Common use of Databehandlerens forpligtelser Clause in Contracts

Databehandlerens forpligtelser. 4.1 Al behandling udført af databehandleren af personoplysninger, der er videregivet af den dataansvarlige, skal ske i overensstemmelse med instrukserne fra den dataansvarlig, og databehandleren er endvidere forpligtet til at overholde enhver gældende databeskyttelseslovgivning. Hvis EU-retten eller en medlemsstats nationale ret, som databehandleren er underlagt, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. Databehandleren skal omgående underrette den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med denne forordning eller databeskyttelsesbestemmelserne i en medlemsstats nationale ret. 4.2 Databehandleren skal træffe alle nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle yderligere foranstaltninger, der er nødvendige for at sikre, at de personoplysninger, der fremgår af pkt. 1.2, ikke hændeligt eller ulovligt tilintetgøres, bortkommer eller forringes eller videregives til uautoriserede tredjeparter, misbruges eller på anden måde behandles i strid med til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1. 4.3 Databehandleren skal sikre, at ansatte, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 4.4 Hvis den dataansvarlige anmoder herom, skal databehandleren angive og/eller dokumentere, at databehandleren opfylder kravene i den gældende databeskyttelseslovgivning, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker for behandling af personoplysninger. 4.5 Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige med passende tekniske og organisatoriske foranstaltninger, for opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger fra en registreret om udøvelse af vedkommendes rettigheder som angivet i kapitel 3 i den generelle forordning om databeskyttelse. 4.6 Databehandleren, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 Hvis databehandleren behandler personoplysninger i en anden medlemsstat, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 Databehandleren skal underrette den dataansvarlige, hvis der er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for underretning af den dataansvarlige om sikkerhedsbrud er 24 timer fra det øjeblik, databehandleren bliver bekendt med et brud på sikkerheden. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige i forbindelse med afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af eventuel underretning af det relevante datatilsyn og/eller de registrerede. 4.9 Databehandleren skal give den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner, herunder inspektioner, der udføres af den dataansvarlige eller anden revisor, som er bemyndiget af den dataansvarlige. 4.10 Ud over ovenstående skal databehandleren bistå den dataansvarlige med at sikre opfyldelse af den dataansvarliges forpligtelser i henhold til artikel 32-36 i den generelle forordning om databeskyttelse. Denne bistand tager hensyn til behandlingens art og de oplysninger, der er til rådighed for databehandleren.

Databehandlerens forpligtelser. 4.1 Al behandling udført af databehandleren af personoplysninger, der er videregivet af den dataansvarlige, skal ske i overensstemmelse med instrukserne fra den dataansvarlig, og databehandleren er endvidere forpligtet til at overholde enhver gældende databeskyttelseslovgivning. Hvis EU-retten eller en medlemsstats nationale ret, som databehandleren er underlagt, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. Databehandleren skal omgående underrette den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med denne forordning eller databeskyttelsesbestemmelserne i en medlemsstats nationale ret. 4.2 Databehandleren skal træffe alle nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle yderligere foranstaltninger, der er nødvendige for at sikre, at de personoplysninger, der fremgår af pkt. 1.2, ikke hændeligt eller ulovligt tilintetgøres, bortkommer eller forringes eller videregives til uautoriserede tredjeparter, misbruges eller på anden måde behandles i strid med til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1. 4.3 Databehandleren skal sikre, at ansatte, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 4.4 Hvis den dataansvarlige anmoder herom, skal databehandleren angive og/eller dokumentere, at databehandleren opfylder kravene i den gældende databeskyttelseslovgivning, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker for behandling af personoplysninger. 4.5 Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige med passende tekniske og organisatoriske foranstaltninger, for opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger fra en registreret om udøvelse af vedkommendes rettigheder som angivet i kapitel 3 i den generelle forordning om databeskyttelse. 4.6 Databehandleren, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 Hvis databehandleren behandler personoplysninger i en anden medlemsstat, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 Databehandleren skal underrette den dataansvarlige, hvis der er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for underretning af den dataansvarlige om sikkerhedsbrud er 24 timer fra det øjeblik, databehandleren bliver bekendt med et brud på sikkerheden. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige i forbindelse med afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af eventuel underretning af det relevante danske datatilsyn og/eller de registrerede. 4.9 Databehandleren skal give den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner, herunder inspektioner, der udføres af den dataansvarlige eller anden revisor, som er bemyndiget af den dataansvarlige. 4.10 Ud over ovenstående skal databehandleren bistå den dataansvarlige med at sikre opfyldelse af den dataansvarliges forpligtelser i henhold til artikel 32-36 i den generelle forordning om databeskyttelse. Denne bistand tager hensyn til behandlingens art og de oplysninger, der er til rådighed for databehandleren.

Databehandlerens forpligtelser. 4.1 Al behandling udført Hvor Databehandleren (som Databehandler) behandler Personoplysninger på vegne af databehandleren af personoplysninger, der er videregivet af den dataansvarligeKunden (som Dataansvarlig), skal ske denne: a. Behandle eller få sådanne Personoplysninger behandlet i overensstemmelse med instrukserne de Databeskyttelseslove, der gælder for virksomheden som Databehandler. b. Behandle - og sørge for, at enhver person, der på virksomhedens vegne behandler - Personoplysninger på vegne af den Dataansvarlige og i overensstemmelse med dennes dokumenterede instruktioner, medmindre andet kræves af EU eller EU- medlemsstaternes lovgivning, som Databehandleren er underlagt. I så fald skal Databehandleren informere den Dataansvarlige om dette lovkrav inden behandlingen, medmindre denne lov forbyder sådanne oplysninger af vigtige hensyn til den offentlige interesse. Disse Vilkår udgør de dokumenterede instruktioner fra den dataansvarligDataansvarlige til Databehandleren. På instruktion fra den Dataansvarlige skal Databehandleren også rette, korrigere eller blokere Personoplysningerne og databehandleren er endvidere forpligtet til at overholde enhver gældende databeskyttelseslovgivning. Hvis EU-retten eller en medlemsstats nationale ret, som databehandleren er underlagt, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. Databehandleren skal omgående underrette den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med denne forordning eller databeskyttelsesbestemmelserne i en medlemsstats nationale ret. 4.2 Databehandleren skal træffe alle nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle yderligere foranstaltninger, der er nødvendige for at sikre, at de personoplysninger, der fremgår af pkt. 1.2, ikke hændeligt eller ulovligt tilintetgøres, bortkommer eller forringes eller videregives kun behørigt uddannet personale har adgang til uautoriserede tredjeparter, misbruges eller på anden måde behandles i strid med til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1Personoplysningerne. 4.3 Databehandleren skal sikre, at ansatte, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 4.4 Hvis den dataansvarlige anmoder herom, skal databehandleren angive og/eller dokumentere, at databehandleren opfylder kravene i den gældende databeskyttelseslovgivning, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker for behandling af personoplysninger. 4.5 c. Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige med passende tekniske og organisatoriske foranstaltninger, for opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger fra en registreret om udøvelse af vedkommendes rettigheder som angivet i kapitel 3 i den generelle forordning om databeskyttelse. 4.6 Databehandleren, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 Hvis databehandleren behandler personoplysninger i en anden medlemsstat, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 Databehandleren skal underrette den dataansvarlige, hvis der er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for underretning af den dataansvarlige om sikkerhedsbrud er 24 timer fra det øjeblik, databehandleren bliver bekendt med et brud på sikkerheden. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige i forbindelse med afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af eventuel underretning af det relevante datatilsyn og/eller de registrerede. 4.9 Databehandleren skal give den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner, herunder inspektioner, der udføres af den dataansvarlige eller anden revisor, som er bemyndiget af den dataansvarlige. 4.10 Ud over ovenstående skal databehandleren bistå den dataansvarlige med at sikre opfyldelse af den dataansvarliges forpligtelser i henhold til artikel 32-36 i den generelle forordning om databeskyttelse. Denne bistand tager hensyn til behandlingens art og de oplysninger, der er til rådighed for databehandlerenDatabehandleren, skal der ydes kommercielt rimelig assistance til den Dataansvarlige, så det sikres at den Dataansvarlige overholder sine forpligtelser i henhold til gældende Databeskyttelseslovgivning, herunder gennemførsel af eventuelle nødvendige konsekvensanalyser for privatlivets fred. d. Implementere passende tekniske og organisatoriske foranstaltninger som krævet i henhold til gældende Databeskyttelseslovgivning for at beskytte Personoplysningerne mod utilsigtet eller ulovlig destruktion eller utilsigtet tab, ændring, uautoriseret adgang, offentliggørelse eller overførsel, misbrug og mod andre ulovlige former for behandling, og i det mindste træffe følgende sikkerhedsforanstaltninger efter behov: i. Pseudonymisering og kryptering ii. Foranstaltninger til opretholdelse af den løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed i behandlingssystemer og -tjenester iii. Foranstaltninger til genopretning af tilgængeligheden af og adgangen til Personoplysninger rettidigt i tilfælde af et fysisk eller teknisk uheld iv. En proces til regelmæssigt at afprøve, vurdere og evaluere effektiviteten af tekniske og organisatoriske sikkerhedsforanstaltninger. I Tillæg 1 dokumenterer Databehandleren gennemførelsen af de tekniske og organisatoriske foranstaltninger. e. Stille de nødvendige oplysninger til rådighed for den Dataansvarlige for at påvise overholdelse af Databehandlerens forpligtelser til at overholde gældende lovgivning om databeskyttelse og tillade og bidrage til revisioner, herunder inspektioner, der udføres af den Dataansvarlige eller en anden revisor, der er udpeget af den Dataansvarlige. Databehandleren vil, i henhold til dette afsnit, kun stille oplysninger til rådighed i det omfang, at oplysningerne vedrører Databehandlerens behandling af Personoplysninger på vegne af den Dataansvarlige og at sådanne oplysninger er i Databehandlerens besiddelse og ikke overtræder gældende lovgivning eller Databehandlerens tavshedspligt eller retlige beskyttelse eller på anden måde underminerer sikkerheden eller integriteten af deres systemer eller oplysninger. f. Den Dataansvarliges ret til at kontrollere er betinget af, at Databehandleren får mindst fire

Databehandlerens forpligtelser. 4.1 Al behandling udført af databehandleren af personoplysninger, der er videregivet 3.1 Databehandleren må alene behandle de af den dataansvarlige, skal ske Dataansvarlige overførte personoplysninger i overensstemmelse med instrukserne fra den dataansvarlig, og databehandleren er endvidere forpligtet Dataansvarliges instrukser medmindre det kræves i henhold til at overholde enhver gældende databeskyttelseslovgivning. Hvis EU-retten ret eller en medlemsstats medlemsstaternes nationale ret, som databehandleren er underlagt, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, skal databehandleren underrette . 3.2 Databehandleren underretter omgående den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. Databehandleren skal omgående underrette den dataansvarligeDataansvarlige, hvis en instruks efter databehandlerens Databehandlerens mening er i strid med denne forordning databeskyttelsesforordningen eller databeskyttelsesbestemmelserne databeskyttelsesbestemmelser i en medlemsstats anden EU-ret eller medlemsstaternes nationale ret. 4.2 3.3 Databehandleren skal træffe alle nødvendige tekniske fra den 25. maj 2018 særligt leve op til reglerne i databeskyttelsesforordningen og organisatoriske sikkerhedsforanstaltningerdatabeskyttelsesloven. 3.4 I bilag 3 er en nærmere instruks om, hvilken behandling Databehandleren skal foretage på vegne af den Dataansvarlige (behandlingens genstand), hvilke sikkerhedsforanstaltninger der skal iagttages, samt hvordan den Dataansvarlige kan sikre sig, at behandlingen overholder kravene i databeskyttelsesforordningen, databeskyttelsesloven og Aftalen. 3.5 Databehandleren skal på den Dataansvarliges anmodning redegøre for og/eller dokumentere, at Databehandleren opfylder kravene i databeskyttelseslovgivningen, herunder eventuelle yderligere foranstaltningerfremvise dokumentation for Databehandlerens datastrømme og procedurer/politikker for behandling af personoplysninger. 3.6 Databehandleren stiller alle oplysninger, der er nødvendige for at sikrepåvise Databehandlerens overholdelse af kravene i databeskyttelsesforordningen og Aftalen, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige. Den nærmere procedure for den Dataansvarliges tilsyn med Databehandleren fremgår af Aftalens bilag 3. 3.7 Den Dataansvarliges tilsyn med eventuelle underdatabehandlere sker gennem Databehandleren. Den nærmere procedure herfor fremgår af Aftalens bilag 3. 3.8 Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til den Dataansvarliges og Databehandlerens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til Databehandlerens fysiske faciliteter mod behørig legitimation. 3.9 Databehandleren sikrer, at kun de personer, der autoriseres hertil, har adgang til de personoplysninger, der fremgår behandles på vegne af pktden Dataansvarlige. 1.2Adgangen til oplysningerne skal derfor straks lukkes ned, ikke hændeligt hvis autorisationen fratages eller ulovligt tilintetgøresudløber. Der må alene autoriseres personer, bortkommer eller forringes eller videregives for hvem det er nødvendigt at have adgang til uautoriserede tredjeparter, misbruges eller på anden måde behandles i strid med til enhver tid gældende databeskyttelseslovgivningpersonoplysningerne for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1. 4.3 Databehandleren skal sikresikrer, at ansattede personer, der er autoriseret til at behandle personoplysningernepersonoplysninger på vegne af den Dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Databehandleren skal efter anmodning fra den Dataansvarlige fremvise dokumentation for, at de relevante medarbejdere er underlagt en sådan forpligtelse samt at de er orienteret om, at fortroligheds- og tavshedspligten fortsætter efter endt ansættelse og aftalens ophør. 4.4 Hvis 3.10 Databehandleren underretter uden unødig forsinkelse den dataansvarlige anmoder herom, skal databehandleren angive og/eller dokumentereDataansvarlige senest 12 timer efter at være blevet opmærksom på, at databehandleren opfylder kravene der er sket brud på persondatasikkerheden hos Databehandleren eller en eventuel underdatabehandler. Underretningen skal bestå af oplysning om, at der er sket et brud på persondatasikkerhed samt en kort beskrivelse af karakteren og det umiddelbare omfang. I umiddelbar forlængelse heraf bistår Databehandleren løbende den Dataansvarlige med de oplysninger, som er nødvendige for, at den Dataansvarlige kan efterleve sine forpligtelser i den gældende databeskyttelseslovgivningforbindelse med et brud på persondatasikkerheden, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker eventuel underretning af de registrerede og anmeldelse af bruddet til tilsynsmyndigheden. Inden for behandling af personoplysninger48 timer fra det konstaterede brud på persondatasikkerheden afgiver Databehandleren så vidt muligt en endelig redegørelse for hændelsen til den Dataansvarlige. Redegørelsen skal mindst indeholde de oplysninger, som den Dataansvarlige efter databeskyttelsesforordningens artikel 33, stk. 3, er forpligtet til at give til tilsynsmyndigheden. 4.5 Under 3.11 Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til behandlingens art det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal databehandlere, så vidt muligt, bistå den dataansvarlige med gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Denne forpligtelse indebærer, at Databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a. være tale om følgende foranstaltninger: • Pseudonymisering og kryptering af personoplysninger • Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester • Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse • En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed 3.12 Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. Databehandleren skal i forbindelse med ovenstående i alle tilfælde iværksætte det sikkerhedsniveau og de eventuelle foranstaltninger, for som måtte være specificeret nærmere i bilag 3. 3.13 Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den dataansvarliges Dataansvarliges forpligtelse til at besvare anmodninger fra en registreret om udøvelse udøvelsen af vedkommendes de registreredes rettigheder som angivet fastlagt i databeskyttelsesforordningens kapitel 3 i 3. Der kan herunder bl.a. være tale om følgende rettigheder: • Opfyldelse af oplysningspligten ved indsamling af oplysninger hos den generelle forordning om databeskyttelse. 4.6 Databehandlerenregistrerede • Opfyldelse af oplysningspligten, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra de hvis personoplysninger ikke er indsamlet hos den registrerede til • Overholdelse af den dataansvarlige for registreredes indsigtsret • Overholdelse af den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har registreredes ret til selv at besvare anmodningen. På berigtigelse • Overholdelse af den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 Hvis databehandleren behandler personoplysninger i en anden medlemsstat, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 Databehandleren skal underrette den dataansvarlige, hvis der er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder registreredes ret til begrænsning af behandling • Opfyldelse af underretningspligten i forbindelse med behandlingen berigtigelse eller sletning af personoplysningerne. Databehandlerens frist for underretning personoplysninger eller begrænsning af behandling • Overholdelse af den dataansvarlige om sikkerhedsbrud er 24 timer fra det øjeblik, databehandleren bliver bekendt med et brud på sikkerheden. På registreredes ret til indsigelse • Overholdelse af den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige i forbindelse med afklaring af omfanget af sikkerhedsbruddetregistreredes ret til ikke at være genstand for automatiske individuelle afgørelser, herunder udarbejdelse af eventuel underretning af det relevante datatilsyn og/eller de registrerede.profilering 4.9 3.14 Databehandleren skal give bistår den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner, herunder inspektioner, der udføres af den dataansvarlige eller anden revisor, som er bemyndiget af den dataansvarlige. 4.10 Ud over ovenstående skal databehandleren bistå den dataansvarlige Dataansvarlige med at sikre opfyldelse overholdelse af den dataansvarliges Dataansvarliges forpligtelser i henhold til medfør af databeskyttelsesforordningens artikel 32-36 i den generelle forordning om databeskyttelse. Denne bistand tager hensyn under hensyntagen til behandlingens art karakter og de oplysninger, der er tilgængelige for Databehandleren, jf. art 28, stk. 3, litra f. Der kan herunder bl.a. være tale om følgende foranstaltninger: • Gennemførelse af passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til rådighed de risici, der er forbundet med behandlingen • Anmeldelse af brud på persondatasikkerheden til Datatilsynet uden unødig forsinkelse og om muligt senest 72 timer, efter at den Dataansvarlige er blevet bekendt med bruddet • Underrettelse – uden unødig forsinkelse – af den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for databehandlerenfysiske personers rettigheder og frihedsrettigheder • Gennemførelse af en konsekvensanalyse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder • Høring af Datatilsynet inden behandling, hvis en konsekvensanalyse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den Dataansvarlige for at begrænse risikoen.

