​

Allmänna villkor

Avtal
Detta avtal med bilagor (detta ”Avtal”) är träffat mellan:

1. Vårdgivare som tillhandahåller Kognitiv Beteendeterapi, (”Kunden”), och

2. Zeeds App AB, organisationsnummer 559250-9359, Stationsgatan 23, 753 40 Uppsala, (”Leverantören”).

Härefter enskilt benämnd ”Part” och tillsammans benämnda ”Parterna”.

​

1 Bakgrund

1.1  Kunden är verksam inom hälso- och sjukvård i Sverige. Kunden behandlar patienter primärt diagnosticerade med egentlig depression, men även patienter diagnosticerade med depression och komorbida ångestsyndrom enligt aktuell vetenskap och berövad erfarenhet.

1.2  Leverantören är en teknisk tjänsteförmedlare av den vård som ges av Kunden till patienter och ska inte ses som en vårdgivare i något avseende.

1.3  Leverantören har utvecklats en tjänst som syftar till att effektivisera behandlingsformen beteendeaktivering inom kognitiv beteendeterapi (”Tjänsten”). Tjänsten ska användas som ett verktyg för att hjälpa patienter, att öka följsamheten till beteendeaktivering inom kognitiv beteendeterapi. Tjänsten består av en patientapplikation avsedd för patienterna, en dataportal avsedd för Kunden samt tillhörande användarmanual i dataportalen.

2  Bilagor

1. Biträdesavtal Bilaga 1

​3  Leverantörens åtagande

3.1 Leverantören ska under den tid avtalet löper (”Projektperioden”), tillhandahålla Tjänsten enligt villkoren i detta Avtal.
3.2 Leverantören ska, under projektperioden, erbjuda varje person som enligt detta Avtal är behörig att nyttja Tjänsten en genomgång av Tjänstens funktion och användning.

​

4. Underleverantörer

Leverantören får anlita underleverantörer för fullgörande av Tjänsten och andra åtaganden enligt Avtalet. Leverantören ansvarar för underleverantörs arbete som om arbetet utförts av Leverantören själv.

​

5 Kundens åtagande

5.1 Under Projektperioden förbinder sig Kunden att använda Tjänsten som avsatts i enlighet med syftet beskrivet i punkt 1.3.
5.2 För att Leverantören ska kunna utföra sina åtaganden enligt Avtalet ska Kunden ansvara för följande:

a) Kunden ansvarar för att Kunden innehar den utrustning och programvara som Leverantören på sin webbplats eller på annat skriftligt sätt har krävas för nyttjande av Tjänsten eller som annars krävs för sådant nyttjande.

b) Kundens ansvar för fel eller brist i den programvara som ägs av Kunden eller som Kunden har rätt att nyttja enligt avtal med tredje man och som används i Tjänsten.
c) Kundens ansvar för säkerhetskopiering av data eller annan information som Kunden eller patienter ställer till Leverantörens förfogande i Tjänsten eller i övrigt samt resultatet av Leverantörens behandling av data i Tjänsten (”Kundens Data”).

d) Kunden ska tillse (i) att Kundens Data är fri från virus, trojaner, maskar eller annan skadlig programvara eller kod, samt (ii) att Kundens Data på annat sätt inte kan skada eller inverka negativt på Leverantörens system eller Tjänsten.

​

6 Uppstart, ändring och begränsning av Tjänsten

6.1 Leverantören är ansvarig för att Tjänsten är tillgänglig för Kunden under Projektperioden.

​

7 Licensvillkor

7.1  Kunden beviljas en världsomfattande, icke-exklusiv, icke-överlåtbar, och

återkallelig licens att installera och använda Tjänsten på de villkor och med de begräsningar som följer av detta Avtal. I denna licens ingår underhåll eller support beträffande Tjänsten. Licensen är begränsad till de som är behöriga att nyttja Tjänsten enligt nedanstående punkt.

