← Clinaxia

Databehandleravtale (DPA)

Mal · GDPR art. 28 · Normen 6.2

GDPR-kompatibel
Normen 6.2
Digitalt signerbar

Databehandleravtale ("Avtalen") er inngått mellom klinikken (heretter "Behandlingsansvarlig") og Clinaxia AS(heretter "Databehandler"). Avtalen regulerer behandlingen av personopplysninger i henhold til personvernforordningen (GDPR) artikkel 28 ogNormen 6.2for helse- og omsorgssektoren.

§1 Formål og instruks

Databehandler skal kun behandle personopplysninger i tråd med skriftlige instrukser fra Behandlingsansvarlig, og kun for følgende formål:

  • Digital journalføring og pasientadministrasjon
  • AI-assistert klinisk beslutningsstøtte (diagnostikk, behandlingsforslag)
  • Stemmestyrt periodontal registrering (lokal NB-Whisper-transkripsjon)
  • HELFO-dokumentasjon og takstvalidering
  • Interaksjonssjekk og forskrivningsstøtte
§2 Sikkerhetstiltak

Databehandler plikter å iverksette følgende tekniske og organisatoriske tiltak:

  • Kryptering: TLS 1.3 i transit, AES-256 i ro
  • Tilgangskontroll: Rollebasert (RBAC), MFA for admin-roller
  • Logging: Audit-logg av all dataaksess, innloggingsforsøk lagres 24t
  • Geografisk lagring: Alle data lagres i EU/EØS (MongoDB Atlas, Frankfurt)
  • Stemmegjenkjenning: Kjører lokalt via Nasjonalbibliotekets NB-Whisper — ingen tredjepartsoverføring av lyd
  • Pen-test + ROS: Gjennomføres årlig, rapport deles på forespørsel
  • Sikkerhetsbrudd: Varsles Behandlingsansvarlig innen 24 timer
§3 Underdatabehandlere

Databehandler benytter følgende underdatabehandlere med Behandlingsansvarliges godkjennelse:

TjenesteFormålSted
MongoDB AtlasDatabase (pasientdata)Frankfurt, EU
OpenAI (GPT-5.2)AI-tekstanalyse (anonymisert)EU datasenter
StripeBetaling (kun klinikk, ikke pasient)EU/USA (PCI DSS Level 1)
Nasjonalbiblioteket (NB-Whisper)Modellvekter (lokal kjøring)Oslo, Norge

Endringer i listen varsles minimum 30 dager på forhånd med mulighet for innsigelse.

§4 Taushetsplikt

Databehandler og alle ansatte er underlagt samme taushetsplikt som helsepersonell (Helsepersonelloven § 21). Brudd på taushetsplikt kan straffes etter Straffeloven § 209.

§5 Retur og sletting

Ved avtaleopphør kan Behandlingsansvarlig kreve:

  • Full eksport av alle data (JSON + FHIR R4)
  • Sletting av alle data hos Databehandler innen 30 dager
  • Slettebekreftelse ved skriftlig attest
Signer digitalt

Avtalen kan signeres digitalt ved etablering av klinikk-konto. BankID-integrasjon (via Signicat) planlegges aktivert i 2026.

Avtaleversjon 2.0 · Oppdatert 29. april 2026 · Clinaxia AS under etablering

Personvern & informasjonskapsler

Clinaxia bruker kun strengt nødvendige cookies for innlogging og sesjon. Vi sender ingen pasientdata til tredjeparts analyse­verktøy. Les mer i personvernerklæringen.

Detaljer →