ANVÄNDARAVTAL – MEDHELPS HÄLSOPLATTFORM MED AI VIA FORTNOX
Detta avtal (”Avtalet”) reglerar förhållandet mellan slutanvändare (”Slutanvändaren”) som har förvärvat nyttjanderätten till MedHelp Care Aktiebolag (publ) (”MedHelp”) produkt Hälsoplattform med AI (”Appen”), genom Fortnox Aktiebolags (”Fortnox”) marknadsplats för integrationer (”Fortnox App-market”).
1 BAKGRUND
1.1 Fortnox utvecklar och tillhandahåller internetbaserade program och tjänster inom ekonomi och adminstration. Fortnox förmedlar även andra produkter, så som Appen, via Fortnox App-market. Dessa produkter, som Appen, är utvecklade av annan part än Fortnox.
1.2 MedHelp utvecklar och tillhandahåller Appen – en digital plattform för hantering av sjukfrånvaro- och hälsodata för en slutanvändares anställda. Plattformen syftar till att, med hjälp av Artificiell Intelligens (AI), förebygga och förekomma ohälsa bland medarbetare hos slutanvändaren.
1.3 Slutanvändare är en kund till Fortnox som via Fortnox App-market, förvärvat nyttjanderätten till Appen utvecklad av MedHelp.
2 AVTALET OCH DESS BILAGOR
2.1 Slutanvändaren bereds tillgång att nyttja Appen på de villkor som framgår av detta Avtal. Detta Avtal godkänns och ingås som ömsesidigt förpliktande mellan Slutanvändaren och MedHelp (tillsammans benämnda ”Parterna”) i samband med att Slutanvändaren förvärvar nyttjanderätten till Appen genom Fortnox App-market.
2.2 I samband med Avtalet ingås även ett personuppgiftsbiträdesavtal, med vidhängande instruktion (”Personuppgiftsbiträdesavtalet”), mellan Parterna syftande till att reglera och fastställa villkoren för den personuppgiftsbehandling MedHelp utför på Slutanvändarens uppdrag.
2.3 MedHelp äger ensidigt rätt att ändra villkoren i Xxxxxxx. Sådan ändring träder i kraft en (1) månad efter det att MedHelp underrättat Slutanvändaren om ändringen. Om Slutanvändare motsätter sig ändringen ska detta meddelas MedHelp och i förekommande fall ska Slutanvändaren ha rätt att säga upp Avtalet med tillämplig uppsägningstid. Om ingen uppsägning kommer MedHelp tillhanda inom föreskriven tid, fortsätter Avtalet att löpa med de företagna ändringarna.
3 TILLGÄNGLIGGÖRANDE AV APPEN OCH ERSÄTTNING
3.1 Appen tillgängliggörs för Slutanvändaren genom anvisade instruktioner och med innehåll som beskrivs i specifikationen på Fortnox App-market.
3.2 Appen tillgängliggörs för Slutanvändaren omedelbart efter att Slutanvändaren har köpt Appen. Slutanvändare måste därefter vidta de steg
(self-onboarding) som krävs för att Appen ska uppnå den tilltänkta funktionaliteten.
3.3 Slutanvändaren ska erlägga ersättning motsvarande vid var tid gällande prislista vilken framgår av produktspecifikation på Fortnox App- market.
3.4 MedHelp överlåter till Fortnox rätten att fakturera Slutanvändaren för ersättningen för Appen. Slutanvändaren ska därför erlägga betalning till Fortnox i enlighet med av Fortnox utställd faktura.
4 SLUTANVÄNDARENS ÅTAGANDEN I ÖVRIGT
4.1 Slutanvändaren får en icke-exklusiv rätt att nyttja Appen i Slutanvändarens egen verksamhet. Slutanvändaren får låta uppdragstagare använda Appen för Slutanvändarens räkning.
4.2 Slutanvändaren får inte kopiera programvara som ingår i Appen. Ingenting i detta Avtal innebär, eller ska tolkas som att, Slutanvändaren eller Fortnox på något sätt erhåller en upphovsrätt eller att någon immateriell rättighet till Appen överlåts på Slutanvändare, Fortnox eller tredje part.
4.3 Slutanvändaren ansvarar för att tilldela relevant personal inloggningsuppgifter, behörigheter och ackrediteringar. Slutanvändaren ansvarar för att om sådan personal upphör vara anställd eller associerad till Slutanvändaren, återkalla inloggningsuppgifter, behörigheter och ackrediteringar.
4.4 Slutanvändaren loggar in på Appen genom antingen Svenskt BankID eller på annat anvisat sätt. Slutanvändaren ansvarar för att för att förvara och skydda inloggningsuppgifter till Appen och till tredjepartslösning för tvåfaktorautentisering, på ett sätt som omöjliggör för obehöriga att bereda sig tillgång till Appen.
4.5 Slutanvändare får endast använda Appen för de ändamål och på det sätt som anges i specifikationen på Fortnox App-market samt i enlighet med villkoren i detta Avtal.
