Allmänna Villkor

ProReNata Journal

Version 2.2, 2017-09-05

1.Bilaga

Detta är en bilaga till ProReNata Tjänsteavtal och utgör en integrerad del av Avtalet. Vid motstridighet mellan denna bilaga och Tjänsteavtalet ska Tjänsteavtalet ha företräde. Alla definitioner ska ha samma betydelse i denna bilaga som i Tjänsteavtalet om inte annat anges.

2. Produktägare

Kunden ska utse en eller flera produktägare (”Produktägare”). Dessa Produktägare har rätt att representera Kunden rörande Tjänstens användning och konfiguration. Rättigheterna inbegriper men inskränker sig inte till rätt att:

Produktägares namn och kontaktuppgifter ska meddelas ProReNata av Kunden via Tjänsteavtal eller separat Produktägarformulär. I förekommande fall kan också en beskrivning av Produktägarens specifika ansvarsområden eller restriktioner i behörigheter meddelas ProReNata. Kunden är ansvarig för att omgående meddela ProReNata alla ändringar gällande Produktägare.

3. Meddelanden

Alla underrättelser, krav och andra meddelanden enligt detta Avtal skall ske skriftligen och genom bud, rekommenderat brev, e-post eller fax till de adresser som anges Tjänsteavtalet eller till Kundens huvudkontor enl. Bolagsverket. Alternativ kan meddelandet skickas till en angiven Produktägare via Systemet. Ett meddelande skall anses ha kommit andra parten tillhanda:

Om avsänt via fax: det datum som faxet skickades.

4. Fakturering

Kostnaden för tjänsten beräknas månadsvis i enlighet med gällande Prislista och Kundens användning av Tjänsten. Fakturering sker i efterhand, månadsvis, betalning skall ske inom trettio (30) dagar efter mottagande av faktura. Om Tjänsten sägs upp utgår en slutfaktura på upparbetade kostnader under innevarande kalendermånad.

Det går att i Systemet dela upp användare på olika kostnadsställen och få separata fakturor. Det är Kundens ansvar att tilldela användarkonton kostnadsställen.

5. Systemkrav

ProReNata ansvarar inte för Kundens datorutrustning eller internetuppkoppling. För att kunna garantera en hög tillgänglighet förbehåller sig ProReNata rätten att ställa tekniska krav på den utrustning som kunden använder för åtkomst till Systemet. Tekniska krav kan vara, men är inte begränsat till, krav på operativsystem, webbläsare, antivirusprogram och skärmupplösning.

Aktuella tekniska krav kan vid varje tillfälle läsas på: https://support.prorenata.se/hc/sv/articles/200094108

6. Inloggningsmetoder

ProReNata Journal erbjuder inloggning via inloggningsnyckel (Yubikey) eller sms. Om inloggningsnyckel ska användas behövs en Yubikey per användare och en engångskostnad debiteras enligt Prislistan. Inloggningsnycklarna är personliga och kan endast vara knuten till en användare. Om en inloggningsnyckel förkommer kan en ny köpas. Vid inloggning via SMS behövs ett sms per inloggningstillfälle.

7. Regulatoriska krav

Tjänsten utförs i enlighet med lag, förordningar och Socialstyrelsens föreskrifter. Kunden måste individuellt utvärdera hur regulatoriska krav påverkar den egna verksamheten, såväl användning av journalsystemet som andra aspekter av verksamheten.

Loggning

Systemet dokumenterar användares åtkomst av patientjournaler, vilka åtgärder som har vidtagits samt tidpunkt för åtgärderna loggas.

Kryptering & stark autentisering

All sekretessbelagd journaldata lagras och överförs krypterat. Åtkomst till patientuppgifter föregås av stark autentisering vilket ProReNata Journal uppfyller genom engångskoder i kombination med lösenord.

Signering

ProReNata Journal stödjer signering av journalinformation i enlighet med patientdatalagen. Signerad information kan ändras men varje signerad version av informationen sparas och kan läsas.

Låsning

ProReNata Journal låser icke-signerad journalinformation efter 14 dagar. Låst information kan ändras men varje låst version av informationen sparas och kan läsas.

Lagring & Säkerhetskopiering

ProReNata säkerhetskopierar journaldata som finns i Systemet. Säkerhetskopior görs dagligen och sparas i trettio dagar. Utöver det sparas en fullständig säkerhetskopia varje månad för de senaste tolv månaderna. Återläsningsprov sker årligen.

Säkerhetskopieringen förvaras med redundans på annan plats än originalet och kan komma att ske hos ProReNatas underleverantör i annat EU-land än Sverige.