7.2  Endast legitimerade psykologer eller personer som annars är behöriga att bedriva kognitiv beteendeterapi, som är anställda hos Kunden eller som är Kundens uppdragstagare, är behöriga att nyttja Tjänsten.

7.3  Kunden är ansvarig för att ange vilka som är behöriga att nyttja Tjänsten. Kunden ska omedelbart meddela Leverantören om en sådan person inte längre är behörig att ha tillgång till Tjänsten.

7.4  Patienterna är inte behöriga att nyttja Tjänsten enligt detta Avtal. Patienterna ingår ett eget licensavtal med Leverantören som gör dem behöriga att använda applikationer avsedda för patienter i Tjänsten. Det sker i samband med att patienterna accepterar användarvillkoren i patientapplikationen.

​

8 Kundens användning av Tjänsten

8.1  Kunden ansvarar för att angivna i punkt 7.2 använder personer Tjänsten i enlighet med villkoren i detta pilotavtal.

8.2  Kunden är ansvarig för att upprätta kontroll över information som hanteras i Tjänsten så att Kunden kan hindra spridning av informationen enligt vad som krävs enligt lagstiftning.

8.3  Vid användning av Tjänsten är det strängt förbjudet:

a) att kopiera, distribuera, göra tillgänglig, överföra, visa, utföra, återge, publicera, licensiera, skapa härledda arbeten från Tjänster, eller överföra eller sälja någon information, programvara, produkt eller tjänst som erhållits från Tjänsten;

b) att uppträda som en annan person än angiven användare av Tjänsten;

c) att använda Tjänsten på ett olagligt sätt eller för ett olagligt syfte;

d) göra gällande att Tjänsten är Kundens eller användarens egendom;
e) att skapa, installera eller sprida virus, skadliga program eller annan skadlig kod i Tjänsten;

d) att utföra omvänd utveckling (reverse engineering), demontera, försöka härleda källkoden hos, modifiera, eller skapa bearbetningar av Tjänsten, eller motsvarande manipulering av Tjänsten; och
g) att störa eller blockera Tjänsten.

8.4 Kunden får inte heller ändra, kopiera, distribuera, göra tillgänglig, överföra, återge, publicera, licensera, skapa härledda arbeten från eller sälja Tjänsten, någon information eller programvara som erhållits av Leverantören.

8.5 Kundens ansvar för att besluta att dess användare av Tjänsten följer villkoren och begränsningarna i punkt 8.
8.6 För att säkerställa skyddet av Tjänsten förbehåller sig Leverantören rätten att när som helst, utan ansvar och utan föregående meddelande till Kunden eller dess användare samt utan att behöva ange något skäl (i) avbryta eller avsluta Kundens eller dess användare åtkomst till hela delar eller av Tjänsten om Leverantören upptäcker eller misstänker att Kunden eller dess användare brutit mot detta pilotavtal eller på annat sätt agerat i strid med lag samt (ii) radera samtliga eller delar av uppgifterna som Kundens och/eller dess användare lagras i Tjänsten.

​

9 Särskilda bestämmelser för tjänster från tredje part

Kunden får endast nyttja tredjepartsapplikationer och tjänster som tillhandahålls av tredje parter enligt licensvillkoren utgivna av produktleverantören som leverantören har hänvisat till. Leverantören ansvarar inte för fel eller intrång från tredjepartsapplikationer eller tredje parters tjänster eller produkter eller för information som tredje parter publicerar, eller för deras handlingar eller försummelser.

​

10 Betalning

10.1Ersättning sker per licens, för Leverantörens tillhandahållande av Tjänsten. Avgiften för tjänsten motsvarar 50% av  sessionsavgiften för remitterade klienter till Kunden. Betalning ska ske inom 30 dagar varje månad för föregående månads användning. Användningen baseras på det totala antalet patienter som har använt systemet under föregående månad. Användning definieras som en patientapplikation som har skapats och där inloggning har skett en gång. Betalning ska sk via e-faktura.  

