Databehandleravtale (DPA)

Sist oppdatert: 15. januar 2025

1. Bakgrunn og formål

Denne databehandleravtalen ("Avtalen") regulerer Journalhjelp AS' ("Databehandler") behandling av personopplysninger på vegne av helseinstitusjonen ("Behandlingsansvarlig") i henhold til EU Generell Datavernforordning (GDPR), norsk personopplysningslov og helseopplysningsloven.

🏥 Roller i denne avtalen

  • Behandlingsansvarlig: Din klinikk/praksis som bestemmer formål og midler for personopplysningsbehandlingen
  • Databehandler: Journalhjelp AS som behandler personopplysninger på dine vegne i henhold til dine instrukser

2. Avtalens omfang og behandlingsaktiviteter

Behandlingsaktiviteter som omfattes:

  • Mottak og midlertidig lagring av opplastede pasientjournaler (PDF-format)
  • AI-drevet tekstanalyse og informasjonsutdrag fra journaldokumenter
  • Automatisk utfylling av medisinske skjemaer og dokumenter
  • Kvalitetssikring og validering av generert innhold
  • Sikker sletting av personopplysninger i henhold til retentionsregler
  • Metadata-behandling for systemlogging og sikkerhet

Kategorier av registrerte:

  • Pasienter hos Behandlingsansvarlig
  • Pårørende og kontaktpersoner omtalt i journaler
  • Helsepersonell og kolleger nevnt i journaldokumentasjon
  • Andre tredjeparter referert til i medisinske journaler

Kategorier av personopplysninger:

Ordinære personopplysninger:

  • Navn, fødselsnummer, adresse og kontaktinformasjon
  • Demografiske data (alder, kjønn, sivilstand)
  • Profesjonelle relasjoner (arbeidsgiver, kontaktpersoner)

Særlige kategorier personopplysninger (Art. 9 GDPR):

  • Helseopplysninger (diagnoser, behandlinger, medisinske observasjoner)
  • Medisinske journalnotater og kliniske vurderinger
  • Legemiddelinformasjon og behandlingshistorikk
  • Eventuelle opplysninger om rase/etnisitet i medisinsk kontekst

3. Databehandlers forpliktelser

Behandling etter instrukser:

Databehandler forplikter seg til å behandle personopplysninger utelukkende:

  • I henhold til dokumenterte instrukser fra Behandlingsansvarlig
  • For de spesifikke formål beskrevet i denne Avtalen
  • I samsvar med gjeldende personvern- og helselovgivning
  • Innenfor de geografiske og tekniske begrensninger spesifisert

Konfidensialitet og taushetsplikt:

  • • All personal som har tilgang til personopplysninger er bundet av streng taushetsplikt
  • • Systematisk opplæring i personvern og informasjonssikkerhet
  • • Prinsipp om minimal tilgang - kun nødvendig tilgang tildeles
  • • Kontinuerlig overvåking av tilgang og aktivitet

Rettslig grunnlag:

Behandlingen skjer på følgende rettslig grunnlag:

  • GDPR Art. 6(1)(b): Oppfyllelse av avtale om AI-assisterte journaltjenester
  • GDPR Art. 9(2)(h): Behandling for medisinsk formål av autorisert helsepersonell
  • Helseopplysningsloven § 6: Behandling for å yte helsehjelp

4. Tekniske og organisatoriske sikkerhetstiltak

🔐 Implementerte sikkerhetstiltak

I henhold til GDPR Art. 32 og norske sikkerhetsstandarder

Tekniske tiltak:

  • Kryptering: AES-256 kryptering for data i hvile, TLS 1.3 for data i transit
  • Nettverk: Isolerte Azure Virtual Networks med private endpoints
  • Tilgangskontroll: Multi-faktor autentisering og rollbasert tilgang (RBAC)
  • Logging: Omfattende audit-trails for all personopplysningsbehandling
  • Backup: Krypterte, automatiserte backups med begrenset oppbevaringstid
  • Anonymisering: Automatisk deidentifisering før AI-prosessering

Organisatoriske tiltak:

  • Informasjonssikkerhet: ISO 27001-inspirerte sikkerhetsprosedyrer
  • Personopplæring: Obligatorisk GDPR og informasjonssikkerhetsopplæring
  • Tilgangsstyring: Prinsipp om minimal tilgang og regelmessig tilgangsgjennomgang
  • Incident response: Etablerte rutiner for håndtering av sikkerhetshendelser
  • Business continuity: Planer for opprettholdelse av kritiske funksjoner

Infrastruktur og lokalisering:

  • Microsoft Azure EU-nordregion: Stockholm og Dublin datasentre
  • SOC 2 Type II sertifiserte fasiliteter: Fysisk sikkerhet og tilgangskontroll
  • Redundans: Flere tilgjengelighetssoner for høy oppetid
  • Overvåking: 24/7 sikkerhetsmoni boring og alerting

5. Datalagring og automatisk sletting

⏰ Strengeste retentionsregler i bransjen

Journalhjelp implementerer ekstremme databegrensninger for å minimere eksponering av sensitiv pasientdata.

