Juridisk

Databehandleravtale

Sist oppdatert 28. juni 2026

Når en tannklinikk tar i bruk TannlegenesKI, behandler vi personopplysninger på vegne av klinikken. Denne siden beskriver databehandleravtalen (DPA) etter personvernforordningen (GDPR) art. 28. Ved oppstart inngår vi en signert databehandleravtale med klinikken – kontakt oss på isak@tannlegeneski.no for å få den tilsendt.

1. Parter

Behandlingsansvarlig: tannklinikken som bruker tjenesten. Databehandler: TannlegenesKI (Natnael Seifo og Isak Wormsen).

2. Formål og omfang

Vi behandler personopplysninger for å levere KI-resepsjonisttjenesten: å besvare og rute anrop og chat, formidle beskjeder, og eskalere til klinikken når det trengs. Behandlingen skjer kun etter klinikkens dokumenterte instruks og for dette formålet.

3. Varighet

Avtalen gjelder så lenge tjenesteavtalen mellom partene løper, og opphører når tjenesten avsluttes.

4. Kategorier opplysninger og registrerte

Registrerte: pasienter og andre innringere, samt klinikkens ansatte. Opplysninger: navn, kontaktinformasjon, informasjon om time og henvendelse, og innhold i samtale eller chat.

Klinikken skal ikke instruere behandling av særlige kategorier opplysninger (herunder helseopplysninger) ut over det som er nødvendig for å håndtere en henvendelse. Tjenesten er ikke et journalsystem.

5. Databehandlers plikter

• Behandle personopplysninger kun etter behandlingsansvarliges dokumenterte instruks.
• Sikre at personer med tilgang er underlagt taushetsplikt.
• Bistå behandlingsansvarlig med å oppfylle pliktene etter GDPR art. 28 nr. 3.

6. Sikkerhet

Vi gjennomfører egnede tekniske og organisatoriske tiltak (GDPR art. 32), blant annet kryptering ved overføring, tilgangsstyring, logging og hendelseshåndtering. Vi legger til grunn prinsippene i Normen (Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren).

7. Underdatabehandlere

Vi bruker følgende underdatabehandlere, som behandlingsansvarlig samtykker til:

• Resend – levering av e-post.
• ElevenLabs – KI-stemme og tale.
• Vercel – hosting (EU, Frankfurt).

Vi varsler behandlingsansvarlig ved endring av underdatabehandlere, slik at klinikken kan protestere.

8. Overføring utenfor EU/EØS

Enkelte underdatabehandlere kan behandle opplysninger utenfor EU/EØS. Slik overføring baseres på EU-kommisjonens standardavtaler (SCC) og nødvendige tilleggstiltak i tråd med Schrems II.

9. Avvik og brudd på personopplysningssikkerheten

Blir vi kjent med brudd på personopplysningssikkerheten, varsler vi behandlingsansvarlig uten ugrunnet opphold, og senest innen 48 timer, slik at klinikken kan vurdere melding til Datatilsynet etter GDPR art. 33.

10. Den registrertes rettigheter

Vi bistår behandlingsansvarlig med å besvare henvendelser fra registrerte om innsyn, retting, sletting og øvrige rettigheter.

11. Revisjon og dokumentasjon

Vi gjør tilgjengelig informasjon som er nødvendig for å vise at pliktene etter GDPR art. 28 er oppfylt.

12. Sletting og retur ved opphør

Ved avslutning av tjenesten sletter eller returnerer vi personopplysningene, normalt innen 30 dager, med mindre lovpålagt lagring krever noe annet.

13. Lovvalg

Avtalen reguleres av norsk rett.

Spørsmål? Kontakt oss på isak@tannlegeneski.no.