​

Allmänna villkor för vårdgivare

Avtal
Detta avtal med bilagor (detta ”Avtal”) är träffat mellan:

1. Vårdgivare som tillhandahåller Kognitiv Beteendeterapi, (”Kunden”), och

2. Zeeds App AB, organisationsnummer 559250-9359, Stationsgatan 23, 753 40 Uppsala, (”Leverantören”).

Härefter enskilt benämnd ”Part” och tillsammans benämnda ”Parterna”.

​

1 Bakgrund

1.1  Kunden är verksam inom hälso- och sjukvård i Sverige. Kunden behandlar patienter primärt diagnosticerade med egentlig depression, men även diagnosticerade med depression och komorbida ångestsyndrom enligt aktuell vetenskap och berövad erfarenhet.

1.2  Leverantören är en teknisk tjänsteförmedlare av den vård som ges av Kunden till patienter och ska inte ses som en vårdgivare i något avseende.

1.3  Leverantören har utvecklat en tjänst som syftar till att effektivisera behandlingsformen beteendeaktivering inom kognitiv beteendeterapi (”Tjänsten”). Tjänsten ska användas som ett verktyg för att hjälpa patienter, att öka följsamhet till beteendeaktivering inom kognitiv beteendeterapi. Tjänsten består av en patientapplikation avsedd för patienterna, en dataportal avsedd för Kunden samt tillhörande användarmanual i dataportalen.

2  Bilagor

1. Biträdesavtal Bilaga 1

​3  Leverantörens åtagande

3.1 Leverantören ska under den tid avtalet löper (”Projektperioden”), tillhandahålla Tjänsten enligt villkoren i detta Avtal.
3.2 Leverantören ska, under projektperioden, erbjuda varje person som enligt detta Avtal är behörig att nyttja Tjänsten en genomgång av Tjänstens funktion och användning.

​

4. Underleverantörer

Leverantören får anlita underleverantörer för fullgörande av Tjänsten och andra åtaganden enligt Avtalet. Leverantören ansvarar för underleverantörs arbete som om arbetet utförts av Leverantören själv.

​

5 Kundens åtagande

5.1 Under Projektperioden förbinder sig Kunden att använda Tjänsten som avsett i enlighet med syftet beskrivet i punkt 1.3.
5.2 För att Leverantören ska kunna utföra sina åtaganden enligt Avtalet ska Kunden ansvara för följande:

a) Kunden ansvarar för att Kunden innehar den utrustning och programvara som Leverantören på sin webbplats eller på annat skriftligt sätt har angivit krävs för nyttjande av Tjänsten eller som annars uppenbart krävs för sådant nyttjande.

b) Kunden ansvarar för fel eller brist i den programvara som ägs av Kunden eller som Kunden har rätt att nyttja enligt avtal med tredje man och som används i Tjänsten.
c) Kunden ansvarar för säkerhetskopiering av data eller annan information som Kunden eller patienter ställer till Leverantörens förfogande i Tjänsten eller i övrigt samt resultatet av Leverantörens behandling av data i Tjänsten (”Kundens Data”).

d) Kunden ska tillse (i) att Kundens Data är fri från virus, trojaner, maskar eller annan skadlig programvara eller kod, samt (ii) att Kundens Data på annat sätt inte kan skada eller inverka negativt på Leverantörens system eller Tjänsten.

​

6 Uppstart, ändring och begränsning av Tjänsten

6.1 Leverantören är ansvarig för att Tjänsten är tillgänglig för Kunden under Projektperioden.

​

7 Licensvillkor

7.1  Kunden beviljas en världsomfattande, icke-exklusiv, icke-överlåtbar, och

återkallelig licens att installera och använda Tjänsten på de villkor och med de begräsningar som följer av detta Avtal. I denna licens ingår underhåll eller support beträffande Tjänsten. Licensen är begränsad till de som är behöriga att nyttja Tjänsten enligt nedanstående punkt.