10.3 Om betalningen inte har tagits emot i slutet av innevarande månad, kommer att komma till den licensierade produkten att stänga av tills betalningen tas emot. Alla utestående saldon de senaste 30 dagarna kommer att medföra en förseningsavgift på 8 % per månad. Om betalning inte tas emot inom 60 dagar kan kontot överlämnas till en inkassobyrå och ytterligare inkassoavgifter kan tillkomma.

​

11 Immateriella rättigheter

11.1  Leverantören och Leverantörens licensgivare har alla rättigheter inklusive immateriella rättigheter till Tjänsten samt däri ingående programvaror. Inget i detta Avtal ska tolkas som att de rättigheter som nämns i denna punkt, eller andra rättigheter Leverantören äger, övergår från Leverantören till Kunden.

11.2  Rättigheter till material, såsom bland annat rapporter och intervjuer, som uppkommer i samband med pilotstudien ska avgiftsfritt tillfalla Leverantören.

​

12 Kunddata

12.1  I förhållandet mellan Leverantören och Kunden har Kunden samtliga rättigheter till Kundens Data.

12.2  Kunden ansvarar för, och ska hålla Leverantören skadelös för, att Kundens Data inte gör intrång i tredje mans rätt eller på annat sätt står i strid med gällande lagstiftning.

​

13 Loggfiler

13.1  Leverantören får föra logg över Tjänstens användning för de ändamål som anges i Bilaga 1 Personuppgiftsbiträdesavtal. Uppgifter från loggen får användas av Leverantören, för vad som krävs för Tjänstens utförande, för att utreda missbruk eller analysera intrång, lämna uppgifter till myndigheter, för statistiska ändamål, förbättring av Tjänsten eller andra ändamål som följer av Bilaga 3 Personuppgiftsbiträdesavtal.

13.2  Leverantören ska låta Kunden ta del av uppgifterna som Leverantören registrerar avseende användningen av Tjänsten enligt ovanstående punkt.

14  Personuppgifter

Behandling av personuppgifter ska ske i enlighet med det av parterna tecknat personuppgiftsbiträdesavtal som framgår av Bilaga 1 Personuppgiftsbiträdesavtal.

​

15  Sekretess

15.1 Vardera Parten förbinder sig att inte utan motpartens medgivande till tredje man under avtalstiden eller under en tid av tre år därefter avslöja eller lämna ut någon information som mottagits från Leverantören, utan samtycke från denna. Detta inkluderar information om Tjänsten och Leverantörens verksamhet som rimligtvis kan vara av konfidentiell natur, inklusive sådana uppgifter om motpartens verksamhet som kan vara att betrakta som affärs- eller yrkeshemlighet eller uppgift som enligt lag omfattas av sekretess. Som affärs- eller yrkeshemlighet ska alltid betrakta sådan information som Part angivit vara konfidentiell. Sekretessåtagandet härunder ska inte omfatta konfidentiell information som Kunden kan visa (i) redan var känd för denna innan ingåendet av detta Pilotavtal, (ii) är eller har blivit allmänt känd på annat sätt än genom brott mot detta Avtal, (iii) Kunden har utvecklats självständigt utan användning av konfidentiell information. Detta sekretessåtagande gäller inte heller när endera Part är skyldig enligt lag eller domstols-/myndighetsbeslut att lämna ut sådan information.

15.2 Del ska genom sekretessförbindelse eller andra lämpliga åtgärder tillse att sekretess enligt ovan iakttas av dennas personliga. Part ansvarar för att även eventuell underleverantör samt dennas anställda som deltar i uppdraget undertecknar en sekretessförbindelse av motsvarande innehåll.

16 Projektperioden och förtida upphörande
16.1 Detta Pilotavtal löper från och med accepterna av Avtalet. Ett ettårigt leverantörsavtal är i kraft, med automatiska förnyelser som sker på årsdagen. Avtalet har tre månaders uppsägningstid. I de fall någon Part väsentligen brutit mot villkoren i detta Avtal äger andra Parten rätt att säga upp Avtalet till omedelbart upphörande.

