Vilkår for bruk

Sist oppdatert: 10.06.2025

Behandlingsansvarlig: Supercompany AS (org.nr. 933 878 805)

Kontakt: [email protected] | +47 905 06 548

Kundeavtale

Generelt

Nettsiden physionote.no og tilhørende tjeneste (heretter kalt «Tjenesten») eies og driftes av Supercompany AS, organisasjonsnummer 933 878 805.

Ved å bruke Tjenesten aksepterer du vilkårene som er definert i denne kundeavtalen (heretter kalt «Avtalen»).

Avtalen anses som inngått ved første innlogging i Tjenesten og gjelder så lenge Tjenesten er i bruk.

Avtalens parter

Denne Avtalen (med eventuelle vedlegg) er inngått mellom:

  • Supercompany AS, org. nr. 933 878 805 (eier av PhysioNote), og
  • Kjøperen av Tjenesten (heretter kalt Kunden).

Personen som bruker Tjenesten betegnes som Bruker. Dersom Brukeren ikke er samme juridiske enhet som Kunden, er Kunden ansvarlig for at Brukeren benytter Tjenesten i samsvar med denne Avtalen.

Kontaktinformasjon

Kontaktinformasjon for PhysioNote: [email protected]
For teknisk support: [email protected]

Kundens kontaktinformasjon er den registrerte e-postadressen, og eventuelt telefonnummer dersom dette er oppgitt.

Tjenesten

Tjenesten er utviklet for å forenkle dokumentasjonsarbeidet for fysioterapeuter ved å generere strukturerte journalnotater basert på lydopptak fra konsultasjoner og diktering. Målet med Tjenesten er å frigjøre tid til pasientarbeid, redusere administrasjon og sikre høy kvalitet i journalføring. Løsningen benytter avanserte språkmodeller for å tolke og strukturere informasjon fra transkriberte lydopptak.

For å få tilgang til Tjenesten må Kunden registrere seg og opprette en tilknyttet brukerkonto. Kunden er ansvarlig for at all informasjon som oppgis er korrekt og fullstendig, og for at Brukeren kun benytter sin egen konto.

Supercompany AS (PhysioNote) forbeholder seg retten til å iverksette nødvendige tiltak for å forhindre misbruk.

Pris og betalingsbetingelser

Tjenesten faktureres enten månedlig eller årlig, avhengig av hvilket abonnement Kunden velger ved registrering.

Prisene er som følger (ekskl. merverdiavgift):

  • Månedlig abonnement: NOK 599 per måned per bruker
  • Årlig abonnement: NOK 499 per måned per bruker (faktureres årlig)

Ved manglende betaling har Supercompany AS rett til å stenge Kundens tilgang til Tjenesten dersom betaling ikke er mottatt innen 30 dager etter forfallsdato, etter skriftlig varsel.

Supercompany forbeholder seg retten til å justere prisene. Endringer utover konsumprisindeksen (KPI) varsles minst én måned før de trer i kraft.

Denne Avtalen gjelder også dersom en gratis prøveperiode er avtalt.

Feilhåndtering og oppetid

Supercompany AS vil tilstrebe høy oppetid for PhysioNote og sørge for at eventuelle feil rettes så raskt som mulig. Supercompany vil vurdere behovet for å varsle Kunden om feil basert på feilens omfang og alvorlighetsgrad.

Endringer

Tjenesten er under kontinuerlig utvikling, og Supercompany AS forbeholder seg retten til å gjøre endringer i PhysioNote når som helst. Dersom det blir nødvendig å midlertidig gjøre tjenesten utilgjengelig, vil Supercompany så langt det lar seg gjøre varsle Kunden i forkant.

Endringer i disse vilkårene varsles skriftlig via e-post med 30 dagers varsel. Videre bruk av tjenesten etter slik varsling anses som aksept av endringene.

Bruksrett og immaterielle rettigheter

Kunden gis en ikke-eksklusiv rett til å bruke tjenesten PhysioNote.

