DATABEHANDLERAVTALE

Sist oppdatert: 07.09.2025

1. Om avtalen

Denne databehandleravtalen med vedlegg (heretter omtalt som “Avtalen”) inngås mellom Virksomheter (heretter kalt «Behandlingsansvarlig») som tilbyr Tjenester fra assistertselvhjelp.no og trigga.no videre til tjenestemottakere (heretter kalt «Sluttbrukere»), og Assistert Selvhjelp AS (heretter kalt «Databehandler»). Avtalen regulerer rettigheter og plikter mellom Dataansvarlig og Databehandler (heretter omtalt som “partene”) etter:

  • Lov om behandling av personopplysninger av 15.juni 2018 nr. 38 (personopplysningsloven);
  • Europaparlaments- og rådsforordning (EU) 2016/679 av 27.april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (General Data Protection Regulation) (heretter omtalt som “personvernforordningen”);
  • Lov om helseregistre og behandling av helseregistre av 20.juni 2014 nr. 43 (helseregisterloven);
  • Lov om behandling av helseopplysninger ved ytelse av helsehjelp av 20.juni 2014 nr. 42 (pasientjournalloven); og
  • Enhver lov, forskrift eller annet regelverk som endrer eller erstatter ovennevnte regler.

Ved motstrid mellom Avtalens regulering og de rammer som følger av personvernregelverket eller relevant helselovgining, viker Avtalens regulering. I tilfelle konflikt mellom denne Avtalen og Tjeneste/oppdragsavtalen, skal denne Avtalen gjelde.

Vedlegg til avtalen:

  • Vedlegg 1: Behandlingens formål, opplysninger og behandlinger
  • Vedlegg 2: Underleverandører
 

2. Definisjoner

Begrepene “personopplysninger”, “helseopplysninger”, “behandling”, “dataansvarlig”, “databehandler”, “brudd på personopplysningssikkerheten” og “helseopplysninger” skal forstås slik de er definert i personvernforordningen artikkel 4, helseregisterloven § 2 og pasientjournalloven § 2

3. Avtalens formål

Formålet med Avtalen er å sikre de registrertes rettigheter og partenes etterlevelse av artikkel 28 nummer 3 i personvernforordningen.

4. Omfang

Denne Avtalen kommer til anvendelse på all behandling av helse- og personopplysninger som Databehandler foretar på vegne av Dataansvarlig på grunnlag av Tjeneste/oppdragsavtalen.

Denne Avtalen vil i tillegg gjelde for ytterligere behandling av helse- og personopplysninger basert på eventuelle skriftlige avtaler mellom partene som inngås i løpet av denne Avtalens varighet og som innebærer at Databehandler behandler helse- og personopplysninger på vegne av Dataansvarlig (heretter omtalt som “senere skriftlige avtaler mellom partene”). 

5. Behandlingens formål, opplysninger og behandlinger

Formålet med og varigheten av behandling av helse- og personopplysninger, hvilke helse- og personopplysninger som behandles, kategorier av de registrerte og behandlingsaktiviteter er angitt i Vedlegg 1.

6. Rammene for behandling av helse- og personopplysninger

Dataansvarlig har til enhver tid full rådighet over de helse- og personopplysningene som Databehandler behandler etter denne Avtalen. Databehandler har ikke selvstendig råderett over helse- og personopplysningene, og kan ikke behandle disse til egne formål.

Dataansvarlig har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i helse- og personopplysningene som behandles hos Databehandleren.

7. Dataansvarliges plikter

Dataansvarlig skal etterleve de forpliktelser som følger av personvernregelverket, jf. personvernforordningen artikkel 24, relevant helselovgivning og annen særlovgivning, samt denne Avtalen.

Dataansvarlig er ansvarlig for at personvernprinsippene overholdes, jf. personvernforordningen artikkel 5, og skal blant annet sørge for at behandlingen av opplysninger er formålsbestemt og basert på et gyldig rettsgrunnlag.