​

17 Tillämplig lag, tvist.

17.1  Svensk lag utan tillämpning av dess lagvalsregler ska gälla för Pilotavtalet.

17.2  Tvister som uppkommer i anledning av Tjänsten eller detta Avtal ska i första hand lösas genom förhandling i god tro mellan Parterna. Om tvisten inte kan avgöras genom förhandlingarna, ska tvisten slutligt avgöras genom skiljedomsförfarande administrerat av Stockholms Handelskammares Skiljedomsinstitut (SCC). Regler för Förenklat Skiljeförfarande ska tillämpas om inte SCC med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att Skiljedomsregler ska tillämpas. I sistnämnda fall ska SCC också bestämma om skiljenämnden ska bestå av en eller tre

skiljedomare. Skiljeförfarandets säte ska vara Stockholm och förfarandet ska ske på svenska.

​

Bilaga 1 - Personuppgiftsbiträdesavtal

​

DETTA PERSONUPPGIFTSBITRÄDESAVTAL (detta ”Biträdesavtal”) är träffat mellan:

1. [Bolag], organisationsnummer [organisationsnummer], [adress] (”Personuppgiftsansvarig”); och 

2. Zeeds App AB, organisationsnummer 559250-9359, Stationsgatan 23 753 40 Uppsala (”Personuppgiftsbiträde”).

Härefter enskilt benämnd en ”Part” och tillsammans benämnda ”Parterna”.

​

1. Bakgrund

1.1 Parterna har träffat ett avtal avseende Personuppgiftsbiträdets tillhandahållande av tjänster till Personuppgiftsansvarig, daterat den [datum] (”Huvudavtalet”). De tjänster som tillhandahålls enligt Huvudavtalet kommer att innebära att Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.

1.2 Detta Biträdesavtal reglerar den Personuppgiftsansvariges rättigheter och skyldigheter i egenskap av personuppgiftsansvarig och Personuppgiftsbiträdets rättigheter och skyldigheter i egenskap av personuppgiftsbiträde när Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning._cc781905-5cde-3194-68_bb3b-f3b

1.3 Detta Biträdesavtal ska utgöra en del av Huvudavtalet. Om bestämmelserna i Huvudavtalet och detta Biträdesavtal är oförenliga, ska bestämmelserna i detta Biträdesavtal tillämpas och ges företräde.

2. Definitioner

2.1 Om annat inte framgår av Biträdesavtalet, ska begreppet användas i detta Biträdesavtal som tolkas i enlighet med tillämplig dataskyddslagstiftning.

2.2 Definitioner som används i detta Biträdesavtal men som inte är definierad i detta Biträdesavtal ska tolkas enligt Huvudavtalet. 

 

3. Bilagor

Specifikation över behandlingen av personuppgifter    Bilaga 1

På förhand godkända underbiträden        Bilaga 2

Tekniska och organisatoriska åtgärder     Bilaga 3

​

4. Behandling av personuppgifter

4.1 Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifter enligt dokumentade instruktioner från den Personuppgiftsansvariga, såvida inte annat följer av tillämplig dataskyddslagstiftning. Den Personuppgiftsansvariges instruktioner till Personuppgiftsbiträdet om behandlingens föremål och varaktighet, behandlingens karaktär och ändamål, typ av personuppgifter och kategorier av registrerade anges uttömmande i detta Biträdesavtal och i Bilaga 1.

4.2 Den Personuppgiftsansvariga bekräftar att Personuppgiftsbiträdets skyldigheter enligt detta Biträdesavtal, inklusive Bilaga 1, utgör de fullständiga instruktionerna som ska följas av Personuppgiftsbiträdet. 

4.3 Ändringar i den Personuppgiftsansvariges instruktioner ska förhandlas separat, inklusive eventuella därav föranledda ändringar i Personuppgiftsbiträdets ersättning, och ska dokumenteras skriftligt och undertecknas av Parterna för att vara gällande. Den Personuppgiftsansvarige är skyldig att inte, utan sådan skriftlig överenskommelse, instruera Personuppgiftsbiträdet att behandla andra kategorier av personuppgifter, eller behandla personuppgifter om andra kategorier av registrerade, än de som anges i Bilaga 1.

