Formålet med denne databehandleravtalen
1.1 Denne databehandleravtalen fastsetter partenes rettigheter og plikter når databehandleren (Appsens AS – eier av ECG247) behandler personopplysninger og pasientopplysninger på vegne av den behandlingsansvarlige legen.
1.2 Databehandleravtalen har som formål å sikre at partene etterlever gjeldende personvernregler, GDPR, og relevant lovgivning for lagring av medisinske opplysninger herunder forskriftsmessige krav til medisinsk utstyr, samt spesifikke krav og håndtering av datasikkerhet gitt ved «Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren».
1.3 Databehandleravtalen inneholder bestemmelser om behandlingsansvarliges forpliktelser og ansvar, herunder presisering av hjemmelsgrunnlag, opprettelse og vedlikehold av brukerdatabase, sletting av pasientopplysninger samt avvikshåndtering.
2 Definisjoner
Gjeldende personvernregler: Den til enhver tid gjeldende versjon av EUs personvernforordning (2016/679) («personvernforordningen»), samt lov om behandling av personopplysninger av 15.06. 2018 (personopplysningsloven) med tilhørende forskrifter mv., samt eventuell annen relevant lovgivning som gjelder behandling og vern av personopplysninger og pasientopplysninger. For personvernbegreper som ikke er definert i denne databehandleravtalen gjelder definisjonene i personvernforordningen artikkel 4.
3 Behandlingens formål
Behandlingsansvarlige skal benytte utstyr fra databehandler, ECG247 Hjerteovervåker, til arytmidiagnostikk hos pasienter.
Behandlingen omfatter:
- Personopplysninger om den behandlingsansvarlige: Navn, e-post, passord og mobiltelefonnummer.
- Pasientopplysninger: ID-kode, navn (valgfritt), adresse (valgfritt), mobiltelefonnummer (valgfritt) samt evt. risikofaktorer (valgfritt), EKG og arytmier.
Muligheter for pseudonymisering av pasientopplysninger: Når behandlingsansvarlige registrerer en pasient i ECG247 portalen, er det mulig å gjøre dette ved hjelp av pseudonymisering, der behandlingsansvarlige oppbevarer en kodeliste uavhengig av ECG247 systemet. På denne måten vil det ikke lagres noen personopplysninger i ECG247 tjenesten.
4 Varighet av behandlingen
Lagring av pasientopplysninger skal begrenses og ikke lagres lenger enn nødvendig for formålet. Behandlingsansvarlige skal derfor påse nødvendig sletting av lagrede data.
5 Behandlingsansvarliges ansvar og plikter
Behandlingsansvarlige har ansvaret for at behandlingen av personopplysninger og pasientopplysninger skjer i samsvar med gjeldende personvernregler. Behandlingsansvarlige skal i den forbindelse særskilt sørge for at:
- Behandlingen av personopplysninger og pasientopplysninger er formålsbestemt og basert på et gyldig rettsgrunnlag;
- De registrerte pasienter har mottatt nødvendig informasjon om behandlingen av personopplysningene og har gitt nødvendig samtykke til bruk av ECG247.
6 Databehandlerens plikter
Appsens stiller til disposisjon en dedikert versjon av ECG247 tjenesten for databehandler:
- Sikker back-end-skytjeneste for lagring av informasjon ved bruk av ECG247 hjerteovervåker
- Dedikert lagringsenhet/modalitet tilpasset for bruk av behandlingsansvarlige
- Sikker autentisering og autorisering av behandlingsansvarlig
- Dedikert ECG247 mobilapplikasjon for bruk av pasienter
- ECG247 nettportal for bruk av behandlingsansvarlige
ECG247 skytjeneste er basert på Microsoft Azure skytjeneste med datalagring i Norge.
Appsens AS har inngått særskilt databehandleravtale med Microsoft Norge for skytjenesten.
7 Konfidensialitet og taushetsplikt
7.1 Databehandleren skal sikre at ansatte og andre som har tilgang til opplysninger lagret i ECG247 tjenesten er autorisert til å behandle slike opplysninger på databehandlers vegne.
7.2 Databehandleren skal kun autorisere personer som trenger tilgang til opplysningene i forbindelse med arbeid for å kunne opprettholde en sikker og stabil drift av ECG247 tjenesten og eventuelt annen behandling som er nødvendig for å oppfylle forpliktelser som databehandler er underlagt i henhold til gjeldende rett.
6 Bistand til behandlingsansvarlig
6.1 Databehandleren skal på forespørsel bistå behandlingsansvarlig med oppfyllelse av de registrertes rettigheter etter personvernforordningens kapittel III gjennom egnede tekniske eller organisatoriske tiltak. Plikten til å bistå gjelder likevel bare i den utstrekning dette er mulig og hensiktsmessig i forhold til omfanget av behandlingen av personopplysninger.
6.2 Databehandler skal uten ugrunnet opphold videresende alle henvendelser som databehandler eventuelt mottar fra den registrerte vedrørende den registrertes rettigheter i henhold til gjeldende personvernregler til behandlingsansvarlig. Slike henvendelser kan kun besvares av databehandler når dette er godkjent av behandlingsansvarlig.
