särskilda villkor eller beskrivningar för en viss tjänst regleras i respektive huvudavtal och dess bilagor, som alltid har företräde vid konflikt med dessa villkor.
2. Definitioner
Tjänsten: Den eller de AI-, konsult-, eller supporttjänster som anges i huvudavtalet.
Kunden: Den juridiska person eller enskilda firma som har ingått avtal med Hiems Handelsbolag.
Data: All information som Kunden tillhandahåller eller som genereras via användningen av Tjänsten.
Parterna: Hiems Handelsbolag och Kunden gemensamt.
Huvudavtalet: Det undertecknade avtalet som anger tjänstens omfattning, pris, och villkor.
3. Avtalets omfattning
Hiems Handelsbolag tillhandahåller Tjänster enligt huvudavtalet. Hiems ansvarar för drift, uppdateringar och säkerhet i enlighet med gällande lagar, inklusive GDPR. Kunden ansvarar för att använda Tjänsten i enlighet med gällande lag, Användarvillkor och Hiems Acceptable Use Policy (AUP).
4. Avgifter och betalning
Fakturering sker enligt huvudavtalet.
Betalningsvillkor är 30 dagar netto om inget annat anges.
Vid försenad betalning tillkommer dröjsmålsränta enligt svensk räntelag (1975:635) samt eventuell påminnelseavgift.
Hiems Handelsbolag förbehåller sig rätten att justera priser vid förändrade kostnader eller växelkursförändringar. Kunden meddelas minst 30 dagar innan prisändring träder i kraft.
5. Avtalstid och uppsägning
Avtalets bindningstid och uppsägningstid regleras i huvudavtalet. Om inget annat anges gäller 30 dagars uppsägningstid. Hiems Handelsbolag har rätt att säga upp avtalet med omedelbar verkan om Kunden:
a) Bryter mot dessa villkor eller AUP,
b) Inte betalar inom 30 dagar efter förfallodatum,
c) Använder Tjänsten på ett sätt som orsakar skada, störning eller rättslig risk.
Efter uppsägning raderas kunddata inom 30 dagar, enligt Databehandlingsavtalet (DPA).
6. Dataskydd och sekretess
Hiems Handelsbolag agerar som personuppgiftsbiträde i relation till Kunden, som är personuppgiftsansvarig.
All behandling av personuppgifter sker enligt:
Databehandlingsavtalet (DPA),
Integritetspolicyn,
Acceptable Use Policy (AUP).
All data lagras inom EU, skyddas genom kryptering och hanteras enligt tekniska och organisatoriska säkerhetsåtgärder. Hiems Handelsbolag och Kunden förbinder sig att inte avslöja konfidentiell information till tredje part utan skriftligt medgivande.
7. Immateriella rättigheter
Alla rättigheter till mjukvara, AI-modeller, kod, dokumentation och varumärken tillhör Hiems Handelsbolag eller dess licensgivare. Kunden får en begränsad och icke-överlåtbar licens att använda Tjänsten under avtalstiden. Kunden får inte dekompilera, kopiera eller distribuera material utan skriftligt tillstånd från Hiems Handelsbolag.
8. Ansvarsbegränsning
Hiems Handelsbolag ansvarar inte för:
Indirekta skador, dataförlust eller utebliven vinst,
Förseningar eller fel orsakade av tredje part, nätverk eller force majeure.
Hiems Handelsbolags totala ansvar är begränsat till det belopp Kunden betalat under de senaste 12 månaderna.
9. Kommunikation och support
Kundsupport sker via e-post till contact@hiems.se eller via annan kommunikationskanal enligt huvudavtalet. Planerade driftavbrott eller uppdateringar meddelas i god tid.
10. Tillämplig lag och tvister
Avtalet regleras av svensk lag. Tvister som inte kan lösas genom dialog avgörs av Stockholms tingsrätt som första instans.
