Common use of Behandlingssikkerhed Clause in Contracts

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssikkerhed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger sikkerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” kundeaftale eller af denne aftales bilag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databe- skyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplys- ninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten effektivite- ten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssik- kerhed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger sikkerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag bi- lag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering Kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- databeskyt‐ telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- karak‐ ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- tekni‐ ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- her‐ under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- personoplysnin‐ ger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- behandlingssikker‐ hed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- sik‐ kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssikkerhed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.

Behandlingssikkerhed. 1. 5.1 Databehandleren iværksætter skal bistå den Dataansvarlige med at sikre, at den Dataansvarliges lovbestemte forpligtelser overholdes med hensyn til sikkerhed som anført i Aftalen og gældende lovgivning. 5.2 Databehandleren skal iværksætte alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. 5.3 Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. : • Pseudonymisering og kryptering af personoplysninger b. personoplysninger • Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. tjenester • Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. hændelse • En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssikkerhed 35.4 Sikkerhedsforanstaltninger, der etableres hos databehandleren, skal være i overensstemmelse med ISO27001 standard for informationssikkerhed. 5.5 Databehandleren er underlagt kravene i Sikkerhedsbekendtgørelsen (nr. Databehandleren skal i forbindelse 528 af 15. juni 2000 med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.senere ændringer)

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: o a. Pseudonymisering og kryptering af personoplysninger o b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester o c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplysninger i tilfælde af en fysisk eller teknisk hændelse o d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssikkerhed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger sikkerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.

Behandlingssikkerhed. 1. 6.1 Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. 6.2 Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. a) Pseudonymisering og kryptering af personoplysninger b. b) Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. c) Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. d) En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssikkerhed 3. 6.3 Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. 6.4 Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger sikkerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens Databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår32 fastslår, at der den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres frihedsrettigheder, gennemfører passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveaubeskyttelsesniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren Den dataansvarlige skal foretage en risikovurdering, vurdere risiciene for fysiske personers rettigheder og herefter frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå identificerede disse risici. Der Afhængig af deres relevans kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltningerdet omfatte: a. Pseudonymisering og kryptering af personoplysninger b. Evne evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester-tjenester c. Evne evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. En en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssikkerhed. 32. Databehandleren Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i forbindelse med ovenstående stand til at identificere og vurdere sådanne risici. Hvis imødegåelse af de identificerede risici – i alle tilfælde efter den dataansvarliges vurdering – som minimum iværksætte det sikkerhedsniveau og kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som er specificeret nærmere databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i denne aftales Bilag bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren Databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplys- ninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten effektivite- ten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssik- kerhed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den Den dataansvarliges eller databehandlerens Databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.

Behandlingssikkerhed. 1Sikkerhedsniveauet skal afspejle det identificerede risikoniveau: Den generelle behandlingssikkerhed for at undgå at oplysninger ikke hændeligt eller ulovligt tilintetgøres, fortabes, forringes, kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med de til enhver tid gældende regler og forskrifter for behandling af personoplysninger opretholdes gennem databehandlerens organisatoriske, administrative og IT- sikkerhedsmæssige foranstaltninger. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne er herefter berettiget og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne forpligtet til at sikre vedvarende fortrolighedtræffe beslutninger om, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de hvilke tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hed 3sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nødvendige (og aftalte) sikkerhedsniveau. Databehandleren skal i forbindelse med ovenstående dog – i under alle tilfælde – omstændigheder og som minimum iværksætte det sikkerhedsniveau og de – gennemføre følgende foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse aftalt med den dataansvarliges eller dataansvarlige: • Databehandleren har en dokumenteret informationssikkerhedspolitik, der gennemgår, hvordan informationssikkerhed sikres i databehandlerens efterfølgende krav om etablering organisation. • Databehandleren vedligeholder og håndhæver politikker for at sikre, at personoplysninger behandles i overensstemmelse med gældende lovgivning. Databehandleren tager passende skridt til at sikre, at alle medarbejdere kender sådanne politikker gennem regelmæssig træning. • Databehandleren reviderer regelmæssigt underdatabehandlere baseret på risikoen ved behandlingen af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.personoplysningerne.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssikkerhed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger sikkerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.”.