Innhold generert av tjenesten – som transkripsjoner og utkast til journalnotater – tilhører Kunden. Annet innhold i tjenesten, inkludert, men ikke begrenset til, logoer, design, kildekode og bilder/videoer, tilhører Supercompany AS og kan ikke kopieres, reproduseres eller endres uten skriftlig forhåndssamtykke fra Supercompany.

Ved å opprette en konto i PhysioNote, gir du Supercompany AS rett til å bruke navnet og logoen til klinikken din i markedsføringsøyemed relatert til PhysioNote, for eksempel i kundelister og annet informasjonsmateriell. Denne retten faller bort dersom kontoen slettes. Ønsker du å reservere deg, kan du kontakte oss på [email protected].

Kundens ansvar

Ved bruk av PhysioNote samtykker Kunden til behandlingsprosessene beskrevet i vår personvernerklæring, herunder bruk av lydopptak og generering av transkripsjoner og journalnotater.

Kunden er ansvarlig for at tjenesten brukes i samsvar med gjeldende norsk lovgivning og regelverk, herunder relevante krav til journalføring, pasientinformasjon og taushetsplikt.

Kunden er også ansvarlig for å ha nødvendig teknisk utstyr for å bruke tjenesten, som for eksempel datamaskin, stabil internettforbindelse og mikrofon.

Kunden er selv ansvarlig for å kvalitetssikre innholdet som genereres av tjenesten før det eventuelt overføres til pasientjournal eller brukes videre i klinisk sammenheng.

Ansvarsbegrensning

Supercompany AS er ikke ansvarlig for tap eller skade, direkte eller indirekte, som måtte oppstå som følge av bruk av PhysioNote eller på grunn av feil eller nedetid i tjenesten.

Eventuelt erstatningsansvar fra Supercompany er under enhver omstendighet begrenset til det samlede abonnementsbeløpet Kunden har betalt de siste seks månedene.

Personopplysninger

Supercompany AS behandler personopplysninger om Kunden og Brukeren i samsvar med gjeldende personvernerklæring.

Vedlagt databehandleravtale regulerer hvordan Supercompany behandler andre personopplysninger på vegne av Kunden, der Kunden er behandlingsansvarlig.

Underleverandører

Deler av tjenesten leveres av tredjepartsleverandører, og tjenesten må benyttes i samsvar med vilkårene fastsatt av disse leverandørene. Dette er nærmere beskrevet i den vedlagte databehandleravtalen.

Diverse bestemmelser

Supercompany AS kan overdra denne avtalen, for eksempel ved oppkjøp, uten Kundens samtykke. En slik overdragelse skal imidlertid ikke medføre vesentlige endringer i avtalens innhold.

Denne avtalen reguleres av norsk rett. Partene er enige om at eventuelle tvister som oppstår i forbindelse med avtalen, skal behandles av Oslo tingrett som eksklusivt verneting. FN-konvensjonen om kontrakter for internasjonale løsørekjøp (CISG) får ikke anvendelse.

Databehandleravtale

Innledning

Dette vedlegget («Databehandleravtalen») regulerer rettigheter og plikter mellom Behandlingsansvarlig og Databehandler når Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig i forbindelse med levering av tjenesten PhysioNote.

Avtalen er utformet for å sikre etterlevelse av artikkel 28 nr. 3 i Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri bevegelighet for slike opplysninger (personvernforordningen/GDPR).

Denne databehandleravtalen inkluderer tre vedlegg:

  • Detaljer om behandlingen av personopplysninger
  • Sikkerhetstiltak
  • Underleverandører

Parter i avtalen

Kunden er Behandlingsansvarlig og har ansvar for behandlingen av personopplysninger, herunder for å sikre at personopplysninger behandles i samsvar med gjeldende regelverk og med tilstrekkelig beskyttelse.

