Databehandleraftale (DPA)
Sidst opdateret: Januar 2026
Denne databehandleraftale (“Aftalen”) beskriver, hvordan Ambolt Health ApS (Incus Health) behandler personoplysninger på vegne af kunden (læge/klinik) i forbindelse med brug af Incus Health. Aftalen er indgået i henhold til GDPR artikel 28.
1. Parter og roller
Dataansvarlig: Kunden (læge/klinik), der anvender Incus Health. Databehandler: Ambolt Health ApS (Incus Health). Aftalen regulerer Databehandlers behandling af personoplysninger på vegne af Dataansvarlig.
2. Formål og omfang
Databehandler behandler personoplysninger udelukkende med det formål at levere AI-baseret transskription af konsultationer og generering af strukturerede journaludkast i Incus Health. Behandlingen kan omfatte følsomme personoplysninger, herunder helbredsoplysninger (GDPR art. 9). Databehandler handler alene efter Dataansvarliges dokumenterede instrukser.
3. Behandlingens karakter og varighed
Behandlingen består af midlertidig behandling af lyd, tekst og relevante tekniske metadata i forbindelse med: - Transskription (speech-to-text) - AI-baseret generering af journaludkast Aftalen gælder, så længe Databehandler behandler personoplysninger på vegne af Dataansvarlig.
4. Kategorier af registrerede og personoplysninger
Kategorier af registrerede: - Patienter - Sundhedspersonale Kategorier af personoplysninger: - Konsultationsindhold (lyd og tekst) - Helbredsoplysninger og øvrige kliniske oplysninger nævnt i konsultationen - Eventuelle indirekte identifikationsoplysninger, der fremgår af konsultationen
5. Dataansvarliges ansvar
Dataansvarlig er ansvarlig for: - At der foreligger et lovligt behandlingsgrundlag - At opfylde oplysningspligt over for patienter - At sikre lovlig anvendelse af løsningen i klinisk praksis og at det endelige journalnotat godkendes af lægen
6. Databehandlers forpligtelser
Databehandler forpligter sig til at: - Behandle personoplysninger fortroligt - Sikre at personale og underleverandører er underlagt passende fortrolighed - Implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger Databehandler må ikke anvende personoplysninger til egne formål, herunder til træning af AI-modeller, telemetri, analyse, statistik eller produktforbedring.
7. Datasikkerhed og dataminimering
Incus Health er udviklet efter principperne om privacy by design og security by design. Sikkerhedsforanstaltninger omfatter bl.a.: - Kryptering af data i transit - Rollebaseret adgangsstyring - Logning af adgang - Fysisk sikrede servermiljøer i EU/EØS Data anvendes udelukkende til den konkrete opgave. Input og output behandles midlertidigt under processeringen og slettes umiddelbart efter, at svaret er returneret. Ingen lydfiler, transskriptioner eller genereret tekst lagres persistent.
8. Underdatabehandlere
Databehandler kan anvende underdatabehandlere til levering af teknisk infrastruktur. Underdatabehandlere leverer alene fysisk eller teknisk infrastruktur og har ikke adgang til personoplysninger. Dataansvarlig giver generel forhåndsgodkendelse til anvendelse af underdatabehandlere. Væsentlige ændringer vil blive kommunikeret i rimelig tid. Individuelle databehandleraftaler (DPA'er) med hver underdatabehandler kan udleveres ved manuel anmodning. Følgende underdatabehandlere anvendes i øjeblikket:
| Produkt | Virksomhed | Land / Hosting | Beskrivelse |
|---|---|---|---|
| Colocation | EPOKA A/S | Danmark (EU) | Fysisk server hosting & sikkerhed |
| Cloud Infrastruktur | Hetzner Online GmbH | Tyskland (EU) | Cloud computing & lagring |
| Sikker autentificering (MitID) | Idura ApS | Danmark (EU) | Login-løsninger |
| Sentry | Functional Software, Inc. | USA (EU hosted) | Logs og fejlsporing |
| GitHub | GitHub, Inc. | USA (EU hosted) | Udviklingsprocesser |
9. Overførsel til tredjelande
Personoplysninger behandles udelukkende inden for EU/EØS. Der foretages ikke overførsler til tredjelande.
10. Bistand til Dataansvarlig
Databehandler bistår Dataansvarlig i rimeligt omfang med: - Henvendelser om registreredes rettigheder - Dokumentation til DPIA - Kommunikation med tilsynsmyndigheder, herunder Datatilsynet, i relation til Databehandlers behandling
11. Brud på persondatasikkerheden
Databehandler underretter Dataansvarlig uden unødig forsinkelse efter konstatering af brud på persondatasikkerheden og giver de oplysninger, der med rimelighed er nødvendige for, at Dataansvarlig kan opfylde sine forpligtelser.
12. Audit og tilsyn
Dataansvarlig kan føre audit af Databehandlers efterlevelse af denne Aftale. Databehandler stiller relevant dokumentation til rådighed, herunder sikkerhedsbeskrivelser og (hvor relevant) certificeringsdokumentation.
13. Ophør og sletning
Ved ophør af Aftalen ophører Databehandlers behandling på vegne af Dataansvarlig. Da Incus Health ikke lagrer lydfiler, transskriptioner eller genereret tekst persistent, består ophørsforpligtelsen primært i at sikre, at eventuelle resterende midlertidige data slettes, og at adgang for kunden lukkes efter aftale.
14. Lovvalg
Aftalen er underlagt dansk ret, og eventuelle tvister afgøres ved danske domstole, medmindre andet følger af ufravigelig lovgivning.