7.2  Endast legitimerade psykologer eller personer som annars är behöriga att bedriva kognitiv beteendeterapi, som är anställda hos Kunden eller som är Kundens uppdragstagare, är behöriga att nyttja Tjänsten.

7.3  Kunden är ansvarig för att ange vilka som är behöriga att nyttja Tjänsten. Kunden ska omedelbart meddela Leverantören om en sådan person inte längre är behörig att ha tillgång till Tjänsten.

7.4  Patienterna är inte behöriga att nyttja Tjänsten enligt detta Avtal. Patienterna ingår ett eget licensavtal med Leverantören som gör dem behöriga att nyttja applikationen avsedd för patienter i Tjänsten. Det sker i samband med att patienterna accepterar användarvillkoren i patientapplikationen.

​

8 Kundens användning av Tjänsten

8.1  Kunden ansvarar för att angivna personer i punkt 7.2 använder Tjänsten i enlighet med villkoren i detta Pilotavtal.

8.2  Kunden är ansvarig för att upprätta kontroll över information som hanteras i Tjänsten så att Kunden kan hindra spridning av informationen i enlighet med vad som krävs enligt gällande lagstiftning.

8.3  Vid användning av Tjänsten är det strängt förbjudet:

a) att kopiera, distribuera, göra tillgängligt, överföra, visa, utföra, återge, publicera, licensiera, skapa härledda arbeten från Tjänster, eller överföra eller sälja någon information, programvara, produkt eller tjänst som erhållits från Tjänsten;

b) att uppträda som en annan person än angiven användare av Tjänsten;

c) att använda Tjänsten på ett olagligt sätt eller för ett olagligt syfte;

d) göra gällande att Tjänsten är Kundens eller användarens egendom;
e) att skapa, installera eller sprida virus, skadliga program eller annan skadlig kod i Tjänsten;

d) att utföra omvänd utveckling (reverse engineering), demontera, försöka härleda källkoden hos, modifiera, eller skapa bearbetningar av Tjänsten, eller motsvarande manipulering av Tjänsten; och
g) att störa eller blockera Tjänsten.

8.4 Kunden får inte heller ändra, kopiera, distribuera, göra tillgängligt, överföra, återge, publicera, licensera, skapa härledda arbeten från eller sälja Tjänsten, någon information eller programvara som erhållits av Leverantören.

8.5 Kunden ansvarar för att säkerställa att dess användare av Tjänsten följer villkoren och begränsningarna i punkt 8.
8.6 För att säkerställa skyddet av Tjänsten förbehåller sig Leverantören rätten att när som helst, utan ansvar och utan föregående meddelande till Kunden eller dess användare samt utan att behöva ange något skäl (i) avbryta eller avsluta Kundens eller dess användares åtkomst till hela eller delar av Tjänsten om Leverantören upptäcker eller misstänker att Kunden eller dess användare brutit mot detta Pilotavtal eller på annat sätt agerat i strid med lag samt (ii) radera samtliga eller delar av de uppgifter som Kundens och/eller dess användare lagrat i Tjänsten.

​

9 Särskilda bestämmelser för tjänster från tredje parter

Kunden får endast nyttja tredjepartsapplikationer och tjänster som tillhandahålls av tredje parter enligt de licensvillkor utgivna av produktleverantören som leverantören har hänvisat till. Leverantören ansvarar inte för fel eller intrång från tredjepartsapplikationer eller tredje parters tjänster eller produkter eller för den information som tredje parter publicerar, eller för deras handlingar eller försummelser.

10 Betalning

10.1 Ersättning sker per licens, för Leverantörens tillhandahållande av Tjänsten. Avgiften för tjänsten motsvarar 50% av  sessionsavgiften för remitterade klienter till Kunden. Betalning ska ske inom 30 dagar varje månad för föregående månads användning. Användningen baseras på det totala antalet patienter som har använt systemet under föregående månad. Användning definieras som en patientapplikation som har skapats och där inloggning har skett en gång. Betalning ska sk via e-faktura.  

10.2 om Kunden arbetar under vårdavtal med en region, eller agerar som offentlig vårdgivare, baseras priset på en prisanalys och en angiven offert baserat på denna prisanalys.