Supercompany AS er Databehandler, og behandler personopplysninger på vegne av Behandlingsansvarlig i forbindelse med levering av tjenesten PhysioNote.

Formål

Formålet med behandlingen av alle data, inkludert personopplysninger og virksomhetsrelaterte opplysninger, er å levere en tjeneste som forenkler journalføring for Behandlingsansvarlig. Dette er nærmere beskrevet i Vedlegg A.

All data som behandles gjennom PhysioNote, herunder personopplysninger og informasjon relatert til pasientkonsultasjoner, behandles konfidensielt og med høye krav til informasjonssikkerhet. Dette omfatter også eventuelle strategiske, faglige eller pasientrelaterte opplysninger som deles av Kunden i forbindelse med bruk av Tjenesten.

Behandlingsansvarliges plikter og rettigheter

Behandlingsansvarlig bekrefter følgende:

  • Det foreligger et tilstrekkelig rettslig grunnlag for behandlingen av personopplysninger.
  • Behandlingsansvarlig har rett og ansvar for lovlig overføring av personopplysninger til Databehandler.
  • Behandlingsansvarlig er ansvarlig for riktighet, fullstendighet, innhold, lovlighet og pålitelighet av personopplysningene som behandles.
  • Behandlingsansvarlig har informert registrerte personer i henhold til gjeldende lovverk.
  • Behandlingsansvarlig skal påse at personopplysninger behandles i samsvar med GDPR, håndtere forespørsler fra registrerte, og gjennomføre tilstrekkelige tekniske og organisatoriske tiltak for å sikre personopplysningene i henhold til artikkel 32 i GDPR.
  • Behandlingsansvarlig er forpliktet til å varsle Datatilsynet og eventuelt de registrerte uten ugrunnet opphold dersom det skjer brudd på personopplysningssikkerheten, i tråd med gjeldende regelverk.
  • Behandlingsansvarlig skal ikke registrere eller lagre personopplysninger utover det som er nødvendig for det definerte formålet.

Databehandlers plikter og rettigheter

  • Databehandler eier ikke personopplysningene, men behandler dem på vegne av Behandlingsansvarlig, som regulert i denne databehandleravtalen.
  • Databehandler skal sikre personopplysninger både teknisk og organisatorisk i henhold til artikkel 32 i GDPR. Dette inkluderer gjennomføring av risiko- og sårbarhetsanalyser som danner grunnlag for interne rutiner og sikkerhetstiltak.
  • Databehandler bekrefter at alle personer som er autorisert til å behandle personopplysninger er underlagt taushetsplikt.
  • Databehandler skal, på forespørsel, bistå Behandlingsansvarlig i å oppfylle sine forpliktelser etter personvernlovgivningen, inkludert kapittel III og artiklene 32–36 i GDPR. Databehandler skal også bistå Behandlingsansvarlig ved å stille nødvendig dokumentasjon til disposisjon for å vise etterlevelse av artikkel 28, herunder ved eventuelle tilsyn eller revisjoner. All slik bistand skal skje etter skriftlig forespørsel og faktureres etter medgått tid.
  • Databehandler skal uten ugrunnet opphold varsle Behandlingsansvarlig dersom det foreligger brudd på personopplysningssikkerheten, eller mistanke om et slikt brudd.
  • Databehandler skal umiddelbart informere Behandlingsansvarlig dersom det mottas instrukser som Databehandler mener strider mot GDPR eller annen gjeldende personvernlovgivning.

Behandling av lydopptak og journaldata

Lydopptak behandles utelukkende for å kunne transkribere og generere journalnotater for fysioterapeuten. Transkripsjoner og journalnotater lagres midlertidig i infrastruktur levert av Supercompany AS og slettes automatisk etter 24 timer.

Dataen brukes aldri til analyse, maskinlæring eller andre formål utover det som er nødvendig for å levere tjenesten til brukeren.

