Databehandleraftale

Databehandleraftale for Stenoly

Senest opdateret · Sidst opdateret: 06.06.2026
01

Parterne og formål

Denne databehandleraftale ("Aftalen") er indgået mellem:

  • Dataansvarlig: Den juridiske enhed, der bruger Stenoly til behandling af personoplysninger.
  • Databehandler: Stenoly AS ("Stenoly"), som leverer Stenoly-tjenesten.

Formålet med Aftalen er at regulere behandling af personoplysninger i overensstemmelse med GDPR, hvor Stenoly fungerer som databehandler, og Dataansvarlig har ansvar for grundlaget for behandlingen.

02

Definitioner

  • Personoplysninger: Information, der kan identificere en fysisk person, direkte eller indirekte.
  • Behandling: Enhver operation, der udføres på personoplysninger.
  • Databehandler: Stenoly, som behandler personoplysninger på vegne af Dataansvarlig.
03

Behandlingens omfang og instrukser

Instrukser

Stenoly skal kun behandle personoplysninger efter instrukser fra Dataansvarlig. Ansvaret for at etablere et juridisk grundlag for behandlingen påhviler Dataansvarlig.

Omfang og kategorier

  • Formål: Dokumentation af journalnotater under konsultationer.
  • Kategorier af registrerede: Patienter, klienter, kunder eller andre, der konsulteres af Dataansvarlig.
  • Typer personoplysninger: Vil afhænge af, hvad Dataansvarlig deler med Stenoly. Stenoly opfordrer Dataansvarlig til at minimere mængden af data, Stenoly modtager. Tjenesten kan bruges helt uden at dele personoplysninger med Stenoly.
04

Tavshedspligt

Stenoly forpligter sig til fortrolighed, og alle ansatte og underleverandører, der behandler data, har tavshedspligt. Oplysningerne skal ikke deles med tredjeparter uden udtrykkelig tilladelse fra Dataansvarlig.

05

Sikkerhedsforanstaltninger

Tekniske foranstaltninger

Stenoly skal gennemføre passende tekniske og organisatoriske foranstaltninger for at beskytte personoplysninger, herunder:

  • Kryptering af data under lagring og overførsel.
  • Sikre servere i EU/EØS (europæiske cloud platforme).
  • Adgangskontrol for at begrænse adgang til autoriserede personer.

Behandling og lagring

Stenoly behandler personoplysninger kun i overensstemmelse med Dataansvarliges instrukser, og data lagres på sikre servere i overensstemmelse med GDPR.

06

Brug af underleverandører

Stenoly kan anvende underdatabehandlere til behandling af personoplysninger. Enhver underdatabehandler er bundet af de samme databeskyttelsesforpligtelser, der er fastsat i denne databehandleraftale. En aktuel liste over Stenolys underdatabehandlere er offentliggjort i vores Privatlivspolitik og er ligeledes tilgængelig på anmodning. Stenoly vil informere Dataansvarlig, inden en underdatabehandler tilføjes eller udskiftes, og vil give Dataansvarlig en rimelig mulighed for at gøre indsigelse.

Infrastruktur og hosting

NeonEU · Frankfurt

Databasehosting.

Konti, konsultationer, notater, fakturering.

VercelEU · Stockholm

Applikationshosting og filuploads.

Websitetrafik; uploadede dokumenter.

AI-behandling af kliniske data

Google Cloud (Vertex AI)EU (multiregion)

AI-notatgenerering.

Konsultationstransskripter og notater.

Microsoft AzureEU · Sverige

AI-diktering og notebehandling.

Klinisk tekst.

SpeechmaticsEU/EØS

Tale-til-tekst-transskription.

Konsultationslyd, transskriberet og ikke lagret.

Mistral AIEU · Frankrig

Tekstudtrækning fra dokumenter.

Uploadede dokumenter.

Autentificering

SignicatEU/EØS

Autentificering (BankID, Buypass, e-mail).

Identitets- og loginverifikation.

EPJ-integration

PridokNorge

Levering af færdige notater til EPJ.

Notater sendt til EPJ.

Forretning og fakturering

HubSpotEU · Irland

Styring af kunderelationer.

Kontos kontaktoplysninger. Ingen kliniske data.

StripeEU / globalt

Abonnementsfakturering.

Faktureringsoplysninger. Ingen kliniske data.

Google WorkspaceEU/EØS

Forretningse-mail.

E-mailkorrespondance.

Kundesupport

ChatwootEU (selv-hostet)

Kundesupportchat.

Supportbeskeder og kontaktoplysninger.

Webstedanalyse

Disse kører udelukkende på vores markedsføringswebsted og modtager aldrig patient- eller kliniske data.

Google Analytics & Tag ManagerWebstedstrafikanalyse og tagstyring.
Meta PixelMåling af markedsføringskampagner.

Alle underdatabehandlere, der håndterer personoplysninger eller kliniske data, behandler dem inden for EU/EØS under underskrevne databehandleraftaler.

07

Indsigt, rettelse og sletning

Stenoly skal bistå Dataansvarlig med at opfylde de registreredes rettigheder. Ansvaret for at svare på sådanne forespørgsler påhviler Dataansvarlig.

08

Håndtering af sikkerhedsbrud

Varsling

Stenoly skal underrette Dataansvarlig uden unødigt ophold og under alle omstændigheder inden for 72 timer efter at være blevet opmærksom på et brud på persondatasikkerheden, i overensstemmelse med GDPR artikel 33.

Indhold i varslet

Varslet skal indeholde:

  • Beskrivelse af bruddet
  • Potentielle konsekvenser
  • Stenolys tiltag for at håndtere bruddet
  • Anbefalinger for at varsle berørte parter og relevante datatilsyn
09

Dataoverførsel uden for EU/EØS

Stenoly skal ikke overføre personoplysninger uden for EU/EØS uden skriftligt samtykke fra Dataansvarlig. Eventuelle overførsler skal ske i overensstemmelse med GDPR.

10

Tilgængelighed og oppetid

Stenoly skal tilstræbe høj tilgængelighed, men garanterer ikke uafbrudt oppetid. Stenoly er ikke ansvarlig for tab som følge af utilgængelighed, og vedligeholdelse kan udføres uden forudgående varsel.

11

Retur og sletning af data

Ved ophør af Aftalen skal Stenoly slette eller returnere personoplysninger i henhold til Dataansvarliges ønsker. Bekræftelse på sletning kan gives ved forespørgsel.

12

Dataansvarliges forpligtelser

Dataansvarlig skal:

  • Sikre, at der findes et juridisk grundlag for behandlingen.
  • Informere registrerede om, hvordan deres data behandles.
  • Give Stenoly instrukser om behandlingen.
  • Effektuere eventuelle instrukser om indsigt, rettelse og sletning.
13

Ansvar og erstatning

Stenoly er ikke ansvarlig for Dataansvarliges forpligtelser efter GDPR. I alle tilfælde er Stenoly kun ansvarlig for skader som følge af brud på aftalen eller GDPR; og begrænset opad til det beløb, Dataansvarlig har betalt for Tjenesten de seneste 12 måneder. Parterne forpligter sig til at samarbejde ved krav om erstatning.

14

Ophør

Aftalen gælder, så længe Stenoly behandler personoplysninger for Dataansvarlig. Ved ophør skal alle data returneres eller slettes.

15

Lovvalg og tvistløsning

Denne aftale er underlagt norsk lov, og tvister skal løses ved Oslo byret.