10.3 Om betalningen inte har tagits emot i slutet av innevarande månad, kommer åtkomsten till den licensierade produkten att stängas av tills betalningen tas emot. Alla utestående saldon de senaste 30 dagarna kommer att medföra en förseningsavgift på 8% per månad. Om betalning inte tas emot inom 60 dagar kan kontot överlämnas till en inkassobyrå och ytterligare inkassoavgifter kan tillkomma.

​

11 Immateriella rättigheter

11.1  Leverantören och Leverantörens licensgivare har samtliga rättigheter inklusive immateriella rättigheter till Tjänsten samt däri ingående programvaror. Inget i detta Avtal ska tolkas som att de rättigheter som nämns i denna punkt, eller andra rättigheter Leverantören äger, övergår från Leverantören till Kunden.

11.2  Rättigheter till material, såsom bland annat rapporter och intervjuer, som uppkommer i samband med pilotstudien ska avgiftsfritt tillfalla Leverantören.

​

12 Kunddata

12.1  I förhållandet mellan Leverantören och Kunden har Kunden samtliga rättigheter till Kundens Data.

12.2  Kunden ansvarar för, och ska hålla Leverantören skadelös för, att Kundens Data inte gör intrång i tredje mans rätt eller på annat sätt står i strid med gällande lagstiftning.

​

13 Loggfiler

13.1  Leverantören får föra logg över Tjänstens användning för de ändamål som anges i Bilaga 1 Personuppgiftsbiträdesavtal. Uppgifter från loggen får användas av Leverantören, för vad som krävs för Tjänstens utförande, för att utreda missbruk eller analysera intrång, lämna uppgifter till myndigheter, för statistiska ändamål, förbättring av Tjänsten eller andra ändamål som följer av Bilaga 3 Personuppgiftsbiträdesavtal.

13.2  Leverantören ska låta Kunden ta del av de uppgifter som Leverantören registrerar avseende användande av Tjänsten enligt ovanstående punkt.

14  Personuppgifter

Behandling av personuppgifter ska ske i enlighet med det av parterna tecknat personuppgiftsbiträdesavtal som framgår av Bilaga 1 Personuppgiftsbiträdesavtal.

​

15  Sekretess

15.1 Vardera Parten förbinder sig att inte utan motpartens medgivande till tredje man under avtalstiden eller under en tid av tre år därefter avslöja eller lämna ut någon information som mottagits från Leverantören, utan samtycke från denne. Detta inkluderar information om Tjänsten och Leverantörens verksamhet som rimligtvis kan vara av konfidentiell natur, inklusive sådana uppgifter om motpartens verksamhet som kan vara att betrakta som affärs- eller yrkeshemlighet eller uppgift som enligt lag omfattas av sekretess. Som affärs- eller yrkeshemlighet ska alltid betraktas sådan information som Part angivit vara konfidentiell. Sekretessåtagandet härunder ska inte omfatta konfidentiell information som Kunden kan visa (i) redan var känd för denne innan ingåendet av detta Pilotavtal, (ii) är eller har blivit allmänt känd på annat sätt än genom brott mot detta Avtal, (iii) Kunden har utvecklat självständigt utan användning av konfidentiell information. Detta sekretessåtagande gäller inte heller när endera Part är skyldig enligt lag eller domstols-/myndighetsbeslut att lämna ut sådan information.

15.2 Part ska genom sekretessförbindelse eller andra lämpliga åtgärder tillse att sekretess enligt ovan iakttas av dennes personal. Part ansvarar för att även eventuell underleverantör samt dennes anställda som deltar i uppdraget undertecknar en sekretessförbindelse av motsvarande innehåll.

16 Projektperioden och förtida upphörande
16.1 Detta Pilotavtal löper från och med accepterna av Avtalet. Ett ettårigt leverantörsavtal är i kraft, med automatiska förnyelser som sker på årsdagen. Avtalet har tre månaders uppsägningstid. I de fall någon Part väsentligen brutit mot villkoren i detta Avtal äger andra Parten rätt att säga upp Avtalet till omedelbart upphörande.

