Vi har rest $2.3M i vår pre-seed runda för att förenkla tandvårdsadministration. Läs mer
Personuppgiftsbiträdesavtal
Dentios personuppgiftsbiträdesavtal (PUB-avtal)
Dentio AB – Personuppgiftsbiträdesavtal (PUB-avtal)
Senast uppdaterad: 3 mars 2026
Norrtullsgatan 6, 113 29 Stockholm
Produkt: Dentio
Dentio AB, org.nr 559498-5136
Ingress
A. Detta personuppgiftsbiträdesavtal (”PUB-avtalet”) ingås mellan den tandvårdsklinik eller organisation som anges nedan (”Personuppgiftsansvarig” eller ”Kund”) och Dentio AB (org.nr 559498-5136), Norrtullsgatan 6, 113 29 Stockholm, Sverige (”Dentio”, ”Personuppgiftsbiträde”, ”vi” eller ”oss”).
B. Parterna har ingått ett separat programvaruprenumerationsavtal eller användarvillkor (”Tjänsteavtalet”) enligt vilket Dentio tillhandahåller AI-stödda administrativa verktyg för tandvårdspersonal till Kunden. Vid tillhandahållandet av Tjänsterna kommer Dentio att behandla personuppgifter för den Personuppgiftsansvariges räkning.
C. Detta PUB-avtal fastställer parternas rättigheter och skyldigheter avseende sådan behandling, i enlighet med artikel 28 GDPR.
D. Detta PUB-avtal utgör en integrerad del av, och inkorporeras genom hänvisning i, Tjänsteavtalet. Vid eventuell konflikt mellan detta PUB-avtal och Tjänsteavtalet ska bestämmelserna i detta PUB-avtal ha företräde i den utsträckning konflikten avser, om inte Parterna uttryckligen avtalar annat skriftligen.
E. Definierade termer som inte på annat sätt definieras häri ska ha den betydelse som ges dem i GDPR eller, där det är relevant, i Tjänsteavtalet.
F. Parterna bekräftar och avtalar uttryckligen att detta PUB-avtal inte upprättar ett gemensamt personuppgiftsansvar enligt artikel 26 GDPR. Varje Part förblir ensamt ansvarig för sin egen efterlevnad av tillämplig lag avseende sina separata behandlingsaktiviteter. Dentio behandlar personuppgifter enbart för den Personuppgiftsansvariges räkning och enligt dennes dokumenterade instruktioner.
Parter och kontaktuppgifter
| Roll | Part / Kontakt | Uppgifter |
|---|---|---|
| Personuppgiftsansvarig | [Klinikens juridiska namn] | Adress: [Klinikens adress] Org.nr/moms-nr: [infoga nummer] Övertandläkare: [Namn] Kontakt: [Dataskyddskontakt] |
| Personuppgiftsbiträde | Dentio AB | Org.nr 559498-5136 Norrtullsgatan 6, 113 29 Stockholm, Sverige VD: Elias Afrasiabi DPO: Jonathan Ahrlind Integritet och 24h incidentbrevlåda: [email protected] |
0. Struktur och tolkning
0.1 Integrerade dokument. Detta PUB-avtal består av huvudtexten och följande bilagor: Bilaga 1 – Detaljerade instruktioner för behandling; Bilaga 2 – Tekniska och organisatoriska åtgärder (TOM); Bilaga 3 – Godkända underbiträden.
0.2 Rubriker och hänvisningar. Klausulrubriker är enbart för översiktens skull och påverkar inte tolkningen. Hänvisningar till artiklar avser GDPR om inget annat anges.
0.3 Inkorporering av lag. Hänvisningar till lag eller förordning inkluderar ändringar, tillägg eller omarbetningar därav.
0.4 Ingen avståelse. Underlåtenhet eller dröjsmål från någon Part att utöva rättigheter enligt detta PUB-avtal utgör inte avståelse från sådan rättighet.