Behandlingssikkerhed. 1. a) Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder frihedsrettigheder, skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. b) Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. 1) Pseudonymisering og kryptering af personoplysninger b. 2) Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. 3) Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. 4) En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssikkerhed 3. c) Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. d) Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger sikkerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens data- beskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen hensyn- tagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende varieren- de sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre sik- re et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurderingrisiko- vurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risiciri- sici. Der kan her- under herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed ro- busthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger perso- noplysninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten effek- tiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbe- handlingssikkerhed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum mini- mum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger sikkerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databe- skyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen hensynta- gen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terbe- handlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurderingrisikovur- dering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. foran- staltninger: • Pseudonymisering og kryptering af personoplysninger b. personoplysninger • Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. tjenester • Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplys- ninger i tilfælde af en fysisk eller teknisk hændelse d. hændelse • En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten effektivite- ten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hed 3behandlings- sikkerhed. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere nær- mere i denne aftales Bilag C. 4B. Den Dataansvarliges data skal kunne adskilles fra andre kunders data og fremsøges. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges Dataansvarliges eller databehandlerens Databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger sikkerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” Hovedaftale eller af denne aftales bilag D.D. Ovenstående sikkerhedsbestemmelser gælder ligeledes, i det omfang Databehand- leren gør brug af hjemmearbejdspladser eller arbejdspladser med forskellige fysiske lokationer, jf. Bilag B.

Behandlingssikkerhed. 1Sikkerhedsniveauet skal afspejle det identificerede risikoniveau: Den generelle behandlingssikkerhed for at undgå at oplysninger ikke hændeligt eller ulovligt tilintet- gøres, fortabes, forringes, kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med de til enhver tid gældende regler og forskrifter for behandling af personoplysninger op- retholdes gennem databehandlerens organisatoriske, administrative og IT-sikkerhedsmæssige for- anstaltninger. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne er herefter berettiget og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne forpligtet til at sikre vedvarende fortrolighedtræffe beslutninger om, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de hvilke tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hed 3sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nødvendige (og aftalte) sikkerhedsniveau. Databehandleren skal i forbindelse med ovenstående dog – i under alle tilfælde – omstændigheder og som minimum iværksætte det sikkerhedsniveau og de – gennemføre følgende foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse aftalt med den dataansvarliges eller dataansvarlige: • Databehandleren har en dokumenteret informationssikkerhedspolitik, der gennemgår, hvor- dan informationssikkerhed sikres i databehandlerens efterfølgende krav om etablering organisation. • Databehandleren vedligeholder og håndhæver politikker for at sikre, at personoplysninger behandles i overensstemmelse med gældende lovgivning. Databehandleren tager passende skridt til at sikre, at alle medarbejdere kender sådanne politikker gennem regelmæssig træ- ning. • Databehandleren reviderer regelmæssigt underdatabehandlere baseret på risikoen ved be- handlingen af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.personoplysningerne.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssikkerhed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger sikkerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” kontrakt eller af denne aftales bilag D.

Behandlingssikkerhed. 1. Databehandleren Det skal fremgå af databehandleraftalen, at databehandleren iværksætter eller har iværksat alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens reglerne om behandling for sikkerhed jf. artikel 32, hvoraf det bl.a32 i for- ordningen. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærerDette indebærer helt overordnet, at databehandleren skal foretage en risikovurderinggaranterer et passende sikkerhedsniveau i forhold til den risiko, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevantforbundet med behandlingen, være tale om følgende foranstaltningergennem tekniske og organisatoriske for- anstaltninger. Mere specifikt kan dette omfatte: a. Pseudonymisering og a) pseudonymisering eller kryptering af personoplysningeroplysningerne. b. Evne til at sikre vedvarende b) beskrivelse af egenskaber der sikrer fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer be- handlingssystemer – og – tjenester. c. Evne c) beskrivelse af egenskaber til rettidigt at genoprette tilgængeligheden af og adgangen adgang til personoplysnin- ger personop- lysninger i tilfælde af en fysisk eller teknisk hændelse. d. En d) beskrivelse af en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hed 3behandlingssikkerhed. Databehandleren Når det skal vurderes, hvilket sikkerhedsniveau der er passende, skal der tages hensyn til de risici, der er forbundet med behandlingen, herunder særligt i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og forhold til risikoen ved hændelig eller ulov- lig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til de foranstaltningerpersonoplysninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse der skal transmitteres, opbevares eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.på anden måde behandles.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssikkerhed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger sikkerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” samhandelsaftale eller af denne aftales bilag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databe- skyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplys- ninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten effektivite- ten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssik- kerhed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger sikkerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” kundeaftale eller af denne aftales bilag D.