8. Databehandlers plikter

8.1. Generelt
Databehandler forplikter seg til å behandle helse- og personopplysninger kun i samsvar med gjeldende regelverk, denne Avtalen, Tjeneste/oppdragsavtalen, Dataansvarliges dokumenterte instrukser og andre gjeldende avtaler mellom partene, samt “Norm for informasjonssikkerhet i helse- og omsorgssektoren”. Databehandler skal ikke ved noen handling eller unnlatelse, sette Dataansvarlig i en slik situasjon at Dataansvarlig bryter gjeldende regelverk som angitt i Avtalen punkt 1.

8.1.1 Databehandler skal ikke:
a. behandle helse- og personopplysninger for andre formål eller i større grad eller på annen måte enn det som følger av denne Avtalen, Tjeneste/oppdragsavtale og eventuelle senere skriftlige avtaler mellom partene;
b. behandle helse- og personopplysninger utover det som er nødvendig for å oppfylle Databehandlers forpliktelser i henhold til de til enhver tid gjeldende avtaler;
c. utlevere, overlate, overføre eller innhente helse- og personopplysninger i noen form til eller fra tredjepart på eget initiativ, med mindre det er lovpålagt eller det på forhånd er avtalt med Dataansvarlig eller Dataansvarlig har godkjent dette skriftlig;

8.1.2 Databehandler skal:
a. ha løpende kontroll på alle kategorier av behandlingsaktiviteter utført på vegne av Dataansvarlig, jf. personvernforordningen artikkel 30 nr. 2, jf. også
Vedlegg 1;
b. gi Dataansvarlig tilgang til og innsyn i helse- og personopplysninger som behandles hos Databehandleren på vegne av Dataansvarlig;
c. treffe alle rimelige tiltak for å bistå Dataansvarlig med å sikre at helse- og personopplysningene til enhver tid er korrekte og oppdaterte;
d. etablere rutiner for å slette opplysninger i henhold til instruks eller retningslinjer fastsatt av Dataansvarlig;
e. påse at samtlige personer som gis tilgang til personopplysninger som behandles på vegne av Dataansvarlig er kjent med denne Avtalen og gjeldende avtaler mellom partene, og er underlagt disse avtalenes bestemmelser;
f. gi Dataansvarlig nødvendig bistand slik at Dataansvarlig skal kunne oppfylle sine forpliktelser overfor de registrerte, herunder å svare på anmodninger fra den registrerte som vil utøve sine rettigheter fastsatt i personvernforordningen kapittel III;
g. uten ugrunnet opphold varsle den Dataansvarlige dersom Databehandler mener at en instruks er i strid med personvernforordningen eller andre bestemmelser om vern av personopplysninger;
h. bistå Dataansvarlig for å sikre overholdelse av forpliktelsene i personvernforordningen artiklene 35-36 som omhandler vurdering av personvernkonsekvenser og forhåndsdrøftinger med Datatilsynet;
i. Databehandler skal umiddelbart varsle Dataansvarlig hvis den mottar forespørsel fra en myndighet om å utlevere personopplysninger som er behandlet under Databehandleravtalen. Med mindre utleveringen er lovpålagt, skal Databehandler ikke etterkomme en slik forespørsel uten skriftlig forhåndsgodkjenning fra Dataansvarlig.

8.2. Tekniske, organisatoriske og sikkerhetsmessige tiltak
Databehandler plikter å treffe og gjennomføre alle tekniske, organisatoriske og sikkerhetsmessige tiltak slik at det til enhver tid er et sikkerhetsnivå som er egnet med hensyn til risikoen ved behandling av helse og personopplysninger.