Dataplassering og overføringer

All lyddata, transkripsjoner og journalnotater behandles og lagres utelukkende innenfor EU/EØS. PhysioNote overfører aldri slike data utenfor EU/EØS.

Sikkerhet

Databehandlers sikkerhetstiltak er beskrevet i Vedlegg B. Databehandler kan gjøre løpende endringer i sine sikkerhetstiltak uten forhåndsvarsel, så lenge slike endringer ikke reduserer det samlede sikkerhetsnivået som er beskrevet i Vedlegg B.

Databehandling og sikkerhet

  • Lydopptak og tilhørende transkriberte data er kryptert under overføring (TLS) og lagres midlertidig i kryptert form (AES-256) i databasen.
  • Lydfiler slettes umiddelbart etter at transkripsjonen er ferdigstilt.
  • Transkripsjoner, journalnotater og eventuelle henvisninger lagres i opptil 24 timer i vår database (hostet i EU) før de slettes automatisk og permanent.
  • Ingen data brukes til maskinlæring, analyse eller andre formål enn levering av tjenesten.

Underleverandører (Underdatabehandlere)

Ved inngåelse av denne databehandleravtalen gir den behandlingsansvarlige Supercompany AS en generell fullmakt til å benytte underdatabehandlere (sub-prosessors) i forbindelse med leveranse av tjenesten PhysioNote.

Supercompany AS forplikter seg til å inngå egne databehandleravtaler med alle underdatabehandlere i samsvar med kravene i GDPR artikkel 28, og sikre at de stiller tilsvarende krav til informasjonssikkerhet og databehandling som beskrevet i denne avtalen.

Dersom det skjer vesentlige endringer – for eksempel at en ny underdatabehandler får tilgang til personopplysninger, at data behandles i nytt geografisk område, eller at formålet med behandlingen endres – vil den behandlingsansvarlige varsles minst 30 dager i forkant. Den behandlingsansvarlige kan da velge å si opp avtalen med 30 dagers skriftlig varsel dersom endringen ikke aksepteres.

Endringer som ikke innebærer vesentlige konsekvenser for personvernet (for eksempel bytte til en ny leverandør med tilsvarende funksjon, lokasjon og sikkerhetsnivå) kan gjennomføres uten forhåndsvarsel, men vil dokumenteres og fremgå i oppdatert oversikt over underdatabehandlere.

Revisjoner og Inspeksjoner

Databehandleren skal gjøre tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise overholdelse av kravene i GDPR artikkel 28 og denne avtalen.

Databehandleren skal også tillate og bidra til revisjoner, inkludert inspeksjoner, som gjennomføres av den behandlingsansvarlige eller en tredjepart utpekt av den behandlingsansvarlige. Slike revisjoner skal varsles innen rimelig tid og gjennomføres på en måte som i minst mulig grad forstyrrer databehandlerens normale drift.

Opphør

Ved opphør av denne avtalen skal databehandleren, etter den behandlingsansvarliges valg, enten:

  • slette alle personopplysninger som er behandlet på vegne av den behandlingsansvarlige, eller
  • returnere alle personopplysninger og deretter slette eksisterende kopier, med mindre lagring er pålagt i henhold til EØS-rett eller nasjonal lovgivning.

Bekreftelse på at sletting er gjennomført skal, på forespørsel, dokumenteres skriftlig.

Vedlegg A: Detaljer om behandlingen av personopplysninger

A.1 Formål

Formålet med databehandlers behandling av personopplysninger på vegne av den behandlingsansvarlige er å forenkle og effektivisere føring av journalnotater etter konsultasjoner mellom fysioterapeut og pasient. Samtalen mellom fysioterapeut og pasient transkriberes og struktureres til et ferdig journalnotat som kan brukes som grunnlag for dokumentasjon i journalsystemet.