0.5 Ogiltighet. Om någon bestämmelse i detta PUB-avtal bedöms vara ogiltig eller ej verkställbar, ska övriga bestämmelser förbli i full kraft och verkan.
0.6 Företrädesordning. Vid konflikt mellan detta PUB-avtal och Tjänsteavtalet ska detta PUB-avtal ha företräde avseende dataskyddsfrågor. Vid konflikt mellan huvudtexten och någon bilaga ska huvudtexten ha företräde om inte bilagan uttryckligen anger annat.
1. Definitioner
1.1 Lagstadgade termer. Definierade termer i tillämplig lag – inklusive Personuppgiftsansvarig, Personuppgiftsbiträde, Personuppgifter, Behandling och Personuppgiftsincident – har samma betydelse i detta PUB-avtal.
1.2 Avtalsspecifika termer:
| Term | Betydelse |
|---|---|
| Tillämplig lag | All EU- eller medlemsstatslagstiftning som reglerar behandling av personuppgifter enligt detta PUB-avtal. |
| Tjänsteavtalet | Har den betydelse som anges i ingress B. |
| Godkänt ändamål | Behandling som är strikt nödvändig för att leverera Tjänsterna enligt Bilaga 1 eller enligt skriftlig dokumentation från den Personuppgiftsansvarige. |
| Godkänt territorium | Europeiska unionen (”EU”), Europeiska ekonomiska samarbetsområdet (”EES”) och varje land som EU-kommissionen erkent ger adekvat skyddsnivå enligt GDPR art. 45. |
| Godkänt underbiträde | Ett tredjepartsbiträde listat i Bilaga 3, med ändringar enligt avsnitt 4. |
| Instruktion | En skriftlig instruktion från den Personuppgiftsansvarige som specificerar hur Dentio ska behandla personuppgifter; initiala instruktioner anges i Bilaga 1. |
| Tekniska och organisatoriska åtgärder (”TOM”) | Säkerhetskontroller som Dentio implementerar och som beskrivs i Bilaga 2. |
| Konfidentiell information | Icke-offentlig information som lämnas av en Part till den andra i samband med Tjänsteavtalet eller detta PUB-avtal, enligt avsnitt 11. |
| Personuppgiftsincident | Den betydelse som ges i artikel 4(12) GDPR, dvs. en säkerhetsöverträdelse som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörig utlämning av eller åtkomst till personuppgifter. |
| Registrerad | En identifierad eller identifierbar fysisk person vars personuppgifter behandlas enligt detta PUB-avtal. |
| Tjänstedata | Aggregerad och avidentifierad data som avser användning, support och drift av Tjänsterna, insamlad av Dentio för egna ändamål. Tjänstedata innehåller ingen identifierbar patientinformation. |
2. Roller och allmänna skyldigheter
2.1 Den Personuppgiftsansvarige bestämmer ändamålen och medlen för behandlingen; Dentio agerar enbart som Personuppgiftsbiträde baserat på den Personuppgiftsansvariges dokumenterade instruktioner (art. 4(7) & (8) GDPR).
2.2 Den Personuppgiftsansvariges skyldigheter (Kunden)
- 2.2.1 Dokumenterade instruktioner. Den Personuppgiftsansvarige ska förse Dentio med dokumenterade instruktioner för behandling av personuppgifter. Initiala instruktioner anges i Bilaga 1.
- 2.2.2 Rättslig grund. Den Personuppgiftsansvarige ska säkerställa att giltig rättslig grund finns för all behandling. För känsliga personuppgifter inklusive hälsodata ska lämplig grund enligt artikel 9(2) säkerställas.
- 2.2.3 Transparens. Den Personuppgiftsansvarige ska informera registrerade om behandlingen i enlighet med artiklarna 13 och 14 GDPR, inklusive tydlig information om att AI-stödd transkribering används.
- 2.2.4 Samtycke. Där samtycke är rättslig grund ska den Personuppgiftsansvarige säkerställa giltigt, informerat, specifikt och frivilligt samtycke.