Databehandlerens forpligtelser. 4.1 Al behandling udført af databehandleren af personoplysninger, der er videregivet 5.1 Databehandleren må alene behandle de af den dataansvarlige, skal ske Dataansvarlige leverede personoplysninger i overensstemmelse med instrukserne fra den dataansvarlig, Dataansvarliges instrukser og databehandleren er endvidere i øvrigt forpligtet til at overholde den til enhver tid gældende databeskyttelseslovgivning. Hvis EU-retten eller en medlemsstats nationale ret, som databehandleren er underlagt, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. Databehandleren skal omgående underrette den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med denne forordning eller databeskyttelsesbestemmelserne i en medlemsstats nationale ret. 4.2 5.2 Databehandleren skal træffe alle nødvendige de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle sådanne yderligere foranstaltninger, der er nødvendige for at sikresom måtte være nødvendige, mod at de personoplysninger, der fremgår af i pkt. 1.2, ikke 2.2 anførte personlysninger hændeligt eller ulovligt tilintetgøres, bortkommer fortabes eller forringes eller videregives samt mod, at de kommer til uautoriserede tredjeparteruvedkommendes kendskab, misbruges eller på anden måde i øvrigt behandles i strid med den til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1. 4.3 5.3 Databehandleren skal på den Dataansvarliges anmodning redegøre for og/eller dokumentere, at Databehandleren opfylder kravene i persondatalovgivningen og forpligtelserne i medfør af denne Aftale, herunder at de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger er truffet. Den Dataansvarlige skal kompensere Databehandleren for den tid, som bruges på at efterkomme denne anmodning. 5.4 Databehandleren skal sikre, at ansattede medarbejdere, der er autoriseret til involveret i at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 4.4 Hvis den dataansvarlige anmoder herom, skal databehandleren angive og/eller dokumentere, at databehandleren opfylder kravene i den gældende databeskyttelseslovgivning, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker for behandling af personoplysninger. 4.5 Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige med passende tekniske og organisatoriske foranstaltninger, for opfyldelse af den dataansvarliges forpligtelse 5.5 Databehandleren er forpligtet til at besvare anmodninger fra en registreret om udøvelse af vedkommendes rettigheder som angivet i kapitel 3 i den generelle forordning om databeskyttelse. 4.6 Databehandleren, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 Hvis databehandleren behandler personoplysninger i en anden medlemsstat, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 Databehandleren skal underrette den dataansvarligeDataansvarlige om driftsforstyrrelser, hvis der er mistanke om brud på databeskyttelsesreglerne persondatalovgivningen eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for Denne underretning af den dataansvarlige om sikkerhedsbrud skal gives uden unødig forsinkelse og senest 48 timer efter, at Databehandleren er 24 timer fra det øjeblik, databehandleren bliver blevet bekendt med et brud på sikkerhedenovenstående. På Efter den dataansvarliges Dataansvarliges anmodning skal databehandleren Databehandleren bistå den dataansvarlige Dataansvarlige i forbindelse med forhold til afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af i forbindelse med eventuel underretning af det relevante datatilsyn Datatilsynet og/eller de registrerederegistrerede personer. 4.9 5.6 Den Dataansvarlige er berettiget til for egen regning at lade Databehandlerens behandling af personoplysninger underkaste en årlig revision af en uafhængig tredjepart. Den Dataansvarlige skal kompensere Databehandleren, efter dennes normale timetaksering, for den tid, som Databehandleren anvender i forbindelse med en sådan revision. 5.7 Hvis Databehandleren eller en anden databehandler, som har modtaget personoplysninger, modtager en anmodning om indsigt i vedkommendes personoplysninger fra en registreret eller dennes agent, eller hvis en registreret gør indsigelse mod behandlingen af vedkommendes personoplysninger, skal Databehandleren sende anmodningen og/eller indsigelsen til den Dataansvarlige med henblik på den Dataansvarliges videre behandling. Databehandleren skal give efter anmodning fra den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner, herunder inspektioner, der udføres af den dataansvarlige eller anden revisor, som er bemyndiget af den dataansvarlige. 4.10 Ud over ovenstående skal databehandleren Dataansvarlige bistå den dataansvarlige med at sikre opfyldelse Dataansvarlige i relation til besvarelse af den dataansvarliges forpligtelser i henhold til artikel 32-36 i den generelle forordning om databeskyttelse. Denne bistand tager hensyn til behandlingens art og de oplysninger, der er til rådighed for databehandlerenanmodningen og/eller indsigelsen.

Databehandlerens forpligtelser. 4.1 Al behandling udført Hvor Transics (som Databehandler) behandler personoplysninger på vegne af databehandleren af personoplysninger, der er videregivet af den dataansvarligeKunden (som Dataansvarlig), skal ske Transics: a. Behandle eller få sådanne personoplysninger behandlet i overensstemmelse med instrukserne fra de Databeskyttelseslove, der gælder for virksomheden som Databehandler. b. Behandle - og sørge for, at enhver person, der på virksomhedens vegne - behandler personoplysninger på vegne af den dataansvarligDataansvarlige og i overensstemmelse med dennes dokumenterede instruktioner, og databehandleren er endvidere forpligtet til at overholde enhver gældende databeskyttelseslovgivning. Hvis medmindre andet kræves af Unionens eller EU-retten eller en medlemsstats nationale retlovgivningen, som databehandleren Databehandleren er underlagt. I så fald skal Registerføreren informere den Dataansvarlige om lovkravene før behandlingen, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning med mindre loven forbyder en sådan underretning sådanne oplysninger af hensyn til vigtige samfundsmæssige interessersamfundsinteresser. Disse Specifikke vilkår skal svare til de dokumenterede instruktioner fra den Dataansvarlige til Databehandleren. På instruktion fra den Dataansvarlige skal Databehandleren skal omgående underrette den dataansvarligeogså rette, hvis en instruks efter databehandlerens mening er i strid med denne forordning korrigere eller databeskyttelsesbestemmelserne i en medlemsstats nationale retblokere personoplysningerne og sikre, at kun behørigt uddannet personale har adgang til personoplysningerne. 4.2 Databehandleren skal træffe alle nødvendige tekniske c. Under hensyntagen til arten af forarbejdning og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle yderligere foranstaltningerde oplysninger, der er til rådighed for Databehandleren, bistår den Dataansvarlige med at sikre overholdelsen af sine forpligtelser i henhold til gældende Databeskyttelseslov, herunder med eventuelle nødvendige konsekvensanalyser for at sikre, at de personoplysninger, der fremgår af pkt. 1.2, ikke hændeligt eller ulovligt tilintetgøres, bortkommer eller forringes eller videregives til uautoriserede tredjeparter, misbruges eller på anden måde behandles i strid med til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1privatliv. 4.3 Databehandleren skal sikre, at ansatte, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 4.4 Hvis den dataansvarlige anmoder herom, skal databehandleren angive og/eller dokumentere, at databehandleren opfylder kravene i den gældende databeskyttelseslovgivning, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker for behandling af personoplysninger. 4.5 Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige med d. Gennemføre passende tekniske og organisatoriske foranstaltningerforanstaltninger som krævet i henhold til gældende Databeskyttelseslov for at beskytte personoplysningerne mod utilsigtet eller ulovlig destruktion eller utilsigtet tab, ændring, uautoriseret adgang, offentliggørelse eller overførsel, misbrug og mod alle andre ulovlige former for opfyldelse behandling, og i det mindste træffe følgende sikkerhedsforanstaltninger: i. Pseudonymisering og kryptering af den dataansvarliges forpligtelse personoplysninger; ii. Evnen til at besvare anmodninger fra en registreret om udøvelse sikre den løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed i behandlingssystemer og -tjenester; iii. Evnen til at genoprette tilgængeligheden af vedkommendes rettigheder som angivet og adgangen til personoplysninger rettidigt i kapitel 3 i den generelle forordning om databeskyttelsetilfælde af et fysisk eller teknisk uheld; iv. En proces til regelmæssigt at afprøve, vurdere og evaluere effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af sikkerheden af behandlingen. I Tillæg 1 dokumenterer Databehandleren gennemførelsen af de tekniske og organisatoriske foranstaltninger. 4.6 Databehandleren, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 Hvis databehandleren behandler personoplysninger i en anden medlemsstat, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 Databehandleren skal underrette den dataansvarlige, hvis der er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for underretning af den dataansvarlige om sikkerhedsbrud er 24 timer fra det øjeblik, databehandleren bliver bekendt med et brud på sikkerheden. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige i forbindelse med afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af eventuel underretning af det relevante datatilsyn og/eller de registrerede. 4.9 Databehandleren skal give den dataansvarlige e. Stille alle nødvendige oplysninger til rådighed for den Dataansvarlige for at kunne påvise overensstemmelse med artikel 28 i den generelle forordning overholdelse af Databehandlerens forpligtelser til at overholde gældende lov om databeskyttelse og aftalen. I denne forbindelse giver databehandleren mulighed for tillade og bidrager bidrage til revisioner, herunder inspektioner, der udføres af den dataansvarlige Dataansvarlige eller en anden revisor, som der er udpeget af den Dataansvarlige. Den Dataansvarliges ret til revision er betinget af, at Databehandleren gives mindst fire (4) ugers forudgående skriftlig varsel om en sådan revision. f. Med hensyn til punkt (e) ovenfor, straks underrette den Dataansvarlige, hvis en instruktion modtaget fra den Dataansvarlige efter Databehandlerens opfattelse overtræder Databeskyttelsesloven. g. Under hensyntagen til arten af behandlingen og de oplysninger, den råder over, bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, for så vidt det er muligt, for at opfylde den Dataansvarliges forpligtelse til at give oplysninger om indsamling, behandling eller brug af personoplysninger til en registreret og besvare anmodninger om udøvelse af den registreredes rettigheder. Enhver anmodning fra en Registreret direkte til Databehandleren skal videresendes til den Dataansvarlige. h. Uden unødig forsinkelse underrette den Dataansvarlige om Brud på Persondatasikkerheden, der berører personoplysninger behandlet af Databehandleren, og under hensyntagen til arten af behandlingen og de oplysninger, den råder over, bistå den Dataansvarlige i videst muligt omfang med at opfylde sine opgaver, hvis der opstår et Brud på Persondatasikkerhed. a. Efter den Dataansvarliges valg slette eller returnere alle personoplysninger til den Dataansvarlige efter afslutningen af leveringen af de tjenester, der vedrører behandlingen, og slette eksisterende kopier, medmindre Unionens eller medlemsstatens lov kræver opbevaring af personoplysningerne. Hvis der, efter 3 måneder efter afslutningen af Tjenesteydelserne, intet valg og ingen instruktioner er blevet fremsendt, vil Transics ikke længere gøre de Personlige oplysninger tilgængelige eller slette dem. Kunden skal eksportere alle nødvendige oplysninger via Transics værktøjer inden for 3 måneder efter afslutningen af Tjenesteydelserne. i. Sørg for, at personer (fx ansatte), der er bemyndiget til at behandle personoplysningerne, har underskrevet en fortrolighedsaftale eller er omfattet af den dataansvarligeen passende lovbestemt fortrolighedsforpligtelse. 4.10 Ud over ovenstående skal databehandleren bistå j. Uden at det berører den dataansvarlige med at sikre opfyldelse af den dataansvarliges forpligtelser Dataansvarliges forpligtelse i henhold til artikel 32-36 i den generelle forordning om databeskyttelse. Denne bistand tager hensyn til behandlingens art og de oplysninger7.4 nedenunder, opretholde en fortegnelse over alle kategorier af behandlingsaktiviteter, der udføres på vegne af den Dataansvarlige i overensstemmelse med GDPR. Databehandleren er berettiget til rådighed for databehandlerenat kræve kompensation i forbindelse med den bistand, den yder den Dataansvarlige, der går ud over, hvad der kræves i henhold til Databeskyttelsesloven og disse Specifikke vilkår.

Databehandlerens forpligtelser. 4.1 Al behandling udført af databehandleren af personoplysninger3.1 Databehandleren og personer, der er videregivet arbejder for Databehandleren, må alene behandle de af den dataansvarlige, skal ske Dataansvarlige overførte personoplysninger i overensstemmelse med instrukserne fra den dataansvarlig, Dataansvarliges dokumenterede instrukser og databehandleren er endvidere i øvrigt forpligtet til at overholde den til enhver tid gældende databeskyttelseslovgivning. Hvis Dette gælder blandt andet i forbindelse med overførsel af personoplysninger til et tredjeland eller en international organisation, medmindre det kræves i henhold til EU-retten ret eller en medlemsstats medlemsstaternes nationale ret, som databehandleren Databehandleren er underlagt. Hvis en sådan overførsel er påkrævet, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, skal databehandleren underrette underretter Databehandleren den dataansvarlige Dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis medmindre den pågældende lovgivning ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. . 3.2 Databehandleren skal omgående underrette den dataansvarligeDataansvarlige, hvis en instruks efter databehandlerens Databehandlerens mening er i strid med denne forordning EU’s Forordning 2016/679 om Generel Databeskyttelse (”GDPR”), eller databeskyttelsesbestemmelserne databeskyttelsesbestemmelser i en medlemsstats anden EU-ret eller medlemsstaternes nationale ret. 4.2 3.3 Databehandleren skal bistå med at sikre overholdelsen af forpligtelserne i medfør af artikel 32-36 i GDPR under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren. 3.4 Databehandleren skal træffe alle nødvendige de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle sådanne yderligere foranstaltninger, der er nødvendige for at sikresom måtte være nødvendige, mod at de personoplysninger, der fremgår af i pkt. 1.2, ikke anførte personlysninger hændeligt eller ulovligt tilintetgøres, bortkommer fortabes eller forringes eller videregives samt mod, at de kommer til uautoriserede tredjeparteruvedkommendes kendskab, misbruges eller på anden måde i øvrigt behandles i strid med databeskyttelseslovgivningen. Databehandleren er således blandt andet forpligtet til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret at · hvor muligt, pseudonymisere og kryptere af personoplysninger; · sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester; · rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i Tillæg 1. 4.3 Databehandleren skal tilfælde af en fysisk eller teknisk hændelse; · indføre log-in- og adgangskodeprocedurer samt opsætte og vedligeholde en firewall og antivirus-software; · sikre, at ansattealene medarbejdere med arbejdsrelaterede formål hertil har adgang til personoplysningerne; · sikre, at de medarbejdere, der er autoriseret til involveret i at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 4.4 Hvis ; · opbevare datalagermedier på forsvarlig vis, således at disse ikke er tilgængelige for tredjemand; · sikre, at bygninger og systemer, der anvendes i forbindelse med databehandlingen, er sikre, samt at der alene anvendes hardware og software af høj kvalitet, som opdateres løbende; · sikre, at prøver og affaldsmateriale tilintetgøres i overensstemmelse med kravene til databeskyttelse efter nærmere instrukser fra den dataansvarlige anmoder heromDataansvarlige. I særlige tilfælde, som afgøres af den Dataansvarlige, skal databehandleren angive og/nævnte prøver og affaldsmateriale opbevares eller dokumenterereturneres; · sikre, at databehandleren opfylder kravene medarbejdere modtager passende uddannelse, fyldestgørende instruktioner i den gældende databeskyttelseslovgivningog retningslinjer for behandlingen af personoplysningerne. Databehandleren er forpligtet til at sikre, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker at de medarbejdere, som er involveret i behandlingen af personoplysningerne, er bekendte med sikkerhedskravene; · sikre, at procedure for behandling regelmæssig afprøvning, vurdering og evaluering af personoplysninger. 4.5 Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige med passende effektiviteten af de tekniske og organisatoriske foranstaltninger, for opfyldelse foranstaltninger til sikring af den dataansvarliges forpligtelse til at besvare anmodninger fra en registreret om udøvelse af vedkommendes rettigheder som angivet i kapitel 3 i den generelle forordning om databeskyttelsebehandlingssikkerhed er på plads. 4.6 Databehandleren3.5 Databehandleren er forpligtet til straks at give den Dataansvarlige meddelelse om driftsforstyrrelser, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 Hvis databehandleren behandler personoplysninger i en anden medlemsstat, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 Databehandleren skal underrette den dataansvarlige, hvis der er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for underretning Ved sikkerhedsbrud skal Databehandleren underrette den Dataansvarlige straks og senest 48 timer efter opdagelse af sikkerhedsbruddet. Databehandleren skal efter anmodning fra den dataansvarlige om sikkerhedsbrud er 24 timer fra det øjeblik, databehandleren bliver bekendt med et brud på sikkerheden. På den dataansvarliges anmodning skal databehandleren Dataansvarlige bistå den dataansvarlige Dataansvarlige i forbindelse med forhold til afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af i forbindelse med eventuel underretning af det relevante datatilsyn anmeldelse til Datatilsynet og/eller datasubjekter. Meddelelsen skal som minimum indeholde; · Beskrivelse af karakteren af bruddet; · Xxxxx og kategorier af berørte personer; · Information om kontaktperson; · Beskrivelse af de registreredesandsynlige og de faktiske konsekvenser; · En oversigt over hvilke tiltag Databehandleren påtænker og planlægger at iværksætte for at rette op på forholdet; · En oversigt over, hvilke tiltag Databehandleren har iværksat. 4.9 3.6 Databehandleren skal give på den dataansvarlige Dataansvarliges anmodning stille alle nødvendige oplysninger til rådighed for den Dataansvarlige til, at kunne påvise overensstemmelse med artikel 28 denne kan påse, at Databehandleren overholder kravene i den generelle forordning om databeskyttelse og aftalendenne Aftale. I denne forbindelse giver databehandleren Databehandleren skal som led heri give mulighed for og bidrager bidrage til revisioner, herunder inspektioner, der udføres foretages af den dataansvarlige Dataansvarlige eller en anden uafhængig revisor, som er bemyndiget af og hvis omkostninger afholdes af den dataansvarligeDataansvarlige. 4.10 Ud over ovenstående skal databehandleren bistå den dataansvarlige med 3.7 Viser revisioner, inspektioner, mv., at sikre opfyldelse af den dataansvarliges Databehandleren ikke opfylder sine forpligtelser i henhold medfør af databeskyttelseslovgivningen, skal Databehandleren straks følge op på de misligholdte forhold samt rapportere status for udbedringstiltag til artikel 32-36 den Dataansvarlige både ugentligt og ved afslutningen af udbedringstiltagene. 3.8 Databehandleren skal på den Dataansvarliges anmodning redegøre for og/eller dokumentere, at Databehandleren opfylder kravene i den generelle forordning om databeskyttelse. Denne bistand tager hensyn databeskyttelseslovgivningen, herunder fremvise dokumentation for Databehandlerens datastrømme og procedurer/politikker for behandling af personoplysninger. 3.9 Under hensyntagen til behandlingens art karakter og de oplysninger, der er tilgængelige for Databehandleren, skal Databehandleren gennemføre passende tekniske og organisatoriske foranstaltninger for at bistå den Dataansvarlige med overholdelsen af den Dataansvarliges lovmæssige forpligtelser under Kapitel III i Databeskyttelsesforordningen, dvs. besvare anmodninger fra registrerede, der udøver deres lovmæssige rettigheder, herunder, men ikke begrænset til, adgang til, berigtigelse eller sletning af personoplysninger, begrænsning af behandlingen af personoplysninger, dataportabilitet og retten til rådighed at gøre indsigelse imod automatiske individuelle afgørelser, herunder profilering. 3.10 Hvis Databehandleren eller en Underdatabehandler, som har modtaget oplysninger, modtager en anmodning om adgang til registrerede personoplysninger fra et datasubjekt eller dennes agent, eller et datasubjekt gør indsigelse mod behandlingen af hans/hendes registrerede personoplysninger, skal Databehandleren straks sende sådan anmodning og/eller indsigelse til den Dataansvarlige med henblik på den Dataansvarliges videre behandling, medmindre Databehandleren er berettiget til at håndtere en sådan forespørgsel selv. Se mere herom i afsnit 10 i vilkår og betingelserne for databehandleren3Kontakt. Databehandleren skal efter anmodning fra den Dataansvarlige bistå den Dataansvarlige i relation til besvarelse af anmodningen og/eller indsigelsen i det omfang, at der er tale om at anmodningen ligger indenfor de forpligtelser, som påhviler Databehandleren. 3.11 Den Dataansvarlige fortolker og udvider løbende kravene til databeskyttelse, herunder sikkerhedsforanstaltninger, fastsat i gældende lovgivning, retspraksis, retningslinjer fra kompetente myndigheder og lignende. Databehandleren forpligter sig til at følge yderligere instrukser, som måtte følge heraf.

