Databehandleravtale for Stenoly

Denne databehandleravtalen ("Avtalen") er inngått mellom:

• Behandlingsansvarlig: Den juridiske enhet som bruker Stenoly for behandling av personopplysninger.
• Databehandler: Stenoly AS ("Stenoly"), som leverer Stenoly-tjenesten.

Formålet med Avtalen er å regulere behandling av personopplysninger i samsvar med GDPR, der Stenoly fungerer som databehandler og Behandlingsansvarlig har ansvar for grunnlaget for behandlingen.

• Personopplysninger: Informasjon som kan identifisere en fysisk person, direkte eller indirekte.
• Behandling: Enhver operasjon som utføres på personopplysninger.
• Databehandler: Stenoly, som behandler personopplysninger på oppdrag fra Behandlingsansvarlig.

Stenoly skal kun behandle personopplysninger etter instruksjoner fra Behandlingsansvarlig. Ansvaret for å etablere et juridisk grunnlag for behandlingen påhviler Behandlingsansvarlig.

• Formål: Dokumentasjon av journalnotater under konsultasjoner.
• Kategorier av registrerte: Pasienter, klienter, kunder eller andre som konsulteres av Behandlingsansvarlig.
• Typer personopplysninger: Vil avhenge av hva Behandlingsansvarlig deler med Stenoly. Stenoly oppfordrer Behandlingsansvarlig til å minimere mengden data Stenoly mottar. Tjenesten kan brukes helt uten å dele personopplysninger med Stenoly.

Stenoly forplikter seg til konfidensialitet, og alle ansatte og underleverandører som behandler data har taushetsplikt. Opplysningene skal ikke deles med tredjeparter uten uttrykkelig tillatelse fra Behandlingsansvarlig.

Stenoly skal gjennomføre passende tekniske og organisatoriske tiltak for å beskytte personopplysninger, inkludert:

• Kryptering av data under lagring og overføring.
• Sikre servere i EU/EØS (europeiske skyplattformer).
• Kontroll av tilganger for å begrense tilgang til autoriserte personer.

Stenoly behandler personopplysninger kun i samsvar med Behandlingsansvarliges instruksjoner, og data lagres på sikre servere i samsvar med GDPR.

Stenoly kan bruke underleverandører for databehandling. Disse må i så tilfelle etterleve betingelsene oppstilt av denne databehandleravtalen. Stenoly plikter å utlevere en fullstendig liste over sine underleverandører på anmodning fra Behandlingsansvarlig.

Stenoly skal bistå Behandlingsansvarlig med å oppfylle registrertes rettigheter. Ansvaret for å svare på slike forespørsler påhviler Behandlingsansvarlig.

Stenoly skal varsle Behandlingsansvarlig uten ugrunnet opphold ved sikkerhetsbrudd.

Varselet skal inneholde:

• Beskrivelse av bruddet
• Potensielle konsekvenser
• Stenolys tiltak for å håndtere bruddet
• Anbefalinger for å varsle berørte parter og relevante datatilsyn

Stenoly skal ikke overføre personopplysninger utenfor EU/EØS uten skriftlig samtykke fra Behandlingsansvarlig. Eventuelle overføringer skal skje i tråd med GDPR.

Stenoly skal tilstrebe høy tilgjengelighet, men garanterer ikke uavbrutt oppetid. Stenoly er ikke ansvarlig for tap som følge av utilgjengelighet, og vedlikehold kan utføres uten forhåndsvarsel.

Ved opphør av Avtalen skal Stenoly slette eller returnere personopplysninger i henhold til Behandlingsansvarliges ønsker. Bekreftelse på sletting kan gis ved forespørsel.

Behandlingsansvarlig skal:

• Sikre at det finnes et juridisk grunnlag for behandlingen.
• Informere registrerte om hvordan deres data behandles.
• Gi Stenoly instruksjoner om behandlingen.
• Effektuere eventuelle instruksjoner om innsyn, retting og sletting.

Stenoly er ikke ansvarlig for Behandlingsansvarliges plikter etter GDPR. I alle tilfeller er Stenoly kun ansvarlig for skader som følge av brudd på avtalen eller GDPR; og begrenset oppad til det beløpet Behandlingsansvarlig har betalt for Tjenesten de siste 12 månedene. Partene forplikter seg til å samarbeide ved krav om erstatning.

Avtalen gjelder så lenge Stenoly behandler personopplysninger for Behandlingsansvarlig. Ved opphør skal alle data returneres eller slettes.

Denne avtalen er underlagt norsk lov, og tvister skal løses ved Oslo tingrett.