​

17 Tillämplig lag, tvist.

17.1  Svensk lag utan tillämpning av dess lagvalsregler ska gälla för Pilotavtalet.

17.2  Tvister som uppkommer i anledning av Tjänsten eller detta Avtal ska i första hand lösas genom förhandling i god tro mellan Parterna. Om tvisten inte kan avgöras genom förhandlingarna, ska tvisten slutligt avgöras genom skiljedomsförfarande administrerat av Stockholms Handelskammares Skiljedomsinstitut (SCC). Regler för Förenklat Skiljeförfarande ska tillämpas om inte SCC med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att Skiljedomsregler ska tillämpas. I sistnämnda fall ska SCC också bestämma om skiljenämnden ska bestå av en eller tre

skiljedomare. Skiljeförfarandets säte ska vara Stockholm och förfarandet ska ske på svenska.

​

Bilaga 1 - Personuppgiftsbiträdesavtal

​

DETTA PERSONUPPGIFTSBITRÄDESAVTAL (detta ”Biträdesavtal”) är träffat mellan:

1. [Bolag], organisationsnummer [organisationsnummer], [adress] (”Personuppgiftsansvarig”); och 

2. Zeeds App AB, organisationsnummer 559250-9359, Stationsgatan 23 753 40 Uppsala (”Personuppgiftsbiträde”).

Härefter enskilt benämnd en ”Part” och tillsammans benämnda ”Parterna”.

​

1. Bakgrund

1.1 Parterna har träffat ett avtal avseende Personuppgiftsbiträdets tillhandahållande av tjänster till Personuppgiftsansvarig, daterat den [datum] (”Huvudavtalet”). De tjänster som tillhandahålls enligt Huvudavtalet kommer att innebära att Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.

1.2 Detta Biträdesavtal reglerar den Personuppgiftsansvariges rättigheter och skyldigheter i egenskap av personuppgiftsansvarig och Personuppgiftsbiträdets rättigheter och skyldigheter i egenskap av personuppgiftsbiträde när Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning. 

1.3 Detta Biträdesavtal ska anses utgöra en del av Huvudavtalet. Om bestämmelserna i Huvudavtalet och detta Biträdesavtal är oförenliga, ska bestämmelserna i detta Biträdesavtal tillämpas och ges företräde.

2. Definitioner

2.1 Om annat inte framgår av Biträdesavtalet, ska begrepp som används i detta Biträdesavtal tolkas i enlighet med tillämplig dataskyddslagstiftning.

2.2 Definitioner som används i detta Biträdesavtal men som inte är definierade i detta Biträdesavtal ska tolkas i enlighet med Huvudavtalet. 

 

3. Bilagor

Specifikation över behandlingen av personuppgifter    Bilaga 1

På förhand godkända underbiträden        Bilaga 2

Tekniska och organisatoriska åtgärder        Bilaga 3

​

4. Behandling av personuppgifter

4.1 Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifter enligt dokumenterade instruktioner från den Personuppgiftsansvarige, såvida inte annat följer av tillämplig dataskyddslagstiftning. Den Personuppgiftsansvariges instruktioner till Personuppgiftsbiträdet om behandlingens föremål och varaktighet, behandlingens karaktär och ändamål, typ av personuppgifter och kategorier av registrerade anges uttömmande i detta Biträdesavtal och i Bilaga 1.

4.2 Den Personuppgiftsansvarige bekräftar att Personuppgiftsbiträdets skyldigheter enligt detta Biträdesavtal, inklusive Bilaga 1, utgör de fullständiga instruktioner som ska följas av Personuppgiftsbiträdet. 

4.3 Ändringar i den Personuppgiftsansvariges instruktioner ska förhandlas separat, inkludisve eventuella därav föranledda ändringar i Personuppgiftsbiträdets ersättning, och ska dokumenteras skriftligt och undertecknas av Parterna för att vara gällande. Den Personuppgiftsansvarige är skyldig att inte, utan sådan skriftlig överenskommelse, instruera Personuppgiftsbiträdet att behandla andra kategorier av personuppgifter, eller behandla personuppgifter om andra kategorier av registrerade, än de som anges i Bilaga 1.

