Databehandleravtale

Databehandleravtale for Stenoly

Sist oppdatert · Sist oppdatert: 06.06.2026
01

Partene og formål

Denne databehandleravtalen ("Avtalen") er inngått mellom:

  • Behandlingsansvarlig: Den juridiske enhet som bruker Stenoly for behandling av personopplysninger.
  • Databehandler: Stenoly AS ("Stenoly"), som leverer Stenoly-tjenesten.

Formålet med Avtalen er å regulere behandling av personopplysninger i samsvar med GDPR, der Stenoly fungerer som databehandler og Behandlingsansvarlig har ansvar for grunnlaget for behandlingen.

02

Definisjoner

  • Personopplysninger: Informasjon som kan identifisere en fysisk person, direkte eller indirekte.
  • Behandling: Enhver operasjon som utføres på personopplysninger.
  • Databehandler: Stenoly, som behandler personopplysninger på oppdrag fra Behandlingsansvarlig.
03

Behandlingens omfang og instruksjoner

Instruksjoner

Stenoly skal kun behandle personopplysninger etter instruksjoner fra Behandlingsansvarlig. Ansvaret for å etablere et juridisk grunnlag for behandlingen påhviler Behandlingsansvarlig.

Omfang og kategorier

  • Formål: Dokumentasjon av journalnotater under konsultasjoner.
  • Kategorier av registrerte: Pasienter, klienter, kunder eller andre som konsulteres av Behandlingsansvarlig.
  • Typer personopplysninger: Vil avhenge av hva Behandlingsansvarlig deler med Stenoly. Stenoly oppfordrer Behandlingsansvarlig til å minimere mengden data Stenoly mottar. Tjenesten kan brukes helt uten å dele personopplysninger med Stenoly.
04

Taushetsplikt

Stenoly forplikter seg til konfidensialitet, og alle ansatte og underleverandører som behandler data har taushetsplikt. Opplysningene skal ikke deles med tredjeparter uten uttrykkelig tillatelse fra Behandlingsansvarlig.

05

Sikkerhetstiltak

Tekniske tiltak

Stenoly skal gjennomføre passende tekniske og organisatoriske tiltak for å beskytte personopplysninger, inkludert:

  • Kryptering av data under lagring og overføring.
  • Sikre servere i EU/EØS (europeiske skyplattformer).
  • Kontroll av tilganger for å begrense tilgang til autoriserte personer.

Behandling og lagring

Stenoly behandler personopplysninger kun i samsvar med Behandlingsansvarliges instruksjoner, og data lagres på sikre servere i samsvar med GDPR.

06

Bruk av underleverandører

Stenoly kan benytte underdatabehandlere til å behandle personopplysninger. Enhver underdatabehandler er bundet av de samme personvernforpliktelsene som er fastsatt i denne databehandleravtalen. En oppdatert liste over Stenolys underdatabehandlere er publisert i vår personvernerklæring og er også tilgjengelig på forespørsel. Stenoly vil informere Behandlingsansvarlig før en ny underdatabehandler tilknyttes eller erstattes, og vil gi Behandlingsansvarlig en rimelig mulighet til å protestere.

Infrastruktur og drift

NeonEU · Frankfurt

Lagring av applikasjonsdatabasen.

Kontoer, konsultasjoner, notater, faktureringsdata.

VercelEU · Stockholm

Applikasjonshosting og filopplasting.

Nettstedstrafikk; opplastede dokumenter.

KI-behandling av kliniske data

Google Cloud (Vertex AI)EU (multiregion)

KI-notatgenerering.

Konsultasjonstranskripter og notater.

Microsoft AzureEU · Sverige

KI-diktering og notatbehandling.

Klinisk tekst.

SpeechmaticsEU/EØS

Tale-til-tekst-transkripsjon.

Konsultasjonslyd, transkribert og ikke lagret.