Behandlingssikkerhed. 1Sikkerhedsniveauet skal afspejle, at behandlingen som beskrevet i disse Bestemmelser omfatter: • En større mængde personoplysninger i form af personnumre (CPR-numre), • En større mængde personoplysninger i form af oplysninger om fagforeningsmæssige tilhørsforhold samt helbredsmæssige forhold som omfattet af Databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, • En større mængde personoplysninger, der skal behandles fortroligt, idet der er tale om private oplysninger om økonomiske og arbejdsrelaterede forhold. Der skal derfor etableres et højt sikkerhedsniveau. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne er herefter berettiget og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne forpligtet til at sikre vedvarende fortrolighedtræffe beslutninger om, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de hvilke tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hed 3sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nødvendige (og aftalte) sikkerhedsniveau. Databehandleren skal i forbindelse med ovenstående dog – i under alle tilfælde – omstændigheder og som minimum iværksætte det sikkerhedsniveau og de – gennemføre følgende foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse aftalt med den dataansvarliges eller databehandlerens efterfølgende krav om etablering dataansvarlige: Organisering af yderligere sik- kerhedsforanstaltninger vil fremgå informationssikkerhed: • Databehandleren har fastlagte beskrevne procedurer og politikker, der sikrer formel organisering af parternes et passende (”hovedaftale” eller højt”) niveau for informationssikkerhed. • Databehandleren har foretaget risikovurderinger af denne aftales bilag D.behandlingsaktiviteter. Disse danner grundlag for fastsættelse af passende sikkerhedsforanstaltninger.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databeskyttelsesfor- ordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne im- plementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder fri- hedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter heref- ter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer behand- lingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplysninger i tilfælde til- fælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssikkerhed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges dataan- svarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger sikkerhedsforan- staltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, integritet tilgængelighed og robusthed af behandlingssystemer og – tjenestertjeneste. c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssikkerhed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i I forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger sikkerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databe- skyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplys- ninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten effektivite- ten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssik- kerhed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger sikkerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” hovedaftale eller af denne aftales bilag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databeskyttelses- forordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveauni- veau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng sam- menhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger foran- staltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysningerData på non produktions DataHub miljøer er anonymiseret. b. Data er krypteret på både DataHub produktion og non produktion miljøerne. c. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer be- handlingssystemer og – tjenester. c. d. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplysninger i tilfælde af en fysisk eller teknisk hændelse. d. e. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssikkerhed. 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges data- ansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger sikkerhedsfor- anstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag Bilag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle de foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databeskyttel- sesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle ak- tuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester-tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger for- anstaltninger til sikring af behandlingssikker- hedbehandlingssikkerhed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.