11. Övrigt
Hiems Handelsbolag har rätt att uppdatera dessa allmänna villkor. Senaste versionen publiceras på https://hiems.se. Om väsentliga ändringar görs informeras Kunden minst 30 dagar innan de träder i kraft.
Tillämpliga dokument
Dessa Allmänna Villkor ska alltid läsas tillsammans med följande dokument, tillgängliga på https://hiems.se:
Databehandlingsavtal (DPA)
Integritetspolicy
Acceptable Use Policy (AUP)
Användarvillkor
Genom att underteckna ett kundavtal med Hiems Handelsbolag bekräftar Kunden att denne tagit del av och godkänt dessa dokument.
Acceptable Use Policy (AUP)
Policy för External Contractors
Hiems HB
Senast uppdaterad: 2026-01-01
1. Syfte
Denna policy beskriver hur Hiems anlitar och hanterar extern arbetskraft (“External Contractors”) för att säkerställa informationssäkerhet, dataskydd och kvalitet i leveransen.
2. Avtal och bindning
All extern arbetskraft som anlitas av Hiems ska alltid omfattas av skriftligt avtal innan arbete påbörjas.
Avtalet ska minst innehålla:
sekretessåtagande (NDA),
dataskyddsåtagande i linje med GDPR,
regler om immateriella rättigheter,
krav på efterlevnad av Hiems policys och instruktioner.
Inget arbete får utföras utan giltigt avtal.
3. Arbetets omfattning
External Contractors anlitas uteslutande för:
tekniskt utvecklingsarbete,
byggande, konfigurering och test av system,
implementation inför leverans av tjänst eller produkt.
External Contractors:
ansvarar inte för drift, support eller kundkontakt,
är inte involverade efter levererad lösning,
fattar inga egna beslut rörande kunddata eller affärsprocesser.
4. Åtkomst och dataskydd
Åtkomst till system och information:
är strikt behovsstyrd och tidsbegränsad,
ges enligt principen om minsta möjliga behörighet,
är personlig, loggad och spårbar.
Som huvudregel har extern arbetskraft ingen åtkomst till produktionsmiljöer.
All åtkomst avslutas omedelbart efter slutfört uppdrag.
5. Tredjeland och internationellt arbete
Extern arbetskraft kan vara lokaliserad utanför EU/EES.
I sådana fall säkerställer Hiems att:
giltiga överföringsmekanismer används (t.ex. SCC),
kompletterande skyddsåtgärder vidtas,
arbetet begränsas till vad som är tekniskt nödvändigt.
6. Ansvar och efterlevnad
External Contractors ska följa:
detta policy-dokument,
tillämpliga avtal,
Hiems säkerhets- och dataskyddsinstruktioner.
Brott mot dessa kan leda till:
omedelbart avslut av uppdrag,
avtalsrättsliga påföljder,
skadeståndsansvar.
Incidenthanteringspolicy
Senast uppdaterad: 2026-01-01
1. Syfte
Syftet med denna incidenthanteringspolicy är att säkerställa att Hiems Handelsbolag (“Hiems”) snabbt, korrekt och strukturerat identifierar, analyserar, åtgärdar och rapporterar incidenter som rör drift, säkerhet eller personuppgiftshantering.
Policyn säkerställer att Hiems uppfyller:
EU:s dataskyddsförordning (GDPR), särskilt Art. 33–34
IMY:s riktlinjer för personuppgiftsincidenter
branschpraxis inom molntjänster, AI och kundkommunikationssystem
2. Definitioner
2.1 Incident
En incident är varje händelse som påverkar systemens funktionalitet, tillgänglighet, integritet eller riktighet. Exempel:
driftsstörningar
prestandaproblem
felaktig eller saknad data
fel i integrationer eller AI-agenters funktion
2.2 Personuppgiftsincident
En personuppgiftsincident är en incident som leder till:
oavsiktlig eller olaglig förstöring av personuppgifter
förlust, ändring eller felaktighet i personuppgifter
obehörigt röjande av personuppgifter
obehörig åtkomst
Exempel:
loggar med personuppgifter exponeras obehörigt
data raderas eller förändras oavsiktligt
integrationer skickar data fel
AI-funktionalitet missriktar meddelanden eller samtal
2.3 Programrelaterad incident
En incident som orsakas av fel, brister eller avbrott i Hiems system, AI-agenter, automatiseringar eller integrationer och som genererar felaktig, saknad eller otillgänglig data.
