Auftragsverarbeitungsvertrag für Stenoly

Dieser Auftragsverarbeitungsvertrag («Vertrag») wird abgeschlossen zwischen:

• Verantwortlicher: die juristische Person, die Stenoly zur Verarbeitung personenbezogener Daten nutzt.
• Auftragsverarbeiter: Stenoly AS («Stenoly»), die den Stenoly-Dienst bereitstellt.

Zweck des Vertrags ist die Regelung der Verarbeitung personenbezogener Daten gemäss DSGVO, wobei Stenoly als Auftragsverarbeiter handelt und der Verantwortliche für die Rechtsgrundlage der Verarbeitung verantwortlich ist.

• Personenbezogene Daten: Informationen, die eine natürliche Person direkt oder indirekt identifizieren können.
• Verarbeitung: jeder mit personenbezogenen Daten ausgeführte Vorgang.
• Auftragsverarbeiter: Stenoly, das personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Stenoly verarbeitet personenbezogene Daten ausschliesslich nach Weisung des Verantwortlichen. Die Verantwortung für die Rechtsgrundlage der Verarbeitung liegt beim Verantwortlichen.

• Zweck: Dokumentation von Krankenakten während Konsultationen.
• Kategorien betroffener Personen: Patienten, Klienten, Kunden oder andere Personen, mit denen der Verantwortliche eine Konsultation führt.
• Arten personenbezogener Daten: hängen davon ab, was der Verantwortliche an Stenoly weitergibt. Stenoly empfiehlt dem Verantwortlichen, die Datenmenge zu minimieren. Der Dienst kann auch ganz ohne Weitergabe personenbezogener Daten an Stenoly genutzt werden.

Stenoly verpflichtet sich zur Vertraulichkeit; alle Mitarbeitenden und Unterauftragsverarbeiter, die Daten verarbeiten, sind zur Vertraulichkeit verpflichtet. Die Informationen werden ohne ausdrückliche Erlaubnis des Verantwortlichen nicht an Dritte weitergegeben.

Stenoly setzt geeignete technische und organisatorische Massnahmen zum Schutz personenbezogener Daten um, darunter:

• Verschlüsselung von Daten bei Speicherung und Übertragung.
• Sichere Server in der EU/im EWR (europäische Cloud-Plattformen).
• Zugangskontrollen, um den Zugang auf befugte Personen zu beschränken.

Stenoly verarbeitet personenbezogene Daten ausschliesslich nach Weisung des Verantwortlichen, und Daten werden auf sicheren Servern in Übereinstimmung mit der DSGVO gespeichert.

Stenoly darf für die Datenverarbeitung Unterauftragsverarbeiter einsetzen. In diesem Fall müssen sie die in diesem Auftragsverarbeitungsvertrag festgelegten Bedingungen einhalten. Stenoly ist verpflichtet, dem Verantwortlichen auf Anfrage eine vollständige Liste der eingesetzten Unterauftragsverarbeiter bereitzustellen.

Stenoly unterstützt den Verantwortlichen bei der Wahrnehmung der Rechte der betroffenen Personen. Die Verantwortung für die Beantwortung solcher Anfragen liegt beim Verantwortlichen.

Stenoly meldet dem Verantwortlichen Sicherheitsverletzungen unverzüglich.

Die Meldung enthält:

• Beschreibung der Verletzung
• Mögliche Folgen
• Massnahmen von Stenoly zum Umgang mit der Verletzung
• Empfehlungen zur Information betroffener Personen und zuständiger Datenschutzbehörden

Stenoly übermittelt personenbezogene Daten nicht ausserhalb der EU/des EWR ohne schriftliche Zustimmung des Verantwortlichen. Etwaige Übermittlungen erfolgen in Übereinstimmung mit der DSGVO.

Stenoly strebt eine hohe Verfügbarkeit an, garantiert jedoch keine ununterbrochene Betriebszeit. Stenoly haftet nicht für Verluste, die durch Nichtverfügbarkeit entstehen; Wartungen können ohne Vorankündigung erfolgen.

Bei Beendigung des Vertrags werden personenbezogene Daten von Stenoly nach den Wünschen des Verantwortlichen gelöscht oder zurückgegeben. Eine Löschbestätigung kann auf Anfrage bereitgestellt werden.

Der Verantwortliche:

• Stellt sicher, dass eine Rechtsgrundlage für die Verarbeitung besteht.
• Informiert betroffene Personen über die Verarbeitung ihrer Daten.
• Erteilt Stenoly Weisungen zur Verarbeitung.
• Setzt etwaige Weisungen zu Auskunft, Berichtigung und Löschung um.

Stenoly ist nicht für die Pflichten des Verantwortlichen nach DSGVO verantwortlich. In jedem Fall haftet Stenoly nur für Schäden, die aus einer Verletzung des Vertrags oder der DSGVO entstehen, und der Höhe nach begrenzt auf den Betrag, den der Verantwortliche in den letzten 12 Monaten für den Dienst gezahlt hat. Die Parteien verpflichten sich, im Falle von Schadenersatzforderungen zusammenzuarbeiten.

Der Vertrag gilt, solange Stenoly personenbezogene Daten für den Verantwortlichen verarbeitet. Bei Beendigung werden alle Daten zurückgegeben oder gelöscht.

Dieser Vertrag unterliegt norwegischem Recht; Streitigkeiten werden vom Bezirksgericht Oslo entschieden.