Databehandlerens forpligtelser. 4.1 Al behandling udført af databehandleren af Databehandleren er databehandler for de personoplysninger, der er videregivet som Da- tabehandleren behandler på vegne af den dataansvarligeSelskabet, skal ske i overensstemmelse med instrukserne fra den dataansvarlig, og databehandleren er endvidere forpligtet til at overholde enhver gældende databeskyttelseslovgivningjf. Hvis EU-retten eller en medlemsstats nationale retpkt. 6. Databe- handleren har som databehandler de forpligtelser, som databehandleren er underlagtpålagt en databehandler i medfør af Persondatalovgivningen, kræver, at databehandleren skal behandle personoplysningerne i jf. Aftalens pkt. 1.2, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. Databehandleren skal omgående underrette den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med denne forordning eller databeskyttelsesbestemmelserne i en medlemsstats nationale ret1.1. 4.2 Databehandleren skal træffe alle nødvendige tekniske og organisatoriske sikkerhedsforanstaltningerbehandler alene de overladte personoplysninger efter instruks fra Selskabet, herunder eventuelle yderligere foranstaltninger, der er nødvendige for at sikre, at de personoplysninger, der fremgår af jf. pkt. 1.2, ikke hændeligt eller ulovligt tilintetgøres, bortkommer eller forringes eller videregives til uautoriserede tredjeparter, misbruges eller på anden måde behandles i strid med til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 16. 4.3 Databehandleren skal sikre, at ansatte, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt løbende føre en passende lovbestemt tavshedspligtfortegnelse over behandlingen af personoplysninger samt en fortegnelse over alle sikkerhedsbrud. 4.4 Hvis Databehandleren skal på opfordring fra Selskabet hjælpe med at opfyl- de Selskabets forpligtelser i forhold til den dataansvarlige anmoder heromregistreredes rettigheder, herunder besvarelse af anmodninger om indsigt, udlevering af oplys- ninger, rettelse og sletning af oplysninger, begrænsning af behandling, samt Selskabets forpligtelser i forhold til underretning af den registre- rede ved sikkerhedsbrud. 4.5 Databehandleren skal databehandleren angive og/eller dokumenterehjælpe Selskabet med at efterleve dennes for- pligtelser efter Databeskyttelsesforordningens artikel 32 -36. 4.6 Databehandleren garanterer at levere tilstrækkelig ekspertise, pålide- lighed og ressourcer til at implementere passende tekniske og organi- satoriske foranstaltninger sådan, at databehandleren Databehandlerens behandling af Selskabets personoplysninger opfylder kravene i den gældende databeskyttelseslovgivning, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker for behandling af personoplysninger. 4.5 Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige med passende tekniske Databeskyttelsesfor- ordningen og organisatoriske foranstaltninger, for opfyldelse sikrer beskyttelse af den dataansvarliges forpligtelse til at besvare anmodninger fra en registreret om udøvelse af vedkommendes rettigheder som angivet i kapitel 3 i den generelle forordning om databeskyttelse. 4.6 Databehandleren, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelserregistreredes rettigheder. 4.7 Databehandleren er forpligtet til at oplyse med præcise adresseangi- velser, hvor Selskabets personoplysninger opbevares. Databehandleren skal ajourføre oplysningerne over for Selskabet ved enhver ændring. Dette gælder særligt i en situation, hvor personoplysninger flyttes fra en adresse i en EU-medlemsstat til en adresse udenfor EU. 4.8 Hvis databehandleren behandler personoplysninger Databehandleren er etableret i en anden EU-medlemsstat, skal databehandleren Databehandleren ligeledes overholde de bestemmelser om sikkerheds- foranstaltninger, som er fastsat i lovgivningen vedrørende sikkerhedsforanstaltninger i den pågældende medlemsstat. 4.8 Databehandleren skal underrette den dataansvarlige, hvis der er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for underretning af den dataansvarlige om sikkerhedsbrud er 24 timer fra det øjeblik, databehandleren bliver bekendt med et brud på sikkerheden. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige i forbindelse med afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af eventuel underretning af det relevante datatilsyn og/eller de registreredemed- lemsstat. 4.9 Ved et databrud skal Databehandleren orientere Selskabet senest 12 timer efter, at bruddet er konstateret. Databehandleren skal samtidig give den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner, herunder inspektioner, der udføres af den dataansvarlige eller anden revisor, som er bemyndiget af den dataansvarlige. 4.10 Ud over ovenstående skal databehandleren bistå den dataansvarlige med at sikre opfyldelse af den dataansvarliges forpligtelser i henhold til artikel 32-36 i den generelle forordning om databeskyttelse. Denne bistand tager hensyn til behandlingens art og Selskabet de oplysninger, der er til rådighed for databehandlerensom fremgår af Forordnin- gens artikel 33.

Databehandlerens forpligtelser. 4.1 Al behandling udført af databehandleren af 2.1. Databehandleren må alene behandle de personoplysninger, der er videregivet af den dataansvarligesom Dataansvarlige har overført, skal ske i overensstemmelse med instrukserne fra den dataansvarligDataansvarliges dokumenterede instrukser, jf. afsnit 1.1 og databehandleren aftalens bilag 1. 2.2. Databehandleren er endvidere i øvrigt forpligtet til at overholde den til enhver tid gældende databeskyttelseslovgivning. Hvis Databehandleren underretter omgående Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med databeskyttelseslovgivningen i EU-retten eller en medlemsstats nationale ret, som databehandleren er underlagt, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesserlovgivning. 2.3. Databehandleren skal omgående underrette den dataansvarligeiværksætte alle foranstaltninger, hvis en instruks efter databehandlerens mening er som kræves i strid med denne forordning eller databeskyttelsesbestemmelserne i en medlemsstats nationale ret. 4.2 Databehandleren skal træffe alle nødvendige henhold til databeskyttelsesforordningens artikel 32, herunder tekniske og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle yderligere foranstaltninger, der er nødvendige for at sikre. Dette omfatter foranstaltninger mod, at de personoplysninger, der fremgår af pkt. 1.2, ikke i bilag 1 anførte personoplysninger hændeligt eller ulovligt tilintetgøres, bortkommer fortabes eller forringes eller videregives forringes, samt mod, at de kommer til uautoriserede tredjeparteruvedkommendes kendskab, misbruges eller på anden måde i øvrigt behandles i strid med til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1databeskyttelseslovgivningen. 4.3 2.4. Databehandleren skal sikre, at ansattede medarbejdere, der er autoriseret til involveret i at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 4.4 Hvis den dataansvarlige anmoder herom, skal databehandleren angive og/eller dokumentere, at databehandleren opfylder kravene i den gældende databeskyttelseslovgivning, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker for behandling af personoplysninger. 4.5 Under hensyntagen til behandlingens art skal databehandlere, 2.5. Databehandleren bistår så vidt muligt, bistå den dataansvarlige muligt Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, for opfyldelse af den dataansvarliges dennes forpligtelse til at besvare anmodninger fra en registreret om udøvelse udøvelsen af vedkommendes de registreredes rettigheder som angivet i efter databeskyttelsesforordningens kapitel 3 i den generelle forordning om databeskyttelse3. 4.6 Databehandleren, eller anden databehandler (underdatabehandler), skal sende 2.6. Databehandleren sender anmodninger og indsigelser fra de registrerede mv. til den dataansvarlige for den dataansvarliges Dataansvarlige med henblik på Dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningenbehandling. På den dataansvarliges Databehandleren skal efter anmodning skal databehandleren fra Dataansvarlige bistå den dataansvarlige Dataansvarlige med at besvare sådanne anmodninger besvarelse af anmodningen og/eller indsigelserindsigelsen. 4.7 Hvis databehandleren behandler personoplysninger i en anden medlemsstat2.7. Databehandleren er forpligtet til at give Dataansvarlige meddelelse om driftsforstyrrelser, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 Databehandleren skal underrette den dataansvarlige, hvis der er mistanke om brud på databeskyttelsesreglerne databeskyttelseslovgivningen eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for underretning af den dataansvarlige at underrette Dataansvarlige om et sikkerhedsbrud er 24 timer fra det øjebliktidspunkt, databehandleren bliver bekendt med hvor Databehandleren får kendskab til et brud på sikkerhedensikkerhedsbrud. På den dataansvarliges Databehandleren skal efter anmodning skal databehandleren fra Dataansvarlige bistå den dataansvarlige Dataansvarlige i forbindelse med forhold til afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af i forbindelse med eventuel underretning af det relevante datatilsyn Datatilsynet og/eller de registrerederegistrerede personer. Dataansvarlige afholder Databehandlerens eventuelle omkostninger forbundet hermed. 4.9 2.8. Databehandleren skal give den dataansvarlige stiller alle oplysninger, der er nødvendige oplysninger for at påvise Databehandlerens overholdelse af databeskyttelsesforordningens artikel 28, aftalen og i databeskyttelseslovgivningen i øvrigt, til at kunne påvise overensstemmelse med artikel 28 rådighed for Dataansvarlige. Databehandleren giver i den generelle forordning om databeskyttelse og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisionerrevisioner og tilsyn, herunder inspektioner, der udføres foretages af den dataansvarlige Dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarligeDataansvarlige. Den Dataansvarlige afholder eventuelle omkostninger forbundet hermed. 4.10 Ud 2.9. Databehandleren bistår ud over ovenstående skal databehandleren bistå den dataansvarlige det ovenfor anførte Dataansvarlige med at sikre opfyldelse overholdelse af den dataansvarliges Dataansvarliges forpligtelser i henhold til efter databeskyttelses- forordningens artikel 32-36 i den generelle forordning om databeskyttelse36. 2.10. Denne bistand tager hensyn Den Dataansvarlige giver Databehandleren en generel fuldmagt til behandlingens art og at indgå aftaler med underdatabehandlere. Databehandleren sørger for at pålægge underdatabehandleren de oplysningersamme databeskyttelsesforpligtelser som dem, der er fastsat i aftalen. Databehandleren skal på vegne af den Dataansvarlige indgå skriftlige databehandleraftaler med underdatabehandlere inden for EU/EØS. I forhold til rådighed underdatabehandlere uden for databehandlerenEU/EØS skal Databehandleren indgå standardaftaler i overensstemmelse med Kommissionens beslutning 2010/87/EU af 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til data behandlere etableret i tredjelande ("Standardaftale"). Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Ved aftalens indgåelse anvender Databehandleren de underdatabehandlere, der er oplistet i bilag 2.

Databehandlerens forpligtelser. 4.1 Al behandling udført af databehandleren af personoplysninger, der er videregivet af den dataansvarlige, skal ske i overensstemmelse med instrukserne fra den dataansvarlig, og databehandleren er endvidere forpligtet til at overholde enhver gældende databeskyttelseslovgivning. Hvis EU-retten eller en medlemsstats nationale ret, som databehandleren er underlagt, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser3.1. Databehandleren skal omgående underrette den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med denne forordning eller databeskyttelsesbestemmelserne i en medlemsstats nationale ret. 4.2 Databehandleren skal træffe alle nødvendige har ansvaret for at implementere de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle yderligere foranstaltninger, der er nødvendige foran- staltninger for at sikresikre et passende sikkerhedsniveau. Foranstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. 3.2. Databehandleren gennemfører de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at de personoplysninger, der fremgår Databehandlerens behandling af pkt. 1.2, ikke hændeligt eller ulovligt tilintetgøres, bortkommer eller forringes eller videregives til uautoriserede tredjeparter, misbruges eller på anden måde behandles personoplysninger opfylder kravene i strid med den til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1persondataretlige regulering. 4.3 3.3. Databehandleren skal sikre, at ansattemedarbejdere, der er autoriseret til at behandle personoplysningernebehandler personoplysninger for Databehandle- ren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 4.4 Hvis den dataansvarlige anmoder herom, 3.4. Databehandleren skal databehandleren angive og/eller dokumenteresikre, at databehandleren opfylder kravene i adgangen til personoplysningerne begrænses til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens for- pligtelser over for den gældende databeskyttelseslovgivning, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker for behandling af personoplysningerDataansvarlige. 4.5 Under hensyntagen til behandlingens art 3.5. Databehandleren skal databehandleresikre, så vidt muligtat medarbejdere, bistå den dataansvarlige der behandler personoplysninger for Databehandle- ren, kun behandler disse i overensstemmelse med passende tekniske og organisatoriske foranstaltninger, for opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger fra en registreret om udøvelse af vedkommendes rettigheder som angivet i kapitel 3 i den generelle forordning om databeskyttelseInstruksen. 4.6 Databehandleren, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige 3.6. Databehandlerens standarddokumentation fremgår af vilkår for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningenlevering af Hovedydelsen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelserKunden kan specificere yderligere dokumentation. 4.7 Hvis databehandleren behandler personoplysninger i en anden medlemsstat, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 3.7. Databehandleren skal underrette den dataansvarlige, hvis der er mistanke Dataansvarlige om brud på databeskyttelsesreglerne persondatasikkerheden, der poten- tielt kan føre til hændelig eller andre uregelmæssigheder ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige (herefter "Sikkerhedsbrud"). 3.8. Sikkerhedsbrud skal meddeles til den Dataansvarlige uden unødig forsinkelse. 3.9. Databehandleren skal vedligeholde en fortegnelse over alle Sikkerhedsbrud. Fortegnelsen skal som minimum dokumentere følgende: • De faktiske omstændigheder omkring Sikkerhedsbruddet, • Sikkerhedsbruddets virkninger, og • de trufne afhjælpningsforanstaltninger. 3.10. Fortegnelsen skal efter skriftlig anmodning stilles til rådighed for den Dataansvarlige eller tilsynsmyn- dighederne. 3.11. Databehandleren skal i forbindelse med behandlingen fornødent og rimeligt omfang bistå ved den Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af personoplysningerne. Databehandlerens frist for underretning , der er omfattet af den dataansvarlige om sikkerhedsbrud er 24 timer fra det øjeblik, databehandleren bliver bekendt med et brud på sikkerheden. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige i forbindelse med afklaring af omfanget af sikkerhedsbruddetDatabehandlerafta- len, herunder udarbejdelse besvarelser til registrerede ved udøvelse af eventuel underretning af det relevante datatilsyn og/eller de registrerededisses rettigheder, Sikkerhedsbrud, konse- kvensanalyser, og forudgående høringer fra tilsynsmyndighederne. 4.9 3.12. Databehandleren skal give den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner, herunder inspektioner, der udføres af den dataansvarlige eller anden revisor, som er bemyndiget af den dataansvarlige. 4.10 Ud over ovenstående skal databehandleren bistå den dataansvarlige med at sikre opfyldelse af den dataansvarliges forpligtelser i henhold til artikel 32-36 i den generelle forordning om databeskyttelse. Denne bistand tager hensyn til behandlingens art og fremskaffe de oplysninger, der skal indgå i en anmeldelse til tilsyns- myndigheden, i det omfang Databehandleren er den nærmeste hertil. 3.13. Databehandleren har krav på betaling for al medgået tid og materialer for bistand til rådighed opfyldelse af disse forpligtelser. Ved beregning af vederlaget skal Databehandlerens gældende licens- og timepri- ser anvendes. 3.14. Hvis ændringer i Databeskyttelseslovgivningen, herunder fortolkningerne heraf og vejledninger her- til, resulterer i væsentlige forøgede omkostninger for databehandlerenDatabehandleren, kan Databehandleren vælge at hæve licens og timepriser tilsvarende.

