Databehandleravtale (DPA) - Skrift.md

Databehandleravtale (DPA)

Sist oppdatert: 4. juli 2025

Denne databehandleravtalen ("Avtalen") er inngått mellom:

  1. Behandlingsansvarlig: Brukeren av tjenesten Skrift.md ("Kunden")
  2. Databehandler: Skrift.md EirSkrift AS, org.nr. [935865646] ("Leverandøren").

Ved å opprette konto og eksplisitt akseptere Avtalen anses den som inngått mellom partene.

1. Formål

Avtalen regulerer partenes rettigheter og plikter etter personvernforordningen (GDPR) og norsk lovgivning. Den skal sikre at personopplysninger behandles lovlig, sikkert og i tråd med de registrertes (pasientenes) rettigheter.

2. Omfang og roller

  • Kunden er behandlingsansvarlig for alle personopplysninger som behandles i Tjenesten.
  • Leverandøren er databehandler og behandler opplysninger utelukkende på dokumenterte instrukser fra Kunden.

3. Behandlingens art, formål og varighet

FormålÅ levere Tjenesten som automatiserer dokumentasjon av medisinske konsultasjoner. Dette omfatter midlertidig behandling av lydopptak (transkribering) og tekst (analyse, utkast til journalnotat).
Behandlingens artInnsamling, registrering, organisering, lagring (kortvarig), konvertering, sammenstilling, sletting.
Kategorier registrertePasienter hos Kunden og helsepersonell som bruker tjenesten.
Typer personopplysninger• Helseopplysninger fremkommet i konsultasjon (symptomer, sykehistorie, diagnose, medisinering, kliniske funn, bilder, PDF‑dokumenter)
• Kontakt- og identitetsdata om Kunden (navn, telefon, adresse, arbeidssted)
VarighetAvtalen gjelder så lenge Kunden har aktiv konto.
  • Lydfiler slettes umiddelbart etter transkribering.
  • Øvrige pasientrelaterte data slettes permanent senest 24 timer etter at økten startet.
  • Pseudonymiserte sikkerhetslogger lagres i 12 måneder.

4. Leverandørens forpliktelser

  1. Instrukser: Behandle data kun på dokumenterte instrukser fra Kunden. Kunden kan utstede skriftlige tilleggsinstrukser (e‑post eller annet avtalt medium).
  2. Konfidensialitet: Sørge for at ansatte og underleverandører har taushetsplikt.
  3. Sikkerhetstiltak: Iverksette de tiltak som beskrevet i Vedlegg 1 og som oppfyller GDPR art. 32.
  4. Assistanse: Bistå Kunden ved registrertes forespørsler, DPIA, forhåndsdrøfting og tilsynsmyndigheters henvendelser.
  5. Varsling av brudd: Varsle Kunden uten ugrunnet opphold – og senest 24 t etter oppdagelse – i tråd med art. 33(3).
  6. Underleverandører: Inngå avtale og varsle Kunden 30 dager før ny underleverandør tas i bruk.
  7. Overføring til tredjeland: All primærbehandling skjer i EØS. Transkribering kjøres på egne servere i Europa. Ingen dataprosessering eller datalagring skjer utenfor EØS.
  8. Revisjon & dokumentasjon: Gjøre tilgjengelig pen‑tester, ISO/SOC‑rapporter og tillate uavhengig revisjon.
  9. Sluttbehandling: Slette eller tilbakeføre data innen 30 dager etter Avtalens opphør.
  10. Forbud mot egne formål: Ingen KI‑trening eller annen bruk av pasientdata.

5. Kundens forpliktelser

  1. Ha gyldig behandlingsgrunnlag og hente nødvendige samtykker (inkludert lydopptak).
  2. Sørge for at innlagte opplysninger er korrekte.
  3. Kvalitetssikre innhold generert av Tjenesten før journalføring; medisinsk ansvar ligger hos Kunden.
  4. Håndtere registrertes krav om retting/sletting.
  5. Dekke kostnader ved revisjon med mindre vesentlige avvik avdekkes.

6. Underleverandører (per 4. juli 2025)

LeverandørRolleLokasjon/Dataresidens
Google Cloud PlatformHosting, database, Vertex AIEØS
EirSkrift AS (egne servere)Transkribering (Whisper)Europa
StripeBetalingEØS
TwilioSMS – OTPEØS

Leverandøren oppdaterer til enhver tid listen påskrift.md/dpa-subprocessors.

7. Revisjon

Kunden eller representert revisor kan én gang per 12‑månedersperiode gjennomføre revisjon med 30 dagers varsel. Før fysisk revisjon skal Leverandøren først fremskaffe tilgjengelig dokumentasjon. Fysisk revisjon gjennomføres innenfor normal kontortid og uten unødig forstyrrelse.

8. Ansvar og erstatning

Partenes ansvar følger GDPR art. 82. Direkte tap som skyldes grov uaktsomhet eller forsett kan kreves erstattet, begrenset til ett (1) års abonnementsvederlag pr. hendelse. Ansvarsbegrensningen gjelder ikke ved brudd på pkt. 4.5 eller 4.10.

9. Varighet og oppsigelse

Avtalen gjelder fra akseptdato og så lenge Kunden bruker Tjenesten. Den kan sies opp med 30 dagers varsel. Plikter som etter sin art varer utover oppsigelse (konfidensialitet, sletting/tilbakelevering, loggbevaring) består.

10. Lovvalg og verneting

Avtalen reguleres av norsk rett. Tvister som ikke løses i minnelighet, bringes inn for Sør‑Trøndelag tingrett.

Vedlegg 1 – Tekniske og organisatoriske sikkerhetstiltak

1. Tilgangskontroll

  • Tilgang gis på grunnlag av need‑to‑know.
  • All produksjonstilgang krever flerfaktorautentisering (MFA).
  • Autentisering og autorisasjon loggføres sentralt.

2. Kryptering

  • Data i transitt: TLS 1.2 eller høyere.
  • Data i hvile: Alle journalnotater lagres med applikasjonsnivå-kryptering (AES‑256) i databasen. Øvrig data er kryptert på disk-nivå.
  • Nøkler administreres i HSM (Cloud KMS) innenfor EØS.

3. Dataminimering og sletting

  • Lydopptak slettes umiddelbart etter transkribering.
  • Øktdata slettes innen 24 timer.
  • Pseudonymiserte sikkerhetslogger lagres i 12 mnd.

4. Logging og overvåking

  • Alle API‑kall, innlogginger og admin‑handlinger loggføres.
  • SIEM og anomali‑deteksjon 24/7.

5. Håndtering av sikkerhetshendelser

  • CSIRP følger ISO 27035.
  • Kunden varsles i henhold til pkt. 4.5.

6. Business Continuity & Backup

  • RPO ≤ 5 minutter, RTO ≤ 30 minutter.
  • Krypterte sikkerhetskopier i separat EU‑region.

7. Testing og revisjon

  • Årlig ekstern penetrasjonstest.
  • Kvartalsvise sårbarhetsskann.
  • ISO 27001‑sertifisering planlagt Q4‑2025.

Versjon 2.0 – oppdatert 4. juli 2025