4.6 Slutanvändaren garanterar att dokumentation, filer eller annan data som överförs till MedHelp genom Appen eller annars, är fri från skadlig kod eller programvara som t.ex. virus, trojaner, maskar eller liknande. Slutanvändaren ansvarar vidare för att dokumentation, filer eller annan data som överförs till MedHelp är i överenskommet format.
4.7 Slutanvändaren ansvarar för kommunikationen mellan denna och det allmänna elektroniskt kommunikationsnät där Appen tillgängliggörs (Anslutningspunkten). Kunden ansvarar vidare för
att Xxxxxx har den utrustning (dator och/eller telefon med anslutning till Apple App-store eller Google Play), eller annars den utrustning som uppenbarligen krävs för nyttjande av Appen.
5 MEDHELPS ÅTAGANDEN I ÖVRIGT
5.1 MedHelp ska tillhandahålla Appen genom att den ansluts till ett allmänt elektroniskt kommunikationsnät vid Anslutningspunkten. Appen ska under avtalstiden levereras med tillgänglighet vid Anslutningspunkten motsvarande Fortnox’s åtagande.
5.2 MedHelp får anlita underleverantör för fullgörande av leverans av Appen och andra åtaganden som följer av detta Avtal eller annat avtal mellan MedHelp å ena sidan och Fortnox å andra sidan. MedHelp ansvarar för underleverantörs arbete som om arbetet utförts av MedHelp själv.
5.3 MedHelp tillhandahåller support avseende användning av Appen samt möjligheten att göra felanmälan genom förutbestämda kanaler angivna i Appen.
6 ÄNDRING AV APPEN
MedHelp får utan föregående underrättelse till Fortnox och/eller Slutleverantören företa ändringar i Appen eller hur Appen tillhandahålls om det uppenbarligen inte kan innebära mer än en ringa olägenhet för Slutanvändaren och/eller Fortnox.
7 KUNDDATA
MedHelp har rätt att använda all information, som inte är personuppgifter, som Slutanvändaren genom användandet av Appen, delar med sig till MedHelp eller på annat sätt tillgängliggörs för MedHelp. Sådan data får användas i syfte att utveckla och förbättra Appen och MedHelps övriga tjänster. Denna MedHelps rätt består även efter detta Avtals upphörande.
8 REKLAMATION
Eventuella reklamationer avseende Appen eller funktionalitet ska göras till Fortnox genom meddelande till xxxxx@xxxxxxx.xx varefter dessa förmedlas till MedHelp.
9 BETALNING OCH FAKTURERING
9.1 I enlighet med vad som anges i punkten 3.4 har MedHelp till Fortnox upplåtit rätten att uppbära betalning för Appen från Slutanvändaren. Detta gäller intill dess annat meddelas av MedHelp.
9.2 Slutanvändaren ska således månadsvis erlägga betalning till Fortnox mot faktura utställd av Fortnox i enlighet med Fortnox’s betalnings- och faktureringsvillkor.
9.3 MedHelp äger rätt att efter meddelande därom, genomföra prisjusteringar. Prisjusteringen träder i kraft trettio (30) dagar efter att MedHelp meddelat Slutanvändaren.
9.4 Slutanvändaren är medveten om och accepterar att det kan tillkomma andra kostnader relaterade till Appens användning som inte faktureras av Fortnox utan av MedHelp eller tredje part enligt vid var tillfälle tillämpliga betalnings- och faktureringsvillkor.
9.5 Slutkunden har rätt till trettio (30) dagars öppet köp.
10 PARTERNAS ANSVAR
10.1 MedHelp är ansvarig gentemot Slutanvändare för alla krav och reklamationer som framställs från eller av Slutanvändare förutsatt att dessa är relaterade till Appen eller andra tillhandahållna tjänster. MedHelp garanterar att MedHelp innehar samtliga nödvändiga rättigheter, inklusive immateriella rättigheter, för att uppfylla sina skyldigheter gentemot Slutanvändare enligt detta Xxxxx.
10.2 Slutanvändaren ansvarar gentemot MedHelp för den skada som kan uppstå i anledning av Slutanvändarens användning (tillåten eller otillåten) av Appen. Rätt att uppbära ersättning för sådan skada har inte överlåtits till Fortnox.
10.3 Under alla omständigheter svarar Parterna inbördes endast för direkt skada (ej indirekt skada) och i alla avseende är ansvaret till beloppet begränsat till tolv (12) månaders ersättning för Appen.
11 AVTALETS UPPSÄGNING
11.1 Slutanvändare har rätt att säga upp detta Avtal och därmed upphöra med användningen av Appen genom skriftligt meddelande till MedHelp eller genom att avsluta prenumerationen i ”Mitt
abonnemang”. För uppsägningen gäller en uppsägningstid om en (1) månad från och med nästkommande månadsvisa fakturadag. Om Xxxxxxx inte sägs upp enligt vad som nu angivits, fortsätter Avtalet att löpa med samma tidsperiod som följer av Slutanvändarens avtal med Fortnox enligt Xxxxxxx’x tjänstevillkor.