Databehandleren skal, som minimum:

a. etablere og etterkomme nødvendige tekniske og organisatoriske tiltak med hensyn til vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet ved behandling av helse- og personopplysninger for å sikre tilfredsstillende informasjonssikkerhet i henhold til personvernregelverket, herunder kravene etter personvernforordningen artikkel 32, og gjeldende helselovgivning.
b. sikre at krav til innebygd personvern og personvern som standardinnstilling innfris i Databehandlers løsninger. Dette inkluderer å bygge inn funksjonalitet for å oppfylle personvernprinsipper samt funksjonalitet for å sikre den registrertes rettigheter, herunder retten til begrenset behandling;
c. ha rutiner for internkontroll;
d. ha rutiner for autorisasjon og styring som sikrer at bare de av Databehandlers medarbeidere som har tjenstlig behov for tilgang til systemer og opplysningene for å ivareta nødvendige oppgaver for gjennomføring av Tjeneste/oppdragsavtalen får slik tilgang. Tilgangsnivået skal være i henhold til tjenstlig behov knyttet til å gjennomføre oppdraget. Det skal etableres sterk autentisering for tilgang til helseopplysninger;
e. etablere nødvendige systemer og rutiner for å ivareta informasjonssikkerheten og følge opp avvik, som skal omfatte blant annet rutiner for avviksmelding, rutiner for backup, gjenoppretting av normalsituasjonen, fjerne årsaken til avviket og hindre gjentakelse. På forespørsel, skal Databehandler gi Dataansvarlig tilgang til relevant sikkerhetsdokumentasjon for behandling av helse- og personopplysninger;
f. avdekke, registrere, rapportere og lukke avvik knyttet til informasjonssikkerhet, herunder loggføre og dokumentere ethvert forsøk på ikke-autorisert tilgang og andre brudd på personopplysningssikkerheten i datasystemene. Slik dokumentasjon skal oppbevares hos Databehandler;
g. ved mistanke om eller konstatering av brudd på personopplysningssikkerheten, uten ugrunnet opphold varsle Dataansvarlig. I varselet opplyses avviket med forklaring om årsak, tidsrom og tidspunktet avviket ble oppdaget, kategoriene av og omtrentlig antall registrerte som er berørt, kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt, navnet på og kontaktopplysningene til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes, antatte konsekvenser av avviket og hvilke umiddelbare tiltak som er igangsatt eller vurderes igangsatt for å håndtere avviket. Dersom og i den grad det ikke er mulig å gi all informasjon samtidig, kan den gis trinnvis uten ytterligere ugrunnet opphold;
h. dokumentere ethvert avvik, herunder de faktiske forhold knyttet til avviket, dets virkninger og eventuelle iverksatte utbedringstiltak;
i. uten ugrunnet opphold varsle Dataansvarlig ved uautorisert utlevering av personopplysninger;
j. registrere all autorisert og uautorisert tilgang til opplysninger. Alle oppslag som gjøres skal registreres slik at de kan spores til den enkelte bruker (dvs. ansatte hos Databehandler, underleverandører og Dataansvarlig). Loggene skal oppbevares til det ikke lenger antas å være bruk for dem eller i henhold til det Avtalen eller Tjeneste/oppdragsavtalen spesifiserer;
k. bistå Dataansvarlig med å sikre overholdelse av forpliktelsene i personvernforordningen artiklene 32–34, herunder, men ikke begrenset til:
– sikkerhet ved behandlingen;
– melding til tilsynsmyndigheten om brudd på personopplysningssikkerheten;
– underretning av den registrerte om brudd på personopplysningssikkerheten;
l. varsle Dataansvarlig om forhold relatert til Databehandlers forpliktelser under Tjeneste/oppdragsavtalen som medfører eller kan anses å medføre svekkelse av informasjonssikkerheten;
m. innhente skriftlig godkjenning av Dataansvarlig før gjennomføring av enhver endring av databehandlingen hos Databehandler som har eller kan ha negativ betydning for informasjonssikkerheten ved behandlingen etter denne Avtalen.