4.4 Personuppgiftsbiträdet ska utan onödigt dröjsmål informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att en instruktion från den Personuppgiftsansvarige avseende behandlingen av personuppgifter strider mot tillämplig dataskyddslagstiftning.

4.5 Personuppgiftsbiträdet ska, i den utsträckning som krävs enligt tillämplig dataskyddslagstiftning och enligt den Personuppgiftsansvariges skriftliga instruktioner i varje enskilt fall, bistå den Personuppgiftsansvarige vid fullgörandet av dennes skyldigheter enligt tillämplig dataskyddslagstiftning.

​

5. Underbiträden och tredjelandsöverföringar

5.1 Den Personuppgiftsansvarige godkänner att Personuppgiftsbiträdet får anlita underbiträden inom och utanför EU/EES. Personuppgiftsbiträdet ska säkerställa att underbiträden är bundna av skriftliga avtal som ålägger dem samma skyldigheter i fråga om dataskydd som de som gäller enligt detta Biträdesavtal. Bilaga 2 innehåller en lista över på förhand godkända underbiträden från och med dagen för ikraftträdandet av detta Biträdesavtal. 

5.2 Om Personuppgiftsbiträdet avser att anlita ett nytt eller ersätta ett befintligt underbiträde för att behandla personuppgifter som omfattas av detta Biträdesavtal ska Personuppgiftsbiträdet i förväg informera den Personuppgiftsansvarige om detta och bereda denne möjlighet att framföra invändningar. Sådana invändningar ska ske skriftligen utan onödigt dröjsmål från det att den Personuppgiftsansvarige fått informationen från Personuppgiftsbiträdet. Personuppgiftsbiträdet ska förse den Personuppgiftsansvarige med den information som den Personuppgiftsansvarige skäligen kan begära för att bedöma om efterlevnad av skyldigheterna enligt detta Biträdesavtal och tillämplig dataskyddslagstiftning kan säkerställas om det föreslagna underbiträdet anlitas. Om efterlevnaden av dessa skyldigheter, enligt den Personuppgiftsansvariges befogade bedömning, inte möjliggörs genom det föreslagna underbiträdet och Personuppgiftsbiträdet trots den Personuppgiftsansvariges befogade invändning anlitar det föreslagna underbiträdet, har den Personuppgiftsansvarige rätt att säga upp Biträdesavtalet utan extra kostnad. Om invändningen inte är befogad har den Personuppgiftsansvarige inte rätt att säga upp Biträdesavtalet. 

5.3 Den Personuppgiftsansvarige godkänner att Personuppgiftsbiträdet överför personuppgifter utanför EU/EES. Om personuppgifter överförs till, eller om åtkomst möjliggörs från, plats utanför EU/EES, ska Personuppgiftsbiträdet säkerställa att det finns en laglig grund för överföringen enligt tillämplig dataskyddslagstiftning och att överföringen omfattas av lämpliga skyddsåtgärder, såsom EU-kommissionens modellklausuler. Den Personuppgiftsansvarige ger Personuppgiftsbiträdet fullmakt att för den Personuppgiftsansvariges räkning ingå EU-kommissionens modellklausuler med underbiträden.

6. Datasäkerhet och sekretess

6.1 Personuppgiftsbiträdet ska implementera de tekniska och organisatoriska åtgärder som anges i Bilaga 3 för att säkerställa skyddet av personuppgifterna.

6.2 Personuppgiftsbiträdet är skyldigt att fullgöra sina rättsliga förpliktelser avseende informationssäkerhet enligt tillämplig dataskyddslagstiftning och ska i samtliga fall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. 

