Databehandleravtale (DPA)
Sist oppdatert: 18. mai 2026
Denne databehandleravtalen ("Avtalen") er inngått mellom:
- Behandlingsansvarlig: Brukeren av tjenesten Skrift.md ("Kunden")
- Databehandler: Skrift.md EirSkrift AS, org.nr. [935865646] ("Leverandøren").
Ved å opprette konto og eksplisitt akseptere Avtalen anses den som inngått mellom partene.
1. Formål
Avtalen regulerer partenes rettigheter og plikter etter personvernforordningen (GDPR), personopplysningsloven, helseregisterloven, pasientjournalloven og "Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten" (Normen). Den skal sikre at helse- og personopplysninger behandles lovlig, sikkert og i tråd med de registrertes (pasientenes) rettigheter.
2. Omfang og roller
- Kunden er behandlingsansvarlig for alle personopplysninger som behandles i Tjenesten.
- Leverandøren er databehandler og behandler opplysninger utelukkende på dokumenterte instrukser fra Kunden.
3. Behandlingens art, formål og varighet
| Formål | Å levere Tjenesten som automatiserer dokumentasjon av medisinske konsultasjoner. Dette omfatter midlertidig behandling av lydopptak (transkribering) og tekst (analyse, utkast til journalnotat). |
| Behandlingens art | Innsamling, registrering, organisering, lagring (kortvarig), konvertering, sammenstilling, sletting. |
| Kategorier registrerte | Pasienter hos Kunden og helsepersonell som bruker tjenesten. |
| Typer personopplysninger | • Helseopplysninger fremkommet i konsultasjon (symptomer, sykehistorie, diagnose, medisinering, kliniske funn, bilder, PDF‑dokumenter) • Kontakt- og identitetsdata om Kunden (navn, telefon, adresse, arbeidssted) |
| Varighet | Avtalen gjelder så lenge Kunden har aktiv konto.
|
4. Leverandørens forpliktelser
- Instrukser: Behandle data kun på dokumenterte instrukser fra Kunden. Kunden kan utstede skriftlige tilleggsinstrukser (e‑post eller annet avtalt medium).
- Konfidensialitet: Sørge for at ansatte og underleverandører har taushetsplikt.
- Sikkerhetstiltak: Iverksette de tiltak som beskrevet i Vedlegg 1 og som oppfyller GDPR art. 32.
- Assistanse: Bistå Kunden ved registrertes forespørsler, DPIA, forhåndsdrøfting og tilsynsmyndigheters henvendelser.
- Varsling av brudd: Varsle Kunden uten ugrunnet opphold – og senest 24 t etter oppdagelse – i tråd med art. 33(3).
- Underleverandører: Inngå skriftlig avtale og varsle Kunden skriftlig (via e-post til registrert e-postadresse) senest 30 dager før ny underleverandør tas i bruk. Kunden kan motsette seg endringen innen 14 dager fra varsel på saklig grunnlag. Dersom partene ikke oppnår enighet, kan Kunden si opp Avtalen med umiddelbar virkning.
- Overføring til tredjeland: All primærbehandling skjer i EØS. Transkribering kjøres på egne servere i Europa. Ingen dataprosessering eller datalagring skjer utenfor EØS.
- Revisjon & dokumentasjon: Gjøre tilgjengelig pen‑tester, ISO/SOC‑rapporter og tillate uavhengig revisjon.
- Sluttbehandling: Slette eller tilbakeføre data innen 30 dager etter Avtalens opphør.
- Forbud mot egne formål: Ingen KI‑trening eller annen bruk av pasientdata.
- Innebygd personvern: Sikre at krav til innebygd personvern (privacy by design) og personvern som standardinnstilling (privacy by default) innfris i Leverandørens løsninger.
- Forespørsler fra myndigheter: Umiddelbart varsle Kunden dersom Leverandøren mottar forespørsel fra politi- eller annen offentlig myndighet om å utlevere personopplysninger som er behandlet under Avtalen. Leverandøren skal ikke etterkomme en slik forespørsel uten skriftlig forhåndsgodkjenning fra Kunden, med mindre utleveringen er lov- eller rettslig pålagt.
- Sporingslogg (Oppslagslogging): Registrere all tilgang (oppslag) til dataene under Avtalen, slik at alle oppslag kan spores til den enkelte bruker (inkludert ansatte hos Leverandøren og underleverandører) for å sikre samsvar med helsepersonelloven § 21a.
5. Kundens forpliktelser
- Ha gyldig behandlingsgrunnlag og hente nødvendige samtykker (inkludert lydopptak).