11.2 Båda Parter har rätt att med omedelbar verkan säga upp Avtalet om den andra Parten har begått ett väsentligt avtalsbrott och inte vidtagit rättelse senast trettio (30) dagar efter skriftlig anmodan därom. Slutanvändaren har rätt till återbetalning för eventuell ersättning som erlagts i förskott förutsatt att Slutanvändaren är den som säger upp Avtalet med omedelbar verkan.
12 ÄNDRINGAR AV AVTALET
12.1 Ändringar av och tillägg till Avtalet är bindande endast om de är skriftliga och bekräftade av båda Parter.
13 TILLÄMPLIG LAG OCH TVIST
13.1 Svensk lag ska tillämpas på Avtalet.
13.2 Eventuella tvister mellan MedHelp och Slutanvändaren ska, om tvisteföremålet understiger 100 000 SEK, avgöras av Stockholms tingsrätt.
13.3 För det fall tvisteföremålet överstiger 100 000 SEK, ska tvisten slutligt avgöras genom skiljedomsförfarande administrerat av Stockholms Handelskammares Skiljedomsinstitut (SCC). Regler för Förenklat Skiljeförfarande ska tillämpas om inte SCC med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att Skiljedomsregler ska tillämpas. I sistnämnda fall ska SCC också bestämma om skiljenämnden ska bestå av en eller tre skiljedomare.
13.4 Sätet för skiljedomsförfarandet ska vara Stockholm och språket ska vara Svenska.
13.5 Skiljeförfarande som påkallats med hänvisning till denna skiljeklausul omfattas av sekretess. Sekretessen omfattar all information som framkommer under förfarandet liksom beslut eller skiljedom som meddelas i anledning av förfarandet. Information som omfattas av sekretess får inte vidarebefordras till tredje person utan den andra Partens samtycke. Sekretessåtagandet omfattar inte vidarebefordran av information som krävs enligt tvingande lag, domstols- eller myndighetsbeslut, för att tillvarata legitima legala intressen, eller för att verkställa, överklaga eller klandra en dom eller skiljedom.
BILAGA 1 – PERSONUPPGIFTSBITRÄDESAVTAL
Detta personuppgiftsbiträdesavtal (”PUB-avtalet”) reglerar förhållandet mellan slutanvändare (”Slutanvändaren”) som har tecknat avtal (”Avtalet”) med MedHelp Care Aktiebolag (publ) (”MedHelp”) rörande nyttjanderätten till produkten
Hälsoplattform med AI (”Appen”), genom Fortnox Aktiebolags (”Fortnox”) marknadsplats för integrationer (”Fortnox App- market”). PUB-avtalet utgör en bilaga till Avtalet och reglerar behandlingen av Personuppgifter under Avtalet.
”Datasskyddsförordningen” | avser Europaparlamentets och Rådets Förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). |
”Instruktionen” | avser de instruktioner som Slutanvändaren inom ramen för detta Avtal ger MedHelp. |
”Personuppgifter” | avser varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. |
”Personuppgiftsansvarig” | avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för Behandlingen av Personuppgifter; om ändamålen och medlen för Behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. |
”Personuppgiftsbiträde” | avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som Behandlar Personuppgifter för den Personuppgiftsansvariges räkning. |
1 BAKGRUND
1.1 Appen förutsätter till sin funktion att MedHelp behandlar personuppgifter rörande Slutanvändarens anställda. Syftet med behandlingen är för att Slutanvändaren, i dennes egenskap av arbetsgivare, genom datadrivna insikter och statistik ska kunna förbättra hälsan bland sina medarbetare och jobba proaktivt med arbetsmiljöfrågor.
1.2 I personuppgiftshänseende är därför Slutanvändaren att betrakta som Personuppgiftsansvarig för den behandling av personuppgifter som omfattas av Avtalet och PUB- avtalet. MedHelp är att betrakta som Personuppgiftsbiträde.
1.3 PUB-Avtalets syfte är att säkerställa de registrerades fri- och rättigheter vid behandlingen så som de framgår av Datasskyddsförordningen och därvid klargöra de skyldigheter MedHelp har gentemot Slutanvändaren vad berör behandlingen.
2 DEFINITIONER
Om inte omständigheterna tydligt utvisar annat ska definition eller begrepp som används i detta dokument ha nedan angiven betydelse och sådan definition eller begrepp som används i datasskyddsförordningen, och som inte angivits nedan, ska ha motsvarande definition som följer av artikel 41 i datasskyddsförordningen.
”Annat regelverk” | avser nationella lagar som från tid till annan är tillämpliga på Behandling av Personuppgifter (exkluderande Dataskyddsförordningen). |
”Behandling” | avser en åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. |
”Personuppgiftsincident” | avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats. |
”Registrerad” | avser den fysiska person i livet vars Personuppgifter Behandlas. |
3 DOKUMENT
3.1 PUB-Avtalet består av detta dokument vilket är bilagt till Avtalet samt den till PUB-Avtalet bilagda Instruktionen.
3.2 För det fall det finns motsägelser mellan detta dokument och Instruktionen ska detta dokument äga företräde, om inte annat är särskilt stadgat eller omständigheterna tydligt föranleder annat.