Databehandlerens forpligtelser. 4.1 Al 2.1 Databehandleren handler alene på vegne af og efter dokumenteret instruks fra den dataansvarlige i forbindelse med gennemførelsen af aftalen. Det er således alene den dataansvarlige, der afgør til hvilket formål, der må foretages behandling udført af personoplysningerne. 2.2 Databehandleren skal bistå med beskyttelse af de registreredes rettigheder. Herunder skal databehandleren assistere den dataansvarlige ved opfyldelse af de registreredes indsigtsret samt på den dataansvarliges anmodning tilse at oplysningspligten overholdes. 2.3 Personoplysningerne skal udelukkende behandles i et omfang, der er proportionalt for persondatabehandlingen. Personoplysninger må således alene behandles til formål, som er nødvendige for opfyldelsen af databehandleraftalen og personoplysningerne må ikke opbevares længere end absolut nødvendigt i forhold til formålet, hvortil disse oplysninger er indsamlet. 2.4 Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles med de gældende regler om databeskyttelse. 2.5 Databehandleren er således forpligtet til at overholde følgende sikkerhedsforanstaltninger: Indføre log-in og adgangsprocedurer samt opsætte og vedligeholde en firewall og antivirus software. Ved anvendelse af personoplysninger, skal der benyttes logning samt foretages registrering af alle afviste adgangsforsøg. Databehandleren skal sikre, at alene medarbejdere med et arbejdsrelateret formål hertil, har adgang til personoplysningerne. Dermed må kun de personer, som autoriseres dertil, have adgang til den data, der behandles. Den dataansvarlige har ret til at få udleveret en liste, som angiver hvilke ansatte hos databehandleren – og databehandlerens eventuelle underdatabehandlere – der har bruger-autorisation samt tilhørende kontrol til de personoplysninger, databehandleren behandler på vegne af den dataansvarlige. Datalagringsmedier skal opbevares på forsvarlig vis, således disse ikke er tilgængelige for tredjemand. Der skal desuden udarbejdes instrukser for anvendelse og opbevaring af datalagringsmedierne. I forbindelse med reparation og service af medier, der indeholder personoplysninger, samt ved kassation af anvendte medier, skal der træffes foranstaltninger for at sikre sikkerheden omkring personoplysningerne. Bygninger og systemer, der anvendes i forbindelse med databehandlingen, skal være sikret, og der skal alene anvendes udstyr og programmel af høj kvalitet, som opdateres løbende. Det skal sikres, at databehandlerens medarbejdere modtager passende uddannelse, fyldestgørende instruktioner i og retningslinjer for behandlingen af personoplysningerne. Databehandleren er forpligtet til at sikre, at de medarbejdere, der er videregivet involveret i behandlingen af personoplysningerne, er bekendt med sikkerhedskravene. Inddata, som ikke indgår i en manuel sag eller et manuelt register, må kun anvendes af medarbejdere, som er beskæftiget med inddateringen. Inddatamateriale indeholdende fortrolige personhenførbare oplysninger, skal opbevares aflåst, når de ikke anvendes. Uddatamateriale må kun anvendes af personer, der er beskæftiget med de formål, til hvilke behandlingen af personoplysningerne foretages. 2.6 Databehandleren er forpligtet til straks at give den dataansvarlige besked om driftsforstyrrelser eller risiko for sikkerhedsbrud. Kontaktoplysninger er angivet i pkt. 11.1. 2.7 Databehandleren skal på den dataansvarliges anmodning give den dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at de ovennævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet. Herved skal databehandleren give fysisk adgang til personoplysningerne, såfremt dette er påkrævet af den dataansvarlige. Personoplysninger som behandles på vegne af den dataansvarlige, skal ske må aldrig opbevares i overensstemmelse med instrukserne usikre tredjelande. Usikre tredjelande er de lande som ikke er angivet på følgende liste: - EU-lande - EØS-lande - Andorra - Argentina - Australien (angår kun overførsel af personoplysninger vedrørende flypassagerer - se Kommissionens hjemmeside for yderligere oplysninger) - Canada - Færøerne - Guernsey - Isle of Man - Israel - Jersey - New Zealand - Schweiz - Uruguay - USA (overførsel af personoplysninger til organisationer (typisk virksomheder), der har tilsluttet sig EU - U.S. Privacy shield - se Kommissionens hjemmeside for yderligere oplysninger) 2.8 Databehandleren må ikke uden instruks fra den dataansvarligdataansvarlige videregive oplysninger, som databehandleren kommer i besiddelse af ved udførelsen af opgaven som databehandler. Databehandleren må ej heller bruge eller behandle oplysninger fra databehandleropgaven til egne formål eller til andre formål end de, som den dataansvarlige har fastsat. Såfremt databehandleren i modstrid med denne aftale behandler oplysninger til egne formål eller andre formål end de, som den dataansvarlige har fastsat, kræver det et selvstændigt retligt grundlag, og databehandleren er endvidere forpligtet vil få selvstændig status som dataansvarlig for den konkrete behandling. 2.9 Såfremt den dataansvarlige vurderer, at der skal foretages en konsekvensanalyse, jf. Databeskyttelsesforordningens art. 35, skal databehandleren medvirke til at overholde enhver gældende databeskyttelseslovgivningforetage denne analyse, såfremt den dataansvarlige anmoder databehandleren herom. Hvis EU-retten eller en medlemsstats nationale ret, som databehandleren er underlagt, kræverDette omfatter blandt andet, at databehandleren på opfordring fra den dataansvarlige skal behandle personoplysningerne udlevere oplysninger, der måtte være nødvendige i forhold til udarbejdelse af konsekvensanalysen. 2.10 Databehandleren skal i følgende skema registrere den fysiske placering af personoplysningerne: Leverandør Datacenters placering (fysisk adresse) Primær Skal udfyldes ved aftaleindgåelse Skal udfyldes ved aftaleindgåelse Back-up Skal udfyldes ved aftaleindgåelse Skal udfyldes ved aftaleindgåelse Evt. Underdatabehandler Skal udfyldes ved aftaleindgåelse Skal udfyldes ved aftaleindgåelse Databehandleren skal ajourføre oplysningerne over for den dataansvarlige ved enhver ændring af adresseangivelsen. Kontaktoplysninger til den dataansvarlige er angivet i pkt. 1.211.1. Ovenstående sikkerhedsbestemmelser gælder ligeledes i det omfang databehandleren gør brug af hjemme- eller fjernarbejdspladser. 2.11 Databehandleren giver straks, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikkeog ikke senere end 14 dage efter modtagelsen af instruksen, hvis den pågældende lovgivning forbyder en sådan underretning af hensyn besked til vigtige samfundsmæssige interesser. Databehandleren skal omgående underrette den dataansvarlige, hvis en instruks efter databehandlerens mening vurdering er i strid med denne forordning eller databeskyttelsesbestemmelserne i en medlemsstats nationale retlovgivningen. 4.2 Databehandleren skal træffe alle nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle yderligere foranstaltninger, der er nødvendige for at sikre, at de personoplysninger, der fremgår af pkt. 1.2, ikke hændeligt eller ulovligt tilintetgøres, bortkommer eller forringes eller videregives til uautoriserede tredjeparter, misbruges eller på anden måde behandles i strid med til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1. 4.3 Databehandleren skal sikre, at ansatte, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 4.4 Hvis den dataansvarlige anmoder herom, skal databehandleren angive og/eller dokumentere, at databehandleren opfylder kravene i den gældende databeskyttelseslovgivning, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker for behandling af personoplysninger. 4.5 Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige med passende tekniske og organisatoriske foranstaltninger, for opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger fra en registreret om udøvelse af vedkommendes rettigheder som angivet i kapitel 3 i den generelle forordning om databeskyttelse. 4.6 Databehandleren, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 Hvis databehandleren behandler personoplysninger i en anden medlemsstat, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 Databehandleren skal underrette den dataansvarlige, hvis der er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for underretning af den dataansvarlige om sikkerhedsbrud er 24 timer fra det øjeblik, databehandleren bliver bekendt med et brud på sikkerheden. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige i forbindelse med afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af eventuel underretning af det relevante datatilsyn og/eller de registrerede. 4.9 Databehandleren skal give den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner, herunder inspektioner, der udføres af den dataansvarlige eller anden revisor, som er bemyndiget af den dataansvarlige. 4.10 Ud over ovenstående skal databehandleren bistå den dataansvarlige med at sikre opfyldelse af den dataansvarliges forpligtelser i henhold til artikel 32-36 i den generelle forordning om databeskyttelse. Denne bistand tager hensyn til behandlingens art og de oplysninger, der er til rådighed for databehandleren.

Databehandlerens forpligtelser. 4.1 Al behandling udført af databehandleren af 2.1 Databehandleren må alene behandle de personoplysninger, der er videregivet af som den dataansvarligeDataansvarlige har overført, skal ske i overensstemmelse med instrukserne fra den dataansvarligDataansvarliges dokumenterede instrukser, jf. Databehandleraftalens pkt. 1.1 og bilag 1, og databehandleren er endvidere i øvrigt forpligtet til at overholde den til enhver tid gældende databeskyttelseslovgivningdatabeskyttel- seslovgivning. Hvis Databehandleren underretter omgående den Dataansvarlige, hvis en instruks efter Databehandle- rens mening er i strid med databeskyttelseslovgivningen i EU-retten eller en medlemsstats nationale retlovgiv- ning. 2.2 Databehandleren iværksætter alle foranstaltninger, som databehandleren er underlagtkræves i henhold til databeskyttelsesforord- ningens artikel 32, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. Databehandleren skal omgående underrette den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med denne forordning eller databeskyttelsesbestemmelserne i en medlemsstats nationale ret. 4.2 Databehandleren skal træffe alle nødvendige herunder tekniske og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle yderligere foranstaltninger, der er nødvendige for at sikre. Dette omfatter foranstaltninger mod, at de personoplysninger, der fremgår af i pkt. 1.2, ikke 1.1 anførte personoplysninger hændeligt eller ulovligt tilintetgøres, bortkommer fortabes eller forringes eller videregives forringes, samt mod, at de kommer til uautoriserede tredjeparteruvedkommendes kendskab, misbruges eller på anden måde i København Danmark ∙ Aarhus Danmark ∙ Shanghai Kina ∙ New York USA T +00 00 00 00 00 ∙ E xxxx@xxxxxxxxx.xxx ∙ Advokatpartnerselskab ∙ CVR-nr. 38538071 ∙ xxx.xxxxxxxxx.xxx øvrigt behandles i strid med til enhver tid gældende databeskyttelseslovgivningdatabeskyttelseslovgivningen. Disse foranstaltninger er beskrevet mere detaljeret nærmere be- skrevet i Tillæg bilag 1. 4.3 2.3 Databehandleren skal sikre, at ansattede medarbejdere, der er autoriseret til involveret i at behandle personoplysningernepersonoplysnin- gerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 4.4 Hvis 2.4 Databehandleren skal på den dataansvarlige anmoder herom, skal databehandleren angive Dataansvarliges anmodning redegøre for og/eller dokumentere, at databehandleren Databehandleren opfylder kravene i den gældende databeskyttelseslovgivningdatabeskyttelseslovgivningen, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker skal Databehandleren stille oplysninger, der er nødvendige for behandling at påvise Databehandlerens overholdelse af personoplysningerdatabeskyttel- sesforordningens artikel 28 og Databehandleraftalen, til rådighed for den Dataansvarlige i form af audit, jf. Databehandleraftalens bilag 1. 4.5 Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige med 2.5 Databehandleren bistår ved hjælp af passende tekniske og organisatoriske foranstaltninger, for foranstaltninger under hensyntagen til behandlingens karakter så vidt muligt den Dataansvarlige med opfyldelse af den dataansvarliges dennes forpligtelse til at besvare anmodninger fra en registreret om udøvelse udøvelsen af vedkommendes de registreredes rettigheder som angivet i efter databe- skyttelsesforordningens kapitel 3 i den generelle forordning om databeskyttelse3. 4.6 Databehandleren, 2.6 Databehandleren eller en anden databehandler (underdatabehandler), skal sende ) sender anmodninger og indsigelser ind- sigelser fra de registrerede mv. til den dataansvarlige for Dataansvarlige med henblik på den dataansvarliges Dataansvarliges videre behandling deraf, medmindre be- handling. Databehandleren skal efter anmodning fra den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren Dataansvarlige bistå den dataansvarlige Dataansvarlige med at besvare sådanne anmodninger besvarelse af anmodningen og/eller indsigelserindsigelsen. 4.7 Hvis databehandleren behandler personoplysninger i en anden medlemsstat2.7 Databehandleren er forpligtet til at give den Dataansvarlige meddelelse om driftsforstyrrelser, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 Databehandleren skal underrette den dataansvarlige, hvis der er mistanke mis- tanke om brud på databeskyttelsesreglerne databeskyttelseslovgivningen eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for underretning af at underrette den dataansvarlige Dataansvarlige om et sikkerhedsbrud er 24 timer fra det øjebliktidspunkt, databehandleren bliver bekendt med hvor Databehandleren får kendskab til et brud på sikkerhedensikker- hedsbrud. På Databehandleren skal efter anmodning fra den dataansvarliges anmodning skal databehandleren Dataansvarlige bistå den dataansvarlige Dataansvarlige i forbindelse med forhold til afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af i forbindelse med eventuel underretning af det relevante datatilsyn Da- tatilsynet og/eller de registrerederegistrerede personer. 4.9 2.8 Databehandleren skal give bistår ud over det ovenfor anførte den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner, herunder inspektioner, der udføres af den dataansvarlige eller anden revisor, som er bemyndiget af den dataansvarlige. 4.10 Ud over ovenstående skal databehandleren bistå den dataansvarlige Dataansvarlige med at sikre opfyldelse overholdelse af den dataansvarliges Dataansvarliges forpligtelser i henhold til efter databeskyttelsesforordningens artikel 32-36 i den generelle forordning om databeskyttelse36. Denne bistand tager hensyn bi- stand vil ske under hensyntagen til behandlingens art karakter og de oplysninger, der er til rådighed tilgængelige for databehandlerenDatabehandleren.

Databehandlerens forpligtelser. 4.1 Al behandling udført 5.1. Databehandleren må udelukkende behandle Personoplysninger på vegne af databehandleren af personoplysninger, der er videregivet og som følge af den dataansvarligeDataansvarliges instruktioner. Ved at indgå denne Databehandleraftale, skal ske instruerer den Dataansvarlige Databehandleren i at behandle Personoplysninger i overensstemmelse med instrukserne fra den dataansvarlig, og databehandleren er endvidere forpligtet til at overholde enhver gældende databeskyttelseslovgivning. Hvis EU-retten eller en medlemsstats nationale ret, som databehandleren er underlagt, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesserformålet angivet punkt 1.1. 5.2. Databehandleren skal omgående underrette overholde den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med denne forordning eller databeskyttelsesbestemmelserne i en medlemsstats nationale ret. 4.2 Databehandleren skal træffe alle nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle yderligere foranstaltninger, der er nødvendige for at sikre, at de personoplysninger, der fremgår af pkt. 1.2, ikke hændeligt eller ulovligt tilintetgøres, bortkommer eller forringes eller videregives til uautoriserede tredjeparter, misbruges eller på anden måde behandles i strid med til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1persondatalovgivning. 4.3 5.3. Databehandleren skal sikre, at ansatteadgangen til personoplysningerne er begrænset til de medarbejdere, der som led i deres arbejde har behov for adgang til personoplysningerne. Medarbejderne skal underlægges tavshedspligt. 5.4. Under hensyntagen til den teknologi, der er autoriseret tilgængelig, og omkostningerne ved implementeringen, samt omfanget, konteksten og formålet med Behandlingen, er Databehandleren forpligtet til at behandle personoplysningerneforetage alle rimelige foranstaltninger, har forpligtet sig herunder tekniske og organisatoriske, for at sikre et tilstrækkeligt sikkerhedsniveau i forhold til fortrolighed eller er underlagt en passende lovbestemt tavshedspligtden risiko og kategorien af Personoplysninger, der skal beskyttes. 4.4 Hvis den dataansvarlige anmoder herom, 5.5. Databehandleren skal databehandleren angive og/eller dokumentere, at databehandleren opfylder kravene i den gældende databeskyttelseslovgivning, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker for behandling af personoplysninger. 4.5 Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, som dette er muligt og under hensyntagen til Behandlingens art og kategorien af oplysninger, der er tilgængelige for Databehandleren, for at sikre overholdelse af den Dataansvarliges forpligtelser i henhold til gældende Databeskyttelseslovgivning, herunder for så vidt angår bistand i forhold til opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger fra en registreret om udøvelse Registrerede samt generel overholdelse af vedkommendes rettigheder som angivet i kapitel 3 i den generelle forordning om databeskyttelsebestemmelserne under GDPR artikel 32-36. 4.6 Databehandleren5.6. Databehandleren skal uden unødig forsinkelse - efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden eller anden databehandler (underdatabehandler), fortroligheden - underrette den Dataansvarlige herom. Databehandleren skal sende anmodninger og indsigelser efter anmodning fra de registrerede til den dataansvarlige for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren Dataansvarlige bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 Hvis databehandleren behandler personoplysninger Dataansvarlige i en anden medlemsstatforhold til afklaring af bruddet på persondatasikkerheden, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 Databehandleren skal underrette den dataansvarlige, hvis der er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder herunder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for underretning af den dataansvarlige om sikkerhedsbrud er 24 timer fra det øjeblik, databehandleren bliver bekendt med et brud på sikkerheden. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige i forbindelse med afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af eventuel underretning af det relevante datatilsyn anmeldelse til Datatilsynet og/eller de registrerede. 4.9 5.7. Hvis den Dataansvarlige kræver information eller assistance omkring sikkerhedsforanstaltninger, dokumentation eller information om, hvordan Databehandleren behandler Personoplysninger generelt, og en sådan anmodning indeholder information, som går ud over, hvad der er nødvendigt ifølge gældende Databeskyttelseslovgivning, må Databehandleren kræve betaling for sådanne yderligere services. Databehandleren og dennes ansatte skal sikre fortrolighed i forhold til Personoplysninger, som behandles i henhold til Databehandleraftalen. Denne bestemmelse skal ligeledes gælde efter ophør af Databehandleraftalen. 5.8. Databehandleren skal give den dataansvarlige slette alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner, herunder inspektioner, personoplysninger der udføres er behandlet på vegne af den dataansvarlige eller anden revisorDataansvarlige, umiddelbart efter at abonnementet på Applikationen er ophørt. Undtaget herfra er backup af data, som er bemyndiget nødvendig for kunne genskabe løsningen i tilfælde af den dataansvarlige. 4.10 Ud over ovenstående skal databehandleren bistå den dataansvarlige med at sikre opfyldelse af den dataansvarliges forpligtelser i henhold til artikel 32-36 i den generelle forordning om databeskyttelsenedbrud. Denne bistand tager hensyn til behandlingens art og de oplysningerBackup der indeholder personoplysninger, der er behandlet på vegne af den Dataansvarlige, skal slettes senest 6 måneder efter at abonnementet på Applikationen er ophørt. 5.9. Den Dataansvarlige, eller en tredjemand udpeget af den Dataansvarlige, skal med rimeligt varsel have adgang til rådighed Databehandlerens systemer og faciliteter, der vedrører behandling omfattet af Databehandleraftalen. Databehandleren skal ligeledes hjælpe den Dataansvarlige med at få adgang til Underdatabehandleres systemer og faciliteter. Den Dataansvarlige afholder selv omkostningerne hertil. 5.10. Databehandleren skal efter den Dataansvarliges ønske indhente en erklæring fra en uafhængig revisor angående Databehandlerens, og eventuelle underdatabehandleres, overholdelse af kravene til foranstaltninger som fastsat i Databehandleraftalen. Erklæringen skal udarbejdes på grundlag af en anerkendt standard for databehandlerensådanne erklæringer. Den Dataansvarlige skal i forbindelse med anmodning om en revision medsende en detaljeret revisionsplan med en beskrivelse af omfang, varighed og startdato minimum fire uger forud for den foreslåede startdato. Hvis det foreslåede omfang for revisionen følger en ISAE, ISO eller lignende certificeringsrapport udført af en kvalificeret tredjepartsrevisor inden for de forudgående tolv måneder, og Databehandleren bekræfter, at der ikke har været nogen materielle ændringer i de foranstaltninger, som har været under revision, skal den Dataansvarlige acceptere denne revision i stedet for at anmode om en ny revision af de foranstaltninger, som allerede er dækket. Under alle omstændigheder skal revision finde sted i normal kontortid på den relevante facilitet i overensstemmelse med Databehandlerens politikker og må ikke på urimelig vis forstyrre Databehandlerens sædvanlige kommercielle aktiviteter. Den Dataansvarlige er ansvarlig for alle omkostninger i forbindelse med anmodningen om revision.