- Sørge for at innlagte opplysninger er korrekte.
- Kvalitetssikre innhold generert av Tjenesten før journalføring; medisinsk ansvar ligger hos Kunden.
- Håndtere registrertes krav om retting/sletting.
- Dekke kostnader ved revisjon med mindre vesentlige avvik avdekkes.
6. Underleverandører (per 18. mai 2026)
| Leverandør | Rolle | Lokasjon/Dataresidens |
|---|---|---|
| Google Cloud Platform | Hosting, database, Vertex AI | EØS (Sikret via DPF / SCCs) |
| Supabase Inc. | Brukerautentisering og databasesynkronisering | EØS (GCP Frankfurt - Sikret via DPF / SCCs) |
| Mistral AI | Språkmodell (Fallback ved utilgjengelighet hos Vertex AI) | EØS (Frankrike - Sikret via SCCs) |
| EirSkrift AS (egne servere) | Transkribering (Whisper) | Europa |
| RunPod Inc. | Transient GPU-prosessering for transkribering (Whisper) | EØS (Sikret via SCCs) |
| Soniox Inc. | Tilleggstjeneste for transkribering (Speech-to-Text fallback) | EØS (Frankfurt - Sikret via SCCs) |
| Telnyx LLC | Integrert telefoni (WebRTC-ruting av samtaler) og samtalemetadata | EØS (AnchorSite Amsterdam - Sikret via SCCs) |
| Stripe | Betaling | EØS (Sikret via DPF / SCCs) |
| Twilio | SMS – OTP | EØS (Sikret via DPF / SCCs) |
| Resend Inc. | E-postdistribusjon og transaksjonell e-post (MFA/onboarding) | EØS (Sikret via DPF / SCCs) |
Leverandøren oppdaterer til enhver tid listen påskrift.md/dpa-subprocessors.
7. Revisjon
Kunden eller representert revisor kan én gang per 12‑månedersperiode gjennomføre revisjon med 30 dagers varsel. Før fysisk revisjon skal Leverandøren først fremskaffe tilgjengelig dokumentasjon. Fysisk revisjon gjennomføres innenfor normal kontortid og uten unødig forstyrrelse.
8. Ansvar og erstatning
Partenes ansvar følger GDPR art. 82. Direkte tap som skyldes grov uaktsomhet eller forsett kan kreves erstattet, begrenset til ett (1) års abonnementsvederlag pr. hendelse. Ansvarsbegrensningen gjelder ikke ved brudd på pkt. 4.5 eller 4.10.
9. Varighet og oppsigelse
Avtalen gjelder fra akseptdato og så lenge Kunden bruker Tjenesten. Den kan sies opp med 30 dagers varsel. Plikter som etter sin art varer utover oppsigelse (konfidensialitet, sletting/tilbakelevering, loggbevaring) består.
10. Lovvalg og verneting
Avtalen reguleres av norsk rett. Tvister som ikke løses i minnelighet, bringes inn for Sør‑Trøndelag tingrett.
Vedlegg 1 – Tekniske og organisatoriske sikkerhetstiltak
1. Tilgangskontroll
- Tilgang gis på grunnlag av need‑to‑know.
- All produksjonstilgang krever flerfaktorautentisering (MFA).
- Autentisering og autorisasjon loggføres sentralt.
2. Kryptering
- Data i transitt: TLS 1.2 eller høyere.
- Data i hvile: Alle journalnotater lagres med applikasjonsnivå-kryptering (AES‑256‑GCM) i databasen. Øvrig data er kryptert på disk-nivå.
- Krypteringsnøkler lagres sikkert i Secret Manager innenfor EØS.
3. Dataminimering og sletting
- Lydopptak slettes umiddelbart etter transkribering.
- Øktdata slettes innen 24 timer.
- Pseudonymiserte sikkerhetslogger lagres i 12 mnd.
4. Logging og overvåking
- Alle API‑kall, innlogginger og admin‑handlinger loggføres.
- SIEM og anomali‑deteksjon 24/7.
5. Håndtering av sikkerhetshendelser
- CSIRP følger ISO 27035.
- Kunden varsles i henhold til pkt. 4.5.
6. Business Continuity & Backup
- RPO ≤ 5 minutter, RTO ≤ 30 minutter.
- Krypterte sikkerhetskopier i separat EU‑region.
7. Testing og revisjon
- Årlig ekstern penetrasjonstest.
- Kvartalsvise sårbarhetsskann.
- ISO 27001‑sertifisering planlagt Q4‑2025.
Versjon 2.1 – oppdatert 18. mai 2026