- 2.2.5 Datakvalitet. Den Personuppgiftsansvarige ska säkerställa att alla personuppgifter som lämnas till Dentio är korrekta, fullständiga och aktuella.
- 2.2.6 Tillsyn. Den Personuppgiftsansvarige ska övervaka behandlingen under detta PUB-avtals hela löptid.
- 2.2.7 AI-innehållsverifiering. Den Personuppgiftsansvarige ska säkerställa att kliniker granskar och verifierar allt AI-genererat innehåll innan det förs in i patientjournaler.
- 2.2.8 Vårdlagstiftning. Den Personuppgiftsansvarige ska säkerställa efterlevnad av tilllämplig vårdspecifik lagstiftning, inklusive Patientdatalagen (2008:355), Patientsäkerhetslagen (2010:659), Socialstyrelsens föreskrifter under HSLF-FS, samt vägledning från IMY.
- 2.2.9 Personalutbildning. Den Personuppgiftsansvarige ska säkerställa att all behörig personal får lämplig utbildning.
2.3 Personuppgiftsbiträdets skyldigheter (Dentio)
- 2.3.1 Dentio ska behandla personuppgifter enbart för den Personuppgiftsansvariges dokumenterade instruktioner.
- 2.3.2 Om Dentio anser att en instruktion strider mot GDPR ska Dentio omedelbart meddela den Personuppgiftsansvarige och får avbryta relevant behandling.
- 2.3.3 Dentio ska upprätthålla konfidentialitet för alla personuppgifter.
- 2.3.4 Dentio ska säkerställa att personal får lämplig dataskyddsutbildning.
- 2.3.5 Dentio ska implementera och upprätthålla tekniska och organisatoriska åtgärder enligt Bilaga 2.
- 2.3.6 Dentio ska bistå den Personuppgiftsansvarige med begäranden från registrerade.
- 2.3.7 Dentio ska bistå den Personuppgiftsansvarige med efterlevnad av artiklarna 32–36 GDPR.
- 2.3.8 Dentio ska göra tillgänglig all information som är nödvändig för att påvisa efterlevnad av artikel 28 GDPR och möjliggöra revisioner.
- 2.3.9 Dentio ska meddela den Personuppgiftsansvarige om varje personuppgiftsincident utan onödigt dröjsmål.
- 2.3.10 Vid upphörande ska Dentio radera eller återlämna alla personuppgifter enligt avsnitt 8.
2.4 Dentio får vägra, avbryta eller föreslå alternativ till instruktioner som rimligen skulle strida mot detta PUB-avtal eller tillämplig lag.
2.5 Om den Personuppgiftsansvarige lämnar ytterligare instruktioner utöver vad som uttryckligen anges i detta PUB-avtal har Dentio rätt till ersättning för kostnader och merarbete.
2.6 Dentio ska tillämpa principerna om inbyggt dataskydd och dataskydd som standard i enlighet med artikel 25 GDPR.
2.7 Den Personuppgiftsansvarige ska inte tillhandahålla Dentio personuppgifter utöver vad som är strikt nödvändigt för tandvårdstjänster. Oavsiktlig infångst under inspelade kliniska konsultationer är tillåten i den mån det är oundvikligt och kliniskt relevant.
3. Godkända platser för behandling och internationella överföringar
3.1 All behandling ska ske uteslutande inom det Godkända territoriet.
3.2 Dentio ska inte överföra personuppgifter till, eller tillåta åtkomst från, plats utanför det Godkända territoriet. All AI-inferens, lagring och behandling sker uteslutande inom EU-regioner. Dentio använder dubbelkryptering med nycklar separerade över oberoende tjänster.
3.3 Driftpersonal med produktionsåtkomst är baserade i Sverige eller annan EU/EES-medlemsstat.
3.4 Om en överföring utanför det Godkända territoriet blir strikt nödvändig ska Dentio: (a) ge 30 dagars skriftligt förhandsmeddelande; (b) implementera EU:s standardavtalsklausuler; (c) tillhandahålla en dokumenterad konsekvenbedömning av överföringen; och (d) respektera den Personuppgiftsansvariges rätt att invända.
