2. Formål og bakgrunn

Denneavtalen fastsetter de rettigheter og forpliktelser, og anvendes nårDatabehandleren foretar behandling av Personopplysninger på vegne av Behandlingsansvarlig.Databehandleravtalenskal sikre at Personopplysninger behandles i samsvar med kravene i til enhvertid gjeldende personvernlovgivning (Personvernregelverket, som definertovenfor) og at Personopplysninger kun behandles i henhold til denneDatabehandleravtalen og ved dokumenterte instruksjoner fra Behandlingsansvarligeeller fra Individet.DatabehandlersBehandling av Personopplysninger skal kun omfatte den Behandling som ernødvendig for at Databehandler skal kunne gjennomføre Avtalen med Individet.Databehandleravtalenkan revideres ved behov for tilpasninger til preseptorisk lovgivning,tolkninger av GDPR og Personvernregelverket (slik dette er definert over). Alleendringer i denne Databehandleravtalen skal nedfelles skriftlig.Itillegg til Behandling av Personopplysninger som følge av Avtalen er Partenekjent med at Databehandler også kan behandle Personopplysninger som Behandlingsansvarligi forbindelse med (i) etterlevelse av gjeldende lover og regelverk, (ii)forespørsler/anmodninger og kommunikasjon fra myndigheter og (iii) av hensyntil administrasjon, bokføring og risikoevaluering.Avtalener utformet med henvisning til Partenes etterlevelse av artikkel 28, punkt 3 iEuropa-Parlamentets og Rådets forordning (EU 2016/679 av 27. april 2016 ombeskyttelse av fysiske personer i forbindelse med behandling av Personopplysningerog om fri utveksling av slike opplysninger samt opphevelse av direktiv95/46/EF, som stiller spesifikke krav til innholdet av en Databehandleravtale.

3. Databehandlers Behandling av Personopplysninger

3.1.Behandlingens art

Databehandlervil behandle og ha tilgang til Personopplysninger i forbindelse med levering avsystemet «PatientSky»med tilhørende tjenester, samt eventuelt installasjon og opplæring i henholdtil Avtalen for den Behandlingsansvarlige, samt ved eventuelle tjenester somdrift og support.Iforbindelse med oppfyllelsen av Avtalen vil Databehandler kunne foreta behandlingeri form av tilgang, organisering, strukturering, tilpasning, gjenfinning,konvertering, lagring, flytting, konsultering og tilintetgjøring ellerkombinasjoner av disse. Hvilken type behandlinger Databehandler vil utføre påvegne av Behandlingsansvarlig vil avhenge av hvilke typer tjenester Behandlingsansvarligtil enhver tid har bestilt fra Databehandler. Slik behandling vil kun foregå ihenhold til bestemmelsene i Databehandleravtalen og Avtalen, og kun etterinstruksjoner fra Behandlingsansvarlig.Behandlingenvil hovedsakelig foregå i systemet «PatientSky». Behandlingen vil kunne foregå i Databehandlerssystemer. Systemet «PatientSky»er todelt med én del for Individet og én del for Behandlingsansvarlig. DenneDatabehandleravtalen regulerer innholdet i den delen av systemet som gjelderansvaret til Behandlingsansvarlig og tilrettelegging for Individets dialog medog innsyn i opplysninger om seg selv fra Behandlingsansvarlig. Slik dialogskjer gjennom Individets bruk av systemet «PatientSky». Hvorvidt Individetønsker å nyttiggjøre seg denne muligheten er opp til Individet og kreversamtykke fra Individet. Individet kan ikke benytte systemet mot Behandlingsansvarligfør Behandlingsansvarlig tar i bruk systemet. I tilknytning til «PatientSky» vil det også leggestil rette for kommunikasjon mellom Behandlingsansvarlig og Individet ved hjelpav notifikasjoner som SMS, E-post eller push-notifikasjoner.Databehandlerskal ikke behandle Personopplysninger i større omfang enn det som er nødvendigfor å oppfylle Avtalen med den Behandlingsansvarlige. Annen behandling kan kunskje unntaksvis og ved kortvarige tilfeller, og kun under instruksjon fra Behandlingsansvarlig.Dersom Databehandler er i tvil om behandlingen av enkelte Personopplysninger ernødvendig, eller innenfor Avtalens omfang, skal det straks, og førPersonopplysninger behandles, konsulteres med Behandlingsansvarlig. Under ingenomstendigheter er Databehandler berettiget til å behandle Personopplysningereller andre data som tilhører Individet og administreres av Data ansvarlig foregne formål og utover de formål som fremkommer av Databehandleravtalen ellerAvtalen uten tillatelse. DerDatabehandler har selvstendig behandlingsgrunnlag, og er å anse som Behandlingsansvarligovenfor Individet, kan Databehandler behandle Personopplysninger for å oppfylleegne formål.Personopplysningersom behandles for Behandlingsansvarlig skal holdes adskilt fra Databehandlersine egne og andre virksomheters opplysninger og tjenester, så fremt det ikkeer et delt behandlingsansvar mellom Databehandler og Behandlingsansvarlig ogDatabehandler har selvstendig behandlingsgrunnlag for de samme personopplysningene.DersomDatabehandler behandler helse- og personopplysninger for flere virksomheterskal Databehandler ved hjelp av tekniske tiltak som ikke kan overstyres avbrukerne, ivareta at det er etablert skiller mellom virksomhetene i henhold tilgjennomført risikovurdering. Dette gjelder både i database hvor data er lagretog i kommunikasjon. Behandlingsansvarlig aksepterer likevel at kunden/Individetkan velge å samtykke til at hans/hennes informasjon gjøres tilgjengelig forandre Behandlingsansvarlige som også har inngått Databehandleravtale medDatabehandler. Dette betyr at kunden/Individet kan ha en relasjon til mer ennén (1) klinikk eller én (1) lege/behandler i samme tidsrom. Et slikt samtykkeinnebærer at relevant informasjon deles med de respektive behandlere/klinikker.Kunden/Individet kan reservere seg mot deling av oppgitt informasjon i systemet «PatientSky» pasientportalen. Vedbrudd på vilkår i Avtalen kan Behandlingsansvarlig pålegge Databehandler åstoppe den videre behandlingen av opplysningene med øyeblikkelig virkning, medmindre gjeldende lovgivning forbyr slik Behandlingsstans.DersomDatabehandler er pålagt videre behandling gjennom lov eller tilsvarende påleggfra offentlig myndighet forplikter Databehandler seg til å varsle Behandlingsansvarlig,samt sikre videre konfidensialitet og sikkerhet som ilegges gjennomDatabehandleravtalen. I slike tilfeller skal Databehandler i forkant gi varseltil Behandlingsansvarlig, med mindre gjeldende lovgivning forbyr slikt varsel.