Databehandlerens forpligtelser. 4.1 Al behandling udført af databehandleren af personoplysninger, der er videregivet af den dataansvarlige, skal ske (1) Databehandleren behandler udelukkende personlige data og i fuld overensstemmelse med instrukserne bestemmelserne og instruktionerne fra den dataansvarligdataansvarlige eller på anden måde påkrævet i denne aftale. Denne forpligtelse gælder også databehandlerens overførsel af personlige data til et tredjeland eller en international organisation, og medmindre databehandleren er endvidere forpligtet hertil i henhold til at overholde enhver gældende databeskyttelseslovgivning. Hvis EU-retten de bestemmelser eller en medlemsstats nationale retlove, som databehandleren er underlagt, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, I sådanne tilfælde skal databehandleren underrette informere den dataansvarlige om dette retlige sådanne juridiske krav inden før behandling, medmindre loven forbyder sådanne oplysninger af vigtige hensyn til den offentlige interesse. (2) Databehandleren og den dataansvarlige accepterer, at denne aftale og Synology C2 Service Agreement repræsenterer den dataansvarliges komplette og endelige vejledning til databehandleren. Dette gælder imidlertid ikkeBehandling uden for denne aftales omfang (hvis relevant) kræver forudgående skriftlig aftale mellem begge parter angående yderligere behandlingsinstruktioner. Den dataansvarlige kan opsige denne aftale, hvis databehandleren afviser at følge de instruktioner, som den pågældende lovgivning forbyder dataansvarlige anmoder om, og som ligger uden for omfanget af denne aftale. (3) Med henblik på overholdelse af denne aftale skal den dataansvarlige straks bekræfte alle mundtlige instruktioner skriftligt. (4) Kopier eller dubletter af de data, der behandles på vegne af den dataansvarlige, må aldrig oprettes uden den dataansvarliges kendskab, med undtagelse af backupkopier, der er nødvendige for at sikre korrekt databehandling, samt de data, der er nødvendige for at imødekomme de lovgivningsmæssige krav for at opbevare data i henhold til bestemmelserne. (5) Databehandleren må ikke efter egen bemyndigelse berigtige, slette eller begrænse behandlingen af de data, der behandles på vegne af den dataansvarlige eller overføre sådanne data til en sådan underretning tredjepart, men kun gøre det i henhold til de dokumenterede instruktioner fra den dataansvarlige. Når en registreret kontakter databehandleren direkte vedrørende en konkret berigtigelse, sletning eller begrænsning af hensyn databehandlingen eller for at udøve retten til vigtige samfundsmæssige interesserportabilitet, vil databehandleren straks fremsende den registreredes anmodning til den dataansvarlige. Hvis det er omfattet af servicens omfang, skal sletningspolitikken, "retten til at blive glemt", berigtigelse, dataportabilitet og adgang sikres af databehandleren i overensstemmelse med dokumenterede instruktioner fra den dataansvarlige uden unødig forsinkelse. (6) Databehandleren skal omgående underrette straks informere den dataansvarlige, hvis databehandleren vurderer, at en instruks efter databehandlerens mening instruktion fra den dataansvarlige overtræder GDPR (med hensyn til artikel 28 stk. 3 sætning 3) eller bestemmelserne. Databehandleren er i strid med denne forordning derefter berettiget til at suspendere udførelsen af de relevante instruktioner, indtil den dataansvarlige bekræfter eller databeskyttelsesbestemmelserne i en medlemsstats nationale retændrer dem. 4.2 (7) Ud over at overholde reglerne i nærværende aftale skal databehandleren overholde de lovmæssige krav, der er angivet i artikel 28 til 33, GDPR. Således sikrer databehandleren nøje overensstemmelse med følgende krav: a) Databehandleren betror kun sådanne medarbejdere med den databehandling, der er beskrevet i denne aftale, som er bundet af fortrolighed og tidligere har fået kendskab til de databeskyttelsesbestemmelser, der er relevante for deres arbejde. Databehandleren og enhver, der udfører arbejde for den dataansvarlige, og som har adgang til personlige data, behandler kun disse oplysninger efter instruks fra den dataansvarlige. Dette omfatter de beføjelser, der er givet i denne aftale, medmindre loven kræver det (artikel 28 stk. 3 sætning 2, litra b, artikel 29 og 32 stk. 4, GDPR). b) Databehandleren skal træffe hjælpe den dataansvarlige med at imødekomme anmodninger fra enkeltpersoner, der udøver deres ret til at få adgang til, berigtige, overføre, slette eller gøre indsigelse mod behandling af deres personlige data. c) Databehandleren skal hjælpe den dataansvarlige med at overholde anmodninger fra tilsynsmyndigheden. Den dataansvarlige og databehandleren samarbejder efter anmodning med tilsynsmyndigheden i forbindelse med udførelsen af dens opgaver. d) Udpegelse af databeskyttelsesrådgiver/kontaktperson/repræsentant Synologys ansvarlige for databeskyttelse kan kontaktes på xxxxx://xxx.xxxxxxxx.xxx/xxxx/xxxxxxx_xxxxx. Den dataansvarlige skal informeres øjeblikkeligt om eventuelle ændringer hos databeskyttelsesrådgiveren. e) Den dataansvarlige skal straks informeres om eventuelle inspektioner og foranstaltninger, der udføres af den relevante tilsynsmyndighed som beskrevet i pkt. 9 i denne aftale, hvis de vedrører behandlingen af denne aftale. f) Hvis den dataansvarlige er omfattet af en kontrol udført af en tilsynsmyndighed, en administrativ eller strafbar lovovertrædelse eller straffesag, et erstatningskrav fremsat af en registreret eller af en tredjepart eller ethvert andet krav i forbindelse med databehandlerens behandling af aftalen, skal databehandleren gøre alt for at yde support til den dataansvarlige. Yderligere bistandspligt er beskrevet i pkt. 8 i denne aftale. g) Databehandleren skal bistå den dataansvarlige med at sikre overholdelse af forpligtelserne i henhold til artikel 32 til 36, som beskrevet i pkt. 9 i denne aftale. h) Implementering og overholdelse af alle nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle yderligere foranstaltninger, der er nødvendige for at sikre, at de personoplysninger, der fremgår af pkt. 1.2, ikke hændeligt eller ulovligt tilintetgøres, bortkommer eller forringes eller videregives til uautoriserede tredjeparter, misbruges eller på anden måde behandles denne aftale i strid med til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1. 4.3 Databehandleren skal sikre, at ansatte, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 4.4 Hvis den dataansvarlige anmoder herom, skal databehandleren angive og/eller dokumentere, at databehandleren opfylder kravene i den gældende databeskyttelseslovgivning, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker for behandling af personoplysninger. 4.5 Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige med passende tekniske og organisatoriske foranstaltninger, for opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger fra en registreret om udøvelse af vedkommendes rettigheder som angivet i kapitel 3 i den generelle forordning om databeskyttelse. 4.6 Databehandleren, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 Hvis databehandleren behandler personoplysninger i en anden medlemsstat, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 Databehandleren skal underrette den dataansvarlige, hvis der er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for underretning af den dataansvarlige om sikkerhedsbrud er 24 timer fra det øjeblik, databehandleren bliver bekendt med et brud på sikkerheden. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige i forbindelse med afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af eventuel underretning af det relevante datatilsyn og/eller de registrerede. 4.9 Databehandleren skal give den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse og aftalenstk. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner3 sætning 2 litra c, herunder inspektionerartikel 32, der udføres af den dataansvarlige eller anden revisorGDPR, som er bemyndiget af den dataansvarligebeskrevet i bilaget. 4.10 Ud over ovenstående skal databehandleren bistå den dataansvarlige med at sikre opfyldelse af den dataansvarliges forpligtelser i henhold til artikel 32-36 i den generelle forordning om databeskyttelse. Denne bistand tager hensyn til behandlingens art og de oplysninger, der er til rådighed for databehandleren.

Databehandlerens forpligtelser. 4.1 Al behandling udført af databehandleren af 3.1 Databehandleren er databehandler for de personoplysninger, der er videregivet som Databehandleren behandler på vegne af den dataansvarligeKommunen, skal ske i overensstemmelse med instrukserne fra den dataansvarligjf. pkt. 5, og databehandleren er endvidere forpligtet til at overholde enhver gældende databeskyttelseslovgivningAftalens bilag 1. Hvis EU-retten eller en medlemsstats nationale retDatabehandleren har som databehandler de forpligtelser, som databehandleren er underlagtpålagt en databehandler i medfør af lovgivningen, kræver, at databehandleren skal behandle personoplysningerne i jf. Aftalens pkt. 1.2. 3.2 Databehandleren behandler alene de overladte personoplysninger efter instruks fra Kommunen, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandlingjf. Dette gælder imidlertid ikkepkt. 5 og Aftalens bilag 1, hvis den pågældende lovgivning forbyder en sådan underretning og alene med henblik på opfyldelse af hensyn til vigtige samfundsmæssige interesser. Hovedaftalen. 3.3 Databehandleren skal omgående underrette den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med denne forordning eller databeskyttelsesbestemmelserne i en medlemsstats nationale retføre fortegnelser over behandlingen af personoplysninger samt fortegnelser over alle brud på persondatasikkerheden. 4.2 3.4 Databehandleren skal træffe alle nødvendige sikre personoplysningerne via tekniske og organisatoriske sikkerhedsforanstaltninger,, jf. Aftalens bilag 3. 3.5 Databehandleren skal på opfordring fra Kommunen hjælpe med at opfylde Kommunens forpligtelser i forhold til den registreredes rettigheder, herunder eventuelle yderligere foranstaltningerbesvarelse af anmodninger fra borgere om indsigt i egne oplysninger, der er nødvendige for at sikreudlevering af borgerens oplysninger, at de personoplysningerrettelse og sletning af oplysninger, der fremgår begrænsning af pktbehandling af borgerens oplysninger, samt Kommunens forpligtelser i forhold til underretning af den registrerede ved brud på persondatasikkerheden, i medfør af Databeskyttelsesforordningens kap. 1.2, ikke hændeligt eller ulovligt tilintetgøres, bortkommer eller forringes eller videregives til uautoriserede tredjeparter, misbruges eller på anden måde behandles i strid med til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1III samt artikel 34. 4.3 3.6 Databehandleren skal sikrehjælpe Kommunen med at efterleve dennes forpligtelser efter Databeskyttelsesforordningens artikel 32-36, at ansattejf. Databeskyttelsesforordningens artikel 28, der er autoriseret stk. 3, litra f. 3.6.1 forpligtelsen til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 4.4 Hvis den dataansvarlige anmoder herom, skal databehandleren angive og/eller dokumentere, at databehandleren opfylder kravene i den gældende databeskyttelseslovgivning, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker for behandling af personoplysninger. 4.5 Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige med gennemføre passende tekniske og organisatoriske foranstaltningerforanstaltninger for at sikre et sikkerhedsniveau, for opfyldelse af den dataansvarliges forpligtelse der passer til de risici, der er forbundet med behandlingen 3.6.2 forpligtelsen til at besvare anmodninger fra anmelde brud på persondatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en registreret om udøvelse af vedkommendes risiko for fysiske personers rettigheder som angivet i kapitel 3 i den generelle forordning om databeskyttelseeller frihedsrettigheder. 4.6 Databehandleren, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra 3.6.3 forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder 3.6.4 forpligtelsen til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder 3.6.5 forpligtelsen til at høre tilsynsmyndigheden (Datatilsynet) inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen 3.6.6 Databehandleren garanterer at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske foranstaltninger sådan, at Databehandlerens behandling af Kommunens personoplysninger opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelserregistreredes rettigheder. 4.7 Hvis databehandleren behandler 3.7 Databehandleren er forpligtet til at oplyse med præcise adresseangivelser, hvor Kommunens personoplysninger i en anden medlemsstatopbevares, jf. Aftalens bilag 2. Databehandleren skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstatajourføre oplysningerne over for Kommunen ved enhver ændring. 4.8 Databehandleren skal underrette den dataansvarlige, hvis der 3.8 Den i pkt. 3.5 og 3.6 omtalte bistand er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for underretning af den dataansvarlige om sikkerhedsbrud er 24 timer fra det øjeblik, databehandleren bliver bekendt med et brud på sikkerheden. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige i forbindelse med afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af eventuel underretning af det relevante datatilsyn og/eller de registreredevederlagsfri. 4.9 Databehandleren skal give den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner, herunder inspektioner, der udføres af den dataansvarlige eller anden revisor, som er bemyndiget af den dataansvarlige. 4.10 Ud over ovenstående skal databehandleren bistå den dataansvarlige med at sikre opfyldelse af den dataansvarliges forpligtelser i henhold til artikel 32-36 i den generelle forordning om databeskyttelse. Denne bistand tager hensyn til behandlingens art og de oplysninger, der er til rådighed for databehandleren.

Databehandlerens forpligtelser. 4.1 Al behandling udført af databehandleren af personoplysninger, der er videregivet 3.1 Databehandleren må kun behandle de af den dataansvarlige, skal ske dataansvarlige leverede personoplysninger i overensstemmelse med instrukserne fra den dataansvarlig, dataansvarliges instrukser og databehandleren er endvidere i øvrigt forpligtet til at overholde den til enhver tid gældende databeskyttelseslovgivning. Hvis EU-retten eller en medlemsstats nationale ret, som databehandleren er underlagt, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. Databehandleren skal omgående underrette den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med denne forordning eller databeskyttelsesbestemmelserne i en medlemsstats nationale ret. 4.2 3.2 Databehandleren skal er forpligtet til at træffe alle nødvendige de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle sådanne yderligere foranstaltninger, der er nødvendige for at sikresom måtte være nødvendige, mod at de personoplysninger, der fremgår af i pkt. 1.2, ikke anførte personlysninger hændeligt eller ulovligt tilintetgøres, bortkommer fortabes eller forringes eller videregives samt mod, at de kommer til uautoriserede tredjeparteruvedkommendes kendskab, misbruges eller på anden måde ikke behandles i strid overensstemmelse med persondatalovgivningen. Databehandleren er således blandt andet forpligtet til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1. 4.3 Databehandleren skal at: • indføre log-in- og adgangskodeprocedurer • opsætte og vedligeholde firewall og antivirussoftware • sikre, at alene ansatte med arbejdsrelaterede formål har adgang til personoplysningerne • sikre, at de ansatte, der er autoriseret til involveret i at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 4.4 Hvis , opbevare datalagermedier på forsvarlig vis, således disse ikke er offentligt tilgængelige • sikre, at bygninger og systemer, der anvendes i forbindelse med databehandlingen, er sikre, samt at der alene anvendes hardware og software i høj kvalitet, som opdateres • sikre, at prøver og affaldsmateriale tilintetgøres, opbevares og returneres i henhold til kravene til databeskyttelse og efter nærmere instrukser fra den dataansvarlige anmoder herom• sikre, at de ansatte modtager uddannelse, fyldestgørende instruktioner i og retningslinjer for behandlingen af personoplysningerne 3.3 Databehandleren skal databehandleren angive på den dataansvarliges anmodning redegøre for og/eller dokumentere, at databehandleren opfylder kravene i den gældende databeskyttelseslovgivningpersondatalovgivningen, herunder bl.a. fremvise dokumentation vedrørende for databehandlerens dataflow datastrømme samt procedurer/politikker for behandling af personoplysningerpersondatabehandling. 4.5 Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige med passende tekniske og organisatoriske foranstaltninger, for opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger fra en registreret om udøvelse af vedkommendes rettigheder som angivet i kapitel 3 i den generelle forordning om databeskyttelse. 4.6 Databehandleren, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 3.4 Hvis databehandleren behandler personoplysninger i en anden medlemsstatet andet EU/EØS medlemsland, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstatmedlemslandets lovgivning om sikkerhedsforanstaltninger. 4.8 3.5 Databehandleren skal underrette straks informere den dataansvarligedataansvarlige om driftsforstyrrelser, hvis der er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med ved behandlingen af personoplysningerne. Databehandlerens frist for underretning af den dataansvarlige om Ved sikkerhedsbrud er skal databehandleren straks og senest 24 timer fra det øjeblik, databehandleren bliver bekendt med et brud på sikkerhedenefter opdagelse af sikkerhedsbruddet underrette den dataansvarlige. På den dataansvarliges Databehandleren skal efter anmodning skal databehandleren bistå den dataansvarlige i forbindelse med afklaring sikkerhedsbruddet. 3.6 Databehandleren skal på den dataansvarliges anmodning give tilstrækkelige oplysninger til, at denne kan påse, at databehandleren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. Den dataansvarlige kan for egen regning lade databehandlerens behandling af omfanget personoplysninger underkaste en årlig revision af sikkerhedsbruddeten uafhængig tredjepart. 3.7 Hvis databehandleren eller en anden databehandler, herunder udarbejdelse som har modtaget samme oplysninger, modtager en anmodning om adgang til registrerede personoplysninger fra en registreret eller dennes agent, eller en registreret fremsætter indsigelse mod behandlingen af eventuel underretning af det relevante datatilsyn de registrerede personoplysninger, skal databehandleren straks sende anmodningen og/eller de registrerede. 4.9 indsigelsen til den dataansvarlige med henblik på den dataansvarliges videre sagsbehandling, medmindre databehandleren er berettiget til at håndtere en sådan forespørgsel selv. Databehandleren skal give den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner, herunder inspektioner, der udføres af den dataansvarlige eller anden revisor, som er bemyndiget af den dataansvarlige. 4.10 Ud over ovenstående skal databehandleren efter anmodning bistå den dataansvarlige med at sikre opfyldelse af den dataansvarliges forpligtelser i henhold til artikel 32-36 i den generelle forordning om databeskyttelse. Denne bistand tager hensyn til behandlingens art og de oplysninger, der er til rådighed for databehandlerenved anmodningen og/eller indsigelsen.