4 ÄNDAMÅL OCH TYP AV PERSONUPPGIFTER M.M.
I Instruktionen ska bl.a. framgå föremålet för Behandlingen, Behandlingens varaktighet, art och ändamål, typen av Personuppgifter och kategorier av Registrerade.
5 SLUTANVÄNDARENS ANSVAR
Slutanvändaren ansvarar för att det vid var tid finns laglig grund för Behandlingen och för att utforma korrekta Instruktioner med hänsyn till Behandlingens art och på så sätt möjliggöra för MedHelp att fullgöra sina åtaganden enligt detta PUB-avtal och Avtalet.
6 MEDHELPS ANSVAR Generellt
6.1 MedHelp förbinder sig att endast utföra Behandling i enlighet med PUB-Avtalet och för de specifika ändamål som anges i vid var tid gällande Instruktioner samt i enlighet med Datasskyddsförordningen. MedHelp ska vidare fortlöpande hålla sig ajour om gällande rätt på det relevanta rättsområdet.
6.2 MedHelp ska, med beaktande av behandlingens art, assistera Slutanvändaren genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Slutanvändaren kan fullgöra sin skyldighet att svara på begäran om utövande av de registrerades rättigheter i enlighet med kapitel III i Dataskyddsförordningen.
6.3 MedHelp ska omedelbart informera Slutanvändaren om XxxXxxx inte kan uppfylla sina skyldigheter enligt detta Avtal eller om XxxXxxx anser att en Instruktion som Slutanvändaren lämnat om Behandlingen av Personuppgifter skulle stå i strid med Dataskyddsförordningen eller Xxxxx
Regelverk, såvida inte MedHelp är förhindrad att lämna sådan information till Slutanvändaren enligt nämnda lagstiftning.
MedHelps personal
6.4 MedHelp, dess anställda och andra personer som utför arbete under MedHelps överinseende, och som får del av Personuppgifter tillhöriga Slutanvändaren, får endast Behandla dessa i enlighet med Instruktionen såvida denne inte är skyldig att göra det enligt unionsrätten eller svensk nationell rätt.
6.5 MedHelp ska tillse att dess anställda och samtliga övriga personer som MedHelp ansvarar för och som har behörighet att Behandla Personuppgifter som omfattas av detta PUB-Avtal åtagit sig att iaktta konfidentialitet (såvida inte denne person omfattas av en relevant och lämplig lagstadgad tystnadsplikt) samt att personalen har adekvat kännedom om Datasskyddsförordningen och dess regler.
Säkerhet
6.6 MedHelp ska vidta alla åtgärder avseende säkerhet som krävs enligt artikel 32 i Dataskyddsförordningen.
6.7 Med beaktande av typen av Behandling och den information som MedHelp har ska MedHelp bistå Slutanvändare med att se till att skyldigheterna kring säkerhet – på sätt som följer av artikel 32 i Dataskyddsförordningen – kan fullgöras.
6.8 Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som Behandling medför förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.
Personuppgiftsincident
6.9 MedHelp ska, med beaktande av typen av Behandling och den information som MedHelp har att tillgå, bistå Slutanvändaren med att tillse att skyldigheterna i samband med eventuell Personuppgiftsincident kan fullgöras på sätt som följer av artikel 33-34, i Dataskyddsförordningen.
6.10 MedHelp ska underrätta Slutanvändaren utan onödigt dröjsmål efter det att XxxXxxx fått vetskap om en Personuppgiftsincident samt i samband med underrättelsen och utifrån den information som är känd vid tillfället, avge en redogörelse för Personuppgiftsincidentens art och omfattning samt sannolik orsak och konsekvens. Om det ej är möjligt att avge en komplett redogörelse vid underrättelsetillfället får redogörelsen kompletteras i efterhand i takt med att kännedomen om Personuppgiftsincidenten förbättras.
Konsekvensbedömning och förhandssamråd
6.11 MedHelp ska, med beaktande av Behandlingens art och den information som är tillgänglig för MedHelp, bistå Slutanvändaren med att uppfylla dennes eventuella skyldigheter för utövandet av konsekvensbedömning och/eller förhandssamråd med tillsynsmyndighet enligt artikel 35 och 36 Dataskyddsförordningen.
7 INSTRUKTIONEN
7.1 MedHelp får endast Behandla Personuppgifterna som omfattas av Avtalet enligt detta PUB-avtal och på de dokumenterade Instruktionerna.
7.2 Slutanvändaren har rätt att uppdatera Instruktionen från tid till annan. För undvikande av oklarhet äger MedHelp inte någon rätt till ersättning i fall av förändrad Instruktion förutsatt att den förändrade Instruktionen inte kräver att MedHelp helt eller delvis förändrar sitt produktutbud eller att MedHelp ska införa åtgärder för teknisk- och organisatorisk säkerhet som går utöver de som anses ge Personuppgifterna ett adekvat skydd.