3.5 Dentio upprätthåller aktuella dataflödesdiagram och regionlåsningsloggar.
3.6 Om Dentio mottar en rättsligt bindande begäran från myndighet om utlämning av personuppgifter ska Dentio omedelbart underrätta den Personuppgiftsansvarige om inte detta är rättsligt förbjudet.
4. Underbiträden
4.1 Den Personuppgiftsansvarige ger härmed Dentio ett allmänt skriftligt godkännande att anlita de tredjepartsbiträden som anges i Bilaga 3.
4.2 Förfarande vid nya underbiträden. (a) Minst 30 kalenderdagars förhandsmeddelande. (b) Rätt att invända på rimliga, dokumenterade grunder. (c) Lösning: Dentio kan avbryta/senarelägga anslutningen, föreslå åtgärder, eller erbjuda den Personuppgiftsansvarige att avbryta den del av Tjänsterna som berörs.
4.3 Dentio ska säkerställa att varje underbiträdesavtal innehåller dataskyddsskyldigheter likvärdiga med detta PUB-avtal.
4.4 Dentio ska genomföra riskbaserade bedömningar av varje underbiträdes säkerhet, både före anslutning och årligen därefter.
4.5 Dentio förblir fullt ansvarigt för varje underbiträdes skyldigheter (artikel 28(4) GDPR).
4.6 Akut byte. Dentio får byta underbiträde utan 30-dagarsperiod om det krävs akut, förutsatt att den Personuppgiftsansvarige informeras så snart det är praktiskt möjligt.
4.7 Bilaga 3 ska alltid återspegla den aktuella förteckningen över godkända underbiträden.
5. Tekniska och organisatoriska åtgärder (”TOM”)
Dentio upprätthåller ett dokumenterat informationssäkerhetsprogram baserat på erkänd branschpraxis. Åtgärderna beskrivs i Bilaga 2.
- 5.1 Styrning och riskhantering: Styrelsegodkänd säkerhetspolicy som granskas årligen; säkerhetsstyrningsgrupp som rapporterar till VD/DPO; formellt riskregister med kvartalsvis granskning.
- 5.2 Dataminimering och kryptering: AES-256-kryptering vid vila; TLS 1.2+ för data i transit; ljudström i sexsekundersegment som raderas omedelbart efter transkribering; transkription raderas automatiskt efter 30 dagar.
- 5.3 Åtkomstkontroll och autentisering: Rollbaserad åtkomst med noll standardbehörigheter; produktionskonsoler skyddade med obligatorisk MFA.
- 5.4 Segregering och flerhållarisolering: Kunddata isolerad på schemanivå i Supabase; radsäkerhet förhindrar korsvisning.
- 5.5 Motståndskraft, säkerhetskopiering och katastrofhantering: Dagliga krypterade ögonblicksbilder lagrade i separat EU-region, bevaras 30 dagar.
- 5.6 Incidenthantering: 24×7 jourberedskap; dokumenterad incidenthanteringsplan; den Personuppgiftsansvarige meddelas inom 24 timmar vid bekräftad personuppgiftsincident.
- 5.7 Testning och revision: Säkerhetskontroller testas före varje produktionsrelease; årlig sammanfattning av penetrationstest tillgänglig på begäran.
- 5.8 Parterna är överens om att dessa åtgärder ger en lämplig säkerhetsnivå i enlighet med artikel 32 GDPR.
6. Personuppgiftsincident – anmälan och hantering
6.1 En personuppgiftsincident avser varje händelse som uppfyller definitionen i artikel 4(12) GDPR.
6.2 Dentio ska meddela den Personuppgiftsansvarige utan onödigt dröjsmål och under alla omständigheter inom tjugofyra (24) timmar.
6.3 Det inledande meddelandet skickas till kontaktpersonen angiven i parttabellen samt 24h-incidentbrevlådan, via krypterad e-post.