Databehandlerens forpligtelser. 4.1 Al behandling udført af databehandleren af personoplysninger, der er videregivet af Databehandler handler alene efter dokumenteret instruks fra den dataansvarlige, skal ske i overensstemmelse med instrukserne fra den dataansvarlig, og databehandleren er endvidere forpligtet til at overholde enhver gældende databeskyttelseslovgivning. Hvis EU-retten eller en medlemsstats nationale ret, som databehandleren er underlagt, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. Databehandleren skal omgående underrette den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med denne forordning eller databeskyttelsesbestemmelserne i en medlemsstats nationale ret. 4.2 Databehandleren skal træffe alle nødvendige de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle yderligere foranstaltninger, der er nødvendige for som kræves i henhold til persondataforordningen. Dette indebærer blandt andet foranstaltninger mod at sikre, at de personoplysninger, der fremgår af pkt. 1.2, ikke oplysninger hændeligt eller ulovligt tilintetgøres, bortkommer fortabes eller forringes eller videregives forringes, samt mod at de kommer til uautoriserede tredjeparteruvedkommendes kendskab, misbruges eller på anden måde i øvrigt behandles i strid med til enhver tid gældende databeskyttelseslovgivninglov om behandling af personoplysninger. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1. 4.3 Databehandleren skal sikrepå den dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplysninger og adgang til, at ansattedenne kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet og at alle krav i Databehandleraftalen er overholdt. Databehandleren skal tilstræbe at informationer og adgang gives inden for 3 uger efter henvendelse fra den dataansvarlige og/eller dennes repræsentant. Databehandleren skal i fornødent og rimeligt omfang bistå ved den Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af personoplysningerne, der er autoriseret omfattet af Aftalen, herunder ved besvarelser til registrerede ved udøvelse af disses rettigheder. Databehandleren sikrer, at behandle personoplysningernekun de personer, har forpligtet sig der er bemyndiget dertil, får adgang til fortrolighed eller personoplysninger omfattet af denne databehandleraftale. Parterne samt disses medarbejdere er underlagt en passende lovbestemt tavshedspligt. 4.4 Hvis den dataansvarlige anmoder herom, skal databehandleren angive og/eller dokumentere, at databehandleren opfylder kravene i den gældende databeskyttelseslovgivning, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker for behandling af personoplysninger. 4.5 Under hensyntagen tavshedspligt og fortrolighed om såvel denne aftale som de oplysninger medarbejderne måtte få kendskab til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige med passende tekniske og organisatoriske foranstaltninger, for opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger fra en registreret om udøvelse af vedkommendes rettigheder som angivet i kapitel 3 i den generelle forordning om databeskyttelse. 4.6 Databehandleren, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningenunder aftalen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 Hvis databehandleren behandler personoplysninger i en anden medlemsstat, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 Databehandleren skal uden ugrundet ophold efter et datalæk er identificeret underrette den dataansvarlige, hvis der er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for underretning af sådan at den dataansvarlige om sikkerhedsbrud er 24 timer fra det øjeblik, databehandleren bliver bekendt med et brud på sikkerheden. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige i forbindelse med afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af eventuel underretning af det relevante datatilsyn og/eller de registrerede. 4.9 Databehandleren skal give den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse og aftalen. I denne forbindelse giver databehandleren Dataansvarlige har mulighed for og bidrager at rapportere bruddet til revisioner, herunder inspektioner, der udføres af den dataansvarlige eller anden revisor, som er bemyndiget af den dataansvarlige. 4.10 Ud over ovenstående skal databehandleren bistå den dataansvarlige med at sikre opfyldelse af den dataansvarliges forpligtelser tilsynsmyndighederne indenfor 72 timer. Til dette benyttes skabelonen i henhold til artikel 32-36 i den generelle forordning om databeskyttelse. Denne bistand tager hensyn til behandlingens art og de oplysninger, der er til rådighed for databehandleren.bilag A.

Databehandlerens forpligtelser. 4.1 Al behandling udført af databehandleren af personoplysningerDatabehandleren må alene behandle de Personoplysninger, der er videregivet af den dataansvarlige, skal ske overført og indsamlet i overensstemmelse med instrukserne fra den dataansvarlig, Dataansvarliges instrukser og databehandleren er endvidere i øvrigt forpligtet til at overholde over- holde den til enhver tid gældende databeskyttelseslovgivning. Hvis EU-retten eller en medlemsstats nationale ret, som databehandleren er underlagt, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. Databehandleren skal omgående underrette den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med denne forordning eller databeskyttelsesbestemmelserne i en medlemsstats nationale retpersondatalovgivning. 4.2 Databehandleren skal træffe alle nødvendige de fornødne tekniske og organisatoriske sikkerhedsforanstaltningersikkerhedsforanstalt- ninger, som krævet i henhold til Persondataforordningens art. 32, herunder eventuelle yderligere foranstaltningersådanne foran- staltninger, der er som måtte være nødvendige for at sikreundgå, at de personoplysninger, der fremgår af pkt. 1.2, ikke behandlede Personoplysninger hændeligt eller ulovligt tilintetgøres, bortkommer fortabes eller forringes eller videregives og for at undgår, at de kommer til uautoriserede tredjeparteruvedkommendes kendskab, misbruges eller på anden måde i øvrigt behandles i strid med persondatalov- givningen. De iværksatte tekniske og organisatoriske sikkerhedsforanstaltninger fremgår af bilag 2 til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1denne aftale. 4.3 Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvarli- ges forpligtelser i medfør af Persondataforordningens art. 32-36 under hensynstagen til be- handlingens karakter og de oplysninger, der er tilgængelige for databehandleren, jf. Person- dataforordningens art. 28, stk. 3, litra f. 4.4 Databehandleren skal sikre, at ansattede medarbejdere, der er autoriseret til involveret i at behandle personoplysningernePersonop- lysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 4.4 Hvis 4.5 Databehandleren skal på den dataansvarlige anmoder herom, skal databehandleren angive Dataansvarliges anmodning redegøre for og/eller dokumenteredokumen- tere, at databehandleren Databehandleren opfylder kravene i den gældende databeskyttelseslovgivningpersondatalovgivningen og forpligtelserne i medfør af denne Aftale, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker for behandling af personoplysninger. 4.5 Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige med passende at de nødvendige tekniske og organisatoriske foranstaltninger, for opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger fra en registreret om udøvelse af vedkommendes rettigheder som angivet i kapitel 3 i den generelle forordning om databeskyttelsesikkerheds- foranstaltninger er truffet. 4.6 Databehandleren, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 Hvis databehandleren behandler personoplysninger i en anden medlemsstat, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 Databehandleren skal underrette den dataansvarlige, hvis der er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for underretning af den dataansvarlige om sikkerhedsbrud er 24 timer fra det øjeblik, databehandleren bliver måtte blive bekendt med et persondatasikkerhedsbrud, hvorved for- stås et brud på sikkerheden. På , der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitterede, op- bevarede eller på anden måde behandlede, er Databehandleren forpligtet til uden unødig forsinkelse at give den dataansvarliges Dataansvarlige meddelelse herom, samt søge at lokalisere sådant brud og søge at begrænse opstået skade i videst muligt omfang, samt, i det omfang det er muligt, at reetablere eventuelt mistede data. 4.7 Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstræk- kelige oplysninger til, at denne kan påse, at Databehandleren har truffet de fornødne tek- niske og organisatoriske sikkerhedsforanstaltninger. 4.8 Såfremt den Dataansvarlige ønsker at foretage tilsyn, skal databehandleren bistå den dataansvarlige i forbindelse med afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af eventuel underretning af det relevante datatilsyn og/eller de registreredeDataansvarlige give Databe- handleren et varsel på mindst 30 dage. 4.9 Databehandleren Databehandler skal give den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse på Dataansvarliges anmodning og aftalenbekostning gennemgå revision vedr. behandling af Personoplysninger af en uafhængig tredjepart. I denne forbindelse giver databehandleren mulighed for og bidrager tilfælde af at Dataansvarlig kan sandsynliggøre at der foreligger væsentlig brud på Persondataforordningens bestem- melser, afholdes omkostningerne til revisioner, herunder inspektioner, der udføres revisionen af den dataansvarlige eller anden revisor, som er bemyndiget af den dataansvarligeDatabehandleren. 4.10 Ud over ovenstående skal databehandleren bistå Databehandleren skal, efter den dataansvarliges valg slette eller tilbagelevere alle person- oplysninger til den dataansvarlige med efter at sikre opfyldelse tjenesterne vedrørende behandling er ophørt, og sletter eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret fo- reskriver opbevaring af den dataansvarliges forpligtelser i henhold til artikel 32-36 i den generelle forordning om databeskyttelse. Denne bistand tager hensyn til behandlingens art og de oplysninger, der er til rådighed for databehandlerenpersonoplysningerne.

Databehandlerens forpligtelser. 4.1 Al behandling udført af databehandleren af personoplysninger, der er videregivet 3.1 Databehandleren må alene behandle de af den dataansvarlige, skal ske Dataansvarlige overførte personoplysninger i overensstemmelse med instrukserne fra den dataansvarlig, og databehandleren er endvidere forpligtet Dataansvarliges instrukser medmindre det kræves i henhold til at overholde enhver gældende databeskyttelseslovgivning. Hvis EU-retten EU- ret eller en medlemsstats medlemsstaternes nationale ret, som databehandleren er underlagt, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, skal databehandleren underrette . 3.2 Databehandleren underretter omgående den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. Databehandleren skal omgående underrette den dataansvarligeDataansvarlige, hvis en instruks efter databehandlerens Databehand- lerens mening er i strid med denne forordning databeskyttelsesforordningen eller databeskyttelsesbestemmelserne databeskyttelsesbestemmelser i en medlemsstats anden EU-ret eller medlemsstaternes nationale ret. 4.2 3.3 Databehandleren skal træffe alle nødvendige tekniske fra den 25. maj 2018 særligt leve op til reglerne i databeskyttelsesforord- ningen og organisatoriske sikkerhedsforanstaltningerdatabeskyttelsesloven. 3.4 I bilag 3 er en nærmere instruks om, hvilken behandling Databehandleren skal foretage på vegne af den Dataansvarlige (behandlingens genstand), hvilke sikkerhedsforanstaltninger der skal iagt- tages, samt hvordan den Dataansvarlige kan sikre sig, at behandlingen overholder kravene i da- tabeskyttelsesforordningen, databeskyttelsesloven og Aftalen. 3.5 Databehandleren skal på den Dataansvarliges anmodning redegøre for og/eller dokumentere, at Databehandleren opfylder kravene i databeskyttelseslovgivningen, herunder eventuelle yderligere foranstaltningerfremvise doku- mentation for Databehandlerens datastrømme og procedurer/politikker for behandling af per- sonoplysninger. 3.6 Databehandleren stiller alle oplysninger, der er nødvendige for at sikre, at de personoplysninger, der fremgår påvise Databehandlerens over- holdelse af pkt. 1.2, ikke hændeligt eller ulovligt tilintetgøres, bortkommer eller forringes eller videregives til uautoriserede tredjeparter, misbruges eller på anden måde behandles i strid med til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1. 4.3 Databehandleren skal sikre, at ansatte, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 4.4 Hvis den dataansvarlige anmoder herom, skal databehandleren angive og/eller dokumentere, at databehandleren opfylder kravene i den gældende databeskyttelseslovgivningdatabeskyttelsesforordningen og Aftalen, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker for behandling af personoplysninger. 4.5 Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige med passende tekniske og organisatoriske foranstaltninger, for opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger fra en registreret om udøvelse af vedkommendes rettigheder som angivet i kapitel 3 i den generelle forordning om databeskyttelse. 4.6 Databehandleren, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige rådighed for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 Hvis databehandleren behandler personoplysninger i en anden medlemsstat, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 Databehandleren skal underrette den dataansvarlige, hvis der er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for underretning af den dataansvarlige om sikkerhedsbrud er 24 timer fra det øjeblik, databehandleren bliver bekendt med et brud på sikkerheden. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige i forbindelse med afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af eventuel underretning af det relevante datatilsyn og/eller de registrerede. 4.9 Databehandleren skal give den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse Dataansvar- lige og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner, herunder inspektioner, der udføres foretages af den dataansvarlige Dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarligeDataansvarlige. Den nærmere procedure for den Dataansvarliges tilsyn med Databehandleren fremgår af Aftalens bilag 3. 4.10 Ud 3.7 Den Dataansvarliges tilsyn med eventuelle underdatabehandlere sker gennem Databehandle- ren. Den nærmere procedure herfor fremgår af Aftalens bilag 3. 3.8 Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lov- givning har adgang til den Dataansvarliges og Databehandlerens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til Databehandlerens fysiske faciliteter mod be- hørig legitimation. 3.9 Databehandleren sikrer, at kun de personer, der autoriseres hertil, har adgang til de personop- lysninger, der behandles på vegne af den Dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde Data- behandlerens forpligtelser over for den Dataansvarlige. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den Dataansvarlige, har forplig- tet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Databehandleren skal efter anmodning fra den Dataansvarlige fremvise dokumentation for, at de relevante medar- bejdere er underlagt en sådan forpligtelse samt at de er orienteret om, at fortroligheds- og tavs- hedspligten fortsætter efter endt ansættelse og aftalens ophør. 3.10 Databehandleren underretter uden unødig forsinkelse den Dataansvarlige senest 12 timer efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos Databehandle- ren eller en eventuel underdatabehandler. Underretningen skal bestå af oplysning om, at der er sket et brud på persondatasikkerhed samt en kort beskrivelse af karakteren og det umiddelbare omfang. I umiddelbar forlængelse heraf bistår Databehandleren løbende den Dataansvarlige med de op- lysninger, som er nødvendige for, at den Dataansvarlige kan efterleve sine forpligtelser i forbin- delse med et brud på persondatasikkerheden, herunder eventuel underretning af de registre- rede og anmeldelse af bruddet til tilsynsmyndigheden. Inden for 48 timer fra det konstaterede brud på persondatasikkerheden afgiver Databehandleren så vidt muligt en endelig redegørelse for hændelsen til den Dataansvarlige. Redegørelsen skal mindst indeholde de oplysninger, som den Dataansvarlige efter databeskyttelsesforordningens artikel 33, stk. 3, er forpligtet til at give til tilsynsmyndigheden. 3.11 Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesfor- ordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammen- hæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers ret- tigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foran- staltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Denne forpligtelse indebæ- rer, at Databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltnin- ger for at imødegå identificerede risici. Der kan herunder bl.a. være tale om følgende foranstalt- ninger: • Pseudonymisering og kryptering af personoplysninger • Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behand- lingssystemer og -tjenester • Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i til- fælde af en fysisk eller teknisk hændelse • En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed 3.12 Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. Databehandleren skal i forbindelse med ovenstående skal databehandleren bistå i alle til- fælde iværksætte det sikkerhedsniveau og de eventuelle foranstaltninger, som måtte være spe- cificeret nærmere i bilag 3. 3.13 Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige Data- ansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3. Der kan herunder bl.a. være tale om følgende rettigheder: • Opfyldelse af oplysningspligten ved indsamling af oplysninger hos den registrerede • Opfyldelse af oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registre- rede • Overholdelse af den registreredes indsigtsret • Overholdelse af den registreredes ret til berigtigelse • Overholdelse af den registreredes ret til begrænsning af behandling • Opfyldelse af underretningspligten i forbindelse med berigtigelse eller sletning af person- oplysninger eller begrænsning af behandling • Overholdelse af den registreredes ret til indsigelse • Overholdelse af den registreredes ret til ikke at være genstand for automatiske individuelle afgørelser, herunder profilering 3.14 Databehandleren bistår den Dataansvarlige med at sikre opfyldelse overholdelse af den dataansvarliges forpligtelser Dataansvarliges for- pligtelser i henhold til medfør af databeskyttelsesforordningens artikel 32-36 i den generelle forordning om databeskyttelse. Denne bistand tager hensyn under hensyntagen til behandlingens art be- handlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, jf. art 28, stk. 3, litra f. Der kan herunder bl.a. være tale om følgende foranstaltninger: • Gennemførelse af passende tekniske og organisatoriske foranstaltninger for at sikre et sik- kerhedsniveau, der passer til rådighed de risici, der er forbundet med behandlingen • Anmeldelse af brud på persondatasikkerheden til Datatilsynet uden unødig forsinkelse og om muligt senest 72 timer, efter at den Dataansvarlige er blevet bekendt med bruddet • Underrettelse – uden unødig forsinkelse – af den/de registrerede om brud på persondata- sikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for databehandlerenfysiske personers rettigheder og frihedsrettigheder • Gennemførelse af en konsekvensanalyse, hvis en type behandling sandsynligvis vil inde- bære en høj risiko for fysiske personers rettigheder og frihedsrettigheder • Høring af Datatilsynet inden behandling, hvis en konsekvensanalyse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den Dataansvarlige for at begrænse risikoen.

