Juridisk
Databehandleravtale
Sist oppdatert: [dato]
Denne databehandleravtalen («Avtalen») regulerer [Databehandlers] behandling av personopplysninger på vegne av Kunden, i forbindelse med bruk av Ajoura-plattformen.
1. Parter
- Behandlingsansvarlig («Kunden»): klinikken/virksomheten som bruker Ajoura. [Navn, org.nr, adresse angis ved avtaleinngåelse.]
- Databehandler: [Selskapsnavn AS], org.nr. [org.nr], [adresse], Oslo, Norge.
2. Bakgrunn og formål
Kunden er behandlingsansvarlig for personopplysninger som behandles i Kundens virksomhet, herunder pasientopplysninger. Ved bruk av Ajoura behandler Databehandler slike opplysninger på vegne av Kunden. Avtalen sikrer at behandlingen skjer i samsvar med personvernforordningen art. 28 og øvrig gjeldende regelverk.
Ved motstrid mellom Avtalen og den underliggende avtalen om bruk av tjenesten (vilkår), går Avtalen foran for spørsmål om behandling av personopplysninger.
3. Definisjoner
Begreper som «personopplysninger», «behandling», «behandlingsansvarlig», «databehandler», «særlige kategorier av personopplysninger» og «brudd på personopplysningssikkerheten» har samme betydning som i personvernforordningen.
4. Databehandlers behandling og instruks
- Databehandler skal kun behandle personopplysninger etter dokumenterte instrukser fra Kunden, slik de fremgår av Avtalen med vedlegg, av tjenestens oppsett og av senere skriftlige instrukser.
- Databehandler skal umiddelbart varsle Kunden dersom en instruks etter Databehandlers vurdering er i strid med gjeldende personvernregelverk.
- Databehandler behandler ikke personopplysningene for egne formål.
- Art, formål, varighet, kategorier av registrerte og kategorier av personopplysninger er angitt i Vedlegg A.
5. Konfidensialitet
Databehandler skal sikre at personer med tilgang til personopplysningene er underlagt taushetsplikt, enten ved avtale eller etter lov. Taushetsplikten består også etter at arbeidsforhold eller avtaleforhold er avsluttet.
6. Sikkerhet (art. 32)
Databehandler skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå tilpasset risikoen, herunder der det er relevant: rollebasert tilgangsstyring, sikre innloggingsflyter, kryptering, logging og sporbarhet, og rutiner for testing og evaluering. Sikkerhetstiltakene er nærmere beskrevet i Vedlegg B. Behandling av helseopplysninger skal følge prinsippene i Normen.
7. Underdatabehandlere
- Kunden gir Databehandler generell forhåndsgodkjenning til å benytte underdatabehandlere. Gjeldende underdatabehandlere er angitt i Vedlegg C.
- Databehandler skal pålegge underdatabehandlere de samme forpliktelsene som følger av Avtalen, gjennom avtale.
- Ved planlagte endringer (ny eller utskiftet underdatabehandler) skal Databehandler varsle Kunden i rimelig tid på forhånd, slik at Kunden kan gjøre innsigelse. [Angi varslingsfrist, f.eks. 30 dager, og innsigelsesmekanisme.]
8. Overføring til tredjeland
Personopplysninger skal ikke overføres til land utenfor EØS uten gyldig overføringsgrunnlag (f.eks. EU-kommisjonens standard personvernbestemmelser) og nødvendige tilleggstiltak. Eventuelle overføringer fremgår av Vedlegg C.
9. Bistand til Kunden
Databehandler skal, så langt det er mulig og rimelig, bistå Kunden med:
- å besvare henvendelser om de registrertes rettigheter (innsyn, retting, sletting mv.),
- å oppfylle Kundens forpliktelser etter art. 32–36 (sikkerhet, avviksvarsling, vurdering av personvernkonsekvenser og forhåndsdrøfting).
10. Brudd på personopplysningssikkerheten
Databehandler skal varsle Kunden uten ugrunnet opphold etter å ha blitt kjent med et brudd på personopplysningssikkerheten, og gi Kunden tilstrekkelig informasjon til at Kunden kan oppfylle sin varslingsplikt til Datatilsynet og eventuelt de registrerte. [Angi konkret varslingsfrist, f.eks. uten ugrunnet opphold og senest innen 24/48 timer.]
11. Revisjon
Databehandler skal gjøre tilgjengelig for Kunden all informasjon som er nødvendig for å påvise at forpliktelsene i art. 28 overholdes, og muliggjøre og bidra til revisjoner. [Angi rammer for revisjon, f.eks. dokumentasjon/tredjepartsrapporter, og vilkår for stedlig revisjon.]
12. Sletting og tilbakelevering
Ved opphør av tjenesten skal Databehandler, etter Kundens valg, slette eller tilbakelevere personopplysningene, og slette eksisterende kopier, med mindre lagring kreves etter lov. [Angi frist og format for tilbakelevering.]
13. Varighet
Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Kunden, og opphører samtidig med den underliggende avtalen om bruk av tjenesten.
14. Ansvar og lovvalg
Partenes ansvar følger av personvernforordningen og den underliggende avtalen. Avtalen er underlagt norsk rett, med [verneting] som verneting.
Vedlegg A – Behandlingens art, formål og kategorier
- Formål: levering av Ajoura-plattformen for pasientflyt, dokumentasjon, kommunikasjon og klinikkdrift, etter Kundens oppsett.
- Behandlingens art: innsamling, lagring, strukturering, visning, og AI-støttet bearbeiding (f.eks. transkripsjon, oppsummering, utkast) etter Kundens instruks.
- Varighet: så lenge kundeforholdet består.
- Kategorier av registrerte: [f.eks. pasienter, ansatte/brukere hos Kunden, kontaktpersoner].
- Kategorier av personopplysninger: [f.eks. identitets- og kontaktopplysninger, kontodata, bruks- og loggdata].
- Særlige kategorier: helseopplysninger (GDPR art. 9), i den grad Kunden legger slike inn i tjenesten.
Vedlegg B – Sikkerhetstiltak
[Beskriv faktiske tekniske og organisatoriske tiltak: tilgangsstyring og roller, autentisering (f.eks. BankID/Buypass), kryptering i transitt/hvile, logging og sporbarhet, sikkerhetskopiering, driftsmiljø og lagringssted, rutiner for hendelseshåndtering, opplæring. Skal samsvare med faktisk oppsett og Normen.]
Vedlegg C – Underdatabehandlere
| Underdatabehandler | Tjeneste | Behandling | Lokasjon |
|---|---|---|---|
| [Hosting/skyleverandør] | Drift og lagring | Lagring og prosessering av data | [land/EØS] |
| [AI-/transkripsjonsleverandør] | Tale-til-tekst / AI-støtte | Bearbeiding av tekst/lyd etter instruks | [land/EØS] |
| [Identitetsleverandør, f.eks. BankID/Buypass] | Autentisering | Identitetsbekreftelse | [land/EØS] |
| [Betalingsleverandør] | Betaling/fakturering | Betalingsdata | [land/EØS] |
| [E-post/support-leverandør] | Kommunikasjon | Henvendelser og support | [land/EØS] |
[Bekreft den faktiske listen. Ikke publiser leverandører som ikke er bekreftet i produksjon.]