6.4 Meddelandet ska, i den mån det är känt, innehålla: (a) incidentens karaktär; (b) kategorier och ungefärligt antal berörda registrerade; (c) kategorier och ungefärligt antal personuppgiftsregister; (d) sannolika konsekvenser; (e) vidtagna eller föreslagna åtgärder; och (f) kontaktuppgifter till Dentios DPO.
6.5 Dentio ska omgående vidta alla åtgärder för att begränsa, åtgärda och avhjälpa incidenten.
6.6 Dentio ska samarbeta med och bistå den Personuppgiftsansvarige med artiklarna 33 och 34 GDPR.
6.7 Om personuppgiftsincidenten orsakats av den Personuppgiftsansvarige har Dentio rätt till ersättning för kostnader.
6.8 Om den Personuppgiftsansvarige avser att meddela myndighet eller registrerade på sätt som identifierar Dentio, ska denne meddela Dentio skriftligen i förväg.
7. Information och registrerades rättigheter
7.1 Den Personuppgiftsansvarige ansvarar ensamt för att ge registrerade den information som krävs enligt artiklarna 12–14 GDPR.
7.2 Dentio ska bistå den Personuppgiftsansvarige med begäranden från registrerade avseende: (a) rätt till tillgång (art. 15); (b) rättelse (art. 16); (c) radering (art. 17); (d) begränsning (art. 18); (e) dataportabilitet (art. 20); (f) invändning (art. 21); och (g) automatiserat beslutsfattande (art. 22). Dentio tillhandahåller självbetjäningsverktyg i administrationskonsolen. Svar lämnas inom fem (5) arbetsdagar.
7.3 Om en registrerad kontaktar Dentio direkt ska Dentio vidarebefordra begäran till den Personuppgiftsansvarige utan dröjsmål.
7.4 Dentio förbehåller sig rätten att ta ut rimliga administrativa kostnader för bistånd med registrerades begäranden.
8. Datalagring och radering
8.1 Dentio lagrar personuppgifter enbart så länge som är strikt nödvändigt för det Godkända ändamålet.
8.2 Standardlagringsperioder:
| Datakategori | Behandlingssteg | Maximal lagringstid | Plats och skydd | Raderingsmetod |
|---|---|---|---|---|
| Råljudström | Under tal-till-text-transkribering | ≤ 24 h buffert (FIFO) | Google Cloud Run efämr disk (EU) | GCP automatisk radering via minnesavallokering |
| Fullständig transkription och AI-utkast | Eftertranskribering | 30 dagar från uppladdning | Supabase Postgres och objektlagring (krypterat i vila, EU) | SQL DELETE + livscykelregel → säker överskrivning; kryptografisk radering av KMS-nyckel |
8.3 Kundinitierad radering eller export. Administrationskonsolen tillhandahåller ”Radera session”-knapp och PDF-exportfunktion. Massradering eller export kan begäras via [email protected] och slutförs inom fem (5) arbetsdagar.
8.4 Automatisk radering vid avslut. (a) Exportfönster på 14 kalenderdagar; (b) Hårdradering 30 kalenderdagar efter avslut; (c) Raderingsbevis tillgängligt på begäran; (d) Raderad data kan finnas kvar i krypterade säkerhetskopior i upp till 30 dagar.
8.5 Dentios raderingsprocesser använder kryptografisk radering genom förstöring av krypteringsnyckeln.
8.6 Om Dentio enligt lag måste behålla specifik data ska den isoleras, den Personuppgiftsansvarige meddelas, och data raderas omedelbart därefter.
8.7 Säkerhetskopior krypteras med separat, hierarkisk KMS-nyckel. När källdata raderas säkerställer Dentios livscykelpolicy att motsvarande säkerhetskopieobjekt också rensas inom trettio (30) dagar.
9. Revision och inspektionsrättigheter
9.1 Den Personuppgiftsansvarige får revidera Dentios efterlevnad en gång per rullande tolv (12) månader, eller vid bekräftad personuppgiftsincident.