8 UNDERBITRÄDE
8.1 MedHelp har inte rätt att anlita underbiträde för att utföra arbetet enligt PUB-Avtalet utan att först ha inhämtat Slutanvändarens skriftliga godkännande. Slutanvändaren lämnar genom PUB- Avtalet MedHelp ett generellt skriftligt förhandstillstånd att anlita underbiträde men på villkor som framgår av nedan.
8.2 MedHelp ska informera Slutanvändaren inför anlitandet av ett nytt underbiträde alternativt om ett existerande underbiträde ska bytas ut mot annan. Slutanvändaren har endast rätt att invända mot en nytt sådant underbiträde om denne har objektivt godtagbara skäl för invändningen. Invändningen är då att betrakta som en uppsägning varvid Xxxxxxxx bestämmelser ska äga tillämpning.
8.3 MedHelp ska tillse att sådant underbiträde ingår ett skriftligt personuppgiftsbiträdesavtal innan underbiträdet påbörjar arbete. Ett sådant personuppgiftsbiträdesavtal ska innehålla minst de åtaganden och skyldigheter som följer av PUB- Avtalet. Underbiträdet ska i sådant personuppgiftsbiträdesavtal ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i Dataskyddsförordningen.
8.4 Om underbiträdet inte fullgör sina skyldigheter ska MedHelp vara fullt ansvarig gentemot Slutanvändaren för utförandet av underbiträdets skyldigheter samt att MedHelp alltid svarar för underbiträdet som för eget arbete och egna åtaganden och skyldigheter.
9 ÖVERFÖRING TILL TREDJE LAND
MedHelp får endast förflytta, förvara, överföra eller på annat sätt Behandla Personuppgifter
tillhöriga Slutanvändaren utanför EU/EES om Slutanvändaren i förväg gett sitt skriftliga samtycke. En överföring till tredje land förutsätter även att MedHelp, innan överföring till tredje land påbörjas, uppfyller de krav och åtgärder som följer av Dataskyddsförordningen eller Annat Regelverk vad avser tredjelandsöverföringar.
10 BEGÄRAN FRÅN REGISTRERAD
10.1 I de fall en Registrerad eller annan tredje man begär information från MedHelp avseende Behandling av Personuppgifter som tillhör Slutanvändaren ska MedHelp hänvisa sådan Registrerad eller annan tredje man till Slutanvändaren i första hand varefter MedHelp därefter ska vara Slutanvändaren behjälplig att fullfölja sådan begäran.
10.2 Om myndighet begär ut sådana uppgifter som följer av punkt 11.1 ska MedHelp omedelbart meddela Slutanvändaren om begäran och MedHelp och Slutanvändaren ska i samråd komma överens om lämpligt tillvägagångssätt.
11 BEGÄRAN FRÅN REGISTRERAD
För det fall den Slutanvändaren begärt rättelse eller radering på grund av dennes felaktiga Behandling ska MedHelp vidta lämplig åtgärd utan onödigt dröjsmål, senast inom trettio (30) dagar, från det att MedHelp mottagit erforderlig information från Slutanvändaren. När Slutanvändaren begärt rättelse eller radering får MedHelp endast utföra Behandling av den aktuella Personuppgiften som ett led i processen för rättelse eller radering.
12 RÄTT TILL INSYN
MedHelp ska ge Slutanvändaren tillgång till den information som krävs och är nödvändig för att Slutanvändaren ska kunna försäkra sig om att de skyldigheter som följer av detta Avtal och Dataskyddsförordningen (i synnerhet artikel 28 i nämnda förordning) efterföljs. MedHelp ska vidare möjliggöra och bidra till granskningar som genomförs av Slutanvändaren eller av en tredje part som bemyndigats av Slutanvändaren. Sådana granskningar ska bekostas av Slutanvändaren.
13 ERSÄTTNING
MedHelp har rätt till skälig ersättning för åtgärder eller liknande som denne vidtar avseende Behandling av Personuppgifter som går utöver vad som framgår av Avtalet eller PUB-avtalet.
14 ANSVAR
14.1 Part ska ersätta den andra Parten för skada som denne eller tredje part (såsom Registrerad) åsamkas med anledning av Parts Behandling av Personuppgifter i strid med PUB-Avtalet, Dataskyddsförordningen eller Annat Regelverk och på sätt som följer av Dataskyddsförordningen eller Annat Regelverk.
14.2 Eventuell ansvarsbegränsning i annat avtal mellan Parterna gäller inte i förhållande till Behandling som omfattas av detta Avtal.
