Databehandleravtale for Journalhjelp

Sist oppdatert: 27. oktober 2025

1. Innledning og Avtalens Omfang

Denne databehandleravtalen ("Avtalen") regulerer Journalhjelp AS behandling av personopplysninger på vegne av Kunden i forbindelse med levering av dokumentasjonstjenesten.

Parter:

  • Behandlingsansvarlig: Kunden (lege/helsepersonell som bruker Journalhjelp)
  • Databehandler: Journalhjelp AS

Denne avtalen er en integrert del av Brukervilkårene for Journalhjelp.

2. Definisjoner

  • Personopplysninger: Enhver opplysning om en identifisert eller identifiserbar fysisk person
  • Behandling: Enhver operasjon som utføres med personopplysninger
  • Behandlingsansvarlig: Den som bestemmer formålet med behandlingen og hvilke midler som skal benyttes
  • Databehandler: Den som behandler personopplysninger på vegne av behandlingsansvarlig
  • Underdatabehandler: Databehandler som Journalhjelp benytter for å utføre behandlingsaktiviteter

3. Behandlingens Art og Formål

3.1 Behandlingens Art

Journalhjelp behandler personopplysninger for å levere dokumentasjonstjenesten, som inkluderer:

  • Lagring av opplastede pasientjournaler (pseudonymisert, i inntil 24 timer)
  • Prosessering av pasientdata for å generere dokumentasjonsforslag
  • Teknisk drift og sikkerhet

3.2 Behandlingens Formål

Formålet med behandlingen er å levere Journalhjelps dokumentasjonstjeneste til Kunden.

3.3 Typer Personopplysninger

Journalhjelp behandler følgende typer personopplysninger:

  • Helseopplysninger (pasientjournaler, diagnoser, behandlingsinformasjon)
  • Demografisk informasjon om pasienter
  • Brukerinformasjon (lege/helsepersonells kontaktinformasjon)

3.4 Kategorier av Registrerte

  • Kundens pasienter
  • Kunden selv (lege/helsepersonell)

4. Partenes Forpliktelser

4.1 Kundens Forpliktelser som Behandlingsansvarlig

Kunden er ansvarlig for:

  • Å ha lovlig grunnlag for å behandle personopplysningene
  • Å overholde gjeldende personvernlovgivning
  • Å informere registrerte om behandlingen der det er nødvendig
  • Å sikre at opplastede data er i samsvar med helselovgivningen

4.2 Journalhjelps Forpliktelser som Databehandler

Journalhjelp skal:

  • Kun behandle personopplysninger i henhold til Kundens dokumenterte instruksjoner
  • Sikre at personer som har tilgang til personopplysningene har forpliktet seg til taushetsplikt
  • Implementere egnede tekniske og organisatoriske sikkerhetstiltak
  • Bistå Kunden med å oppfylle sine forpliktelser
  • Slette eller returnere personopplysninger etter endt tjenesteyting
  • Stille nødvendig informasjon til rådighet for å demonstrere etterlevelse

5. Instrukser

Journalhjelp skal kun behandle personopplysninger i henhold til Kundens dokumenterte instrukser. Slike instrukser gis ved:

  • Bruk av tjenesten (opplasting, prosessering, sletting)
  • Disse brukervilkårene og databehandleravtalen
  • Skriftlige instrukser sendt til kontakt@journalhjelp.no

Hvis Journalhjelp mener en instruks strider mot personvernlovgivningen, skal Journalhjelp umiddelbart varsle Kunden.

Hva betyr dette i praksis? Dette punktet sikrer at Journalhjelp kun behandler pasientdata på måter du har godkjent. Når du bruker tjenesten, gir du automatisk instruks til oss om hvordan dataene skal behandles (f.eks. ved å laste opp en journal gir du oss instruks om å prosessere den). Du kan også gi spesifikke instrukser via e-post hvis du har spesielle behov.

6. Sikkerhetstiltak

6.1 Tekniske og Organisatoriske Tiltak

Journalhjelp har implementert sikkerhetstiltak i samsvar med bransjestandard, inkludert:

Tekniske tiltak:

  • Kryptering av data i transitt (TLS/SSL)
  • Kryptering av data ved lagring
  • Sikker autentisering og tilgangskontroll
  • Regelmessige sikkerhetsoppdateringer
  • Automatisk sletting av sensitive data etter 24 timer
  • Pseudonymisering av pasientdata
  • Logging og overvåking av systemaktivitet

Tilgangskontroll:

  • Kun autorisert personell har tilgang til systemer som behandler persondata
  • Tilgang gis på "need-to-know"-basis

6.2 Sikkerhetsnivå

Sikkerhetstiltakene er tilpasset risikonivået knyttet til behandlingen av helseopplysninger.

7. Underdatabehandlere

7.1 Godkjenning av Underdatabehandlere

Kunden gir Journalhjelp generell godkjenning til å benytte underdatabehandlere. Journalhjelp skal informere Kunden om endringer i underdatabehandlere.