Ved brudd på denne Avtalen eller på bestemmelsene i personvernregelverket, helselovgivningen eller annen relevant lovgivning kan Dataansvarlig kreve endringer i behandlingsmåten eller pålegge Databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.
Databehandler skal dokumentere sine rutiner og alle tiltak truffet for å oppfylle kravene angitt ovenfor. Denne dokumentasjonen skal på forespørsel gjøres tilgjengelig for Dataansvarlig.

9. Bruk av underleverandør

Dataansvarlig tillater at Databehandler benytter underleverandører for oppfyllelse av forpliktelsene under Avtalen. Databehandler benytter kun de underleverandører som er angitt i Vedlegg 2 for de der angitte tjenester.

Databehandler skal:
a. sikre at underleverandøren påtar seg tilsvarende forpliktelser som Databehandler selv er underlagt etter Avtalen og gjeldende lovgivning;
b. holde en oppdatert liste over identiteten til og stedlig plassering av underleverandører som angitt i Vedlegg 4 og hvor disse behandler personopplysninger. Oppdatert liste skal være tilgjengelig for Dataansvarlig;
c. gjennomføre en risikovurdering av bruk av underleverandør og betydningen for tjenesten før det inngås avtale med underleverandør og på Dataansvarliges forespørsel, dele vurderingen med Dataansvarlig;
d. på Dataansvarliges forespørsel, legge frem kopi av avtalen(e) som er inngått med underleverandørene (med unntak av merkantile betingelser). Slike avtaler skal senest være inngått før underleverandørene starter med behandling av helse- og personopplysninger;
e. underrette Dataansvarlig om eventuelle planer om å benytte andre underleverandører eller skifte ut underleverandører. Slike bytter skal varsles Dataansvarlig i god tid slik at denne gis mulighet til å motsette seg endringen. Ved bytte av underleverandør skal
Vedlegg 2 oppdateres og oversendes Dataansvarlig før ny underleverandør starter opp. Endringen føres også opp i Vedlegg 6;
f. sikre at Dataansvarlig og tilsynsmyndighetene har samme rett til innsyn og kontroll med behandling av personopplysninger hos en underleverandør som Dataansvarlig har overfor Databehandler etter Avtalens punkt 12;
g. ved opphør av Avtalen, sikre at underleverandører oppfyller plikten til å tilbakeføre, slette eller forsvarlig destruere alle helse- og personopplysningene og alle eventuelle kopier og sikkerhetskopier av opplysningene, slik som det framgår av Avtalens punkt 13.
Databehandler er til enhver tid fullt ut ansvarlig overfor Dataansvarlig for alt arbeid som utføres av underleverandører og for underleverandørenes etterlevelse av bestemmelsene i denne Avtalen.

10. Overføring av personopplysninger til utlandet

Partene i denne Avtalen er enige om at ingen av helse- og personopplysningene som behandles under denne Avtalen skal føres ut av Norge, med mindre det er særskilt avtalt mellom partene. I tillegg skal arkivverdige dokumenter med helse- og personopplysninger være plassert på servere i Norge (jf. arkivloven § 9 bokstav b), og eventuelle unntak fra dette skal godkjennes eksplisitt av Dataansvarlig før denne behandlingen starter.

Databehandler bekrefter at ingen av underleverandørene overfører helse- og personopplysninger som omfattes av denne Avtalen til utlandet, med unntak for slike overføringer som er angitt i Vedlegg 2. Dette omfatter også fjerntilgang fra utlandet.

Bruk av underleverandører som overfører helse- og personopplysninger til land utenfor EU/EØS (tredjeland) skal avtales skriftlig med Dataansvarlig på forhånd. Ved overføring av helse- og personopplysninger til land utenfor EU/EØS (tredjeland) skal Databehandler benytte godkjente EU-overføringsmekanismer.