Behandlingssikkerhed. 1Sikkerhedsniveauet skal afspejle: Behandlingen omfatter som udgangspunkt udelukkende almindelige oplysninger om medar- bejdere på barsel til brug for administration, automatisering og kommunikation af disses ret- tigheder og muligheder i forbindelse med barsel. Behandlingsaktiviteten omfatter derfor kun en mindre andel af den dataansvarliges medarbej- dere. Sikkerhedsniveauet afspejler dog også, at barselsforhold er af privat karakter, og at der i et vist omfang kan ske behandling af (indirekte) helbredsoplysninger, herunder fx oplysninger om fertilitetsbehandling, sygemeldinger mv, ligesom det ikke kan udelukkes, at der behandles (indirekte) oplysninger om seksuel orientering eller fagforeningsmæssigt tilhørsforhold. Be- handlingen af følsomme og fortrolige oplysninger vil udelukkende forekomme, såfremt den dataansvarlige eller den dataansvarliges medarbejdere af egen drift uploader sådanne per- sonoplysninger på Platformen. Samlet set frembyder behandlingen derfor etablering af et højt sikkerhedsniveau. Databehandleren iværksætter er berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nødven- dige (og aftalte) sikkerhedsniveau. Databehandleren skal dog under alle omstændigheder og som minimum gennemføre følgende foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og er aftalt med den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltningerdataansvarlige: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende 1. Vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer behandlingssyste- mer og – tjenester-tjenester c. Evne til rettidigt at genoprette 2. Rettidig genoprettelse af tilgængeligheden af og adgangen til personoplysnin- ger personoplysninger i tilfælde til- fælde af en fysisk eller teknisk hændelse d. En procedure 3. Procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssikkerheden 34. Databehandleren skal Sikkerhed i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau online adgang, transmission og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.opbevaring

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse dis- se risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplys- ninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten effektivite- ten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssik- kerhed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger sikkerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” aftalegrundlag eller af denne aftales bilag bi- lag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databe- skyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplys- ninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten effektivite- ten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssik- kerhed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.

Behandlingssikkerhed. 1Sikkerhedsniveauet skal afspejle: At der er tale om behandling af en større mængde personoplysninger kategoriseret som; ”Almindelige personoplysninger”. Databehandleren iværksætter er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nødvendige (og aftalte) sikkerhedsniveau. Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre følgende foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og er aftalt med den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene dataansvarlige (på baggrund af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveauden risikovurdering den dataansvarlige har foretaget): • Personoplysninger, der passer til disse risici. 2udelukkende anvendes statistisk, skal i videst muligt omfang enten anonymises eller pseudonymiseres. Ovenstående forpligtelse indebærer• Anvende stærk kryptering ved enhver overførsel af personoplysninger via internettet, at databehandleren skal foretage en risikovurderinginklusive overførsel via e-mail, og herefter gennemføre foranstaltninger for at imødegå identificerede risicimedmindre andet er udtrykkeligt aftalt med den dataansvarliges kontaktperson. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne • Tage ethvert rimeligt skridt til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt . • Mulighed for, i løbet af maksimalt 24 timer, at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure . • Udarbejde procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hed 3behandlingssikkerhed samt løbende vedligeholde disse procedurer. Databehandleren skal • I videst muligt omfang undgå behandling af personoplysninger i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau papirform. • Logge adgang til personoplysninger og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.løbende foretage stikprøvekontrol.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse dis- se risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplys- ninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten effektivite- ten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssik- kerhed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger sikkerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag bi- lag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databe- skyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplys- ninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten effektivite- ten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssik- kerhed. 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.”.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren Databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssikkerhed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges Dataansvarliges eller databehandlerens Databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger sikkerhedsforanstaltninger vil fremgå af parternes Parternes ”hovedaftale” eller af denne aftales bilag D.”.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering Kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.”.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle de foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse dis- se risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplys- ninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger for- anstaltninger til sikring af behandlingssikker- hedbehandlingssikkerhed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.