3.2.Kategorier av Personopplysninger og datasubjekter

Iforbindelse med oppfyllelse av Avtalen, og avhengig av Databehandlersleveranse, kan Databehandler komme i kontakt med Personopplysninger under den Behandlingsansvarligesansvar. Behandlingen vil kunne omfatte personopplysninger og helserelaterteopplysninger som er nødvendige for Behandlingsansvarliges og denskunder/Individer sin bruk av tjenester tilbudt av Databehandler, herunder, menikke begrenset til, elektronisk pasient journal (EPJ), bestilling ogadministrasjon av legetimer, reseptbestilling og resepthistorikk, formidling avbeskjeder mellom pasienter og legen, føring av helsedagbok, tilgang på egnehelseopplysninger, og e-konsultasjon. Dette omfatter blant annet, men er ikkebegrenset til, opplysninger om navn, fødselsnummer, adresse, telefonnummer,epost-adresse, kommunikasjonsdata, dokumenter og tekst, sensitive opplysninger,helserelaterte opplysninger, adferdsdata, etc. Hvilketyper Personopplysninger Databehandler rent faktisk vil Behandle på vegne av Behandlingsansvarlig,vil avhenge av hvilke typer tjenester Behandlingsansvarlig til enhver tid harbestilt fra Databehandler. Personopplysningene vil som oftest gjelde ansattehos den Behandlingsansvarlige, og kunder/Individet av den Behandlingsansvarlige.

3.3.Datageografisk område for Behandlingen

Databehandlerskal behandle personopplysninger hovedsakelig innenfor EØS-området.Databehandler har rett til å overføre Personopplysninger til et tredjelandeller internasjonal organisasjon, herunder ut av EØS-området, kun om det ernødvendig for å oppfylle Avalen og under forsikring om at det foreliggertilstrekkelig overføringsgrunnlag i henhold til GDPR art. 44-49.Allslik eventuell overførsel skal møte de krav til sikkerhet og vern av deregistrertes rettigheter som følger av Databehandleravtale og i henhold tilPersonvernregelverket.Databehandlerener ikke berettiget til å la databehandling foregå utenfor EØS-området uten denBehandlingsansvarliges skriftlige samtykke.

3.4.Bruk av Underleverandører

Databehandlerkan benytte Underleverandør i forbindelse med behandling av Personopplysningerdersom dette er nødvendig for å behandle Personopplysninger i henhold tilAvtalen.Behandlingsansvarliggir Databehandler ved signering av denne Databehandleravtalen et genereltskriftlig samtykke til å benytte de Underleverandører som benyttes avDatabehandler ved signering, samt foreta bytte av Underleverandører. Vedeventuelle Planer om å benytte andre databehandlere eller ved skifte avdatabehandler, skal Databehandler underrette den Behandlingsansvarlige. Databehandlers Underleverandører for behandling av Personopplysninger skal være bundet av desamme avtalemessige og lovmessige forpliktelser som Databehandler er underlagti henhold til denne Databehandleravtalen, gjennom egne databehandleravtaler.Omkostningerforbundet med etablering av avtaleforholdet til en Underleverandør, herunderomkostninger til utarbeidelse av Databehandleravtale og eventuelt etablering avgrunnlag for overførsel til tredjeland, dekkes av Databehandleren og er såledesden Behandlingsansvarlige uvedkommende.SåfremtBehandlingsansvarlige ønsker å instruere Underleverandør direkte må dette kunskje etter drøftelse med og via Databehandler. Dersom Behandlingsansvarlige avgirdirekte instruks ovenfor Underleverandør skal Behandlingsansvarlige senestsamtidig underrette Databehandleren om instruksen samt bakgrunnen for denne. Ide tilfeller hvor Behandlingsansvarlige instruerer Underleverandører direkte;i) er Databehandler fritatt for ethvert ansvar og enhver følge av en slik instrukser alene Behandlingsansvarliges ansvar; ii) Behandlingsansvarlige hefter forenhver kostnad som instruksen måtte medføre Databehandler, herunder erDatabehandler berettiget til å fakturere Behandlingsansvarlige med normaltimetakst for medgått arbeidstid som en slik instruks måtte medføreDatabehandleren; og iii) den Behandlingsansvarlige er selv ansvarlig ovenforUnderleverandør for enhver omkostning, vederlag eller annen betaling tilUnderleverandør som den direkte instruks måtte medføre.