6.3 Personuppgiftsbiträdet är skyldigt att säkerställa att endast sådan personal som behöver ha tillgång till personuppgifterna för att kunna fullgöra Personuppgiftsbiträdets skyldigheter enligt Huvudavtalet och detta Biträdesavtal får tillgång till sådana uppgifter. Personuppgiftsbiträdet ska säkerställa att sådan personal omfattas av en lämplig sekretessförbindelse. 

​

7. Utlämnande av personuppgifter och kontakter med myndigheter 

7.1 Personuppgiftsbiträdet förbinder sig att inte utan föregående skriftligt medgivande från den Personuppgiftsansvarige, lämna ut personuppgifter, eller på annat sätt göra personuppgifter som behandlas enligt detta Biträdesavtal tillgängliga för tredje part, om inte annat följer av svensk eller europeisk lag, myndighetsbeslut eller domstols dom eller beslut.

7.2 Om en registrerad begär information från Personuppgiftsbiträdet om behandlingen av personuppgifter som omfattas av detta Biträdesavtal ska Personuppgiftsbiträdet utan onödigt dröjsmål hänskjuta sådan begäran till den Personuppgiftsansvarige.

7.3 Om behörig myndighet begär information från Personuppgiftsbiträdet om behandlingen av personuppgifter som omfattas av detta Biträdesavtal ska Personuppgiftsbiträdet utan onödigt dröjsmål informera den Personuppgiftsansvarige om detta, om inte annat följer av svensk eller europeisk lag, myndighetsbeslut eller domstols dom eller beslut. Personuppgiftsbiträdet får inte handla för den Personuppgiftsansvariges räkning eller som ombud för denne, och får inte utan föregående medgivande från den Personuppgiftsansvarige överföra eller på annat sätt lämna ut personuppgifter som omfattas av detta Biträdesavtal eller andra uppgifter rörande behandlingen av sådana personuppgifter till tredje part, om annat inte följer av svensk eller europeisk lag, myndighetsbeslut eller domstols dom eller beslut. 

7.4 Om Personuppgiftsbiträdet i enlighet med svensk eller europeisk lag mottar en begäran om att lämna ut personuppgifter som omfattas av detta Biträdesavtal, ska Personuppgiftsbiträdet utan onödigt dröjsmål meddela den Personuppgiftsansvarige om detta, om annat inte följer av tillämplig lag, myndighetsbeslut eller domstols dom eller beslut.

​

8. Personuppgiftsincidenter

8.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident underrätta den Personuppgiftsansvarige.

8.2 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med den information som rimligen kan krävas för att uppfylla den Personuppgiftsansvariges skyldighet att anmäla personuppgiftsincidenter.

9. Granskning

9.1 Den Personuppgiftsansvarige ska, i egenskap av personuppgiftsansvarig, ha rätt att vidta nödvändiga åtgärder för att säkerställa att Personuppgiftsbiträdet kan fullgöra sina skyldigheter enligt detta Biträdesavtal och att Personuppgiftsbiträdet faktiskt har vidtagit de åtgärder som krävs för att säkerställa att dessa skyldigheter fullgörs. 

9.2 Personuppgiftsbiträdet förbinder sig att tillhandahålla den Personuppgiftsansvarige all information som krävs för att visa att de skyldigheter som följer av detta Biträdesavtal följs, samt att möjliggöra för och medverka till sådan granskning, inbegripet platsinspektioner, som genomförs av den Personuppgiftsansvarige eller av annan granskare som utsetts av den Personuppgiftsansvarige, under förutsättning att de personer som utför granskningen ingår lämpliga sekretessavtal. 

​

10. Ersättning

Personuppgiftsbiträdet har rätt till ersättning enligt Personuppgiftsbiträdets vid var tid gällande prislista för arbete som utförts med anledning av Personuppgiftsbiträdets skyldigheter i punkterna 4.5, 7, 8.2, 9 och 13 i detta Biträdesavtal.

​

11. Ansvarsbegränsning 

De ansvarsbegränsningar som anges i Huvudavtalet ska tillämpas för Personuppgiftsbiträdets ansvar enligt detta Biträdesavtal.