Mistral AIEU · Frankrike

Tekstekstraksjon fra dokumenter.

Opplastede dokumenter.

Autentisering

SignicatEU/EØS

Autentisering (BankID, Buypass, e-post).

Identitets- og innloggingsverifisering.

EPJ-integrasjon

PridokNorge

Levering av ferdige notater til EPJ.

Notater sendt til EPJ.

Forretning og fakturering

HubSpotEU · Irland

Kundeforholdshåndtering.

Kontaktopplysninger for konto. Ingen kliniske data.

StripeEU / globalt

Abonnementsfakturering.

Faktureringsdetaljer. Ingen kliniske data.

Google WorkspaceEU/EØS

Forretnings-e-post.

E-postkorrespondanse.

Kundestøtte

ChatwootEU (selvhostet)

Kundestøttechat.

Støttemeldinger og kontaktopplysninger.

Nettstedanalyse

Disse kjøres kun på vår markedsføringsnettside og mottar aldri pasient- eller kliniske data.

Google Analytics & Tag ManagerTrafikkanalyse og tag-administrasjon for nettstedet.
Meta PixelMåling av markedsføringskampanjer.

Alle underdatabehandlere som håndterer personlige eller kliniske data, behandler disse innenfor EU/EØS under signerte databehandleravtaler.

07

Innsyn, retting og sletting

Stenoly skal bistå Behandlingsansvarlig med å oppfylle registrertes rettigheter. Ansvaret for å svare på slike forespørsler påhviler Behandlingsansvarlig.

08

Håndtering av sikkerhetsbrudd

Varsling

Stenoly skal varsle Behandlingsansvarlig uten ugrunnet opphold, og i alle tilfeller innen 72 timer etter å ha blitt kjent med et personopplysningsbrudd, i samsvar med GDPR artikkel 33.

Innhold i varselet

Varselet skal inneholde:

  • Beskrivelse av bruddet
  • Potensielle konsekvenser
  • Stenolys tiltak for å håndtere bruddet
  • Anbefalinger for å varsle berørte parter og relevante datatilsyn
09

Dataoverføring utenfor EU/EØS

Stenoly skal ikke overføre personopplysninger utenfor EU/EØS uten skriftlig samtykke fra Behandlingsansvarlig. Eventuelle overføringer skal skje i tråd med GDPR.

10

Tilgjengelighet og oppetid

Stenoly skal tilstrebe høy tilgjengelighet, men garanterer ikke uavbrutt oppetid. Stenoly er ikke ansvarlig for tap som følge av utilgjengelighet, og vedlikehold kan utføres uten forhåndsvarsel.

11

Retur og sletting av data

Ved opphør av Avtalen skal Stenoly slette eller returnere personopplysninger i henhold til Behandlingsansvarliges ønsker. Bekreftelse på sletting kan gis ved forespørsel.

12

Behandlingsansvarligs forpliktelser

Behandlingsansvarlig skal:

  • Sikre at det finnes et juridisk grunnlag for behandlingen.
  • Informere registrerte om hvordan deres data behandles.
  • Gi Stenoly instruksjoner om behandlingen.
  • Effektuere eventuelle instruksjoner om innsyn, retting og sletting.
13

Ansvar og erstatning

Stenoly er ikke ansvarlig for Behandlingsansvarliges plikter etter GDPR. I alle tilfeller er Stenoly kun ansvarlig for skader som følge av brudd på avtalen eller GDPR; og begrenset oppad til det beløpet Behandlingsansvarlig har betalt for Tjenesten de siste 12 månedene. Partene forplikter seg til å samarbeide ved krav om erstatning.

14

Opphør

Avtalen gjelder så lenge Stenoly behandler personopplysninger for Behandlingsansvarlig. Ved opphør skal alle data returneres eller slettes.

15

Lovvalg og Tvisteløsning

Denne avtalen er underlagt norsk lov, og tvister skal løses ved Oslo tingrett.