Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal för Stenoly

Senast uppdaterad · Senast uppdaterad: 06.06.2026
01

Parterna och syfte

Detta personuppgiftsbiträdesavtal ("Avtalet") har ingåtts mellan:

  • Personuppgiftsansvarig: Den juridiska enhet som använder Stenoly för behandling av personuppgifter.
  • Personuppgiftsbiträde: Stenoly AS ("Stenoly"), som tillhandahåller Stenoly-tjänsten.

Syftet med Avtalet är att reglera behandling av personuppgifter i enlighet med GDPR, där Stenoly fungerar som personuppgiftsbiträde och Personuppgiftsansvarig har ansvar för grunden för behandlingen.

02

Definitioner

  • Personuppgifter: Information som kan identifiera en fysisk person, direkt eller indirekt.
  • Behandling: Varje operation som utförs på personuppgifter.
  • Personuppgiftsbiträde: Stenoly, som behandlar personuppgifter på uppdrag av Personuppgiftsansvarig.
03

Behandlingens omfattning och instruktioner

Instruktioner

Stenoly ska endast behandla personuppgifter enligt instruktioner från Personuppgiftsansvarig. Ansvaret för att etablera en juridisk grund för behandlingen åvilar Personuppgiftsansvarig.

Omfattning och kategorier

  • Syfte: Dokumentation av journalanteckningar under konsultationer.
  • Kategorier av registrerade: Patienter, klienter, kunder eller andra som konsulteras av Personuppgiftsansvarig.
  • Typer av personuppgifter: Kommer att bero på vad Personuppgiftsansvarig delar med Stenoly. Stenoly uppmuntrar Personuppgiftsansvarig att minimera mängden data Stenoly tar emot. Tjänsten kan användas helt utan att dela personuppgifter med Stenoly.
04

Tystnadsplikt

Stenoly förbinder sig till konfidentialitet, och alla anställda och underleverantörer som behandlar data har tystnadsplikt. Uppgifterna ska inte delas med tredje part utan uttryckligt tillstånd från Personuppgiftsansvarig.

05

Säkerhetsåtgärder

Tekniska åtgärder

Stenoly ska genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter, inklusive:

  • Kryptering av data vid lagring och överföring.
  • Säkra servrar i EU/EES (europeiska molnplattformar).
  • Åtkomstkontroll för att begränsa åtkomst till auktoriserade personer.

Behandling och lagring

Stenoly behandlar personuppgifter endast i enlighet med Personuppgiftsansvarigas instruktioner, och data lagras på säkra servrar i enlighet med GDPR.

06

Användning av underleverantörer

Stenoly kan anlita underbiträden för behandling av personuppgifter. Varje underbiträde är bundet av samma dataskyddsskyldigheter som anges i detta personuppgiftsbiträdesavtal. En aktuell förteckning över Stenolys underbiträden publiceras i vår integritetspolicy och finns även tillgänglig på begäran. Stenoly kommer att informera Personuppgiftsansvarig innan ett underbiträde tillkommer eller byts ut och ge Personuppgiftsansvarig en rimlig möjlighet att invända.

Infrastruktur och drift

NeonEU · Frankfurt

Databashosting.

Konton, konsultationer, anteckningar, fakturering.

VercelEU · Stockholm

Applikationshosting och filuppladdning.

Webbplatstrafik; uppladdade dokument.

AI-behandling av kliniska uppgifter

Google Cloud (Vertex AI)EU (multiregion)

AI-anteckningsgenerering.

Konsultationstranskript och anteckningar.

Microsoft AzureEU · Sverige

AI-diktering och anteckningsbearbetning.

Klinisk text.

SpeechmaticsEU/EES

Tal-till-text-transkribering.

Konsultationsljud, transkriberat och ej lagrat.

Mistral AIEU · Frankrike

Textextraktion från dokument.

Uppladdade dokument.

Autentisering

SignicatEU/EES

Autentisering (BankID, Buypass, e-post).

Identitets- och inloggningsverifiering.

Journalsystemintegration

PridokNorge

Leverans av färdiga anteckningar till journalsystemet.

Anteckningar skickade till journalsystemet.

Affär och fakturering

HubSpotEU · Irland

Kundrelationshantering.

Kontoets kontaktuppgifter. Inga kliniska uppgifter.

StripeEU / globalt

Prenumerationsfakturering.

Faktureringsuppgifter. Inga kliniska uppgifter.

Google WorkspaceEU/EES

Företagse-post.

E-postkorrespondens.

Kundsupport

ChatwootEU (egenhostad)

Kundsupportchatt.

Supportmeddelanden och kontaktuppgifter.

Webbplatsanalys

Dessa körs enbart på vår marknadswebbplats och tar aldrig emot patient- eller kliniska uppgifter.

Google Analytics & Tag ManagerWebbplatstrafik-analys och tagghantering.
Meta PixelMätning av marknadsföringskampanjer.

Alla underbiträden som hanterar personuppgifter eller kliniska uppgifter behandlar dem inom EU/EES under signerade personuppgiftsbiträdesavtal.

07

Tillgång, rättelse och radering

Stenoly ska bistå Personuppgiftsansvarig med att uppfylla de registrerades rättigheter. Ansvaret för att svara på sådana förfrågningar åvilar Personuppgiftsansvarig.

08

Hantering av säkerhetsöverträdelser

Underrättelse

Stenoly ska underrätta Personuppgiftsansvarig utan onödigt dröjsmål, och under alla omständigheter inom 72 timmar från det att en personuppgiftsincident uppmärksammats, i enlighet med GDPR artikel 33.

Innehåll i underrättelsen

Underrättelsen ska innehålla:

  • Beskrivning av överträdelsen
  • Potentiella konsekvenser
  • Stenolys åtgärder för att hantera överträdelsen
  • Rekommendationer för att underrätta berörda parter och relevanta dataskyddsmyndigheter
09

Dataöverföring utanför EU/EES

Stenoly ska inte överföra personuppgifter utanför EU/EES utan skriftligt samtycke från Personuppgiftsansvarig. Eventuella överföringar ska ske i enlighet med GDPR.

10

Tillgänglighet och drifttid

Stenoly ska sträva efter hög tillgänglighet men garanterar inte oavbruten drifttid. Stenoly är inte ansvarig för förluster till följd av otillgänglighet, och underhåll kan utföras utan förhandsvarsel.

11

Retur och radering av data

Vid avtalets upphörande ska Stenoly radera eller returnera personuppgifter enligt Personuppgiftsansvarigas önskemål. Bekräftelse på radering kan ges på begäran.

12

Personuppgiftsansvarigas skyldigheter

Personuppgiftsansvarig ska:

  • Säkerställa att det finns en rättslig grund för behandlingen.
  • Informera registrerade om hur deras data behandlas.
  • Ge Stenoly instruktioner om behandlingen.
  • Verkställa eventuella instruktioner om tillgång, rättelse och radering.
13

Ansvar och ersättning

Stenoly är inte ansvarig för Personuppgiftsansvarigas skyldigheter enligt GDPR. I alla fall är Stenoly endast ansvarig för skador till följd av avtalsbrott eller GDPR; och begränsad uppåt till det belopp Personuppgiftsansvarig har betalat för Tjänsten de senaste 12 månaderna. Parterna förbinder sig att samarbeta vid krav på ersättning.

14

Upphörande

Avtalet gäller så länge Stenoly behandlar personuppgifter för Personuppgiftsansvarig. Vid upphörande ska alla data returneras eller raderas.

15

Tillämplig lag och tvistlösning

Detta avtal är underställt norsk lag, och tvister ska lösas vid Oslo tingsrätt.