Hopp til innhold

Vi bruker kun nødvendige informasjonskapsler for innlogging og betaling – ingen sporing eller reklame. Les mer

MediVarselTilbake

Databehandleravtale

Sist oppdatert: 17. april 2026

1. Parter

Denne databehandleravtalen («Avtalen») inngås mellom:

Behandlingsansvarlig: Den virksomheten (apotek, legekontor e.l.) som oppretter et Pro-team-abonnement i MediVarsel og dermed gir sine ansatte tilgang til tjenesten («Behandlingsansvarlig»).

Databehandler: EDB Hagen, org.nr. 935 389 682, e-post: kontakt@medivarsel.com («Databehandler», operatør av MediVarsel).

Avtalen regulerer Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig i henhold til GDPR art. 28.

2. Formål og omfang

Databehandleren behandler personopplysninger utelukkende for å levere MediVarsel-tjenesten: varsling om legemiddelmangel til helsepersonell som Behandlingsansvarlig har gitt tilgang til via team-funksjonen.

Behandlingen skal ikke skje til andre formål enn det som følger av denne Avtalen og Behandlingsansvarliges til enhver tid gjeldende instrukser.

3. Kategorier av personopplysninger og registrerte

Registrerte: Ansatte helsepersonell (farmasøyter, apotekledere, fastleger) tilknyttet Behandlingsansvarliges virksomhet.

Kategorier av personopplysninger:

  • Navn
  • E-postadresse
  • Arbeidsplass og rolle
  • Abonnerte virkestoffer/ATC-koder (yrkesrelaterte preferanser)
  • Tidspunkt for innlogging og varselmottak

Det behandles ingen særlige kategorier av personopplysninger etter GDPR art. 9, og ingen pasientopplysninger.

4. Behandlingsansvarliges instrukser

Databehandleren skal kun behandle personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig. Disse instruksene fremgår av denne Avtalen og vilkårene for bruk av MediVarsel.

Dersom Databehandleren mener en instruks er i strid med gjeldende rett, skal Behandlingsansvarlig varsles uten ugrunnet opphold.

5. Databehandlerens plikter

Databehandleren forplikter seg til å:

  • Kun behandle personopplysninger i henhold til denne Avtalens formål og Behandlingsansvarliges instrukser.
  • Sikre at personer med tilgang til personopplysninger er underlagt taushetsplikt.
  • Iverksette egnede tekniske og organisatoriske sikkerhetstiltak i henhold til GDPR art. 32, herunder kryptering, tilgangsstyring og Row Level Security i databasen.
  • Bistå Behandlingsansvarlig med å ivareta de registrertes rettigheter (innsyn, retting, sletting, dataportabilitet).
  • Slette eller returnere alle personopplysninger etter at tjenesten opphører, med mindre lovpålagt lagringsplikt krever annet.
  • Stille til rådighet all informasjon som er nødvendig for å påvise at pliktene etter GDPR art. 28 overholdes, og legge til rette for revisjoner.

6. Underdatabehandlere

Behandlingsansvarlig gir generell godkjenning til bruk av følgende underdatabehandlere. Databehandleren skal varsle om vesentlige endringer i underdatabehandlerlisten.

LeverandørFormålLand / overføringsgrunnlag
Supabase (PostgreSQL)Lagring av brukerdata og mangellisteEU (AWS eu-north-1, Stockholm)
ResendUtsending av e-postvarslerUSA – SCC (Standard Contractual Clauses)
VercelHosting av applikasjon og APIUSA – SCC
StripeBetalingsbehandling og abonnementUSA – SCC / PCI-DSS

7. Sikkerhetstiltak

Databehandleren har iverksatt følgende tekniske tiltak:

  • HTTPS med TLS 1.2+ for all kommunikasjon
  • Kryptering av data i hvile (administrert av Supabase/AWS)
  • Row Level Security (RLS) — brukere har kun tilgang til egne data
  • JWT-basert autentisering med korte tokenlevetider
  • Tilgangsstyring: service-role-nøkkel kun i serverside-miljø
  • Rate limiting på API-endepunkter

8. Avvikshåndtering

Databehandleren skal varsle Behandlingsansvarlig uten ugrunnet opphold — og senest innen 24 timer — etter å ha fått kjennskap til et sikkerhetsbrudd som berører personopplysninger tilhørende Behandlingsansvarlig.

Varslet skal inneholde: beskrivelse av bruddet, berørte kategorier og antall registrerte, sannsynlige konsekvenser og iverksatte tiltak.

Behandlingsansvarlig er selv ansvarlig for eventuell videre varsling til Datatilsynet innen 72-timersfristen i GDPR art. 33.

9. Sletting og retur

Ved opphør av abonnementet slettes alle personopplysninger tilknyttet Behandlingsansvarliges organisasjon innen 30 dager, med mindre annen lovpålagt lagringsplikt gjelder. Behandlingsansvarlig kan be om eksport av data via «Last ned mine data»-funksjonen i kontoinnstillingene før sletting.

10. Revisjon

Behandlingsansvarlig kan, med rimelig varsel og for egen regning, gjennomføre revisjon av Databehandlerens behandlingsaktiviteter, eller kreve fremlagt dokumentasjon som godtgjør at pliktene overholdes.

11. Varighet

Avtalen gjelder så lenge Behandlingsansvarlig har et aktivt Pro-abonnement i MediVarsel og benytter team-funksjonen. Avtalen opphører automatisk ved avslutning av abonnementet, men sletteplikten i punkt 9 gjelder videre.

12. Kontakt og signatur

Digital aksept av denne avtalen — ved å klikke «Jeg aksepterer databehandleravtalen» i teamadministrasjonen — regnes som bindende signatur på vegne av Behandlingsansvarliges virksomhet. Tidspunkt for aksept og avtalens versjon loggføres.

EDB Hagen (Org.nr: 935 389 682)
E-post: kontakt@medivarsel.com