1. Parter

Personuppgiftsansvarig: Kunden (den organisation som registrerar sig). Personuppgiftsbiträde: Alvyri AB, org.nr [XXXXXX-XXXX], ("Leverantören").

[GRANSKAS AV JURIST — fullständiga partsuppgifter]

2. Ändamål och instruktioner

Biträdet behandlar personuppgifter enbart för att tillhandahålla Tjänsten (journalföring) i enlighet med den Ansvariges dokumenterade instruktioner.

[GRANSKAS AV JURIST — detaljerade ändamål]

3. Kategorier av personuppgifter

• Patientidentitet (namn, personnummer, patientkod)
• Hälsodata (journalanteckningar, diagnoser, mätningar)
• Kontaktuppgifter (telefon, e-post, adress)
• Användaruppgifter (namn, e-post, roll)

[GRANSKAS AV JURIST — fullständig kategorisering]

4. Registrerade

Patienter, vårdpersonal och administrativa användare hos den Ansvarige.

5. Tekniska och organisatoriska åtgärder

• Kryptering vid överföring (TLS 1.3) och lagring (AES-256)
• Row Level Security (RLS) för tenant-isolering
• Tvåfaktorsautentisering (TOTP) för behörig personal
• Krypterade personnummer (pgcrypto)
• Immutabel åtkomstlogg
• Data lagras inom EU (eu-central-1)

[GRANSKAS AV JURIST — fullständig TOM-beskrivning]

6. Underbiträden

• Supabase Inc. — Databas och autentisering (eu-central-1)
• Vercel Inc. — Hosting av applikation (EU, arn1)
• Resend — E-postleverans
• Stripe, Inc. — Betalning och fakturering
• Twilio Inc. — SMS-leverans (påminnelser, verifiering)
• Whereby AS — Videomöten i digital mottagning
• Verisec AB (Freja eID) — E-legitimation för patientportal

[GRANSKAS AV JURIST — underbiträdesförteckning, godkännandeprocess]

7. Personuppgiftsincident

Biträdet ska utan onödigt dröjsmål (senast 24 timmar) meddela den Ansvarige vid personuppgiftsincident.

[GRANSKAS AV JURIST — incidentprocess]

8. Avtalstid och upphörande

Avtalet gäller så länge Tjänsten nyttjas. Vid upphörande raderas personuppgifter inom 90 dagar, om inte lagring krävs enligt lag (t.ex. PDL 10-årig bevarandeskyldighet).

[GRANSKAS AV JURIST — radering, returnering av data]