Om sådan data innehåller personuppgifter klassificeras incidenten även som personuppgiftsincident.
3. Mål med incidenthantering
Incidenthanteringen ska säkerställa att:
incidenter upptäcks så tidigt som möjligt
rätt personer agerar snabbt
skador och risker minimeras
driften återställs så snabbt som möjligt
GDPR:s rapporteringskrav uppfylls
kunder informeras snabbt, tydligt och korrekt
återkommande incidenter förebyggs
4. Incidentprocess
Incidentprocessen består av följande steg:
Identifiering och initial klassificering
Konsekvensanalys
Åtgärdsprocess och prioritering
Rapportering och kommunikation
Root Cause Analysis (RCA)
Förebyggande förbättringar
5. Delprocesser
5.1 Identifiering av incident
All personal hos Hiems som upptäcker en incident ska omedelbart:
dokumentera händelsen
rapportera till incidentansvarig
göra en initial bedömning av typ:
programrelaterad incident
system- eller driftinciden
säkerhetsincident
personuppgiftsincident
Hiems använder interna rutiner, systemloggar, monitorering och automatiska larm för att upptäcka avvikelser.
5.2 Konsekvensanalys
Hiems genomför en strukturerad analys för att bedöma:
vilka datasystem som är påverkade
vilka kundkonton som kan ha drabbats
huruvida personuppgifter ingår
potentiella risker för de registrerade
affärspåverkan för kunder
Vid personuppgiftsincident bedöms även:
typ av personuppgifter
antal registrerade personer
kategorier av registrerade (slutkunder, företag, anställda etc.)
potentiella konsekvenser (integritetsrisker, ekonomiska risker, förtroendeskada etc.)
5.3 Åtgärdsprocess
Utifrån analysen:
prioriteras incidenten
tekniska åtgärder fastställs
ansvariga team involveras (AI-system, backend, säkerhet, kundsupport)
åtgärdsplan upprättas och dokumenteras
Åtgärder kan inkludera:
isolering av system eller funktioner
rollback av kod eller modeller
återställning av data från backup
korrigering av felaktig data
avstängning av integrationer
uppdatering av säkerhetspolicyer eller åtkomstkontroller
5.4 Rapportering och kommunikation
5.4.1 Rapport till kunder
Om incidenten påverkat kunders data:
kunder informeras skyndsamt
tydlig sammanfattning ges:
vad som hänt
vilka data som påverkats
vilka åtgärder som vidtagits
rekommenderade kundåtgärder (om några)
5.4.2 Rapportering till Integritetsskyddsmyndigheten (IMY)
Vid en personuppgiftsincident där risk finns för fysiska personers rättigheter och friheter:
anmälan till IMY sker inom 72 timmar
Hiems använder IMY:s officiella mall
rapporten innehåller:
typ av incident
kategorier av berörda personer
antal registrerade
sannolika konsekvenser
åtgärder som vidtagits eller planeras
5.4.3 Rapport till registrerade (slutanvändare)
Om incidenten innebär hög risk för registrerade:
slutanvändare informeras enligt GDPR Art. 34
kontakt sker via kunden om kunden är personuppgiftsansvarig
Hiems bistår kunden med tydlig text och rekommenderade åtgärder
5.5 Root Cause Analysis (RCA)
Efter åtgärd:
RCA genomförs inom rimlig tid
orsaken fastställs (teknisk, mänsklig, processrelaterad)
förbättrande åtgärder dokumenteras
incidenten används som underlag för kontinuerlig förbättring
Exempel på förbättringsåtgärder:
ändrad AI-/applikationslogik
förbättrade åtkomstkontroller
kodgranskningar
uppdaterade rutiner
förbättrade monitoreringsverktyg
5.6 Dokumentation
Alla incidenter dokumenteras i Hiems interna incidentregister med:
tidpunkt
upptäckt
incidenttyp
påverkan
åtgärder
kommunikation
RCA
lärdomar
ansvariga personer
Dokumentation sparas i minst 24 månader eller längre om lag kräver det.