Databehandlerens forpligtelser. 4.1 Al behandling udført 5.1. Databehandleren forpligter sig til alene at behandle personoplysninger på baggrund af databehandleren dokumenterede instrukser fra Kunden, herunder med hensyn til overførsel af personoplysninger, der personoplysninger til et tredjeland eller en international organisation. 5.2. Hvis Databehandleren er videregivet af den dataansvarlige, skal ske i overensstemmelse med instrukserne fra den dataansvarlig, og databehandleren er endvidere forpligtet til at overholde enhver gældende databeskyttelseslovgivning. Hvis EU-retten overføre personoplysninger til et tredjeland eller en medlemsstats nationale ret, som databehandleren er underlagt, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2international organisation, skal databehandleren Databehandleren underrette den dataansvarlige Kunden om dette retlige krav inden behandling. Dette gælder imidlertid ikkedenne pligt forinden behandlingen sker, hvis den pågældende lovgivning medmindre loven forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interessersådanne oplysninger grundet samfundets interesse. 5.3. Databehandleren skal omgående underrette den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med denne forordning eller databeskyttelsesbestemmelserne i en medlemsstats nationale ret. 4.2 Databehandleren skal træffe alle nødvendige gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle yderligere foranstaltninger, der er nødvendige foranstaltninger for at sikre, at de alle personoplysninger, der fremgår er til rådighed‌ eller som behandles af pkt. 1.2Databehandleren, ikke behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller ulovligt tilintetgøresbeskadigelse, bortkommer eller forringes eller videregives til uautoriserede tredjeparter, misbruges eller på enhver anden måde behandles behandling af personoplysninger i strid med til enhver tid gældende databeskyttelseslovgivningpersondataloven og fra den 25. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1maj 2018 og frem, persondataforordningen. 4.3 5.4. Efter anmodning fra Kunden vil Databehandleren skal sikregive kunden en erklæring vedrørende de tekniske og organisatoriske foranstaltninger.‌ 5.5. Databehandleren sikrer, at ansattepersoner, der er autoriseret bemyndiget til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligtfortrolighed enten ved aftale eller efter lov. 4.4 Hvis den dataansvarlige anmoder herom, skal databehandleren angive og/eller dokumentere, at databehandleren opfylder kravene i den gældende databeskyttelseslovgivning, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker for behandling af personoplysninger. 4.5 Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige med passende tekniske og organisatoriske foranstaltninger, for opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger fra en registreret om udøvelse af vedkommendes rettigheder som angivet i kapitel 3 i den generelle forordning om databeskyttelse. 4.6 Databehandleren, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningen5.6. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 Hvis databehandleren behandler personoplysninger i en anden medlemsstat, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 Databehandleren skal underrette den dataansvarlige, hvis der er mistanke give Kunden meddelelse om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningernepersondatasikkerheden uden unødig forsinkelse. Databehandlerens frist for underretning af den dataansvarlige om sikkerhedsbrud er 24 timer fra det øjeblik, databehandleren bliver bekendt med Ved brud på persondatasikkerheden forstås et brud på sikkerheden. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige i forbindelse med afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af eventuel underretning af det relevante datatilsyn og/eller de registrerede. 4.9 Databehandleren skal give den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner, herunder inspektioner, der udføres fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af den dataansvarlige eller anden revisor, som er bemyndiget af den dataansvarlige. 4.10 Ud over ovenstående skal databehandleren bistå den dataansvarlige med at sikre opfyldelse af den dataansvarliges forpligtelser i henhold adgang til artikel 32-36 i den generelle forordning om databeskyttelse. Denne bistand tager hensyn til behandlingens art og de oplysningerpersonoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, jf. persondataforordningens artikel 4, stk. 12. 5.7. Databehandleren skal behandle personoplysninger, der behandles af Databehandleren på vegne af Kunden, fortroligt. Databehandleren må ikke videregive personoplysninger leveret til rådighed for databehandlerenDatabehandleren af, for, eller på vegne af Kunden til tredjemand, medmindre der foreligger samtykke eller andet lovligt grundlag. 5.8. Databehandleren må ikke gøre brug af personoplysninger leveret til Databehandleren af Kunden på anden måde end til levering af ydelsen. 5.9. Intet i denne aftale forhindrer en af parterne i at opfylde en retlig forpligtelse pålagt af myndigheder eller domstole. Begge parter skal dog så vidt muligt drøfte den passende reaktion på enhver anmodning fra en myndighed eller domstol ved videregivelse af oplysninger.

Databehandlerens forpligtelser. 4.1 Al behandling udført af databehandleren af personoplysninger, der er videregivet 3.1 Databehandleren må kun behandle de af den dataansvarlige, skal ske dataansvarlige leverede personoplysninger i overensstemmelse overens- stemmelse med instrukserne fra den dataansvarlig, dataansvarliges instrukser og databehandleren er endvidere i øvrigt forpligtet til at overholde den til enhver tid gældende databeskyttelseslovgivning. Hvis EU-retten eller en medlemsstats nationale ret. 3.2 Databehandleren er forpligtet til at træffe de fornødne tekniske og organisatoriske sikkerhedsforanstalt- ninger, herunder sådanne yderligere foranstaltninger, som databehandleren er underlagtmåtte være nødvendige, kræver, mod at databehandleren skal behandle personoplysningerne de i pkt. 1.2, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. Databehandleren skal omgående underrette den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med denne forordning eller databeskyttelsesbestemmelserne i en medlemsstats nationale ret. 4.2 Databehandleren skal træffe alle nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle yderligere foranstaltninger, der er nødvendige for at sikre, at de personoplysninger, der fremgår af pkt. 1.2, ikke anførte personlysninger hændeligt eller ulovligt tilintetgøres, bortkommer fortabes eller forringes eller videregives samt mod, at de kommer til uautoriserede tredjeparteruvedkommendes kendskab, misbruges eller på anden måde ikke behandles i strid overensstemmelse med person- datalovgivningen. Databehandleren er således blandt andet forpligtet til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1. 4.3 Databehandleren skal at: • indføre log-in- og adgangskodeprocedurer • opsætte og vedligeholde firewall og antivirussoftware • sikre, at alene ansatte med arbejdsrelaterede formål har adgang til personoplysningerne • sikre, at de ansatte, der er autoriseret til involveret i at behandle personoplysningerne, har forpligtet sig til fortrolighed fortrolig- hed eller er underlagt en passende lovbestemt tavshedspligt. 4.4 Hvis , opbevare datalagermedier på forsvarlig vis, således disse ikke er offentligt tilgængelige • sikre, at bygninger og systemer, der anvendes i forbindelse med databehandlingen, er sikre, samt at der alene anvendes hardware og software i høj kvalitet, som opdateres • sikre, at prøver og affaldsmateriale tilintetgøres, opbevares og returneres i henhold til kravene til databeskyttelse og efter nærmere instrukser fra den dataansvarlige anmoder herom• sikre, at de ansatte modtager uddannelse, fyldestgørende instruktioner i og retningslinjer for behand- lingen af personoplysningerne 3.3 Databehandleren skal databehandleren angive på den dataansvarliges anmodning redegøre for og/eller dokumentere, at databehandleren databe- handleren opfylder kravene i den gældende databeskyttelseslovgivningpersondatalovgivningen, herunder bl.a. fremvise dokumentation vedrørende databehandlerens dataflow for databehandle- rens datastrømme samt procedurer/politikker for behandling af personoplysningerpersondatabehandling. 4.5 Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige med passende tekniske og organisatoriske foranstaltninger, for opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger fra en registreret om udøvelse af vedkommendes rettigheder som angivet i kapitel 3 i den generelle forordning om databeskyttelse. 4.6 Databehandleren, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 3.4 Hvis databehandleren behandler personoplysninger i en anden medlemsstatet andet EU/EØS medlemsland, skal databehandleren databehandle- ren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstatmedlemslandets lovgivning om sikkerhedsforanstaltninger. 4.8 3.5 Databehandleren skal underrette straks informere den dataansvarligedataansvarlige om driftsforstyrrelser, hvis der er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med ved behandlingen af personoplysningerne. Databehandlerens frist for underretning af den dataansvarlige om Ved sikkerhedsbrud er skal databehandleren straks og senest 24 timer fra det øjeblik, databehandleren bliver bekendt med et brud på sikkerhedenefter opdagelse af sikkerhedsbruddet underrette den dataansvarlige. På den dataansvarliges Databehandleren skal efter anmodning skal databehandleren bistå den dataansvarlige i forbindelse forbin- delse med afklaring sikkerhedsbruddet. 3.6 Databehandleren skal på den dataansvarliges anmodning give tilstrækkelige oplysninger til, at denne kan påse, at databehandleren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. Den dataansvarlige kan for egen regning lade databehandlerens behandling af omfanget personoplysninger under- kaste en årlig revision af sikkerhedsbruddeten uafhængig tredjepart. 3.7 Hvis databehandleren eller en anden databehandler, herunder udarbejdelse som har modtaget samme oplysninger, modtager en anmodning om adgang til registrerede personoplysninger fra en registreret eller dennes agent, eller en registreret fremsætter indsigelse mod behandlingen af eventuel underretning af det relevante datatilsyn de registrerede personoplysninger, skal databe- handleren straks sende anmodningen og/eller de registrerede. 4.9 indsigelsen til den dataansvarlige med henblik på den da- taansvarliges videre sagsbehandling, medmindre databehandleren er berettiget til at håndtere en sådan forespørgsel selv. Databehandleren skal give den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner, herunder inspektioner, der udføres af den dataansvarlige eller anden revisor, som er bemyndiget af den dataansvarlige. 4.10 Ud over ovenstående skal databehandleren efter anmodning bistå den dataansvarlige med at sikre opfyldelse af den dataansvarliges forpligtelser i henhold til artikel 32-36 i den generelle forordning om databeskyttelse. Denne bistand tager hensyn til behandlingens art og de oplysninger, der er til rådighed for databehandlerenved anmodningen og/ eller indsigelsen.

Databehandlerens forpligtelser. 4.1 Al behandling udført af databehandleren af personoplysninger, der er videregivet 3.1 Databehandleren må kun behandle de af den dataansvarlige, skal ske Dataansvarlige leverede personoplysninger i overensstemmelse med instrukserne fra den dataansvarlig, Dataansvarliges instrukser og databehandleren er endvidere i øvrigt forpligtet til at overholde den til enhver tid gældende databeskyttelseslovgivning. Hvis EU-retten eller en medlemsstats nationale ret, som databehandleren er underlagt, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. Databehandleren skal omgående underrette den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med denne forordning eller databeskyttelsesbestemmelserne i en medlemsstats nationale ret. 4.2 3.2 Databehandleren skal er forpligtet til at træffe alle nødvendige de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle sådanne yderligere foranstaltninger, der er nødvendige for at sikresom måtte være nødvendige, mod at de personoplysninger, der fremgår af i pkt. 1.2, ikke anførte personlysninger hændeligt eller ulovligt tilintetgøres, bortkommer fortabes eller forringes eller videregives samt mod, at de kommer til uautoriserede tredjeparteruvedkommendes kendskab, misbruges eller på anden måde ikke behandles i strid overensstemmelse med persondatalovgivningen. Databehandleren er således blandt andet forpligtet til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1. 4.3 Databehandleren skal at: • indføre log-in- og adgangskodeprocedurer • opsætte og vedligeholde firewall og antivirussoftware • sikre, at alene ansatte med arbejdsrelaterede formål har adgang til personoplysningerne • sikre, at de ansatte, der er autoriseret til involveret i at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt., opbevare datalagermedier på forsvarlig vis, således disse ikke er offentligt tilgængelige • sikre, at bygninger og systemer, der anvendes i forbindelse med databehandlingen, er sikre, samt at der alene anvendes hardware og software i høj kvalitet, som opdateres • sikre, at prøver og affaldsmateriale tilintetgøres, opbevares og returneres i henhold til kravene til databeskyttelse og efter nærmere instrukser fra den Dataansvarlige • sikre, at de ansatte modtager uddannelse, fyldestgørende instruktioner i og retningslinjer for behandlingen af personoplysningerne 4.4 Hvis 3.3 Databehandleren skal på den dataansvarlige anmoder herom, skal databehandleren angive Dataansvarliges anmodning redegøre for og/eller dokumentere, at databehandleren Databehandleren opfylder kravene i den gældende databeskyttelseslovgivningpersondatalovgivningen, herunder bl.a. fremvise dokumentation vedrørende databehandlerens dataflow for Databehandlerens datastrømme samt procedurer/politikker for behandling af personoplysningerpersondatabehandling. 4.5 Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige med passende tekniske og organisatoriske foranstaltninger, for opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger fra en registreret om udøvelse af vedkommendes rettigheder som angivet i kapitel 3 i den generelle forordning om databeskyttelse. 4.6 Databehandleren, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 3.4 Hvis databehandleren Databehandleren behandler personoplysninger i en anden medlemsstatet andet EU/EØS medlemsland, skal databehandleren Databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstatmedlemslandets lovgivning om sikkerhedsforanstaltninger. 4.8 3.5 Databehandleren skal underrette straks informere den dataansvarligeDataansvarlige om driftsforstyrrelser, hvis der er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med ved behandlingen af personoplysningerne. Databehandlerens frist for underretning af den dataansvarlige om Ved sikkerhedsbrud er skal Databehandleren straks og senest 24 timer fra det øjeblik, databehandleren bliver bekendt med et brud på sikkerhedenefter opdagelse af sikkerhedsbruddet underrette den Dataansvarlige. På den dataansvarliges Databehandleren skal efter anmodning skal databehandleren bistå den dataansvarlige Dataansvarlige i forbindelse med afklaring sikkerhedsbruddet. 3.6 Databehandleren skal på den Dataansvarliges anmodning give tilstrækkelige oplysninger til, at denne kan påse, at Databehandleren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. Den Dataansvarlige kan for egen regning lade Databehandlerens behandling af omfanget personoplysninger underkaste en årlig revision af sikkerhedsbruddeten uafhængig tredjepart. 3.7 Hvis Databehandleren eller en anden databehandler, herunder udarbejdelse som har modtaget samme oplysninger, modtager en anmodning om adgang til registrerede personoplysninger fra en registreret eller dennes agent, eller en registreret fremsætter indsigelse mod behandlingen af eventuel underretning af det relevante datatilsyn de registrerede personoplysninger, skal Databehandleren straks sende anmodningen og/eller de registrerede. 4.9 indsigelsen til den Dataansvarlige med henblik på den Dataansvarliges videre sagsbehandling, medmindre Databehandleren er berettiget til at håndtere en sådan forespørgsel selv. Databehandleren skal give den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner, herunder inspektioner, der udføres af den dataansvarlige eller anden revisor, som er bemyndiget af den dataansvarlige. 4.10 Ud over ovenstående skal databehandleren efter anmodning bistå den dataansvarlige med at sikre opfyldelse af den dataansvarliges forpligtelser i henhold til artikel 32-36 i den generelle forordning om databeskyttelse. Denne bistand tager hensyn til behandlingens art og de oplysninger, der er til rådighed for databehandlerenDataansvarlige ved anmodningen og/eller indsigelsen.

Databehandlerens forpligtelser. 4.1 Al behandling udført Databehandleren er forpligtet til: a) udelukkende at Behandle Personoplysninger efter dokumenteret instruks fra den Dataansvarlige som anført i denne Databehandleraftale og til de formål, som fremgår af databehandleren Bilag A, b) at udføre sine aktiviteter i henhold til denne Databehandleraftale med passende dygtighed, omhu og grundighed, c) at føre en fortegnelse som beskrevet i artikel 30 i GDPR på sit sædvanlige forretningssted over al Behandling af personoplysningerPersonoplysninger, som foretages som led i Databehandlingsydelserne og som led i overholdelsen af sine forpligtelser, der er videregivet fremgår af den dataansvarlige, skal ske i overensstemmelse med instrukserne fra den dataansvarlig, og databehandleren er endvidere forpligtet til at overholde enhver gældende databeskyttelseslovgivning. Hvis EU-retten eller en medlemsstats nationale ret, som databehandleren er underlagt, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. Databehandleren skal omgående underrette den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med denne forordning eller databeskyttelsesbestemmelserne i en medlemsstats nationale ret.Databehandleraftalen (”Fortegnelser”), 4.2 Databehandleren skal træffe alle nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle yderligere foranstaltninger, der er nødvendige for d) at sikre, at de personoplysninger, der fremgår af pkt. 1.2, ikke hændeligt eller ulovligt tilintetgøres, bortkommer eller forringes eller videregives til uautoriserede tredjeparter, misbruges eller på anden måde behandles i strid med til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1. 4.3 Databehandleren skal sikre, at ansattepersoner, der er autoriseret autoriserede til at behandle personoplysningerneBehandle Personoplysningerne, har forpligtet påtaget sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt., 4.4 Hvis den dataansvarlige anmoder herom, skal databehandleren angive og/eller dokumentere, e) at databehandleren opfylder kravene i den gældende databeskyttelseslovgivning, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker for behandling af personoplysninger. 4.5 Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige med implementere passende tekniske og organisatoriske foranstaltningerforanstaltninger for at beskytte Personoplysningerne mod hændelig eller ulovlig Tilintetgørelse eller hændeligt tab, ændring, uautoriseret videregivelse eller adgang, og mod alle øvrige former for uautoriseret og ulovlig Behandling, herunder også i henhold til kravene vedrørende sådanne foranstaltninger i henhold til Persondatalovgivningen som anført i pkt. 6 og Bilag B, f) kun at tage kopier af Personoplysningerne, i det omfang det med rimelighed er nødvendigt, hvilket bl.a. omfatter backup, spejling, sikkerhed, katastrofeberedskabsplan og test af Personoplysningerne, g) kun at kontrahere med Underdatabehandlere i overensstemmelse med kravene i pkt. 7, h) straks at underrette den Dataansvarlige, hvis en instruks efter Databehandlerens mening krænker Persondatalovgivningen, i) at bistå den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den dataansvarliges Dataansvarliges forpligtelse til at besvare anmodninger fra en registreret om udøvelse af vedkommendes rettigheder Den Registreredes ikke-eksklusive ret til indsigt, berigtigelse, sletning og til dataportabilitet mv., som angivet i kapitel 3 Persondatalovgivningen, j) at slette alle Personoplysninger, som Behandles under Databehandleraftalen, enten i den generelle forordning om databeskyttelse.løbet af eller ved ophør af Aftaleperioden, jf. pkt. 11, 4.6 Databehandlerenk) at stille alle oplysninger, eller anden databehandler (underdatabehandler)der er nødvendige for at påvise overholdelse af Persondatalovgivningen, skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige rådighed for den dataansvarliges videre behandling derafDataansvarlige, medmindre den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 Hvis databehandleren behandler personoplysninger i en anden medlemsstat, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 Databehandleren skal underrette den dataansvarligefx årlige revisionsrapporter fra Databehandlerens tredjepartsrevisor, hvis der er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder nogen, l) i forbindelse med behandlingen af personoplysningernepkt. Databehandlerens frist for underretning af den dataansvarlige om sikkerhedsbrud 4.1(k), hvis det er 24 timer fra det øjeblikjuridisk og teknisk muligt, databehandleren bliver bekendt med et brud på sikkerheden. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige i forbindelse med afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af eventuel underretning af det relevante datatilsyn og/eller de registrerede. 4.9 Databehandleren skal at give den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager bidrage til revisioner, herunder inspektioner, der udføres foretaget af den dataansvarlige Dataansvarlige eller anden revisoren anden, som er bemyndiget af den dataansvarligeDataansvarlige, som anført i pkt. 8, m) at opfyldesineforpligtelser i henholdtilPersondatalovgivningensamteventuelt at udpege en databeskyttelsesrådgiver. 4.10 Ud over ovenstående 4.2 Hvis Databehandleren modtager en klage, underretning eller meddelelse, som direkte eller indirekte vedrører Behandlingen af Personoplysninger eller en Parts overholdelse af Persondatalovgivningen, skal databehandleren denne straks underrette den Dataansvarlige og fuldt ud samarbejde og bistå den dataansvarlige Dataansvarlige i forbindelse med en sådan klage, underretning eller meddelelse. 4.3 Databehandleren er forpligtet til uden ugrundet ophold at sikre opfyldelse af underrette den dataansvarliges forpligtelser Dataansvarlige, hvis Databehandleren bliver bekendt med Brud på Persondatasikkerheden. 4.4 Databehandleren er berettiget til at opkræve særskilt betaling for eventuelle omkostninger (herunder interne ressourcer til Databehandlerens standardtakster), som afholdes i henhold til artikel 32-36 forbindelse med bistanden, som anført i den generelle forordning om databeskyttelsepkt. Denne bistand tager hensyn til behandlingens art og de oplysninger, der er til rådighed for databehandleren4.1(a)-(m).