Spesifikke lagringsperioder:

  • Opplastede journaler (rådata): Slettes automatisk innen 24 timer etter opplasting
  • Anonymiserte utdrag: Oppbevares maksimalt 12 måneder eller til Behandlingsansvarlig sletter
  • Genererte skjemaer: Lagres så lenge Behandlingsansvarlig ønsker, maksimalt levetid for brukerkonto
  • Systemlogger (metadata): Oppbevares i 12 måneder for sikkerhet og feilsøking
  • Backup-data: Samme retentionsperiode som hoveddata + 30 dager
  • Cache og midlertidige filer: Slettes innen 1 time etter prosessering

Sletteprosedyrer:

Ved avslutning av avtaleforhold eller på forespørsel:

  • Sikker overskriving av alle lagringsmedier (DoD 5220.22-M standard)
  • Sletting av alle backup-kopier og arkiverte data
  • Skriftlig bekreftelse på fullført sletting innen 30 dager
  • Sertifikat for destruksjon av fysiske lagringsmedier når relevant

6. Underdatabehandlere

I henhold til GDPR Art. 28(2) har Behandlingsansvarlig gitt generell skriftlig godkjennelse av følgende underdatabehandlere:

Godkjente underdatabehandlere:

  • Microsoft Corporation (Azure-tjenester)
    Formål: Skyinfrastruktur, AI-tjenester (Azure OpenAI), lagring
    Lokalisering: EU-nordregion (Stockholm, Dublin)
  • Criipto A/S
    Formål: BankID autentiseringstjenester
    Lokalisering: Danmark (EU)

Vilkår for underdatabehandling:

  • Alle underdatabehandlere er bundet av databehandleravtaler med samme sikkerhetsnivå
  • Kun EU/EØS-baserte underdatabehandlere tillates
  • Behandlingsansvarlig informeres om endringer minimum 30 dager i forveien
  • Behandlingsansvarlig kan protestere mot nye underdatabehandlere
  • Kontinuerlig overvåking av underdatabehandleres compliance-status

7. Registrertes rettigheter

Databehandler vil bistå Behandlingsansvarlig med å oppfylle registrertes rettigheter i henhold til GDPR kapittel III:

Teknisk bistand tilgjengelig:

  • Rett til innsyn (Art. 15): Tilgang til personopplysninger innen 5 arbeidsdager
  • Rett til retting (Art. 16): Korrigering av uriktige opplysninger innen 3 arbeidsdager
  • Rett til sletting (Art. 17): Umiddelbar og sikker sletting av personopplysninger
  • Rett til begrensning (Art. 18): Midlertidig stansing av behandling
  • Rett til dataportabilitet (Art. 20): Utlevering i strukturert, maskinlesbart format
  • Rett til innsigelse (Art. 21): Stanse behandling basert på berettiget interesse

Responstid: Databehandler reagerer på forespørsler innen 48 timer og gir teknisk bistand innen 5 arbeidsdager.

8. Databrudd og varslingsprosedyrer

Databehandlers forpliktelser ved databrudd:

  • Umiddelbar varsling: Behandlingsansvarlig informeres innen 4 timer etter oppdagelse
  • Detaljert rapport: Skriftlig rapport med årsak, omfang og tiltak innen 24 timer
  • Begrensende tiltak: Umiddelbare tiltak for å stoppe og begrense skadevirkninger
  • Dokumentasjon: Fullstendig dokumentasjon av hendelse og responsaktiviteter
  • Oppfølging: Korrigerende tiltak og forebyggende forbedringstiltak

Rapportering må inneholde:

  • Detaljert beskrivelse av hendelsen og tidslinje
  • Kategorier og estimert antall berørte registrerte
  • Kategorier og estimert antall berørte personopplysninger
  • Sannsynlige konsekvenser av databruddet
  • Tiltak som er eller vil bli iverksatt
  • Kontaktinformasjon for oppfølging

Meldeplikt: Databehandler bistår Behandlingsansvarlig med varsling til Datatilsynet og berørte registrerte når dette kreves av GDPR Art. 33 og 34.

