Hoppa till huvudinnehållet

Underleverantörer

Senast uppdaterad: 23 maj 2026

Denna sida listar alla tredjepartstjänster ("Underleverantörer") som Webnation AB anlitar för att behandla personuppgifter från Hubbub-användare. Enligt GDPR artikel 28 är vi skyldiga att dokumentera och göra dessa transparenta.

Varje underleverantör har undertecknat ett personuppgiftsbiträdesavtal (PUB-avtal) eller databilaga (DPA) som inkluderar standardiserade avtalsklausuler (SCC) för internationella överföringar.

Aktiva underleverantörer

1. Stripe (betalningsbehandling)

Syfte: kreditkortsbehandling, prenumerationsfakturering, fakturahantering

Personuppgifter: e-post, namn, faktureringsadress, betalningsmetod (bara kortets sista 4 siffror; Stripe lagrar fullt kortnummer)

Plats: USA (Stripe Inc., 510 Townsend St, San Francisco, CA 94103)

Datalagring: Stripe sparar faktureringsdata för efterlevnad av betalkortregler (vanligtvis 7 år)

DPA/integritet:
- https://stripe.com/privacy
- https://stripe.com/dpa
- https://stripe.com/resources/more/data-processing-addendum

Överföringsmekanism: standardiserade avtalsklausuler (Stripes DPA avsnitt 2)

---

2. Resend (e-postleverans)

Syfte: transaktionell e-post (kontoverifiering, lösenordsåterställning, fakturor, notiser)

Personuppgifter: e-postadress, e-postinnehåll (verifikationskoder, fakturor)

Plats: USA (Resend, Inc.)

Datalagring: Resend sparar e-postloggar i 90 dagar för leveransspårning

Integritet och DPA:
- https://resend.com/privacy
- https://resend.com/dpa

Överföringsmekanism: standardiserade avtalsklausuler

---

3. specific.dev (webbhosting och CDN)

Syfte: applikationshosting, CDN, leverans av statiska tillgångar, SSL/TLS-terminering

Personuppgifter: IP-adress, HTTP-begäranshuvuden, user-agent (webbläsartyp), aggregerad trafikdata

Plats: EU-ursprung med globalt edge-nätverk för statiska tillgångar

Datalagring: åtkomstloggar sparas upp till 30 dagar för säkerhets- och prestandaövervakning

Integritet och DPA: Se https://specific.dev för aktuell integritetspolicy och DPA-länkar.

Överföringsmekanism: behandlas inom EES där möjligt; standardiserade avtalsklausuler gäller för eventuella edge-regioner utanför EES.

> Rådgivargranskning behövs: bekräfta att specific.devs undertecknade DPA, underleverantörslista och Schrems II-kompletterande åtgärder (kryptering, åtkomstkontroller) finns på fil.

---

4. AWS S3 (fillagring)

Syfte: lagring av bildbilder, uppladdade PPTX-presentationer och genererade PDF-/XLSX-exporter

Personuppgifter: filinnehåll (som kan inkludera användarskriven bildtext, bilder och exporter av publika svar), objektmetadata

Plats: EU (eu-north-1 / Stockholm-regionen)

Datalagring: filer sparas medan den överordnade presentationen finns; raderas vid presentationsborttagning eller kontoavstängning (med hänsyn till säkerhetskopieringslagring)

Integritet och DPA:
- https://aws.amazon.com/privacy/
- https://aws.amazon.com/compliance/gdpr-center/

Överföringsmekanism: behandlas inom EES. AWS GDPR DPA gäller.

---

5. Temporal (arbetsflödesorkestration)

Syfte: bakgrundsorkestration av arbetsflöden för PPTX-import och PDF-/XLSX-exportjobb. Temporal håller arbetsflödesinsatser/-utdata (identifierare, status, återförsök) men lagrar inte de faktiska filerna (de går till S3).

Personuppgifter: arbetsflödesinsatser kan inkludera användar-ID:n, sessions-ID:n och e-postadresser (används för att e-posta den färdiga exporten). Inget bildinnehåll eller publika svar lagras i Temporal-nyttolaster.

Plats: EU-region (Temporal Cloud)

Datalagring: arbetsflödeshistorik sparas enligt Temporal Clouds standarder (vanligtvis upp till 30 dagar efter avslutning), sedan rensas.

Integritet och DPA: Se https://temporal.io för aktuell integritetspolicy och DPA-länkar.

Överföringsmekanism: behandlas inom EES.

---

6. Sentry (felövervakning)

Syfte: fångst av applikationsfel, prestandamått och felsökningsinformation

Personuppgifter: felstackspår (kan inkludera variabelnamn/-värden från koden), URL-sökväg, HTTP-metod, svarstid, webbläsartyp

Personuppgifter som INTE samlas in: vi konfigurerar Sentry att utesluta e-postadresser, betalningsdata och bildinnehåll från felloggar

Plats: USA (Sentry, Inc.)

Datalagring: Sentry sparar felhändelser i 30 dagar som standard; äldre händelser rensas

Integritet och DPA:
- https://sentry.io/privacy/
- https://sentry.io/dpa/

Överföringsmekanism: standardiserade avtalsklausuler (Sentrys DPA)

Notering: företagskunder kan begära datalagring i EU via dedikerad Sentry-instans

---

7. PostHog (produktanalys, samtyckesgated)

Syfte: produktanalys — sidnavigering, funktionsanvändning, felantal. Strikt opt-in: vi initierar PostHog med `optoutcapturingbydefault: true` och aktiverar bara insamling efter att en användare ger cookie-samtycke.