9.2 Revisioner kräver: (a) 30 dagars skriftligt förhandsmeddelande (5 dagar vid incident); (b) omfattning begränsad till säkerhetskontroller, underbiträdesavtal och TOM; (c) dokumentationsgranskning först, inspektion på plats enbart vid behov.
9.3 Revisorer måste teckna sekretessavtal. Revisioner ska undvika oskälig störning.
9.4 ISO 27001-certifikat, SOC 2 (typ II)-rapporter eller likvärdiga tredjepartsintyg kan användas för att uppfylla revisionskrav.
9.5 Dentio bär sina egna interna kostnader. Alla externa kostnader bärs av den Personuppgiftsansvarige.
9.6 Dentio ska åtgärda identifierade brister utan onödigt dröjsmål.
9.7 Om Dentio mottar förfrågan från IMY eller annan tillsynsmyndighet ska Dentio: (a) meddela den Personuppgiftsansvarige inom 48 timmar; (b) tillhandahålla kopior av korrespondens; (c) inte svara substansiellt utan att först rådgöra med den Personuppgiftsansvarige; och (d) samarbeta fullt ut.
10. Ansvar och skadestånd
10.1 Varje Part är ansvarig för den skada den orsakar genom brott mot detta PUB-avtal eller tillämplig lag.
10.2 Varje Parts sammanlagda ansvar begränsas till de totala prenumerationsavgifter som den Personuppgiftsansvarige betalat till Dentio under de tolv (12) månader som omedelbart föregått händelsen.
10.3 Undantag från ansvarstak: (a) uppsåtligt handlande eller grov vårdslöshet; (b) ansvar som inte kan begränsas enligt tvingande lag; (c) brott mot sekretessskyldigheter (avsnitt 11); (d) Dentios brott mot avsnitt 3 (obehöriga överföringar); (e) Dentios brott mot avsnitt 4 (obehöriga underbiträden).
10.4 Krav ska framställas inom två (2) år efter det att den skadelidande fick kännedom om händelsen.
10.5 Kundskadestånd. Den Personuppgiftsansvarige ska försvara, hålla skadeslös och ersätta Dentio från tredjepartsanspårk till följd av: (a) instruktioner som orsakar överträdelse; (b) brist på rättslig grund eller samtycke; (c) tillhandahållande av förbjudna datakategorier; eller (d) brott mot detta PUB-avtal av den Personuppgiftsansvarige.
11. Sekretess
11.1 ”Konfidentiell information” inkluderar all icke-offentlig information – särskilt patientdata, säkerhetsrapporter, prissättning, affärsplaner och företagshemligheter.
11.2 Den mottagande Parten ska: (a) enbart använda konfidentiell information för att fullgöra skyldigheter enligt Tjänsteavtalet och detta PUB-avtal; (b) tillämpa rimlig omsorg; (c) enbart lämna ut till personal med strikt behov bundna av skriftliga sekretessförpliktelser; (d) omedelbart meddela om obehörig åtkomst.
11.3 Den mottagande Parten får lämna ut konfidentiell information om det krävs enligt lag, förutsatt att förhandsmeddelande lämnas och samarbete sker för att erhålla skyddsorder.
11.4 Konfidentiell information exkluderar information som redan var känd, oberoende utvecklad, allmänt tillgänglig eller lagligen mottagen från tredje part.
11.5 Vid skriftlig begäran eller vid upphörande ska den mottagande Parten återlämna eller säkert förstöra all konfidentiell information.
11.6 Sekretessförpliktelserna gäller fem (5) år efter upphörande; företagshemligheter skyddas så länge de förblir hemligheter.
12. Löptid och upphörande
12.1 Detta PUB-avtal träder i kraft på datum för sista underskrift och gäller under Tjänsteavtalets hela löptid.
12.2 Upphörandegrunder: (a) Ordinarie upphörande när Tjänsteavtalet löper ut. (b) Upphörande vid brott med 30 kalenderdagars skriftligt meddelande. (c) Upphörande som krävs enligt lag med omedelbar verkan.