9. Personvernkonsekvensutredning (DPIA)

Databehandler vil bistå Behandlingsansvarlig med personvernkonsekvensutredninger når:

  • Nye behandlingsaktiviteter innebærer høy risiko for registrertes rettigheter
  • Det implementeres nye teknologier eller AI-funksjoner
  • Datatilsynet krever DPIA for spesifikke behandlingsaktiviteter
  • Behandlingsansvarlig anmoder om støtte til risikovurdering

Bistand inkluderer:

  • Teknisk dokumentasjon av behandlingsaktiviteter og sikkerhetstiltak
  • Risikoanalyse relatert til databehandling og AI-prosessering
  • Forslag til risikomitigerande tiltak
  • Støtte til konsultasjon med Datatilsynet ved behov

10. Revisjon og kontroll

Behandlingsansvarligs revisjonsrett:

  • Rett til å gjennomføre revisjoner med 30 dagers varsel
  • Tilgang til relevant dokumentasjon, logger og rapporter
  • Rett til å engasjere uavhengige tredjeparter for revisjonsformål
  • Tilgang til compliance-rapporter og sertifiseringer

Databehandlers forpliktelser:

  • Tilrettelegge for og samarbeide ved revisjoner
  • Gi tilgang til nødvendige systemer og dokumentasjon
  • Utbedre identifiserte mangler innen avtalt tidsramme
  • Levere årlige compliance-rapporter

📊 Tilgjengelige rapporter

  • • Kvartalsvise sikkerhetsstatus-rapporter
  • • Årlig GDPR compliance-rapport
  • • SOC 2 Type II rapporter (når tilgjengelig)
  • • Penetrasjonstesting og sikkerhetsvurderinger

11. Internasjonal overføring av personopplysninger

🇪🇺 Kun EU/EØS-behandling

All behandling av personopplysninger skjer utelukkende innenfor EU/EØS-området i henhold til europeisk personvernlovgivning.

Garantier og beskyttelsestiltak:

  • All infrastruktur og databehandling i Microsoft Azure EU-nordregion
  • Ingen overføring til tredjeland utenfor EU/EØS under noen omstendigheter
  • Compliance med Schrems II-kjennelsen og EU standardkontraktbestemmelser
  • Kontinuerlig overvåking av underdatabehandleres lokalisering og compliance
  • Kontraktuelle forpliktelser om kun EU-basert behandling

12. Avtalens varighet og oppsigelse

Varighet:

Denne databehandleravtalen trer i kraft når Behandlingsansvarlig begynner å bruke Journalhjelp-tjenesten og gjelder så lenge behandling av personopplysninger pågår.

Oppsigelse:

  • Avtalen kan sies opp av begge parter med 30 dagers skriftlig varsel
  • Umiddelbar oppsigelse ved vesentlige brudd på GDPR eller denne avtalen
  • Automatisk opphør ved avslutning av hovedtjenestevilkår

Virkning av oppsigelse:

  • All persondata slettes permanent innen 30 dager
  • Mulighet for dataeksport i 30 dager før sletting
  • Skriftlig bekreftelse på fullført sletting
  • Fortsatt gyldighet av konfidensialitetsbestemmelser

13. Ansvar og erstatning

I henhold til GDPR Art. 82 er både Behandlingsansvarlig og Databehandler ansvarlige for skader forårsaket av behandling som er i strid med forordningen.

Databehandlers ansvar:

  • Fullt ansvar for skader forårsaket av brudd på GDPR eller denne avtalen
  • Ansvar for underdatabehandleres handlinger innenfor avtalens ramme
  • Plikt til samarbeid ved erstatningskrav fra registrerte
  • Kostnadsdeling ved felles ansvar i henhold til Art. 82(4)

Ansvarsbegrensninger:

Ansvar er ikke begrenset for:

  • Forsettlig eller grovt uaktsom opptreden
  • Brudd på konfidensialitets- og taushetsplikts
  • Uautorisert videregivelse eller tilgang til personopplysninger
  • Manglende implementering av påkrevde sikkerhetstiltak

14. Kontaktinformasjon og kommunikasjon

Journalhjelp AS (Databehandler)

Adresse: Gründerbrakka, VM-paviljongen, 7034 Trondheim

E-post: kontakt@journalhjelp.no

For alle henvendelser vedrørende databehandling, sikkerhetshendelser, og GDPR-compliance.

Kommunikasjonskanaler:

  • Rutinehenvendelser: kontakt@journalhjelp.no
  • Sikkerhetshendelser: kontakt@journalhjelp.no (merket "URGENT - Security Incident")
  • GDPR-forespørsler: kontakt@journalhjelp.no (merket "GDPR Request")
  • Revisjoner: Skriftlig forespørsel med 30 dagers varsel

🤝 Forpliktelse til trygg databehandling

Journalhjelp AS er forpliktet til å opprettholde høyeste standarder for sikkerhet og personvern i behandlingen av sensitive helseopplysninger. Denne databehandleravtalen reflekterer vårt ansvar overfor både Behandlingsansvarlig og de registrerte pasienter.