Destruering

ProReNata åtar sig att destruera journaler i enlighet med socialstyrelsens föreskrifter om detta skriftligen begärs av Kunden. Destruerad information raderas ur säkerhetskopior i den takt som säkerhetskopiorna roteras ut ur cirkulation. Destrueringsärende kan innebära en kostnad för kunden.

8. Sekretess, säkerhet och personuppgifter

ProReNata förbinder sig vidare, utan begränsning i tiden, att inte för tredje man avslöja konfidentiell information, vilken ProReNata erhåller från Kunden eller som framkommer vid utförandet av Tjänsten.

ProReNata ansvarar för att personalen har erforderlig information gällande sekretessregler och att avtal om tystnadsplikt tecknas med ProRenatas personal.

Sekretessen gäller även efter det att avtalet har upphört.

Konfidentiell information inkluderar, men är inte begränsat till (i) information som ProReNata erhåller från Kunden (ii) information som framkommer vid utförandet av Tjänsten eller annars i samband med detta Avtal, (iii) information som ProReNata behandlar som faller under sekretesskydd i enlighet med patientdatalagen.

Detta omfattar även de underkonsulter som ProReNata anlitar. Detta omfattar inte:

För undvikande av missförstånd, information som avses i (iii) ska alltid betraktas som konfidentiell information oavsett att omständigheter som avses i punkterna 1, 2 eller 3 ovan föreligger.

9. Ägandeskap och export av data

Kunden erhåller en icke exklusiv rätt att för avtalat ändamål nyttja ett patientjournalsystem.  

ProReNata behåller samtliga upphovsrätt till Systemet.

ProReNata gör inget ägandeanspråk på den data som Kunden matar in i Systemet. Kunden ger ProReNata oinskränkt rätt att för Kundens räkning lagra, behandla, distribuera och på andra sätt handha data som matas in i systemet (”Data”). Kunden intygar att Kunden besitter alla nödvändiga befogenheter och ägandeskap för att kunna ge ProReNata dessa rättigheter. Överförande av Data till tredje part kräver skriftlig begäran från Kunden med exakt specifikation på datamängd och adressat.

Kunden erbjuds att när som helst under avtalstiden exportera Data till pdf. Möjlighet ges att även exportera Data till andra dataformat om det av ProReNata bedöms tekniskt görbart.

ProReNata lagrar Data i 60 dagar efter att Tjänsteavtalet upphört och därefter all data, inklusive alla personuppgifter kommer därefter förstöras. Vid avtalsuppsägning kommer Kunden att erbjudas att beställa export av journaldata. En sådan beställning ska göras skriftligt inom 30 dagar från Avtalets utgång och ProReNata skall då leverera journaldata till Kunden inom 30 dagar från ankommen begäran. Journaldata levereras i detta fall som pdf-format om inte annat format överenskommet.

Export av Data kan medföra kostnad för konfigurationsarbete enligt Prislistan.

10. Parternas inbördes förhållande

Samarbetet mellan parterna skall vara begränsat till de uppgifter som skall tillhandahållas enligt Avtalet. Ingenting i Avtalet skall tolkas som om parterna har ingått ett bolagsavtal, avtal om agentförhållande eller ett anställningsavtal och ProReNata garanterar att ProReNata erlägger skatter och avgifter enligt lag i egenskap av oberoende aktör och juridisk person.

11. Tjänsteleverantörer

ProReNata AB använder Amazon Web Services som tjänsteleverantör för drift och lagring av systemet. Separat avtal med standardklausuler är tecknat mellan ProReNata AB och Amazon Web Services för behandling av data i enlighet med EUs Dataskyddsförordning. Avtalet kan erhållas mot begäran.

12. Registeransvar avseende förskrivaruppgifter i Alfa e-recept

ProReNata erbjuder via Systemet en integration med tredjepartsleverantören Alfa e-recept för elektronisk förskrivning av recept. Om Kunden har valt att aktivera denna funktion så innebär det att Kunden tar ansvar för att de förskrivaruppgifter som lagras i Systemet och används i integrationen med Alfa e-recept är korrekta, granskade och verifierade. De uppgifter som avses härmed är:

Uppdateringar av denna information görs i förekommande fall i både Systemet och via direkt kontakt med Alfa e-recept. Kunden är ansvarig för att såväl Systemet som Alfa e-recept uppdateras om något i denna information ändras och att den information som är lagrad i Systemet är i överrensstämmelse med den som lagras i Alfa e-recept.