6. Ansvar
6.1 Hiems ansvarar för att:
upptäcka, bedöma och hantera incidenter
följa GDPR:s krav på rapportering
vidta tekniska och organisatoriska åtgärder
bistå kunder i deras skyldigheter som personuppgiftsansvariga
dokumentera incidenter korrekt
6.2 Kunden ansvarar för att:
informera Hiems om misstänkt incident som upptäcks externt
följa egna skyldigheter som personuppgiftsansvarig
informera sina registrerade när lag kräver det
inte använda tjänsten för att behandla känsliga uppgifter utan stöd i lag eller avtal
7. Relationen till HAV, DPA och SLA
Denna Incidenthanteringspolicy är ett kompletterande styrdokument till:
DPA (Databehandlingsavtalet) – juridiska krav för personuppgiftsincidenter
HAV (Huvudavtalet) – avtalsmässiga skyldigheter kring drift och datahantering
SLA – reglerar driftstid och support under incidenter
Integritetspolicy – beskriver för slutanvändare hur data hanteras
Vid konflikt gäller alltid:
DPA → HAV → Incidenthanteringspolicy → övriga dokument
Policy för External Contractors
Hiems HB
Senast uppdaterad: 2026-01-01
1. Syfte
Denna policy beskriver hur Hiems anlitar och hanterar extern arbetskraft (“External Contractors”) för att säkerställa informationssäkerhet, dataskydd och kvalitet i leveransen.
2. Avtal och bindning
All extern arbetskraft som anlitas av Hiems ska alltid omfattas av skriftligt avtal innan arbete påbörjas.
Avtalet ska minst innehålla:
sekretessåtagande (NDA),
dataskyddsåtagande i linje med GDPR,
regler om immateriella rättigheter,
krav på efterlevnad av Hiems policys och instruktioner.
Inget arbete får utföras utan giltigt avtal.
3. Arbetets omfattning
External Contractors anlitas uteslutande för:
tekniskt utvecklingsarbete,
byggande, konfigurering och test av system,
implementation inför leverans av tjänst eller produkt.
External Contractors:
ansvarar inte för drift, support eller kundkontakt,
är inte involverade efter levererad lösning,
fattar inga egna beslut rörande kunddata eller affärsprocesser.
4. Åtkomst och dataskydd
Åtkomst till system och information:
är strikt behovsstyrd och tidsbegränsad,
ges enligt principen om minsta möjliga behörighet,
är personlig, loggad och spårbar.
Som huvudregel har extern arbetskraft ingen åtkomst till produktionsmiljöer.
All åtkomst avslutas omedelbart efter slutfört uppdrag.
5. Tredjeland och internationellt arbete
Extern arbetskraft kan vara lokaliserad utanför EU/EES.
I sådana fall säkerställer Hiems att:
giltiga överföringsmekanismer används (t.ex. SCC),
kompletterande skyddsåtgärder vidtas,
arbetet begränsas till vad som är tekniskt nödvändigt.
6. Ansvar och efterlevnad
External Contractors ska följa:
detta policy-dokument,
tillämpliga avtal,
Hiems säkerhets- och dataskyddsinstruktioner.
Brott mot dessa kan leda till:
omedelbart avslut av uppdrag,
avtalsrättsliga påföljder,
skadeståndsansvar.