15 PUB-AVTALETS UPPHÖRANDE
15.1 När MedHelp upphör med Behandling av Personuppgifter för Slutanvändarens räkning ska MedHelp återlämna alla Personuppgifter till Slutanvändaren på sätt som Slutanvändaren meddelar alternativt – om Slutanvändaren meddelar så skriftligen – förstöra och radera alla Personuppgifter som har anknytning med PUB- Avtalet. Detta PUB-Avtal ska gälla även om annat avtal mellan Parterna upphör och tillsvidare till dess att MedHelp och eventuella underbiträden anlitade av MedHelp upphört med att behandla Personuppgifter för Slutanvändarens räkning.
15.2 Efter Avtalets och/eller PUB-avtalets upphörande ska MedHelp Behandla Personuppgifterna i enlighet med Slutanvändarens instruktion vilken antingen kan vara radering eller återlämning av Personuppgifter. MedHelp har rätt att radera Behandlade Personuppgifter inom tre (3) månader från PUB-Avtalets upphörande såtillvida Slutanvändaren inte dessförinnan avgett meddelande om annat. MedHelp är skyldig att radera Behandlade Personuppgifter senast efter sex (6) månader från PUB-avtalets upphörande.
16 ÖVERLÅTELSE AV AVTAL
16.1 Part har inte rätt att helt eller delvis överlåta sina rättigheter och/eller skyldigheter enligt Xxxxxxx utan den andra Partens skriftliga i förväg lämnade godkännande.
17 TILLÄMPLIG LAG OCH TVIST
17.1 Lagval och tvistelösning ska gälla så som angivet i Avtalet.
1 BAKGRUND
BILAGA 1A – INSTRUKTIONER TILL PERSONUPPGIFTSBITRÄDE
MedHelp ska för Slutanvändarens räkning
Denna underbilaga utgör Slutanvändarens skriftliga Instruktion till MedHelp i enlighet med vid var tid mellan parterna gällande personuppgiftsbiträdesavtal avseende MedHelps Behandling av Personuppgifter på uppdrag av Slutanvändaren under Xxxxxxx och PUB-avtalet.
Termer med versal begynnelsebokstav ska ha samma definierad mening som framgår av PUB- Avtalet om det inte framgår uttryckligen, av omständigheterna eller sammanhanget att termer ska ha annan definition eller innebörd.
Syftet med Instruktionen är att fastställa i) vilken typ av Behandling MedHelp får genomföra, ii) vilka kategorier av Personuppgifter som MedHelp får Behandla, iii) att fastställa under vilka förutsättningar MedHelp ska och får Behandla Personuppgifter, iv) vilka säkerhetskrav som gäller för Behandlingen samt v) vilka underbiträden som får anlitas för Behandlingen.
2 KONTAKTPERSONER
MedHelps datasskyddsombud nås alltid på e- mailadressen xxxxxxx@xxxxxxxxxxx.xxx.
3 ÄNDAMÅL MED BEHANDLINGEN MedHelp tillhandahåller en plattform för
analysering av frånvaro som med stöd av artificiell intelligens kan identifiera riskfyllda frånvaromönster. MedHelps hälsoplattform stödjer arbetsgivare med dokumentation och beslutsstöd. Identifieringen av mönster åstadkoms genom dels regelbaserat urval, dels profilering men inget automatiskt beslutsfattande sker inom ramen för identifieringen. Hälsoplattformen (med närmare beskrivning i Huvudavtalet med bilagor) benämns i det följande som ”Produkterna”.
MedHelp erbjuder Produkterna till Slutanvändaren inom ramen för ett samarbete med Fortnox.
Samarbetet är uppbyggt som så att MedHelps Produkter erbjuds till Slutanvändaren i kombination med Fortnox’s tjänster varvid
MedHelp kan komma att från Fortnox, som båda är självständiga Personuppgiftsbiträden till Slutanvändaren i detta avseende, erhålla personuppgifter till fullgörande av MedHelps förpliktelser gentemot Slutanvändaren enligt Xxxxxxx. Slutanvändaren i fråga är en arbetsgivare som använder MedHelps Produkter i syfte att främja sina anställdas hälsa.
I personuppgiftshänseende är Slutanvändare att betrakta som Personuppgiftsansvarig för den Behandling av Personuppgifter som omfattas av det Avtalet och PUB-avtalet. MedHelp är därvidlag att betrakta som ett Personuppgiftsbiträde till Slutanvändaren.
Behandla de Personuppgifter som är nödvändiga för att MedHelp ska kunna uppfylla sina förpliktelser i enlighet med Avtalet och PUB-avtalet och för att MedHelp ska kunna leverera Produkterna till Slutanvändaren. Endast Behandling som syftar till att nå ändamålet får ske. Ändamålet med Behandlingen är slutligt att MedHelp ska kunna administrera Produkterna och att Slutanvändaren och Slutanvändarens medarbetare ska kunna använda Produkterna.
4 KATEGORIER AV REGISTRERADE
Följande kategorier av registrerade Behandlas:
- Anställda hos Slutanvändaren
5 KATEGORIER AV PERSONUPPGIFTER
Följande kategorier av Personuppgifter kan Behandlas:
- Namn
- Kön
- Kontaktuppgifter
- Personnummer och
- Anställningsuppgifter, organisatorisk tillhörighet, anställningstyp och yrkestillhörighet.