4.4 Personuppgiftsbiträdet ska utan onödigt dröjsmål informera den Personuppgiftsansvariga om Personuppgiftsbiträdet anser att en instruktion från den Personuppgiftsansvariga avseende behandlingen av personuppgifter strider mot tillämplig dataskyddslagstiftning.

4.5 Personuppgiftsbiträdet ska, i den utsträckning som krävs enligt tillämplig dataskyddslagstiftning och enligt den Personuppgiftsansvariges skriftliga instruktioner i varje enskilt fall, bistå den Personuppgiftsansvariga vid fullgörandet av dennas skyldigheter enligt tillämplig dataskyddslagstiftning.

​

5. Underbiträden och tredjelandsöverföringar

5.1 Den Personuppgiftsansvarige godkänner att Personuppgiftsbiträdet får anlita underbiträden inom och utanför EU/EES. Personuppgiftsbiträdet ska säkerställa att underbiträden är bundna av skriftliga avtal som ålägger samma skyldigheter i fråga om dataskydd som de som gäller enligt detta biträdesavtal. Bilaga 2 innehåller en lista över på förhand godkända underbiträden från och med dagen för ikraftträdandet av detta Biträdesavtal. 

5.2 Om Personuppgiftsbiträdet avser att anlita ett nytt eller ersätta ett befintligt underbiträde för att behandla personuppgifter som omfattas av detta Biträdesavtal ska Personuppgiftsbiträdet i förväg informera den Personuppgiftsansvariga om detta och bereda denna möjlighet att framföra invändningar. Sådana invändningar ska ske skriftligen utan onödigt dröjsmål från det att den Personuppgiftsansvariga fått informationen från Personuppgiftsbiträdet. Personuppgiftsbiträdet ska förse den Personuppgiftsansvariga med den information som den Personuppgiftsansvarige skäligen kan begära för att bedöma om efterlevnad av skyldigheterna enligt detta Biträdesavtal och tillämplig dataskyddslagstiftning kan garanteras om det föreslagna underbiträdet anlitas. Om efterlevnaden av dessa skyldigheter, enligt den Personuppgiftsansvariges befogade bedömning, inte görs genom det föreslagna underbiträdet och Personuppgiftsbiträdet trotsar den Personuppgiftsansvariges befogade invändning anlitar det föreslagna underbiträdet, har den Personuppgiftsansvariga rätt att säga upp Biträdesavtalet utan extra kostnad. Om invändningen inte är befogad har den Personuppgiftsansvarige inte rätt att säga upp Biträdesavtalet. 

5.3 Den Personuppgiftsansvariga godkänner att Personuppgiftsbiträdet överföra personuppgifter utanför EU/EES. Om personuppgifter överförs till, eller om att komma från, plats utanför EU/EES, ska Personuppgiftsbiträdet försäkras att det finns en laglig grund för överföringen enligt tillämplig dataskyddsstiftning och att överföringen omfattar lämpliga åtgärder, såsom EU-kommissionens modellklausuler. Den Personuppgiftsansvarige ger Personuppgiftsbiträdet fullmakt att för den Personuppgiftsansvariges räkning ingå EU-kommissionens modellklausuler med underbiträden.

6. Datasäkerhet och sekretess

6.1 Personuppgiftsbiträdet ska implementera de tekniska och organisatoriska åtgärderna som anges i Bilaga 3 för att skydda skyddet av personuppgifterna.

6.2 Personuppgiftsbiträdet är skyldigt att fullgöra sina rättsliga förpliktelser avseende informationssäkerhet enligt tillämplig dataskyddslagstiftning och ska i samtliga fall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. 

6.3 Personuppgiftsbiträdet är skyldigt att utfärda att endast sådan personlig som behöver ha tillgång till personuppgifter för att kunna fullgöra Personuppgiftsbiträdets skyldigheter enligt huvudavtalet och detta avtal får tillgång till sådana. Personuppgiftsbiträdet ska tillhandahålla sådan personlig omfattas av en lämplig sekretessförbindelse. 