Ved overføring til utlandet, uavhengig av om det er innenfor EU/EØS eller utenfor EU/EØS (tredjeland), skal Databehandler gi nødvendig dokumentasjon om sikkerhet, risiko og etterlevelsesnivå knyttet til aktuelle underleverandører slik at Dataansvarlig får nødvendig informasjon for å kunne gjennomføre en særskilt risikovurdering. Dataansvarlig kan nekte samtykke til den aktuelle overføringen basert på spesifikke risikoer som fremkommer av Dataansvarliges egen risikovurdering.

11. Taushetsplikt

Databehandlers ansatte og andre som opptrer på Databehandlers vegne i forbindelse med behandling av helse- og personopplysninger i henhold til denne Avtalen, Tjeneste/oppdragsavtale og senere skriftlige avtaler mellom partene, skal underlegges taushetsplikt etter denne Avtalen og gjeldende regelverk. Personer som er autorisert til å behandle helse- og personopplysningene forplikter seg til å behandle opplysningene fortrolig. Det samme gjelder eventuelle underleverandører.

Ansatte og andre som opptrer på Databehandlers vegne i forbindelse med behandling av helse- og personopplysninger skal ha undertegnet taushetserklæring. Bestemmelsen gjelder tilsvarende for underleverandører.

Databehandler skal påse at alle som behandler personopplysninger under Avtalen er kjent med taushetsplikten.
Partene har i tillegg taushetsplikt om konfidensiell informasjon knyttet til hverandres virksomhet, som er formidlet i forbindelse med oppdraget.
Partene plikter å ta de forholdsregler som er nødvendige for å sikre at materiale eller opplysninger ikke blir gjort kjent for andre i strid med dette punktet.
Taushetsplikten gjelder også etter Avtalens opphør.

12. Revisjon

Databehandler skal på forespørsel gjøre tilgjengelig for den Dataansvarlige, all informasjon som er nødvendig for å påvise at Databehandlers forpliktelser fastsatt i personvernforordningen artikkel 28 og denne Avtalen er oppfylt.

Databehandler skal muliggjøre og bidra ved inspeksjoner og revisjoner som gjennomføres av eller på oppdrag fra Dataansvarlig. Databehandler skal framlegge interne revisjonsrapporter, interne prosedyrer, rutiner, sikkerhetsarkitektur, risiko og sårbarhetsanalyser med tiltak og andre dokumenter av betydning for revisjonen;
Databehandler skal også muliggjøre og bidra ved inspeksjoner fra aktuelle tilsynsmyndigheter. Den Dataansvarliges tilsyn med eventuelle underleverandører skal skje gjennom Databehandleren med mindre annet er særskilt avtalt.

Dersom en revisjon avdekker avvik fra forpliktelsene i gjeldende personvernregler eller Avtalen, skal Databehandler uten ugrunnet opphold utbedre avviket. Dataansvarlig kan kreve at Databehandleren midlertidig stopper hele eller deler av behandlingsaktivitetene frem til utbedringen er godkjent av Dataansvarlig.

Hver av Partene dekker sine egne kostnader forbundet med inspeksjoner fra aktuelle tilsynsmyndigheter og inntil én årlig revisjon initiert av Dataansvarlig. Hvis en revisjon avdekker vesentlige brudd på forpliktelsene etter gjeldende personvernregler eller Avtalen, skal Databehandleren likevel dekke Dataansvarliges rimelige kostnader forbundet med revisjonen.

13. Varighet og opphør

Databehandleravtalen gjelder fra inngåelse av avtale og gjelder så lenge Databehandler behandler Personopplysninger på vegne av Behandlingsansvarlig.

I denne perioden gjelder Avtalen med mindre andre bestemmelser som regulerer Databehandlers behandling av Personopplysninger på vegne av Behandlingsansvarlig avtales mellom Partene.

Ved opphør av Avtalen skal Databehandler tilrettelegge for og medvirke til tilbakeføring av alle helse- og personopplysninger som Databehandler har mottatt og behandlet på vegne av Dataansvarlig. Partene avtaler nærmere hvordan overføring konkret skal skje.