11. 1 Med beaktande av den ansvarsbegränsning som följer av Huvudavtalet, ska Personuppgiftsbiträdet ersätta och hålla den Personuppgiftsansvarige skadelös från kostnader, förluster och skador som drabbat den Personuppgiftsansvarige till följd av att Personuppgiftsbiträdet handlat i strid med detta Biträdesavtal eller tillämplig dataskyddslagstiftning. För undvikande av tvivel ska Personuppgiftsbiträdet inte i något fall vara ansvarig för kostnader hänförliga till att den Personuppgiftsansvarige har handlat i strid med detta Biträdesavtal, Huvudavtalet eller tillämplig dataskyddslagstiftning.

11.2 Eftersom Personuppgiftsbiträdet endast ska behandla personuppgifter i enlighet med den Personuppgiftsansvariges instruktioner, ansvarar Personuppgiftsbiträdet inte i de fall Personuppgiftsbiträdet har agerat enligt den Personuppgiftsansvariges instruktioner. Den Personuppgiftsansvarige ska ersätta och hålla Personuppgiftsbiträdet skadelös från kostnader, förluster och skador som drabbat Personuppgiftsbiträdet till följd av att Personuppgiftsbiträdet agerat enligt den Personuppgiftsansvariges instruktioner.

​

11. Avtalstid

Bestämmelserna i detta Biträdesavtal ska gälla så länge som Personuppgiftsbiträdet behandlar personuppgifter för vilka den Personuppgiftsansvarige är personuppgiftsansvarig. 

​

12. Åtgärder när personuppgiftsbehandlingen avslutats

12.1 När detta Biträdesavtal upphör ska Personuppgiftsbiträdet utan onödigt dröjsmål, enligt den Personuppgiftsansvariges skriftliga instruktioner, radera eller återlämna alla personuppgifter som behandlats enligt Biträdesavtalet, dock senast inom trettio (30) dagar efter mottagandet av den Personuppgiftsansvariges instruktioner, om inte lagring av personuppgifterna krävs enligt svensk eller europeisk lagstiftning. 

12.2 På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet utan onödigt dröjsmål bekräfta vilka åtgärder som har vidtagits avseende personuppgifterna, även om Huvudavtalet eller detta Biträdesavtal har upphört.

​

13. Ändringar i biträdesavtalet

Ändringar av, och tillägg till, detta Biträdesavtal ska för att vara bindande upprättas skriftligen och vara undertecknade av Parterna.

14. Tillämplig lag och tvistelösning

14.1 Detta Biträdesavtal ska tolkas och tillämpas i enlighet med svensk lag. 

14.2 Tvister som uppstår i anledning av detta Biträdesavtal ska slutligt avgöras i enlighet med bestämmelserna om tvistlösning i Huvudavtalet.

​

 

Bilaga 1

 

SPECIFIKATION ÖVER BEHANDLINGEN AV PERSONUPPGIFTER

 

Ändamål

 

Att tillhandahålla tjänster i enlighet med villkoren i Huvudavtalet.

Att göra det möjligt för vårdgivaren/den personuppgiftsansvarige att lämna ut applikationen för att öka följsamheten till behandlingen och möjliggöra för patienten att engagera sig i meningsfull vanebildning genom en applikation.

Att göra det möjligt för vårdgivaren/den personuppgiftsansvarige att analysera patientapplikationsdata för att öka följsamheten till behandlingen.

Kategorier av personuppgifter

​

☐ Namn

☐ Födelsedatum

☐ E-postadress

☐ Hälsa (fysisk och psykisk)

Detta inkluderar detaljerad information om patienternas/användarnas humör, värderingar och beteenden som samlas in via deras användning av applikationen, inklusive när de svarar på självreflekterande frågor.

☐ IMEI-nummer

☐ MAC-adress

☐ IP-adress

☐ Loggdata

Denna loggdata inkluderar teknisk information såsom patienternas/användarnas enheters IP-adress, enhetsnamn, operativsystemversion, konfigurationen av applikationen vid användandet av personuppgiftsbiträdets tjänst och applikation, tid och datum för deras användning av tjänsten och applikationen.