​

7. Utlämnande av personuppgifter och kontakter med myndigheter 

7.1 Personuppgiftsbiträdet förbinder sig att inte utan föregående skriftligt medgivande från den Personuppgiftsansvarige, lämna ut personuppgifter, eller på annat sätt göra personuppgifter som behandlas enligt detta Biträdesavtal tillgängliga för tredje del, om inte annat följer av svensk eller europeisk lag, myndighetsslut eller domstolsdom eller beslut .

7.2 Om en registrerad begär information från Personuppgiftsbiträdet om behandlingen av personuppgifter som omfattas av detta Biträdesavtal ska Personuppgiftsbiträdet utan onödigt dröjsmål hänskjuta en sådan begäran till den Personuppgiftsansvarige.

7.3 Om behörig myndighet begär information från Personuppgiftsbiträdet om behandlingen av personuppgifter som omfattas av detta Biträdesavtal ska Personuppgiftsbiträdet utan onödigt dröjsmål informera den Personuppgiftsansvariga om detta, om inte annat följer av svensk eller europeisk lag, myndighetsslut eller domstolsdom eller beslut. Personuppgiftsbiträdet får inte handla för den Personuppgiftsansvariges räkning eller som ombud för denna, och får inte utan föregående medgivande från den Personuppgiftsansvariga överföra eller på annat sätt lämna ut personuppgifter som omfattas av detta Biträdesavtal eller andra uppgifter rörande behandlingen av sådana personuppgifter till tredje del, om annat. inte följer av svensk eller europeisk lag, myndighetsbeslut eller domstols dom eller beslut. 

7.4 Om Personuppgiftsbiträdet i enlighet med svensk eller europeisk lag mottar en begäran om att lämna ut personuppgifter som omfattas av detta Biträdesavtal, ska Personuppgiftsbiträdet utan onödigt dröjsmål meddela den Personuppgiftsansvariga om detta, om annat inte följer av tillämplig lag, myndighetsslut eller domstolsdom eller beslut.

​

8. Personuppgiftsincidenter

8.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident underrätta den Personuppgiftsansvarige.

8.2 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med information som rimligen kan krävas för att uppfylla den Personuppgiftsansvarigas skyldighet att anmäla personuppgiftsincidenter.

9. Granskning

9.1 Den Personuppgiftsansvariga ska, i egenskap av personuppgiftsansvarig, ha rätt att vidta nödvändiga åtgärder för att bekräfta att Personuppgiftsbiträdet kan fullgöra sina skyldigheter enligt detta Biträdesavtal och att Personuppgiftsbiträdet faktiskt har vidtagit de åtgärder som krävs för att säkerställa att dessa skyldigheter fullgörs.

9.2 Personuppgiftsbiträdet förbinder sig att tillhandahålla den Personuppgiftsansvarige all information som krävs för att visa att de skyldigheter som följer av detta Biträdesavtal följer, samt att möjliga för och medverka till sådan granskning, inbegripet platsinspektioner, som genomförs av den Personuppgiftsansvarige eller av annan granskare som utsetts av den Personuppgiftsansvarige, under förutsättning att de personer som utför granskningen ingår lämpligt sekretessavtal. 

​

10. Ersättning

Personuppgiftsbiträdet har rätt till ersättning enligt Personuppgiftsbiträdets vid var tid gällande prislista för arbete som utförts med anledning av Personuppgiftsbiträdets skyldigheter i punkterna 4.5, 7, 8.2, 9 och 13 i detta Biträdesavtal.

​

11. Ansvarsbegränsning 

De ansvarsbegränsningar som anges i Huvudavtalet ska tillämpas för Personuppgiftsbiträdets ansvar enligt detta Biträdesavtal.