12.3 Verkan av upphörande: Dentio upphör med all behandling; raderar eller återlämnar personuppgifter enligt avsnitt 8; överlevande avsnitt (11, 10, 13, 8) förblir i kraft.
12.4 Upphörande berättigar inte någon Part till återbetalning eller ersättning utöver vad som föreskrivs i Tjänsteavtalet.
13. Tillämplig lag och tvistlösning
13.1 Detta PUB-avtal ska regleras av svensk lag utan tillämpning av dess lagvalsregler.
13.2 Parterna ska först försöka lösa tvister i god tro. Förhandlingar anses ha misslyckats om överenskommelse inte nås inom trettio (30) kalenderdagar.
13.3 Skiljedom. Tvister som inte löses enligt 13.2 ska slutligt avgöras genom skiljedom administrerad av Stockholms Handelskammares Skiljedomsinstitut (SCC) enligt dess Regler för Förenklat Skiljedom. Säte: Stockholm. Språk: Svenska. Skiljedomen är slutgiltig och bindande.
13.4 Inget i detta avsnitt hindrar någon Part från att ansöka om interimistiska åtgärder vid Stockholms tingsrätt.
13.5 Båda Parterna förbinder sig att samarbeta fullt ut med IMY eller annan behörig tillsynsmyndighet.
14. Tjänstedata och analys
14.1 Dentio får samla in och behandla Tjänstedata för: (a) redovisning, fakturering, revision; (b) förbättring av Tjänsterna; (c) bedrägeriundersökning; (d) anonymiserade branschriktmärken; och (e) annat som tillåts enligt tillämplig lag.
14.2 Tjänstedata är inte kundpersonuppgifter och skyldigheterna i detta PUB-avtal gäller inte Dentios behandling av Tjänstedata.
14.3 Avidentifiering ska utföras med branschstandardmetoder och vara orepeterbar.
14.4 Ingen ytterligare avgift utgår för Dentios behandling av Tjänstedata.
15. Användning av data för artificiell intelligens och maskininlärning
15.1 Dentio ska inte använda personuppgifter för träning, omträning, finjustering eller annan utveckling av AI- eller maskininlärningsmodeller, förutom vad som är strikt nödvändigt för att tillhandahålla Tjänsterna.
15.2 Personuppgifter ska behandlas enbart för ändamålen att tillhandahålla, underhålla, säkra och supportera Tjänsterna.
15.3 Dentio får behandla fullständigt anonymiserad och aggregerad Tjänstedata för statistisk rapportering, säkerhetsanalys eller operativa insikter, förutsatt att informationen inte kan användas för att identifiera den Personuppgiftsansvarige, dess patienter eller någon fysisk person.
Bilaga 1 – Detaljerade instruktioner för behandling
Behandlingsaktiviteterna nedan involverar särskilda kategorier av personuppgifter enligt artikel 9 GDPR (hälsodata).
| # | Behandlingsaktivitet | Ändamål | Kategorier av personuppgifter | Registrerade | Max lagringstid |
|---|---|---|---|---|---|
| 1 | Tal-till-text-transkribering | Konvertera röst till text | Ljudström med patienteröst; oavsiktligt infångade identifierare | Patienter vid kliniken | Råljud ≤ 24 h |
| 2 | AI-utkasstgenerering | Strukturerat redigerbart utkast för granskning | Transkription, metadata | Samma som rad 1 | Utkast 30 dagar |
| 3 | Kopiera/klistra in till journalsystem | Införa verifierad anteckning i lokalt journalsystem | Enbart utkassttext | Samma som rad 1 | Lagras ej av Dentio |
| 4 | Applikations- och säkerhetsloggning | Forensisk beredskap, spårbarhet | Pseudonymiserad patientreferens (hash), användar-ID, tidstämpel, IP | Klinikpersonal; patienter (hashade) | Max 400 dagar |
| 5 | Dagliga krypterade säkerhetskopior | Katastrofberedskap | Krypterade ögonblicksbilder | Alla ovanstående | 30 dagar |
| 6 | Tjänsteanalys (aggregerad) | Produktprestandastatistik | Anonymiserade räknare, varaktigheter, felkoder | Ej tillämpligt (anonymt) | Obegränsat (anonymiserat) |
| 7 | BankID-autentisering | Identitetsverifiering av klinikpersonal | Personnummer, namn, autentiseringstidstämpel | Klinikpersonal | Under avtalstiden |
Bilaga 2 – Tekniska och organisatoriska åtgärder (TOM)
Åtgärderna nedan är implementerade och operativa om inte annat anges.