☐ Aktivitetsdata

Patienternas/användarnas aktivitet i applikationen inklusive deras användning och framsteg i applikationen.

☐ Enkät- och kundutvärderingsdata

Information från eventuella kundundersökningar och kundutvärderingar i vilka patienterna/ användarna valt att delta. 

Kategorier av registrerade

 

☐ Patienter och användare av tjänsten och applikationen

☐ Anställda och andra företrädare för vårdgivaren/den personuppgiftsansvarige

Behandlingsaktiviteter

 

Åtgärder som utförs på personuppgifterna som en del av att uppfylla ovan nämnda syften, oavsett om de är automatiserade eller inte, såsom insamling, inspelning, organisering, strukturering, lagring, anpassning, användning, avslöjande genom överföring, anpassning, kombination eller radering av personuppgifterna. 

Plats för behandling av personuppgifterna

​

Inom EU/EES och USA.

 

 

Bilaga 2

 

PÅ FÖRHAND GODKÄNDA UNDERBITRÄDEN

​

Hasura, Inc

Indien

Behandlar rådata för användare. Kryptering at transit gör enligt SSL certifikat. Kryptering at rest görs enligt AES 256 standard och hashing enligt SHA 256 standard.

Firebase, Inc (Google Cloud)

Irland

Underhållning av  notifikationer,  användarinloggnings- och krypteringstjänster. All kommunikation at transit sker enligt HTTPS-kryptering. Kryptering at rest görs enligt AES 256 standard och hashing enligt SHA 256 standard.

Amazon Web Servers, Inc 

Använda som plattform för att lagra, tillgängliggöra och underhålla användardata. AES 256 TLS kryptering sker at transit. Kryptering at rest görs enligt AES 256 standard och hashing enligt SHA 256 standard.

Europa-(Stockholm)

Samtliga på förhand godkända underbiträden innehar ISO/IEC 27001:2013 certifikat, eller  SOC 2 certifikat.

 

 

Bilaga 3

 

TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER

 

Åtgärder för att säkerställa en lämplig säkerhetsnivå

De tekniska och organisatoriska säkerhetsåtgärder som har implementerats av Personuppgiftsbiträdet (inklusive eventuella relevanta certifieringar) för att säkerställa en lämplig säkerhetsnivå, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter, beskrivs nedan.

1. Åtgärder för pseudonymisering och kryptering av personuppgifter

2. Åtgärder för att säkerställa kontinuerlig konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna

3. Åtgärder för att säkerställa förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident

4. Förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet

5. Åtgärder för användaridentifiering och behörighet

6. Åtgärder för skydd av uppgifter vid lagring

7. Åtgärder för att säkerställa fysisk säkerhet vid platser där personuppgifter behandlas

8. Åtgärder för att säkerställa loggar över händelser

9. Åtgärder för styrning och hantering av intern IT och IT-säkerhet

10. Åtgärder för att säkerställa uppgiftsminimering 

11. Åtgärder för att tillåta dataportabilitet och säkerställa radering

Alla patienter/användare av tjänsten och applikationen är identifierade genom ett unikt lösenord som de har skapat när de genomfört registreringen. De ges endast behörighet att få tillgång sina respektive skärmar/portaler, och kommer att nekas åtkomst till Administratörsportalen och övrig struktur för applikationen. 

Genom vår applikationsstruktur kommer patienter erbjudas möjlighet att anpassa sina uppgifter och ha flexibiliteten att tillåta specifika fält, attribut eller specifika uppgifter att auktoriseras och granskas av psykologer.

Patients personuppgifter krypteras enligt AES 256 standard, samt hashing enligt SHA 256 standard. 

Cloudfunktionalitet används för att kryptera och avkryptera personuppgifter mellan patient och psykolog. Endast systemansvarig för Leverantören har tillgång till cloudfunktionaliteten. De på förhand godkända underbiträden har ej möjlighet att avkryptera informationen utan åtkomst till nyckeln.

​

​

​

​

​