Kunden förbinder sig att minst en gång per år kontrollera att registrerade förskrivare och deras uppgifter är aktuella i Systemet och i Alfa e-recept. Att informationen har kontrollerats senaste 12 månaderna ska kunna intygas vid förfrågan från ProReNata.

13. Underkonsulter

ProReNata äger rätt att anlita underkonsulter för Tjänstens tillhandahållande. Om en underkonsult anlitas ansvarar ProReNata för underkonsultens arbete såsom för eget arbete. ProReNata ansvarar vidare för betalningen till underkonsulten.

14. Ansvar

ProReNatas ansvar under detta Avtal är begränsat till direkt skada oaktat eventuell kunskap om potentiell indirekt skada som ProReNata innehar. Under inga omständigheter skall ProReNatas ansvar överstiga de sammanlagda årskostnader som slutligt betalats under detta Avtal.

15. Ändringar i dessa villkor

Det står ProReNata fritt att göra förändringar i Avtalet. Alla förändringar utöver korrigering av stavfel el dyl kommer att meddelas till Kunden minst en månad innan de träder i kraft. Om Kunden fortsätter att använda Tjänsten efter att de nya villkoren har trätt i kraft så ska detta gälla som att Kunden godkänner ändringarna. Om Kunden inte godkänner ändringarna så står det Kunden fritt att säga upp Avtalet inom en månad från det att ändringarna har meddelats.

16. Bestämmelses ogiltighet

Skulle någon del av Avtalet befinnas ogiltigt eller overkställbart, skall den ogiltiga eller overkställbara delen tolkas i enlighet med tillämplig lag, i syfte att så långt som möjligt spegla parternas ursprungliga avsikt och Avtalet i övrigt skall förbli giltigt.

17. Force Majeure

Om part förhindras att fullgöra sina åtaganden enligt Avtalet på grund av omständighet som part inte råder över, såsom åsknedslag eller blixt, eldsvåda, krig, mobilisering eller militärinkallelse av större omfattning, rekvisition, beslag och upplopp samt fel eller försening i tjänster eller produkter från underleverantör på grund av omständigheter som här angivits, skall detta utgöra befrielsegrund som medför framflyttning av tidpunkt för prestation och befrielse från eventuellt vite, skadestånd och andra påföljder.

Part som anser att en förhindrande omständighet enligt denna punkt föreligger skall omedelbart informera motparten därom skriftligen. Parterna skall samråda kring vilka åtgärder som bör vidtas med anledning den aktuella omständigheten.

18. Tillämplig lag och tvistelösning

Svensk rätt skall vara tillämplig på detta Avtal. Tvist i anledning av detta Avtal skall avgöras genom domstol.


Prislista

ProReNata Journal

2017-09-05


Vänligen se https://www.prorenata.se/aktuell-prislista/


Servicenivåavtal

ProReNata Journal

Översikt

Detta är en bilaga till ProReNata Tjänsteavtal och utgör en integrerad del av Avtalet. Vid motstridighet mellan denna bilaga och Tjänsteavtalet ska Tjänsteavtalet ha företräde. Alla definitioner ska ha samma betydelse i denna bilaga som i Tjänsteavtalet om inte annat anges.

1. Kundens ansvar

Kunden ansvarar enligt Avtalet för att utnyttja ProReNatas resurser enligt god praxis. Detta inkluderar, men begränsar sig inte till:

2. Avisering om driftsstopp

Planerade driftsstopp aviseras på http://status.prorenata.se/ samt via mail till Kunden.

Oplanerat driftsstopp aviseras på http://status.prorenata.se/ samt i mån av möjlighet till användare via mail och/eller sms.

3. Tillgänglighet

Systemet är, om inte annat stipuleras i separat avtal, garanterat tillgängliga dygnet runt, 7 dagar i veckan med följande undantag:

ProReNata Journal räknas som tillgängligt om det inte föreligger några kritiska serviceärenden.

4. Serviceärenden

Serviceärenden som gäller ProReNata Journal delas in i fem prioritetsgrader

ProReNata hanterar inkomna serviceärenden som har kommit ProReNata tillhanda på något av följande sätt:

Efter att ett ärende har prioriterats av ProReNata gäller följande beroende på prioritetsnivå. Observera att åtgärdstidsambitionen är just en ambition och inte en garanti. Ärendets komplexitetsgrad gör att det är svårt att förutse hur lång tid det tar att åtgärda.

Ett serviceärende kan av ProReNata prioriteras om efter hand som ny information tillkommer. Samtliga som tidigare har kommunicerats med samt de som berörs efter omprioriteringen kommer då att upplysas om detta via mail.