Etter at alle opplysningene er overført til Dataansvarlig og bekreftet mottatt av denne, skal Databehandler irreversibelt slette eller forsvarlig destruere alle opplysningene og alle eventuelle kopier og sikkerhetskopier av opplysningene i sine systemer, med mindre annet regelverk krever at helse- og personopplysningene fortsatt lagres.

Benyttes delt infrastruktur der direkte sletting ikke er teknisk mulig skal Databehandler sørge for at data gjøres utilgjengelig inntil disse dataene er overskrevet av systemet.

Databehandler skal gi Dataansvarlig skriftlig bekreftelse på at opplysningene er overført og slettet som angitt over.

14. Endring av avtale

Avtalen er underlagt norsk rett. Tvister løses i samsvar med Tjeneste/oppdragsavtalens bestemmelser, herunder eventuelle bestemmelser om verneting.

15. Lovvalg, tvister og verneting

Avtalen er underlagt norsk rett. Tvister løses i samsvar med Tjeneste/oppdragsavtalens bestemmelser, herunder eventuelle bestemmelser om verneting.

Sist oppdatert: 07.09.2025

Sist oppdatert: 07.09.2025

VEDLEGG 1

A. Formålet med og varigheten av behandlingen(e)

Formålet 

Assistert Selvhjelp / Trigga: Sluttbrukere

Formålet med og varigheten av behandling av helse- og personopplysninger er å gi fagpersoner hos behandlingsansvarlig (Virksomheten) innsikt i Sluttbrukerens registreringer, slik at de kan gi en best mulig oppfølging. I praksis innebærer dette at fagpersonene – så lenge Sluttbrukeren benytter tjenesten under aktiv oppfølging og samtykker til å dele data – kan: 

  • følge fremdrift og bruk i forkant av avtaler 
  • tilpasse arbeidsmengde mellom oppfølgingstimer 
  • vurdere nytteverdi og effekt av oppfølgingen

Personopplysninger registreres primært av sluttbrukeren selv. I tillegg kan fagperson, alene eller sammen med Sluttbruker, registrere vurderinger, kartlegginger og kliniske observasjoner (herunder standardiserte skåringsverktøy). Registreringer som gjøres av fagpersonen – som interne notater (for eksempel uferdige vurderinger, hypoteser eller utkast som ikke er ment å deles).

Behandlingen er tidsbegrenset og opphører når Sluttbruker: 

  • selv sletter sine data i Innstillinger
  • blir anonymisert eller deaktivert av systemet, f.eks. ved manglende bruk (>12 mnd siden siste innlogging).

Assistert Selvhjelp / Trigga: Virksomheter og Fagpersoner

Formålet er å levere tjenesten i henhold til Tjenesteavtalen, herunder å identifisere, registrere og administrere brukere (Fagpersoner), samt yte nødvendig support. Dette omfatter behandling av personopplysninger som navn, kontaktopplysninger. 

Personnummer behandles kun dersom virksomheten eller fagpersonen benytter den valgfrie tilleggstjenesten for innlogging via HelseID eller ID-porten.

Behandlingen er tidsbegrenset og opphører når: 

  • virksomheten selv sletter tilgangen til ansatte 
  • avtalen med virksomheten avsluttes, og Assistert Selvhjelp fjerner tilgangen.

B. Behandling av helse- og personopplysninger

Følgende behandlinger omfattes av Avtalen: 