7.2 Gjeldende Underdatabehandlere

Journalhjelp benytter følgende underdatabehandlere:

Microsoft Azure

  • Tjeneste: Infrastruktur, prosessering og lagring
  • Lokasjon: Oslo, Norge
  • Sertifisering: ISO 27001, SOC 2

Vercel

  • Tjeneste: Hosting av nettside
  • Lokasjon: EØS
  • Sertifisering: SOC 2

7.3 Krav til Underdatabehandlere

Alle underdatabehandlere er forpliktet til å overholde samme krav til datasikkerhet som Journalhjelp, ved inngåelse av databehandleravtaler.

Hva betyr dette i praksis? Dette sikrer at underleverandørene våre (Azure og Vercel) også må følge GDPR og har samme sikkerhetskrav som oss. Dette er et lovkrav under GDPR Article 28.

8. Overføring til Tredjeland

All databehandling skjer innenfor EØS. Journalhjelp overfører ikke personopplysninger til land utenfor EØS uten Kundens uttrykkelige godkjenning og uten å sikre tilstrekkelige garantier i henhold til GDPR kapittel V.

9. Bistand til Kunden

9.1 Bistand med Registrertes Rettigheter

Journalhjelp skal, så langt det er mulig, bistå Kunden med å oppfylle Kundens plikt til å svare på anmodninger om utøvelse av de registrertes rettigheter.

9.2 Bistand med Personvernkonsekvensutredning

Journalhjelp skal bistå Kunden med personvernkonsekvensutredninger og forhåndskonsultasjoner med tilsynsmyndigheter når dette er relevant.

9.3 Varsling ved Personvernbrudd

Ved personvernbrudd som berører personopplysninger Journalhjelp behandler på vegne av Kunden, skal Journalhjelp uten ugrunnet opphold varsle Kunden. Varslingen skal inneholde:

  • Beskrivelse av personvernbruddet
  • Sannsynlige konsekvenser
  • Tiltak som er iverksatt eller foreslått for å håndtere bruddet

10. Sletting og Retur av Data

10.1 Automatisk Sletting av Pasientdata

ALL pasientdata slettes automatisk og permanent innen 24 timer etter opplasting. Dette inkluderer:

  • Opplastede pasientjournaler
  • Generert innhold basert på pasientdata
  • Midlertidige filer og cache

Data kan IKKE gjenopprettes etter sletting.

10.2 Ved Avtalens Opphør

Ved avtalens opphør (oppsigelse av abonnement) skal Journalhjelp:

  • Slette all brukerdata i samsvar med Personvernerklæringen
  • Beholde kun data som kreves i henhold til lovgivning (f.eks. fakturaer)

11. Revisjon og Kontroll

11.1 Dokumentasjon og Revisjon

Journalhjelp skal stille relevant dokumentasjon til rådighet for å demonstrere etterlevelse av forpliktelsene i denne avtalen. Dette inkluderer:

  • Sikkerhetsdokumentasjon
  • Tredjepartssertifiseringer (ISO 27001, SOC 2)
  • Informasjon om sikkerhetstiltak og rutiner

Kunden har rett til å be om tilleggsinformasjon når dette er nødvendig for å oppfylle Kundens forpliktelser som behandlingsansvarlig.

Hva betyr dette i praksis? Dette punktet kreves av GDPR Article 28(3)(h). I praksis betyr det at vi må kunne vise frem dokumentasjon på hvordan vi beskytter data. For små SaaS-selskaper som oss, oppfyller vi dette gjennom å:

  1. Dele relevant dokumentasjon om sikkerhetstiltak
  2. Vise til tredjepartssertifiseringer fra våre underleverandører (Azure og Vercel har ISO 27001 og SOC 2)
  3. Svare på spørsmål om sikkerhet og databehandling

Du trenger altså ikke å gjennomføre fysiske inspeksjoner hos oss - dokumentasjonen og sertifiseringene dekker lovkravet.

12. Varighet og Oppsigelse

12.1 Avtalens Varighet

Denne avtalen gjelder så lenge Kunden har et aktivt abonnement på Journalhjelp.

12.2 Opphør

Avtalen opphører automatisk når Kundens abonnement avsluttes.

13. Ansvar og Erstatning

13.1 Ansvar

Hver part er ansvarlig for skader de forårsaker gjennom brudd på personvernlovgivningen.

13.2 Ansvarsbegrensning

Journalhjelps samlede erstatningsansvar er begrenset til det beløpet Kunden har betalt i abonnementsavgift de siste 12 månedene.

14. Lovvalg og Verneting

14.1 Lovvalg

Avtalen er underlagt norsk lov.

14.2 Verneting

Eventuelle tvister skal avgjøres av Trondheim tingrett.

15. Endringer i Avtalen

Journalhjelp kan endre denne avtalen for å gjenspeile endringer i lovgivning, teknologi eller forretningspraksis. Fortsatt bruk av tjenesten etter endringer anses som aksept av den oppdaterte avtalen.

Kontaktinformasjon

Journalhjelp AS
VM-paviljongen, 7034 Trondheim
E-post: kontakt@journalhjelp.no

Ved å bruke Journalhjelp bekrefter du at du har lest og akseptert denne databehandleravtalen.