6 SÄRSKILDA KATEGORIER AV PERSONUPPGIFTER
Följande kategorier av särskilda Personuppgifter kan Behandlas:
- Uppgifter om hälsa.
7 BEHANDLINGENS VARAKTIGHET
Personuppgifter Behandlas för den tid som Avtalet eller specifikt Avropsavtalet gäller mellan MedHelp och Slutanvändaren beroende på vilket avtal som gäller längst. Efter det att Avtalet upphört har XxxXxxx rätt att som tidigast inom tre månader radera Personuppgifter och är skyldig att inom senast sex månader radera Personuppgifterna.
MedHelp får ej radera Personuppgifter för Slutanvändarens räkning om inte MedHelp erhåller uttryckliga och specifika instruktioner därom. Det är slutligen Slutanvändaren som ansvar för att löpande radera och gallra Personuppgifter som inte längre är nödvändiga för att uppnå det ändamål för vilket de samlats in.
Processen för radering av Personuppgifter hanteras av Slutanvändarens utsedda företagsadministratörer som via MedHelps plattform, kan välja att radera Personuppgifter manuellt eller genom att aktivera automatisk radering baserat på angivna parametrar.
8 ÖVERFÖRING TILL TREDJE LAND
Det åligger MedHelp att, utöver vad som framgår av Xxxxxxx, Datasskyddsförordningen eller Annan Reglering, gentemot underbiträden vilka kan komma att överföra Personuppgifter till tredje land, kravställa och implementera EU kommissionens standardavtalsklausuler för överföring till tredje land om det ifrågavarande landet inte omfattas av ett adekvansbeslut fattat av EU kommissionen.
Detta är ett led i att vidta de ytterligare säkerhetsåtgärder som krävs för att säkerställa att en adekvat skyddsnivå för Personuppgifterna uppnås.
9 INFORMATIONSSÄKERHET
Samtliga medarbetare hos MedHelp som Behandlar Personuppgifter ska vara medvetna om betydelsen av informationssäkerhet och även ha adekvata kunskaper för att kunna bevara en säker informationsmiljö.
MedHelp ska ha en implementerad rutin för att identifiera hot och risker avseende informationssäkerhet och Behandling av Personuppgifter inom verksamheten och inom varje enskilt informationssystem. Rutinen ska användas exempelvis vid förändringar eller nyinförande av teknik. MedHelp ska utföra systematisk och strukturerad riskanalys av de av MedHelp tillämpade tekniska och organisatoriska säkerhetsåtgärderna i syfte att kontinuerligt identifiera och därefter hantera risker. MedHelp ska ha en etablerad incidenthanteringsplan som i händelse av incident aktiveras. Det är viktigt att informationsförsörjningen är säker, effektiv och bidrar till ett ökat skydd. Potentiella händelser som kan leda till negativa konsekvenser ska så långt som möjligt förebyggas.
MedHelps informationssäkerhetsarbete ska innefatta säkerhetsåtgärder beträffande informationstillgångar nödvändiga för förmågan att upprätthålla konfidentialitet, riktighet och tillgänglighet (även ansvarighet och oavvislighet).
Informationssäkerheten vid MedHelp ska åtminstone innefatta följande åtgärder:
• Fysisk säkerhet som handlar om att skydda informationen mot fysiska angrepp såsom stöld och manipulering samt säkerhet för personal.
• Organisatorisk säkerhet som handlar om hur informationen administreras, samt hur produktion och vidareutveckling ska bedrivas.
• Teknisk säkerhet som innefattar alla åtgärder som tas till hjälp för att lösa
säkerhetsproblem eller störningar i system med information.
MedHelp ska som minst uppfylla följande krav: Åtkomststyrning
MedHelp ska tillse att endast behörig personal kan komma åt Personuppgifter genom att skydda Personuppgifterna med åtkomstkontroll. Antalet personer som ges priviligierade (höga) rättigheter att administrera system ska begränsas.
Autentisering och lösenordshantering
MedHelp ska stödja flera autentiseringsmetoder. Slutanvändaren erbjuds möjligheten att välja vilken inloggningsmetod som ska gälla för deras personal. Såväl MedHelp som Slutanvändaren ska instruera sin respektive personal att inloggningsuppgifterna ska förvaras som en personlig värdehandling.
MedHelp rekommenderar att kunden använder en multifaktorsautentisering.
Autentiseringsmetoderna som stöds är följande:
I. Användarnamn och lösenord
II. BankID
III. Engångslösenord med kod skickat till mobil (arbete) eller till e-postadress (arbete)
IV. Via Office 365 där Slutanvändaren kan konfigurera tvåfaktorsautentisering för användningen av Office 365. MedHelp kan dock inte kontrollera eller verifiera om Slutanvändarens Office 365 är kompatibelt och stödjer autentisering på detta sätt.