  • Innsamling: Opplysningene samles hovedsaklig inn ved at Sluttbruker selv registrerer data i Tjenesten (f.eks. svar på oppgaver, kartlegginger, evalueringer). I noen tilfeller kan det være fagpersonen som registrerer opplysningene på vegne av Sluttbrukeren.
  • RegistreringOpplysninger føres inn i systemet og knyttes til en pseudo-ID / brukertilgang. 
  • StruktureringOpplysningene organiseres i en relasjonsdatabase på en systematisk måte, slik at de kan håndteres sikkert og effektivt.
  • LagringOpplysninger lagres på sikre servere, og er tilgjengelig for sluttbruker og fagperson (dersom samtykke er gitt).
  • SammenstillingOpplysninger analyseres eller aggregeres (f.eks. utvikling over tid, statistikk til virksomhet, anonymiserte datasett til FHI)
  • Utlevering/overføring: Opplysninger deles kun når det er nødvendig – for eksempel til fagperson i virksomheten (etter Sluttbrukers samtykke), eller til underleverandører av driftstjenester (inkludert tofaktorinnlogging eller tekniske varslingstjenester dersom dette inngår i avtalen).
  • Sletting eller tilintetgjøring: Sluttbruker kan når som helst slette egne data via Innstillinger. Slettingen er endelig og gjelder både for fagpersoner og fra Assistert Selvhjelps databaser.

C. Typer av opplysninger

Følgende personopplysninger behandles: 

Virksomheter (kundeforhold): navn på virksomhet, organisasjonsnummer, kontaktperson, epost, telefonnummer mv.

Fagpersoner: fornavn og etternavn, arbeidsplass, stilling, telefonnummer og e-postadresse.

  • Ved innlogging via ID-porten eller HelseID registreres personnummeret direkte hos leverandøren som tilbyr innloggingstjenesten.
  • Hos Assistert Selvhjelp lagres personnummeret utelukkende i hashet form. Det finnes ingen situasjoner der den lagres eller behandles i klartekst.

Følgende særlige kategorier av personopplysninger: 

Sluttbrukere: opplysninger registrert i Tjenesten etter innlogging med unik kode (pseudo-ID), herunder:

  • svar/svarkategorier på oppgaver og kartlegginger (f.eks. symptomer på angst eller depresjon)
  • oversikt over gjennomgått innhold
  • scoringer og utvikling over tid
  • tekniske logger (dato/klokkeslett for innlogging, tidsbruk, nettleser/operativsystem, klikkstrøm-data)
  • evalueringer og tilbakemeldinger på bruk av Tjenesten

Anonymisering: Opplysninger regnes som anonyme når det ikke er mulig, med rimelige hjelpemidler, å identifisere enkeltpersoner. Når opplysninger er anonymisert, omfattes de ikke av personvernregelverket. Slike opplysninger kan benyttes til analyse og statistikk, inkludert utvikling over tid og evaluering av tjenesten. Det kan også utarbeides og deles anonymiserte datasett til Folkehelseinstituttet (FHI) for evalueringsformål.

D. Kategorier av registrerte

Følgende kategorier av personer behandles det opplysninger om (registrerte):

  • Sluttbrukere – personer som får tilgang til tjenestene (ofte kalt brukere / pasienter / klienter)
  • Fagpersoner – ansatte i virksomheter som benytter tjenestene til oppfølging av sluttbrukere
  • Kontaktpersoner i virksomheter – personer med ansvar for kundeforhold, bestilling og administrasjon (f.eks.ledere eller administrative kontaktpersoner)

VEDLEGG 2 – UNDERLEVERANDØRER

Serverleverandør

Nordlo Vennesla AS – Org.nr. 928 775 305
Hunsøya, PM5, 4700 Vennesla
Behandlingssted – Hovedserver: Norge (Vennesla)
Behandlingssted – Back-up server: Norge (Haugesund)

Valgfri opsjoner: 

1. HelseID

Norsk Helsenett (NHN) – 994 598 759
Abels gate 9, 7031 Trondheim
Behandlingssted: Norge (Trondheim)

Autentisering av helsepersonell og ansatte i virksomheter: Assistert Selvhjelp tilbyr innlogging via HelseID (forvaltet av NHN). Ved bruk av denne løsningen er NHN behandlingsansvarlig for de personopplysningene som behandles ved autentisering. Assistert Selvhjelp mottar nødvendige attributter i form av pseudonymiserte identifikatorer, og lagrer aldri personnummer i klartekst.