11. 1 Med beaktande av ansvarsbegränsningen som följer av Huvudavtalet, ska Personuppgiftsbiträdet ersätta och hålla den Personuppgiftsansvariga skadelös från kostnader, förluster och skador som drabbats av Personuppgiftsansvariga till följd av att Personuppgiftsbiträdet handlat i strid med detta Biträdesavtal eller tillämplig dataskyddslagstiftning. För undvikande av tvivel ska Personuppgiftsbiträdet inte i något fall vara ansvarig för kostnader hänförliga till att den Personuppgiftsansvariga har handlat i strid med detta Biträdesavtal, Huvudavtalet eller tillämplig dataskyddslagstiftning.

11.2 Eftersom Personuppgiftsbiträdet endast ska behandla personuppgifter i enlighet med den Personuppgiftsansvariges instruktioner, ansvarar Personuppgiftsbiträdet inte i fall Personuppgiftsbiträdet har agerat enligt den Personuppgiftsansvariges instruktioner. Den Personuppgiftsansvarige ska ersätta och hålla Personuppgiftsbiträdetlös från kostnader, förluster och skador som drabbats Personuppgiftsbiträdet till följd av att Personuppgiftsbiträdet agerat enligt den Personuppgiftsansvariges instruktioner.

​

11. Avtalstid

Bestämmelserna i detta Biträdesavtal ska gälla så länge som Personuppgiftsbiträdet behandlar personuppgifter för vilka som Personuppgiftsansvariga är personuppgiftsansvariga. 

​

12. Åtgärder när personuppgiftsbehandlingen avslutats

12.1 När detta Biträdesavtal upphör ska Personuppgiftsbiträdet utan onödigt dröjsmål, enligt den Personuppgiftsansvariges skriftliga instruktioner, radera eller återlämna alla personuppgifter som behandlats enligt Biträdesavtalet, dock senast inom trettio (30) dagar efter mottagandet av den Personuppgiftsansvariges instruktioner, om inte lagring av personuppgifter som krävs enligt svenska eller europeisk lagstiftning. 

12.2 På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet utan onödigt dröjsmål bekräfta vilka åtgärder som har vidtagits avseende personuppgifter, även om Huvudavtalet eller detta Biträdesavtal har upphört.

​

13. Ändringar i biträdesavtalet

Ändringar av, och tillägg till, detta Biträdesavtal ska för att vara bindande upprättas skriftligen och vara undertecknade av Parterna.

​

14. Tillämplig lag och tvistelösning

14.1 Detta Biträdesavtal ska tolkas och tillämpas i enlighet med svensk lag. 

14.2 Tvister som uppstår i anledning av detta Biträdesavtal ska slutligt avgöras i enlighet med bestämmelserna om tvistlösning i Huvudavtalet.

​

Bilaga 1

 

SPECIFIKATION ÖVER BEHANDLINGEN AV PERSONUPPGIFTER

 

Ändamål

 

Att tillhandahålla tjänster i enlighet med villkoren i Huvudavtalet.

Att göra det möjligt för vårdgivaren/den personuppgiftsansvarige att lämna ut applikationen för att öka följsamheten till behandlingen och göra det möjligt för patienten att engagera sig i meningsfull vanebildning genom en applikation.

Att göra det möjligt för vårdgivaren/den personuppgiftsansvariga att analysera patientapplikationsdata för att öka följsamheten till behandlingen.

Kategorier av personuppgifter

​

☐ Namn

☐ Födelsedatum

☐ E-postadress

☐ Hälsa (fysisk och psykisk)

Detta innehåller detaljerad information om patienternas/användarnas humör, värderingar och beteenden som samlas in via deras användning av applikationer, inklusive när de svarar på självreflekterande frågor.

☐ IMEI-nummer

☐ MAC-adress

☐ IP-adress

☐ Loggdata

Dessa loggdata innehåller teknisk information såsom patienternas/användarnas enheters IP-adress, enhetsnamn, operativsystemversion, konfigurationer av applikationer vid användandet av personuppgiftsbiträdets tjänst och applikation, tid och datum för deras användning av tjänsten och applikationer.