A.2 Behandlingens art

Lydopptak fra konsultasjon eller etterfølgende diktering foretas av fysioterapeuten. Lydopptaket transkriberes til tekst gjennom en egen transkriberingstjeneste. Teksten behandles deretter av en språkmodell for å generere et strukturert journalnotat. Både transkripsjon og journalnotat gjøres tilgjengelig for brukeren i 24 timer før automatisk sletting. Lydfilen slettes umiddelbart etter transkripsjon.

A.3 Typer personopplysninger som behandles

Informasjon som fremkommer under konsultasjonen eller i dikteringen, og som kan inneholde:

  • Symptombeskrivelser, funn, vurderinger og anbefalinger.
  • Helsedata (sensitive personopplysninger etter GDPR art. 9).
  • Andre opplysninger som kan fremkomme under konsultasjonen.

Merk: PhysioNote behandler aldri direkte identifiserende opplysninger (som navn eller fødselsnummer), men samtalens innhold kan likevel anses som personopplysninger dersom det i kontekst kan knyttes til en enkeltperson.

A.4 Kategorier av registrerte

  • Pasienter som deltar i konsultasjon eller omtales i diktering.
  • Fysioterapeuter som bruker løsningen.

A.5 Varighet på behandlingen

  • Lydfil: slettes umiddelbart etter at transkripsjon er generert.
  • Transkripsjon og journalnotat: lagres i maksimalt 24 timer fra opptakstidspunkt før automatisk sletting.
  • Øvrig brukerdata (navn, e-post, tilknytning til klinikk m.m.): lagres så lenge brukerkontoen er aktiv eller inntil sletting bes om.

Vedlegg B: Sikkerhetstiltak

Tilgangskontroll

  • Tilgang til løsningen krever opprettet brukerkonto og innlogging via BankID (levert av Criipto).
  • Kun autoriserte brukere med gyldig autentisering har tilgang til funksjonalitet og journalrelaterte data.
  • Administrative tilganger er begrenset til et fåtall teknisk personell med tjenstlig behov.

Datasikkerhet

  • Alle data (transkripsjoner, journalnotater og eventuelle henvisninger) krypteres under overføring (TLS) og ved lagring (AES-256), gjennom Supabase.
  • Lydfilen slettes umiddelbart etter at transkripsjon er generert.
  • Transkripsjon og journalnotat lagres i maksimalt 24 timer, før automatisk sletting.
  • Hver konsultasjon håndteres isolert, og data fra én konsultasjon er fullstendig adskilt fra andre.
  • Det gjennomføres automatisk logging for å dokumentere nøkkelprosesser i løsningen.

Rutiner

  • Det er etablert interne rutiner for å ivareta informasjonssikkerhet og databehandling i tråd med gjeldende regelverk.
  • Regelmessige sikkerhetsskanninger gjennomføres for å avdekke og utbedre eventuelle sårbarheter.

Cybersikkerhet

  • Tekniske og organisatoriske tiltak er implementert for å beskytte løsningen mot uautorisert tilgang, tjenestenektangrep, datatap og andre digitale trusler.
  • Systemarkitekturen er designet for å sikre høy tilgjengelighet og motstandsdyktighet mot angrep.

Vedlegg C: Underleverandører

Godkjente underleverandører

Ved inngåelse av denne Kundekontrakten og tilhørende Databehandleravtale godkjenner den behandlingsansvarlige bruken av følgende underdatabehandlere:

Leverandør Funksjon Lokasjon Behandlingsgrunnlag (GDPR)
Supabase Autentisering og database Sverige Art. 6(1)(b) – Avtale
Fly.io Hosting og transkribering Nederland Art. 6(1)(b) – Avtale
Azure OpenAI Generering av journalnotat (GPT) EU Art. 6(1)(b) – Avtale
Criipto BankID-autentisering Danmark Art. 6(1)(b) – Avtale
Resend E-postutsendelser Irland Art. 6(1)(a)/(f) – Samtykke / Berettiget interesse
Cloudflare Hosting og ytelsesoptimalisering Tyskland Art. 6(1)(f) – Berettiget interesse