MedHelps personal instrueras att hantera och förvara lösenord som en personlig värdehandling (motsvarande PIN-kod till sitt personliga bankomatkort) med försiktighet och att inte använda lösenord som med lätthet kan knäckas (minst nio tecken, blandat gemener, versaler samt specialtecken). Lösenord ska bytas med given periodicitet och personalen instrueras att logga ut från sina datorer när de inte används.
Begränsad extern åtkomst
MedHelp ska tillse att MedHelps datasystem är skyddade från extern åtkomst genom tekniska lösningar såsom säkra kommunikationskanaler, brandvägg och inloggningskontroll.
Säkerhetskopiering
MedHelp ska framställa säkerhetskopior av den information som lagras i MedHelps centrala system minst en gång per dygn. Säkerhetskopian ska förvaras utanför MedHelps lokaler.
Fysisk säkerhet
MedHelps IT-utrustning innehållande informationsbehandlingsresurser ska vara skyddade från obehörig åtkomst utifrån genom lås,
larm och andra fysiska säkerhetsåtgärder som MedHelp finner lämpliga.
Loggning
MedHelp ska föra loggar över de Behandlingar som sker i samband med att MedHelp genomför åtgärder enligt Avtalet. MedHelp ska säkerställa att all applicerbar access loggas, och är spårbar ned till individnivå
Virusskydd
MedHelp ska tillse att MedHelps datasystem är skyddat mot illasinnad programvara såsom virus genom exempelvis programvara som skyddar MedHelps datasystem från skadlig kod.
Nätverkskommunikation
MedHelp ska tillse att dataöverföring och kommunikation till tredje part är skyddad genom exempelvis kryptering, säkra överföringsprotokoll eller liknande åtgärder som är lämpliga för att skydda informationen från obehörig åtkomst vid transferering.
10 BEHÖRIGHETER
Slutanvändaren ansvarar för administrationen av den egna personalens behörigheter till portalen. Behörigheten kan hanteras både manuellt och via fil om överföringen är uppsatt.
11 UNDERBITRÄDEN
Vid tiden för Avtalets ingående har Slutanvändaren, i enlighet med Xxxxxxx, godkänt att MedHelp använder nedanstående underbiträden.
MedHelp redovisar de vid var tid aktiva och således godkända underbiträdena i plattformen.
Slutanvändaren bekräftar att information avseende MedHelps underbiträden är att betrakta som konfidentiell information och förbinder sig till att inte utan MedHelps medgivande, till tredje man under avtalstiden eller under en tid av tre år därefter lämna ut sådana uppgifter. Detta ska dock inte hindra Slutanvändaren från att till tredje man delge information avseende underleverantörerna om Slutanvändaren åläggs en sådan skyldighet enligt avtal, lag, dom eller myndighetsbeslut.
Underbiträden till MedHelp
Underbiträde |
Xxx.xx |
Behandlingens ändamål | Behandlar följande Personuppgifter | Plats för Behandling |
Zignsec AB (publ) | 559061-5261 | Meddela information om frånvaro via SMS-utskick samt möjliggörande av tvåfaktorautentisering.
(Xxxxxx ersätta underbiträdena Generic Mobile Systems Sweden AB och Svensk E-identitet AB under 2024) | • Förnamn • Efternamn • Personnummer • Telefonnummer | EU |
MedHelp Sjukvårdsrådgivning AB | 556587-1448 | Hantering av inkommande och utkommande samtal mellan sjuksköterska och den som konsumerar tjänsten. Under processen är Personuppgifter hanterade i specifika applikationer i syfte att dokumentera, vägleda och stötta sjuksköterskan i rådgivningsprocessen samt, om tillämpligt, registrera sjukanmälan. | Personuppgifter • Förnamn • Efternamn • Adress • Epost • Telefonnummer • Personnummer • Anställningsuppgifter
Specifika kategorier av Personuppgifter • Hälsodata | Sverige |
Generic Mobile Systems Sweden AB | 556462-7213 | Informationsutskick via SMS. | Telefonnummer, SMS-text av administrativ karaktär | Sverige |
Amazon Web Service Sweden AB | 556833-3503 | Lagring och Behandling av data nödvändig för att leverera avtalad tjänst eller produkt. | Personuppgifter • Förnamn • Efternamn • Adress • Epost • Telefonnummer • Personnr • Anställningsuppgifter
Specifika kategorier av Personuppgifter • Hälsodata | Irland |
Voice Provider Sweden AB | 556598-3276 | Tillgängliggöra automatisk hantering av frånvaroanmälan via telefon | Personuppgifter • Telefonnummer • Anställningsuppgifter | Sverige |
Svensk E-identitet AB | 556776-6992 | Möjliggör tvåfaktorsautentisering | Personnummer | Sverige |
Hubspot Ireland Ltd. | 9849471F | Möjliggör ärendehantering av data för att kunna hantera kontaktpersoner och kundtjänstärenden | • Förnamn • Efternamn • Adress • Epost • Telefonnummer • Anställningsuppgifter | EU (Irland och Tyskland) |