5. Servicenivå

ProReNata strävar efter bästa möjliga servicenivå och använder följande systematik för att mäta och följa upp sin service mot kund.

Dessa värden mäts på månadsbasis. Ett utmärkt resultat innebär att inga förbättringar behöver göras. Ett bra resultat innebär att det finns utrymme för förbättringar. Ett dåligt resultat innebär att förbättringar måste ske till nästa månad, annars ska kompensation utgå till berörda kunder.

6. Bristande service

ProReNata definierar bristande service som två på varandra följande månader med Dålig nivå av Tillgänglighet, Prestanda eller Ärendehantering. Detta kan leda till kompensation enligt nedan.

7. Kompensation

Om ProReNata inte uppfyller sina åtaganden enligt avsnitt 5. Servicenivå så utgår kompensation på begäran i enlighet med överenskommelse. Kompensationen utgör maximalt abonnemangsavgiften för den påverkade månaden (se 5. Servicenivå) Under inga omständigheter kommer ProReNata att betala tillbaka mer än kundens inbetalade abonnemangsavgifter.

Vid andra tillfällen kan ProReNata besluta att kompensera kunder för utebliven funktionalitet eller för störningar som inte innefattas av ovanstående villkor. Sådana kompensationer är inte prejudicerande och ska inte tolkas som en förändring av rådande Servicenivåavtal.


Personuppgiftsbiträdesavtal

ProReNata Journal, version 2018-03-19

1. Bakgrund

1.1 Parterna har träffat ett avtal om Tjänsteavtal för Kund (”Tjänsteavtalet”). Enligt Tjänsteavtalet ska PuB tillhandahålla ett webbaserat patientjournalsystem och ärendehanteringssystem för elevhälsa med säker lagring, visning och hantering av medicinsk och icke-medicinsk data (“Tjänsten“). Med anledning av Tjänsteavtalet kommer PuB behandla personuppgifter för PuAs räkning.  

1.2 Enligt Gällande dataskyddslagstiftning, se punkt 2.5 nedan, ska behandling av personuppgifter utförd av ett personuppgiftsbiträde för en PuAs räkning regleras i avtal. Med anledning därav har Parterna ingått detta Biträdesavtal.

1.3 Syftet med detta Biträdesavtal är att tillse att PuBs behandling av personuppgifter för PuAs räkning sker i enlighet med Gällande dataskyddslagstiftning, myndighetsbeslut och PuAs instruktioner.

1.4 Detta Biträdesavtal utgör bilaga till Tjänsteavtalet. Vid händelse av motstridiga bestämmelser ska detta Biträdesavtal ges företräde. Alla definitioner ska ha samma betydelse i denna bilaga som i Tjänsteavtalet om inte annat anges.

2. Definitioner

2.1 Med ”Personuppgift” eller ”Personuppgifter” avses nedan all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och som behandlas för PuAs räkning.

2.2 Med ”Registrerad” avses den fysiska person som Personuppgift avser.

2.3 Med ”Behandling” eller ”Behandla” avses åtgärd eller kombination av åtgärder beträffande Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

2.4 Med ”Underbiträde” avses fysisk eller juridisk person, myndighet eller annat organ som anlitas av PuB för Behandling av Personuppgifter.

2.5 Med ”Gällande dataskyddslagstiftning” avses Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) med tillhörande genomförandeförfattningar samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter) som är tillämplig på Behandling av Personuppgifter, såsom denna kan komma att förändras över tid.

2.6 Begrepp och uttryck som rör personuppgifter och personuppgiftsbehandling och som inleds med gemen, t.ex. ”personuppgiftsansvarig”, ”personuppgiftsbiträde”, ”personuppgiftsincident” etc., ska ges den betydelse som anges i Gällande dataskyddslagstiftning.

3. Ansvar och instruktion

3.1 PuB åtar sig att endast Behandla Personuppgifter på uppdrag av PuA i enlighet med Tjänsteavtalet, detta Biträdesavtal och enligt vid var tid gällande dokumenterade instruktioner från PuA.

3.2 PuAs instruktioner till PuB avseende Behandlingens art och ändamål, varaktighet, typen av Personuppgifter och kategorier av Registrerade framgår av Bilaga 1 Instruktioner till detta Biträdesavtal.

3.3 Vid Behandling av Personuppgifter ska PuB följa Gällande dataskyddslagstiftning och behörig tillsynsmyndighets utlåtanden och rekommendationer. Parterna är överens om att detta Biträdesavtal ska justeras om detta krävs med anledning av Gällande dataskyddslagsstiftning.     