- 1. Styrning och policy. Dentio upprätthåller ett ISO 27001-certifierat ISMS med årlig ledningsgranskning.
- 2. Åtkomstkontroll. Rollbaserad åtkomstkontroll med lägsta behörigheter som standard. Personal har noll åtkomst till patienttext som standard.
- 3. Kryptering och nyckelhantering. All data i vila krypteras med AES-256. All data i transit skyddas av TLS 1.2+, med HSTS aktiverat i 12 månader.
- 4. Dataminimering och lagringskontroll. Råljud segmenteras, lagras i tmpfs och rensas automatiskt. Livscykelregler på 30 dagar styr lagring. Applikationsloggar bevaras i upp till 400 dagar.
- 5. Segregering och klientlsolering. Kunddata isoleras med Supabase radsäkerhet, schemaseparation och användarspecifika krypteringsnycklar.
- 6. Säkerhetskopiering och katastrofhantering. Dagliga krypterade ögonblicksbilder lagrade i eu-north-1 med RPO på 24 timmar eller mindre. Säkerhetskopior ärver raderingspolicyer med 30-dagars hårdgräns.
- 7. Incidenthantering. 24×7 jourberedskap med dokumenterade incidentplaybooks. Obligatoriska utredningar slutförs inom 10 arbetsdagar. Den Personuppgiftsansvarige meddelas inom 24 timmar.
- 8. Personal och utbildning. Bakgrundskontroller krävs för all personal med produktionsåtkomst. All personal genomgår integritets- och säkerhetsutbildning vid anställning och årligen därefter.
- 9. Fysisk säkerhet. All AI-inferens körs i ISO 27001- och SOC 2-certifierade Google Cloud Platform-datacenter i Finland, Nederländerna, Tyskland, Frankrike, Polen och Sverige. Dentio driver ingen lokal hosting.
Bilaga 3 – Godkända underbiträden
Senast uppdaterad: 3 mars 2026
| Leverantör | Ändamål | Plats | Anteckningar |
|---|---|---|---|
| Google Ireland Ltd. | Molninfrastruktur (Cloud Run), lagring, AI-modeller (Vertex AI/Gemini) | EU/EES | EU-regioner europe-north1 (Finland), europe-north2 (Sverige), europe-west1 (Belgien), europe-central2 (Polen), europe-west4 (Nederländerna). ISO 27001, SOC 2 Typ II. |
| Amazon Web Services EMEA SARL | AI-inferens för klinisk dokumentation (Claude via Bedrock) | EU/EES | eu-north-1 (Stockholm), eu-central-1 (Frankfurt), eu-west-1 (Irland), eu-west-3 (Paris), eu-south-1 (Milano), eu-south-2 (Spanien). Noll lagring. ISO 27001, SOC 2 Typ II. |
| Supabase Inc. | Hanterad PostgreSQL-databas, autentisering | EU/EES | eu-north-1 (Stockholm). Utkast raderas efter 30 dagar. ISO 27001, SOC 2 Typ II. |
| Soniox Inc. | Realtidstaligenkänning och transkribering | EU | All behandling inom EU/EES. Noll lagring; omedelbar radering. ISO 27001, SOC 2 Typ II. |
För mer information, kontakta oss på [email protected].