☐ Aktivitetsdata

Patienternas/användarnas aktivitet i applikationen inklusive deras användning och framsteg i applikationen.

☐ Enkät- och kundutvärderingsdata

Information från eventuella kundundersökningar och kundutvärderingar i vilka patienterna/ användarna valt att delta. 

Kategorier av registrerade

 

☐ Patienter och användare av tjänsten och applikationen

☐ Anställda och andra företrädare för vårdgivaren/den personuppgiftsansvarige

Behandlingsaktiviteter

 

Åtgärder som utförs på personuppgifter som en del av att uppfylla ovan nämnda syften, oavsett om de är automatiserade eller inte, såsom insamling, inspelning, organisering, strukturering, lagring, anpassning, användning, avslöjande genom överföring, anpassning, kombination eller radering av personuppgifter.  

Plats för behandling av personuppgifterna

 

Inom EU/EES och USA.

 

Bilaga 2

 

PÅ FÖRHAND GODKÄNDA UNDERBITRÄDEN

​

Hasura, Inc

Indien

Behandlar rådata för användare. Kryptering vid transit gör enligt SSL-certifikat. Kryptering i vila görs enligt AES 256 standard och hashing enligt SHA 256 standard.

Firebase, Inc (Google Cloud)

Irland

Underhållning av  notifikationer,  användarinloggnings- och krypteringstjänster. All kommunikation vid transit sker enligt HTTPS-kryptering. Kryptering i vila görs enligt AES 256 standard och hashing enligt SHA 256 standard.

Amazon Web Servers, Inc 

Använda som plattform för att lagra, tillgängliggöra och underhålla användardata. AES 256 TLS kryptering sker vid transitering. Kryptering i vila görs enligt AES 256 standard och hashing enligt SHA 256 standard.

Europa-(Stockholm)

Samtliga på förhand godkända underbiträden innehar ISO/IEC 27001:2013 certifikat, eller  SOC 2 certifikat.

 

Bilaga 3

 

TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER

 

Åtgärder för att säkerställa en lämplig säkerhetsnivå

De tekniska organisatoriska säkerhetsåtgärderna som har implementerats av Personuppgiftsbiträdet (inklusive eventuella relevanta certifieringar) för att garantera en lämplig säkerhetsnivå, med ende av behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter, beskrivs nedan.

1. Åtgärder för pseudonymisering och kryptering av personuppgifter

2. Åtgärder för att säkerställa kontinuerlig konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna

3. Åtgärder för att säkerställa förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident

4. Förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska behandla behandlingens säkerhet

5. Åtgärder för användaridentifiering och behörighet

6. Åtgärder för skydd av uppgifter vid lagring

7. Åtgärder för att säkerställa fysisk säkerhet vid platser där personuppgifter behandlas

8. Åtgärder för att behålla loggar över händelser

9. Åtgärder för styrning och hantering av intern IT och IT-säkerhet

10. Åtgärder för att ansvara uppgiftsminimering 

11. Åtgärder för att tillåta dataportabilitet och säker radering

Alla patienter/användare av tjänsten och applikationer är identifierade genom ett unikt lösenord som har skapats när de genomförs registreringen. De ges endast behörighet att få tillgång till sina respektive skärmar/portaler, och kommer att nekas åtkomst till Administratörsportalen och övrig struktur för applikationen. 

Genom vår applikationsstruktur kommer patienterna att erbjuda möjlighet att anpassa sina uppgifter och ha flexibilitet att tillåta specifika fält, attribut eller specifika uppgifter att auktoriseras och granskas av psykologer.

Patients personuppgifter krypteras enligt AES 256 standard, samt hashing enligt SHA 256 standard. 

Cloudfunktionalitet används för att kryptera och avkryptera personuppgifter mellan patient och psykolog. Endast systemansvarig för Leverantören har tillgång till molnfunktionaliteten. De på förhand godkända underbiträden har ej möjlighet att avkryptera informationen utan åtkomst till nyckeln.

​

​

​

​

​