3.4 PuB ska utan dröjsmål underrätta PuA om PuB har otillräckliga eller felaktiga instruktioner avseende PuBs Behandling av Personuppgifter eller om PuB misstänker eller upptäcker att PuAs instruktioner strider mot Gällande dataskyddslagstiftning.

4. Säkerhet m.m.

4.1 PuB ska vid Behandling av Personuppgifter vidta alla lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken och för att skydda Personuppgifter från obehörig eller olaglig behandling, oavsiktlig eller olaglig förlust, förstöring eller ändring eller obehörigt röjande av eller åtkomst till sådana Personuppgifter. Under alla omständigheter ska PuB vidta sådana åtgärder som framgår av Bilaga 2 Säkerhetsinstruktioner till detta Biträdesavtal.

4.2 PuB ska utan onödigt dröjsmål skriftligen underrätta PuA om en misstanke om eller konstaterad personuppgiftsincident som kan leda till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till Personuppgifter.

4.3 PuB ska vid Behandling av Personuppgifter bistå PuA med genomförande av konsekvensbedömningar avseende dataskydd, förhandssamråd med behörig tillsynsmyndighet, samt utformning av lämpliga tekniska och organisatoriska åtgärder, i den mån detta krävs under Gällande dataskyddslagstiftning.

5. Sekretess

5.1 PuB och de personer som arbetar under ledning av PuB ska vid Behandling av Personuppgifter iaktta sekretess. Personer hos PuB med behörighet att Behandla Personuppgifter ska ingå särskild sekretessförbindelse eller upplysas om att tystnadsplikt föreligger enligt lag eller avtal.

5.2 PuBs sekretessåtagande gäller även efter att detta Biträdesavtal upphört att gälla.  

6. Utlämnande av personuppgifter

6.1 För det fall Registrerad, behörig tillsynsmyndighet eller annan tredje man begär information från PuB som rör Behandling av Personuppgifter, ska PuB hänvisa till PuA. PuB får inte lämna ut Personuppgifter eller annan information om Behandling av Personuppgifter utan uttrycklig instruktion från PuA, eller om utlämnandet krävs enligt lag.

6.2 PuB ska utan dröjsmål informera PuA om eventuella kontakter med behörig tillsynsmyndighet som rör, eller kan vara av betydelse för, PuBs Behandling av Personuppgifter. PuB har inte rätt att företräda PuA eller agera för dennes räkning gentemot behörig tillsynsmyndighet.

6.3 PuB ska utan onödigt dröjsmål bistå PuA, i relation till en begäran från Registrerad, om utlämning, rättelse, radering, blockering eller överföring av Personuppgifter, inklusive att tillhandahålla all relevant information och dokumentation, i den mån och utsträckning detta krävs under Gällande dataskyddslagstiftning. PuB ska inte utföra någon åtgärd med följden att PuA anses handla i strid med Gällande dataskyddslagstiftning.

7. Underbiträden

7.1 PuB har rätt att anlita ett Underbiträde för fullgörandet av PuBs åtaganden enligt detta Biträdesavtal, förutsatt att:

a) PuB informerar PuA om sina avsikter att använda eller byta ut ett Underbiträde varpå PuA har rätt att göra invändningar mot en sådan förändring, samt

b) Underbiträdet genom ett så kallat underbiträdesavtal med PuB åläggas samma skyldigheter i fråga om dataskydd som de som fastställs i detta Biträdesavtal och framför allt att ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i Gällande dataskyddslagstiftning.

7.2 Om PuA har fog för att invända mot ett Underbiträde ska PuA skriftligen meddela PuB om detta. Om PuA vill utnyttja sin rätt enligt punkt 7.1 att invända mot ett föreslaget nytt Underbiträde ska PuA skriftligen meddela PuB om detta inom tio (10) dagar efter mottagandet av PuBs meddelande. Om ingen invändning görs enligt denna punkt 7.2 ska listan på Underbiträden i Bilaga 1 Instruktioner till detta Biträdesavtal uppdateras utifrån tillkommen eller borttaget Underbiträde.

7.3 Om PuA nyttjar sin rätt att invända mot PuBs anlitande av Underbiträde har PuB rätt att säga upp Tjänsteavtalet med tre (3) månaders uppsägningstid utan rätt för PuA att begära ersättning för eventuell skada som har uppkommit i samband med en förtida uppsägning.      