6.3 Databehandleren skal bistå den behandlingsansvarlige med å overholde kravene til personopplysningssikkerhet i personvernforordningen artikkel 32-36, herunder yte bistand ved personvernkonsekvensvurdering og forhåndsdrøftinger med Datatilsynet med hensyn til karakteren og omfanget av behandlingen av personopplysninger.
6.4 Hvis databehandler på behandlingsansvarliges forespørsel yter bistand som nevnt i punkt 6.1 eller 6.3, og bistanden går ut over det som er nødvendig for at databehandleren skal oppfylle sine egne forpliktelser etter gjeldende personvernregler, kan databehandler kreve dekket sine dokumenterte kostnader knyttet til bistanden.
7 Sikkerhet ved behandlingen
7.1 Databehandler skal iverksette egnede tekniske og organisatoriske tiltak for å oppnå et tilfredsstillende sikkerhetsnivå med hensyn til behandlingens karakter og omfang, den tekniske utviklingen, implementeringskostnader og aktuelle risikoer for fysiske personers rettigheter.
7.2 Databehandleren skal foreta risikovurderinger for å sikre at et egnet sikkerhetsnivå opprettholdes til enhver tid. Databehandleren skal herunder sørge for jevnlig testing, analyse og vurdering av sikkerhetstiltakene, særlig med hensyn til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemer og -tjenester, samt evne til raskt å gjenopprette tilgjengeligheten av personopplysningene ved hendelser.
7.3 Databehandler skal dokumentere risikovurderingen og sikkerhetstiltakene, og gjøre dem tilgjengelig for behandlingsansvarlige på forespørsel.
8 Melding om brudd på personopplysningssikkerheten
8.1 Databehandler skal uten ugrunnet opphold skriftlig underrette behandlingsansvarlige om eventuelle brudd på personopplysningssikkerheten, samt for øvrig gi slik bistand og informasjon som er nødvendig for at den behandlingsansvarlige skal kunne melde bruddet til tilsynsmyndigheter i tråd med gjeldende personvernregelverk.
8.2 Underretning etter punkt 8.1 skal meddeles til behandlingsansvarlige, og skal:
- Beskrive arten av bruddet på personopplysningssikkerheten, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger og pasientopplysninger som er berørt
- Inneholde navnet på og kontaktopplysningene til personvernombudet hos databehandler eller et annet kontaktpunkt der mer informasjon kan innhentes
- Beskrive de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten
- Beskrive de tiltak som databehandleren har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet
- Informasjonen kan i den grad det er nødvendig gis trinnvis uten ytterligere ugrunnet opphold
8.3 Databehandler plikter å gjennomføre alle de tiltak som med rimelighet kan kreves for å utbedre og unngå tilsvarende brudd på personopplysningssikkerheten. Databehandler skal, så langt det er mulig, rådføre seg med behandlingsansvarlige om de tiltak som skal gjennomføres, herunder vurdere behandlingsansvarliges eventuelle forslag til tiltak.
8.4 Behandlingsansvarlige er ansvarlig for å underrette Datatilsynet og de berørte registrerte om brudd på personopplysningssikkerheten. Databehandler skal ikke informere tredjeparter om brudd på personopplysningssikkerheten med mindre noe annet er påkrevd etter gjeldende rett eller det følger av uttrykkelig skriftlig instruks fra behandlingsansvarlige.
9 Bruk av underdatabehandler
9.1 Databehandler kan benytte underdatabehandler for sikker lagring av ECG247 tjenesten, og det er inngått særskilt databehandleravtale mellom Appsens AS og Microsoft Norge AS. Det er også inngått databehandleravtale med Apphuset AS som softwareutvikler for ECG247 tjenesten.
9.2 Dersom en databehandler engasjerer en underdatabehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, plikter databehandler å inngå skriftlig avtale med underdatabehandleren som pålegger denne tilsvarende forpliktelser med hensyn til vern av personopplysninger og pasientopplysninger som databehandleren selv er underlagt etter denne databehandleravtalen.
10 Overføring av personopplysninger til land utenfor EØS-området
10.1 Personopplysninger skal ikke overføres til et land utenfor EØS-området (‘Tredjestat’).
Dette er likevel ikke til hinder for at myndighet i ‘Tredjestat’ kan kreve utleveringsbegjæring for tilgang til identifiserte personopplysninger slik det er beskrevet i henhold til Schrems II dommen. Databehandler har utarbeidet særskilt risikoanalyse knyttet til dette, med den konklusjon at det er liten til moderat risiko for den enkelte person i forhold til eventuell begjæring om utlevering av data siden det er svært begrensede typer av personlig informasjon som samles inn og lagres av ECG247 tjenesten.
11 Varighet og opphør
11.1 Databehandleravtalen gjelder så lenge behandlingsansvarlige bruker ECG247 tjenestene.
11.2 Behandlingsansvarlige er ansvarlig for å melde fra til Appsens AS når det ikke lenger er ønskelig å bruke ECG247 tjenestene, slik at den tilgangen behandlingsansvarlige har til systemet skal opphøre og lagrede data skal slettes.
11.3 Databehandler skal bekrefte skriftlig overfor behandlingsansvarlige at sletting eller utilgjengeliggjøring er foretatt og skal på forespørsel dokumentere hvordan det er gjennomført.