Innlogging for sluttbrukere via Helsenorge.no: Når fagpersonens innlogging med HelseID er aktivert, kan Sluttbrukere også få tilgang til Assistert Selvhjelp via Helsenorge.no. Også i dette tilfellet er NHN behandlingsansvarlig for opplysningene som behandles ved autentisering, men i dette tilfellet mottar Assistert Selvhjelp kun pseudonymiserte identifikatorer som gir tilgang til tjenesten.

2. ID-porten-innlogging 


Youwell AS – Org.nr 916 293 739

C. Sundts gate 17, 5004 Bergen
Behandlingssted: Norge (Østlandet)

Autentisering av fagperson/sluttbruker og SMS-varsling (sluttbrukere): Dersom fagpersoner benytter ID-porten, kan Sluttbrukere få tilgang til Assistert Selvhjelp ved å benytte ID-porten som innloggingsmetode. Ved bruk av denne løsningen er Youwell AS behandlingsansvarlig for opplysningene som behandles ved autentisering. Assistert Selvhjelp mottar kun nødvendige attributter i form av pseudonymiserte identifikatorer.

Overføring av personopplysninger til tredjeland (utenfor EU/EØS)

Som hovedregel behandles alle personopplysninger innenfor Norge/EU/EØS. Det finnes likevel ett begrenset unntak:

Assistert Selvhjelp benytter en ekstern utvikler bosatt i Tyrkia, med langvarig og fast tilknytning (>10 år), som i all hovedsak utfører utviklingsarbeid utenfor produksjonsmiljøet. Tilgang til produksjonsserver gis kun ved kritiske feil som ikke kan løses på annen måte. I slike tilfeller kan utvikleren i sjelden utstrekning behandle pseudonymiserte sluttbrukerdata eller begrensede opplysninger om fagpersoner (f.eks. navn og e-post). 

Valgfrie opsjoner:

  • Ved bruk av HelseID lagres personnummer utelukkende i hashet form hos Assistert Selvhjelp. Personnummer lagres aldri i klartekst («de-hashet»).
  • Ved bruk av ID-porten innlogging levert av Youwell AS, vil ingen personopplysninger nødvendig for autentisering på noe tidspunkt behandles av Assistert Selvhjelp. 

Behandlingsgrunnlag: GDPR art. 6 nr. 1 bokstav f (berettiget interesse), da tilgangen er nødvendig, forholdsmessig og tidsbegrenset for å sikre stabil drift og informasjonssikkerhet.

Overføringsgrunnlag:

  • EUs Standard Contractual Clauses (SCC, modul 3)
  • Supplerende tekniske, organisatoriske og kontraktsmessige tiltak
  • Gjennomført Transfer Impact Assessment (TIA) som dokumenterer lav risiko

Loggføring og kontrollrutiner:

  • All tilgang til produksjonsmiljø loggføres automatisk , slik at handlinger i produksjonsdatabasen kan spores til den enkelte utvikler.
  • Hendelsene dokumenteres i interne avvikssystemer, og gjennomgås av sikkerhetsansvarlig.
  • Tilgangen er alltid tidsbegrenset og opphører når feilen er rettet.

Sikkerhetstiltak ved IP-adresser:
For å beskytte mot sikkerhetshendelser (f.eks. tjenestenektangrep) kan det i svært sjeldne tilfeller være nødvendig å logge IP-adresser i klartekst for en kort periode. Slike IP-adresser behandles isolert fra øvrige data, lagres aldri utover det som er strengt nødvendig, og slettes umiddelbart etter bruk.
Dette støttes av GDPR art. 6 nr. 1 bokstav f (berettiget interesse), da behandlingen er nødvendig for å beskytte digital infrastruktur.

Øvrige underleverandører
Assistert Selvhjelp bekrefter at ingen andre underleverandører som er angitt i Personvernerklæringen overfører personopplysninger som omfattes av denne avtalen til tredjeland.