7.4 PuB ska säkerställa att PuA har kännedom om vilka Underbiträden som Behandlar Personuppgifter genom att, på begäran av PuA tillhandahålla PuA fullständig, korrekt och uppdaterad information om samtliga Underbiträden, där följande information specificeras för varje enskilt Underbiträde:

a) definition av Underbiträdet, inklusive dess kontaktinformation, bolagsform och geografisk placering,

b) vilken typ av tjänst som Underbiträdet utför,

c) garantier som uppställs för att kraven i Gällande dataskyddslagstiftning kommer att följas, samt

d) var Underbiträdet Behandlar Personuppgifter som omfattas av detta Biträdesavtal.

7.5 Om Underbiträdet inte uppfyller sina skyldigheter i fråga om Behandling av Personuppgifter enligt underbiträdesavtalet ska PuB förbli fullt ansvarig gentemot PuA för Underbiträdets uppfyllande av Underbiträdets skyldigheter enligt detta Biträdesavtal samt Gällande dataskyddslagstiftning.

8. Tredjelandsöverföring

8.1 PuB får själv eller genom Underbiträde Behandla Personuppgifter i ett tredje land. Om PuB kommer att Behandla Personuppgifter i tredje land ska PuB dessförinnan:

a) undersöka om det tredje land ställer en adekvat skyddsnivå för personuppgifter enligt ett beslut meddelat av EU-kommissionen och om så är fallet får Personuppgifter överföras till detta tredje land, och om sådant beslut inte föreligger,  

b) säkerställa att det finns lämpliga skyddsåtgärder på plats enligt Gällande dataskyddslagstiftning, t.ex. standardiserade dataskyddsbestämmelser som antagits av EU-kommissionen, som omfattar Behandling av Personuppgifter.

8.2 Om Behandling av Personuppgifter i ett tredje land kräver att särskilt avtal baserat på standardiserade dataskyddsbestämmelser ingås har PuB rätt att som ombud för PuA underteckna det särskilda avtalet. PuA har rätt att neka godkännande om det särskilda avtalet inte uppfyller kravet på lämpliga skyddsåtgärder enligt Gällande dataskyddslagstiftning.

9. Insyn och uppföljning

9.1 PuA har rätt att själv eller genom tredje part få tillgång till anläggningar, information och register för att kunna kontrollera att PuB, samt eventuella Underbiträden, uppfyller de åtaganden som har beskrivits i detta Biträdesavtal. PuA ska inom rimlig tid (minst trettio (30) dagar) meddela PuB innan en sådan granskning om inte en myndighet kräver annat eller PuA har en anledning att misstänka att PuB eller ett Underbiträde inte uppfyller sina åtaganden enligt detta Biträdesavtal.

9.2 PuB ska tillåta de inspektioner som behörig tillsynsmyndighet under Gällande dataskyddslagstiftning kan kräva för säkerställandet av en korrekt Behandling av Personuppgifter. PuB ska följa av behörig tillsynsmyndighets fattade beslut om åtgärder för att uppfylla Gällande dataskyddslagstiftning.

9.3 PuB ska säkerställa att PuA tillförsäkras motsvarande rätt till insyn och uppföljning i förhållande till anlitade Underbiträden.

10. Upphörande av behandling

10.1 PuB ska efter upphörande av Tjänsteavtalet eller detta Biträdesavtal (beroende på vilket som inträffar först) överlämna Personuppgifter till PuA inom trettio (30) dagar. Sedan PuB har överlämnat Personuppgifter till PuA, ska PuB radera Personuppgifter på ett sådant sätt att de inte kan återskapas, såvida inte lagring av Personuppgifter krävs enligt lag.

11. Ersättning

11.1 PuB har rätt till särskild ersättning, i enlighet med PuBs vid var tid gällande timpriser, för att uppfylla förpliktelser enligt detta Biträdesavtal eller Gällande dataskyddslagstiftning.

12. Ansvar för skada

12.1 PuA ska hålla PuB skadelös avseende sådan skada som uppkommit till följd av PuAs underlåtenhet att tillförsäkra en laglig behandling, PuAs bristfälliga instruktioner, eller PuAs andra uttryckliga skyldigheter enligt detta Biträdesavtal.

12.2 PuB ska hålla PuA skadelös avseende sådan skada som uppkommit till följd av Behandling av Personuppgifter i strid med detta Biträdesavtal, instruktioner från PuA, myndighetsbeslut eller Gällande dataskyddslagstiftning.

12.3 PuB ska utan oskäligt dröjsmål informera PuA om sådan skadeståndsprocess inleds som har anknytning till Behandling av Personuppgifter enligt detta Biträdesavtal. PuB är skyldig att vidta skäliga åtgärder för att begränsa skadeverkningarna av det inträffade.    