Behandlingssikkerhed. 1. Databehandleren Underdatabehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens data- beskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren underdatabehandleren skal foretage en risikovurderingrisikovur- dering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering Kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – - tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplys- ninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten effektivite- ten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssik- kerhed 3. Databehandleren Underdatabehandleren skal i forbindelse med ovenstående – - i alle tilfælde – - som minimum mini- mum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere nær- mere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssikkerhed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger sikkerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens databeskyttelse forordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- terbehand-lings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed sandsynlig-hed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssikkerhed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger sikkerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens 6.1 Databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår32 fastslår, at der den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres frihedsrettigheder, gennemfører passende tekni- ske tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveaubeskyttelsesniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester-tjenester c. Evne evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. En en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hedbehandlingssikkerhed. 36.2 Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Databehandleren Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i forbindelse stand til at identificere og vurdere sådanne risici. 6.3 Derudover skal databehandleren vederlagsfrit bistå den dataansvarlige med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og de foranstaltningerorganisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med nødvendig for den dataansvarliges eller databehandlerens efterfølgende krav om etablering overholdelse af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.sin forpligtelse efter forordningens artikel 32.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hed 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” aftalegrundlag eller af denne aftales bilag D.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltningerhar ved sin behandling gennemført passende tekniske og organisatoriske sikkerhedsforanstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karak- terkarakteren af personoplysningerne, omfangomfanget af personoplysningerne, sammenhæng personoplysningernes sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder frihedsrettigheder. Disse sikkerhedsforanstaltninger skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærermod, at databehandleren skal foretage en risikovurderingde overladte personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med Persondataloven og herefter gennemføre efter Persondataforordningens ikrafttræden, Persondataforordningen. Parterne er enige om, at de implementerede foranstaltninger er tilstrækkelige på tidspunktet for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering indgåelse af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hed 3Aftalen. Databehandleren vurderer herefter løbende om de implementerede foranstaltningerne kan anses for tilstrækkelige. Ændringer til sikkerhedsniveauet som skyldes ændringer i den Dataansvarliges forhold, skal i forbindelse aftales særskilt. Når den Dataansvarlige skriftligt har gjort opmærksom på, at denne er underlagt sikkerhedsbekendtgørelsen (BEK nr. 528 af 15/06/2000 med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltningersenere ændringer), som skal Databehandleren ligeledes ved sin behandling personoplysninger på vegne af den Dataansvarlige overholde bekendtgørelsen, så længe bekendtgørelsen er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.gældende.

Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres træffe passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger sikkerhedsforanstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til sikring af behandlingssikker- hed 3uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen. Databehandleren skal implementere og opretholde de i forbindelse med ovenstående – i alle tilfælde – bilag E beskrevne sikkerhedsforanstaltninger. Databehandleren er altid berettiget til at implementere alternative sikkerhedsforanstaltninger under forudsætning af, at sådanne sikkerhedsforanstaltninger som minimum iværksætte det sikkerhedsniveau og opfylder eller giver større sikkerhed end de foranstaltningeri bilag E beskrevne sikkerhedsforanstaltninger. Databehandleren kan ikke uden den Dataansvarliges skriftlige forudgående godkendelse foretage forringelse af sikkerhedsforholdene. Hvis Databehandleren er etableret i en anden EU-medlemsstat, skal de bestemmelser om sikkerhedsforanstaltninger, som er specificeret fastsat i lovgivningen i den EU-medlemsstat, hvor Databehandleren er etableret, derudover gælde for Databehandleren. Hvis Databehandleren er etableret i en anden EU-medlemsstat, skal Databehandleren således overholde såvel sikkerhedskrav omfattet af gældende lovgivning i Danmark som sikkerhedskrav i Databehandlerens hjemland. Det samme gælder for underdatabehandlere. Databehandleren skal efter nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering Dataansvarlige, så vidt muligt, bistå den Dataansvarlige med at sikre overholdelse af forpligtelserne i forordningens artikel 32 (gennemførelse af passende tekniske og organisatoriske foranstaltninger), 35 (foretagelse af konsekvensanalyse vedrørende databeskyttelse) og 36 (forudgående høring). Såfremt den Dataansvarlige kræver yderligere sik- kerhedsforanstaltninger vil fremgå biståelse, end Databehandlerens standard procedurer for overholdelse af parternes ”hovedaftale” eller af denne aftales bilag D.ovenstående artikler, er Databehandleren berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al Databehandlerens arbejdstid, som en sådan aftale måtte medføre for Databehandleren, ligesom den Dataansvarlige hæfter for eventuel betaling til underdatabehandleren.