Personuppgifter: pseudonymt sessions-/enhetsidentifierare, sid-URL, funktionshändelser, webbläsartyp, grov IP (används av PostHog för att härleda land enbart).

Personuppgifter som INTE samlas in: bildinnehåll, publika svar, e-postadresser, betalningsdata, lösenord. Autoinsamling är inaktiverad — vi skickar bara de semantiska händelser vi har definierat.

Plats: EU-region — eu.i.posthog.com. Analysdata lämnar inte EES.

Datalagring: händelsedata sparas upp till 12 månader, sedan aggregeras eller rensas.

Integritet och DPA:
- https://posthog.com/privacy
- https://posthog.com/dpa

Överföringsmekanism: behandlas inom EES — ingen tredjelandsöverföring.

Användarkontroll: av som standard. Att ge samtycke anropar `window._hubbubanalytics_consent(true)`; att återkalla anropar det med `false` och avslutar klientens deltagande omedelbart.

---

8. Google (OAuth-identitetsleverantör, valfritt)

Syfte: identitetsverifiering enbart när en användare väljer "Logga in med Google". Google returnerar användarens e-post och grundläggande profil (namn, bild); vi hämtar inga andra Google-tjänster.

Personuppgifter: Google-konto-e-post, namn, profilbilds-URL, OAuth-tokens.

Plats: USA / global Google-infrastruktur.

Datalagring: OAuth-tokens lagras bara så länge den länkade sessionen är aktiv.

Integritet och DPA:
- https://policies.google.com/privacy
- https://cloud.google.com/terms/data-processing-addendum

Överföringsmekanism: standardiserade avtalsklausuler (Google Cloud DPA).

Användarkontroll: valfritt — du kan logga in med e-post/lösenord istället, och du kan koppla bort Google när som helst från dina kontoinställningar.

---

Underleverantörer vi INTE anlitar

  • Google Analytics (vi använder PostHog EU istället — Google OAuth används bara för inloggning när en användare väljer det)
  • Facebook Pixel / Meta Ads (inga marknadsföringspixlar)
  • Segment, Amplitude, Mixpanel (ingen flervtygsanalys)
  • Intercom, Zendesk, Freshdesk (ingen support-ärendehantering i detta skede)

Personuppgiftsbiträdesavtal (PUB-avtal)

Alla underleverantörer listade ovan har undertecknat ett personuppgiftsbiträdesavtal (PUB-avtal) eller databilaga som inkluderar:

  • villkor för personuppgiftsbehandling (GDPR artikel 28-efterlevnad)
  • underleverantörsgodkännande (GDPR artikel 28.2 och 28.4)
  • standardiserade avtalsklausuler (SCC) för internationella överföringar (GDPR kapitel V)
  • stöd för registrerades rättigheter (GDPR artiklarna 15–22)
  • konfidentialitets- och säkerhetsskyldigheter (GDPR artikel 32)
  • granskningsrättigheter (GDPR artikel 28.3 h)

För företagskunder: begär en undertecknad kopia av valfri underleverantörs DPA. E-posta info@webnation.se.

Internationella dataöverföringar

Vi försöker hålla personuppgifter inom EES där det är praktiskt möjligt. specific.dev (hosting), AWS S3 (lagring), Temporal (arbetsflöden) och PostHog (analys) är alla konfigurerade att köra i EU. De leverantörer som fortfarande hanterar USA — Stripe, Resend, Sentry och (valfritt) Google OAuth — arbetar under skyddsåtgärder som krävs av GDPR kapitel V:

1. Standardiserade avtalsklausuler (SCC) — de av EU-kommissionen godkända modulerna från 2021, inkluderade i varje leverantörs DPA.
2. Kompletterande åtgärder (enligt Schrems II):
- kryptering av data vid överföring (HTTPS/TLS)
- kryptering av data i vila (där tillgängligt)
- åtkomstkontroller och granskningsloggning
- minimerade nyttolaster — vi tar bort e-postadresser, betalningsdata och bild-/publikinnehåll från felrapporter innan de lämnar våra servrar
- underleverantörstransparens på denna sida

> Rådgivargranskning behövs: inhämta aktuella SCC-granskningsbekräftelser från underleverantörer och dokumentera eventuella ytterligare tekniska/organisatoriska åtgärder efter Schrems II.

Rätt att invända

Enligt GDPR artikel 28.3 h har du rätt att invända mot vissa underleverantörer. För att begära borttagning av en underleverantör (där det inte är nödvändigt för tjänsteleveransen), e-posta info@webnation.se med:

  • underleverantörens namn
  • skäl för invändning

Vi svarar inom 30 dagar. Nödvändiga leverantörer (Stripe för betalning, specific.dev för hosting, AWS S3 för lagring, Resend för transaktionell e-post, Temporal för bakgrundsjobb) kan inte invändas mot utan att avbryta tjänsten.

Ändringar av underleverantörer

Vi kan lägga till eller ta bort underleverantörer med 30 dagars varsel. Vi meddelar större ändringar via e-post och uppdaterar denna sida. Du kan invända mot nya underleverantörer inom 14 dagar från meddelandet.

Frågor

För frågor om underleverantörer, dataöverföringar eller för att begära en underleverantörs DPA:

Webnation AB
info@webnation.se