13. Ändringar av avtalet

13.1 Ändringar av och tillägg till detta Biträdesavtal ska för att vara bindande vara skriftligen avfattade och behörigen undertecknade av Parterna.

14. Avtalstid

14.1 Detta Biträdesavtal träder ikraft vid undertecknande av båda Parter och ska därefter gälla så länge Tjänsteavtalet är gällande mellan Parterna.

15. Tillämplig lag och tvist

15.1 Detta Biträdesavtal ska tolkas och tillämpas i enlighet med svensk rätt.

15.2 Tvist med anledning av detta Biträdesavtal ska avgöras enligt vad som överenskommits i Tjänsteavtalet.  






Personuppgiftsbiträdesavtal Bilaga 1

Instruktioner

ProReNata Journal, version 2018-03-19

Bilaga 1 Instruktioner

Behandlingens föremål

Behandlingens föremål är de Personuppgifter som PuB Behandlar för PuAs räkning i samband med fullgörande av Tjänsteavtalet.

Typ av behandling

Behandlingen sker på del- och helautomatiserad väg. Behandlingen omfattar (i) insamling av Personuppgifter genom användning av Tjänstens webbgränssnitt, (ii) överföring av Personuppgifter till Tjänstens infrastruktur, (iii) lagring av Personuppgifter och utförande av säkerhetskopior, (iv) tillgängliggörande av Personuppgifter via Tjänstens webbgränssnitt, (v) administration av Personuppgifter genom användning av Tjänstens webbgränssnitt, (vi) loggning av PuAs medarbetares användning av Tjänsten, (vii) analys och kontroll av loggar, samt (viii) analys av insamlade Personuppgifter för framtagande av statistik för PuAs räkning. En detaljerad beskrivning av Tjänsten återfinns i Avtalet.

Ändamål med behandlingen

PuB Behandlar Personuppgifter i syfte att tillhandahålla och leverera Tjänsten till PuA och fullgöra sina åtaganden enligt Tjänsteavtalet.

Typ av personuppgifter

Behandlingen omfattar känsliga Personuppgifter i form av patientjournaler av PuAs patienter och elever och ärenden för PuAs patienter och elever. Därutöver omfattar Behandlingen kontaktuppgifter, logginformation och nätidentifierare avseende PuAs medarbetare.

Kategorier av registrerade

Behandlingen av Personuppgifter omfattar PuAs patienter och elever, inbegripet barn, och PuAs medarbetare som använder Tjänsten.

Fysisk plats där behandlingen utförs

Behandlingen av Personuppgifter utförs inom EU/EES och USA.   

Varaktighet av behandlingen

Behandlingen av Personuppgifter pågår så länge det är nödvändigt för att tillhandahålla och leverera Tjänsten till PuA enligt Tjänsteavtalet.  

Underbiträden

[Bild]


Personuppgiftsbiträdesavtal Bilaga 2

Säkerhetsinstruktioner

ProReNata Journal, version 2018-03-19

Bilaga 2 Säkerhetsinstruktioner

Fysisk säkerhet

It-utrustning ska skyddas mot elavbrott och andra störningar orsakade i tekniska försörjningsystem. Utrymmen där Personuppgifter förvaras eller på annat sätt behandlas (t.ex. serverrum, serverhallar och kontor) ska skyddas genom lämpliga tillträdeskontroller för att säkerställa att endast behörig personal får tillträde. Medarbetares och besökares identitet ska säkerställas. It-system och lagringsmedier ska skyddas mot skadegörelse och stöld.

Åtkomstskydd

Datorutrustning och portabla lagringsmedier som inte står under uppsikt ska låsas in för att skyddas mot obehörig användning, påverkan och stöld. I annat fall ska Personuppgifter krypteras.

Datorer och mobila enheter

Medarbetares datorer ska låsas automatiskt vid inaktivitet och kräva starkt lösenord för upplåsning. Antalet öppna kommunikationsportar i datorerna ska minimeras och brandväggar och säkerhetsuppdateringar ska installeras och uppdateras regelbundet. Hårddiskar tillhörande bärbara datorer ska alltid vara krypterade med tillräckligt stark nyckel.

Behandling av Personuppgifter på mobila enheter ska begränsas enligt dokumenterade rutiner. Lagringsminnen tillhörande mobila enheter ska alltid skyddas med kryptering. Mobiler enheter ska skyddas med ett tillräckligt starkt lösenord och kunna raderas automatiskt om felaktigt lösenord matas in för många gånger. Möjlighet att radera Personuppgifter från mobila enheter via fjärråtkomst ska finnas. Medarbetare ska medges tillstånd att behandla Personuppgifter på privata datorer eller mobila enheter endast om dessa enheter uppfyller samma krav som företagstillhandahållna enheter.

Autentisering

Inloggning i system ska ske via personlig användaridentitet med lösenord. Lösenord ska vara tillräckligt starka och bytas regelbundet. Det ska inte vara tillåtet att överlåta eller dela inloggningsuppgifter med andra personer.

Behörighetsstyrning

Medarbetares åtkomst till Personuppgifter ska styras av ett tekniskt system för behörighetskontroll. Medarbetarna ska ges minsta möjliga åtkomst vid behandling av Personuppgifter. Endast medarbetare som behöver tillgång till Personuppgifter för sitt arbete ska ges åtkomst. Det ska finnas dokumenterade rutiner för tilldelning och borttagande av behörigheter.

Åtkomstkontroll

Åtkomst till Personuppgifter ska kunna kontrolleras i efterhand genom loggar. Loggarna ska kontrolleras regelbundet i syfte att upptäcka otillåten eller obehörig tillgång till Personuppgifter. Genomförda kontroller ska dokumenteras och redovisas för PUA på begäran.

Servrar

Åtkomst till administrativa verktyg och gränssnitt på servrar ska begränsas. Medarbetare som har administrativa rättigheter ska använda starka lösenord. Det ska inte vara tillåtet att överlåta eller dela inloggningsuppgifter med andra personer. Det ska finnas dokumenterade rutiner som säkerställer att viktiga uppdateringar för operativsystem och applikationer installeras omgående.

Nätverkssäkerhet

Nätverk ska skyddas mot externa angrepp och förlust av information. Trådlösa nätverk ska skyddas med kryptering. In- och utgående nätverkstrafik ska filtreras via exempelvis brandväggar. Mjukvara som regelbundet scannar nätverk för malware (t.ex. virus, trojaner, spionprogram och ransomware) ska användas och hållas uppdaterad.

Skydd mot skadlig kod

Det ska finnas dokumenterade rutiner för att skydda system mot virus, trojaner och andra former av digitala intrång.

Säkerhetskopior

Personuppgifter ska regelbundet överföras till säkerhetskopior. Säkerhetskopiorna ska förvaras avskilt och väl skyddade så att Personuppgifter kan återskapas efter en störning. Det ska finnas dokumenterade rutiner för säkerhetskopiering, återläsning av säkerhetskopior och test av återläsning av säkerhetskopior.

Datakommunikation

Anslutning för extern datakommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig. Personuppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av PuB (t.ex. internet) ska skyddas med kryptering.

Utplåning

Det ska finnas dokumenterade rutiner som säkerställer att Personuppgifter kan raderas när de inte länge är nödvändiga för ändamålet och att de inte är möjliga att återskapa.

Reparation och service

När reparation och service av datorutrustning utförs av annan än PuB, ska kontrakt som reglerar säkerhet och sekretess träffas med serviceföretaget. Vid servicebesök ska servicen ske under PuBs överinseende. Är detta inte möjligt ska lagringsmedier som innehåller Personuppgifter avlägsnas.

Service via fjärrstyrd datakommunikation får endast ske efter säker elektronisk identifiering av den som utför servicen. Servicepersonal ska ges åtkomst i systemet endast vid servicetillfället. Finns separat kommunikationsingång för service ska den vara stängd när service inte pågår.

Personuppgiftsincident

Det ska finnas dokumenterade rutiner för att omgående underrätta PUA vid misstanke om eller konstaterad personuppgiftsincident. PuB ska ha förmågan att återställa tillgängligheten och åtkomsten till Personuppgifter i rimlig tid vid en fysisk eller teknisk incident.

Separation

Personuppgifterna ska separeras fysiskt och/eller logiskt från andra personuppgifter.

Pseudonymisering

Personuppgifterna ska i möjligaste mån pseudonymiseras.

Utbildning av personal

Medarbetare ska utbildas regelbundet inom dataskydd (minst en gång per år). Nyanställda medarbetare ska utbildas inom dataskydd innan de får åtkomst till Personuppgifter. Genomförda utbildningar ska dokumenteras och redovisas för PUA på begäran.

Kontakta oss

För supportärenden hänvisar vi till support@prorenata.se.

* Obligatoriskt fält

Vi bjuder på kaka! Kakorna kommer bland annat från Cloudflare, en tjänst som hjälper sidan ladda snabbare. Du kan läsa mer om hur vi använder kakor i vår Intigritetspolicy