Databehandlerens forpligtelser. 4.1 Al behandling udført 3.1 Databehandleren behandler kun personoplysninger på vegne af databehandleren af personoplysningerden Dataansvarlige og i henhold til de vilkår, der er videregivet anført i denne Databehandleraftale eller i henhold til den Dataansvarliges do- kumenterede instrukser, se punkt 5. 3.2 Databehandleren skal føre og opretholde skriftlige (herunder elektroniske) optegnelser over alle kategorier af databehandlingsaktiviteter, der udføres på den dataansvarligeDataansvarliges vegne. Som mini- mum omfatter dette: • navn og kontaktoplysninger for Databehandleren og underdatabehandlere og for den Dataansvarlige på hvis vegne Databehandleren handler og, skal ske i overensstemmelse med instrukserne fra hvor det er relevant for den dataansvarligDataansvarliges eller Databehandlerens repræsentant og databeskyttelses- rådgiveren; • de kategorier af databehandling, og databehandleren er endvidere forpligtet der udføres af Databehandleren eller underdatabe- handlere på den Dataansvarliges vegne; • enhver overførsel af personoplysninger til at overholde enhver gældende databeskyttelseslovgivning. Hvis EU-retten et tredjeland eller en medlemsstats nationale retinternational organi- sation, som databehandleren er underlagtinklusive henvisning til det separate juridiske grundlag, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning forbyder der tillader overførs- lerne; • en sådan underretning beskrivelse af hensyn til vigtige samfundsmæssige interesser. Databehandleren skal omgående underrette den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med denne forordning eller databeskyttelsesbestemmelserne i en medlemsstats nationale ret. 4.2 Databehandleren skal træffe alle nødvendige de tekniske og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle yderligere foranstaltninger, der er nødvendige for at sikre, at de personoplysninger, der fremgår af pkt. 1.2, ikke hændeligt eller ulovligt tilintetgøres, bortkommer eller forringes eller videregives truffet i relation til uautoriserede tredjeparter, misbruges eller på anden måde behandles i strid med til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1. 4.3 Databehandleren skal sikre, at ansatte, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 4.4 Hvis den dataansvarlige anmoder herom, skal databehandleren angive og/eller dokumentere, at databehandleren opfylder kravene i den gældende databeskyttelseslovgivning, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker for behandling behandlingen af personoplysninger. 4.5 Under hensyntagen 3.3 Databehandleren skal på ethvert givet tidspunkt og gratis stille det register, der er anført under punkt 3.2, til behandlingens art rådighed for den Dataansvarlige eller Datatilsynet i Danmark. 3.4 Efter anmodning fra den Dataansvarlige skal databehandlereDatabehandleren hjælpe og assistere den Dataan- svarlige, så vidt muligtog Databehandleren skal levere relevante oplysninger og dokumentation, bistå der sætter den dataansvarlige med passende tekniske og organisatoriske foranstaltninger, for opfyldelse af den dataansvarliges forpligtelse Dataansvarlige i stand til at besvare anmodninger fra en registreret om udøvelse dokumentere efterlevelse af vedkommendes rettigheder som angivet i kapitel 3 i den generelle forordning om databeskyttelse. 4.6 Databehandlerengældende love, eller anden databehandler (underdatabehandler)dvs. ret til adgang, skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige konsekvensanalyse osv. Databehandleren har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger separat betaling for medgået tid og yderli- gere omkostninger og udgifter i relation til ændringer og/eller indsigelserøgede instrukser fra den Dataan- svarlige. 4.7 3.5 Hvis databehandleren behandler personoplysninger i en anden medlemsstat, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 et data subjekt kontakter Databehandleren skal underrette den dataansvarlige, hvis der er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for underretning af den dataansvarlige om sikkerhedsbrud er 24 timer fra det øjeblik, databehandleren bliver bekendt med et brud på sikkerheden. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige i forbindelse med afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af eventuel underretning af det relevante datatilsyn og/eller de registrerede. 4.9 Databehandleren skal give den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner, herunder inspektioner, der udføres af den dataansvarlige eller anden revisor, som er bemyndiget af den dataansvarlige. 4.10 Ud over ovenstående skal databehandleren bistå den dataansvarlige med at sikre opfyldelse af den dataansvarliges forpligtelser udøve sine rettigheder i henhold til artikel 32-36 Xxxx- beskyttelseslovgivningen, skal Databehandleren sende en sådan anmodning til den Dataansvar- lige uden unødig forsinkelse, så den Dataansvarlige kan håndtere dette. Databehandleren skal assistere den Dataansvarlige i den generelle forordning om databeskyttelse. Denne bistand tager hensyn til behandlingens art og de oplysninger, der er til rådighed for databehandlerenoverensstemmelse med punkt 3.4.

Databehandlerens forpligtelser. 4.1 Al Databehandleren har ved sin behandling udført af databehandleren personoplysningerne for den Dataansvarlige gennemført fornødne (a) tekniske- og (b) organisatoriske sikkerhedsforanstaltningerne. Sikkerhedsforanstaltningerne er gennemførte under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne, og den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, samt kategorien af personoplysninger. Parterne er enige om, at de implementerede foranstaltninger er tilstrækkelige på tidspunktet for underskrivelsen af Databehandleraftalen. Databehandleren vurderer herefter løbende om de implementerede foranstaltningerne kan anses for tilstrækkelige. Databehandleren skal sikre, at medarbejdere, der er videregivet af den dataansvarligebehandler personoplysninger for Databehandleren, skal ske i overensstemmelse med instrukserne fra den dataansvarlig, og databehandleren er endvidere har forpligtet sig til at overholde enhver gældende databeskyttelseslovgivning. Hvis EU-retten fortrolighed eller er underkastet en medlemsstats nationale ret, som databehandleren er underlagt, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesserpassende lovpligtig tavshedspligt. Databehandleren skal omgående underrette den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med denne forordning eller databeskyttelsesbestemmelserne i en medlemsstats nationale ret. 4.2 Databehandleren skal træffe stiller alle nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle yderligere foranstaltningeroplysninger, der er nødvendige for at sikre, at de personoplysninger, der fremgår påvise overholdelse af pkt. 1.2, ikke hændeligt eller ulovligt tilintetgøres, bortkommer eller forringes eller videregives til uautoriserede tredjeparter, misbruges eller på anden måde behandles i strid med til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1. 4.3 Databehandleren skal sikre, at ansatte, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 4.4 Hvis den dataansvarlige anmoder herom, skal databehandleren angive og/eller dokumentere, at databehandleren opfylder kravene i den gældende databeskyttelseslovgivningDatabehandleraftalen, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker for behandling af personoplysninger. 4.5 Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige med passende tekniske og organisatoriske foranstaltninger, for opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger fra en registreret om udøvelse af vedkommendes rettigheder som angivet i kapitel 3 i den generelle forordning om databeskyttelse. 4.6 Databehandleren, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige rådighed for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 Hvis databehandleren behandler personoplysninger i en anden medlemsstat, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 Databehandleren skal underrette den dataansvarlige, hvis der er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for underretning af den dataansvarlige om sikkerhedsbrud er 24 timer fra det øjeblik, databehandleren bliver bekendt med et brud på sikkerheden. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige i forbindelse med afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af eventuel underretning af det relevante datatilsyn og/eller de registrerede. 4.9 Databehandleren skal give den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse Dataansvarlige og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner, herunder inspektioner, der udføres foretages af den dataansvarlige Dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige. 4.10 Ud over ovenstående skal databehandleren bistå Dataansvarlige. Databehandleren underretter omgående den dataansvarlige Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med databeskyttelseslovgivningen herunder eventuelt databeskyttelsesbestemmelser i anden EU-ret eller nationale ret relevant under Databehandleraftalen. Databehandleren underretter uden unødig forsinkelse den Dataansvarlige hvis Databehandleren bliver opmærksom på, at sikre der er sket brud på persondatasikkerheden. Under hensyntagen til behandlingens karakter, bistår Databehandleren så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelser i henhold Dataansvarliges forpligtelse til artikel 32-36 i den generelle forordning at besvare anmodninger om databeskyttelseudøvelse af de registreredes rettigheder. Denne bistand tager hensyn Under hensyntagen til behandlingens art karakter og de oplysninger, der er tilgængelige for Databehandleren bistår Databehandleren den Dataansvarlige med at sikre overholdelse af forpligtelserne vedrørende den Dataansvarliges behandlingssikkerhed, anmeldelse af brud på persondatasikkerheden til rådighed for databehandlerentilsynsmyndigheder, underretning om brud på persondatasikkerheden til registrerede, konsekvensanalyser vedrørende databeskyttelse og forudgående høringer. Hvis den Dataansvarlige ikke instruerer Databehandleren specifikt i andet, skal Databehandleren slette personoplysninger 5 år efter, at Databehandleren har benyttet den pågældende personoplysning til at levere tjenesten.

Databehandlerens forpligtelser. 4.1 Al behandling udført Hvor Transics (som Databehandler) behandler personoplysninger på vegne af databehandleren af personoplysninger, der er videregivet af den dataansvarligeKunden (som Dataansvarlig), skal ske Transics: a. Behandle eller få sådanne personoplysninger behandlet i overensstemmelse med instrukserne fra de Databeskyttelseslove, der gælder for virksomheden som Databehandler. b. Behandle - og sørge for, at enhver person, der på virksomhedens vegne - behandler personoplysninger på vegne af den dataansvarligDataansvarlige og i overensstemmelse med dennes dokumenterede instruktioner, og databehandleren er endvidere forpligtet til at overholde enhver gældende databeskyttelseslovgivning. Hvis medmindre andet kræves af Unionens eller EU-retten eller en medlemsstats nationale retlovgivningen, som databehandleren Databehandleren er underlagt. I så fald skal Registerføreren informere den Dataansvarlige om lovkravene før behandlingen, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning med mindre loven forbyder en sådan underretning sådanne oplysninger af hensyn til vigtige samfundsmæssige interessersamfundsinteresser. Dette Xxxxxx skal svare til de dokumenterede instruktioner fra den Dataansvarlige til Registerføreren. På instruktion fra den Dataansvarlige skal Databehandleren skal omgående underrette den dataansvarligeogså rette, hvis en instruks efter databehandlerens mening er i strid med denne forordning korrigere eller databeskyttelsesbestemmelserne i en medlemsstats nationale retblokere personoplysningerne og sikre, at kun behørigt uddannet personale har adgang til personoplysningerne. 4.2 Databehandleren skal træffe alle nødvendige tekniske c. Under hensyntagen til arten af forarbejdning og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle yderligere foranstaltningerde oplysninger, der er til rådighed for Databehandleren, bistår den Dataansvarlige med at sikre overholdelsen af sine forpligtelser i henhold til gældende Databeskyttelseslov, herunder med eventuelle nødvendige konsekvensanalyser for at sikre, at de personoplysninger, der fremgår af pkt. 1.2, ikke hændeligt eller ulovligt tilintetgøres, bortkommer eller forringes eller videregives til uautoriserede tredjeparter, misbruges eller på anden måde behandles i strid med til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1privatliv. 4.3 Databehandleren skal sikre, at ansatte, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 4.4 Hvis den dataansvarlige anmoder herom, skal databehandleren angive og/eller dokumentere, at databehandleren opfylder kravene i den gældende databeskyttelseslovgivning, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker for behandling af personoplysninger. 4.5 Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige med d. Gennemføre passende tekniske og organisatoriske foranstaltningerforanstaltninger som krævet i henhold til gældende Databeskyttelseslov for at beskytte personoplysningerne mod utilsigtet eller ulovlig destruktion eller utilsigtet tab, ændring, uautoriseret adgang, offentliggørelse eller overførsel, misbrug og mod alle andre ulovlige former for opfyldelse behandling, og i det mindste træffe følgende sikkerhedsforanstaltninger: i. Pseudonymisering og kryptering af den dataansvarliges forpligtelse personoplysninger; ii. Evnen til at besvare anmodninger fra en registreret om udøvelse sikre den løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed i behandlingssystemer og -tjenester; iii. Evnen til at genoprette tilgængeligheden af vedkommendes rettigheder som angivet og adgangen til personoplysninger rettidigt i kapitel 3 i den generelle forordning om databeskyttelsetilfælde af et fysisk eller teknisk uheld; iv. En proces til regelmæssigt at afprøve, vurdere og evaluere effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af sikkerheden af behandlingen. I Tillæg 1 dokumenterer Databehandleren gennemførelsen af de tekniske og organisatoriske foranstaltninger. 4.6 Databehandleren, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 Hvis databehandleren behandler personoplysninger i en anden medlemsstat, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 Databehandleren skal underrette den dataansvarlige, hvis der er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for underretning af den dataansvarlige om sikkerhedsbrud er 24 timer fra det øjeblik, databehandleren bliver bekendt med et brud på sikkerheden. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige i forbindelse med afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af eventuel underretning af det relevante datatilsyn og/eller de registrerede. 4.9 Databehandleren skal give den dataansvarlige e. Stille alle nødvendige oplysninger til rådighed for den Dataansvarlige for at kunne påvise overensstemmelse med artikel 28 i den generelle forordning overholdelse af Databehandlerens forpligtelser til at overholde gældende lov om databeskyttelse og aftalen. I denne forbindelse giver databehandleren mulighed for tillade og bidrager bidrage til revisioner, herunder inspektioner, der udføres af den dataansvarlige Dataansvarlige eller en anden revisor, som der er bemyndiget udpeget af den dataansvarligeDataansvarlige. Den Dataansvarliges ret til revision er betinget af, at Databehandleren gives mindst fire (4) ugers forudgående skriftlig varsel om en sådan revision. 4.10 Ud over ovenstående skal databehandleren bistå den dataansvarlige med at sikre opfyldelse af den dataansvarliges forpligtelser i henhold til artikel 32-36 i den generelle forordning om databeskyttelse. Denne bistand tager f. Med hensyn til behandlingens art punkt (e) ovenfor, straks underrette den Dataansvarlige, hvis en instruktion modtaget fra den Dataansvarlige efter Databehandlerens opfattelse overtræder Databeskyttelsesloven. g. Under hensyntagen til arten af behandlingen og de oplysninger, den råder over, bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, for så vidt det er muligt, for at opfylde den Dataansvarliges forpligtelse til at give oplysninger om indsamling, behandling eller brug af databeskyttelsesniveau, indgås EU- standardkontraktklausuler for Databehandlere mellem den Underordnede Databehandler og den Dataansvarlige (hvor Transics, alt efter omstændighederne, handler på vegne af den Dataansvarlige) eller andre passende dataoverføringsmekanismer skal implementeres i overensstemmelse med gældende AFTALT af Parterne gennem deres behørigt autoriserede repræsentanter på den dato, hvor begge Parter har underskrevet dette Tillæg om Databehandling. For og på vegne af: personoplysninger til en registreret og besvare anmodninger om udøvelse af den registreredes Databeskyttelseslove; og Kunden tillader hermed udtrykkeligt autoriserer Transics at indgå rettigheder. Enhver anmodning fra en registreret direkte til Databehandleren skal videresendes til den Dataansvarlige. c) h. Uden unødig forsinkelse underrette den Dataansvarlige om Brud på Persondatasikkerheden, der berører personoplysninger behandlet af Databehandleren, og under hensyntagen til arten af behandlingen og de oplysninger, den råder over, bistå den Dataansvarlige i videst muligt omfang med at opfylde sine opgaver, hvis standardkontraktbestemmelser med de Underordnede Databehandlere, der er anført i de relevante bilag på vegne af Kunden. Hvis den Underordnede Databehandler ikke opfylder sine databeskyttelsesforpligtelser i henhold til rådighed en sådan skriftlig aftale, vil Databehandleren være helt Ansvarlig over for databehandlerenden Dataansvarlige for opfyldelsen af den Underordnede Databehandlers forpligtelser med forbehold for ansvarsbegrænsninger som aftalt i dette Tillæg.

Databehandlerens forpligtelser. 4.1 Al behandling udført Databehandleren behandler udelukkende Personoplysninger på vegne af databehandleren og på baggrund af personoplysninger, der er videregivet af instrukser fra den dataansvarlige, Dataansvarlige. Databehandling skal ske på følgende måde: • Alene i overensstemmelse med instrukserne fra gældende lovgivning, • for at opfylde alle forpligtelser i henhold til Xxxxxxx, • som nærmere angivet gennem den dataansvarligDataansvarliges almindelige brug af Databehandlerens tjene- ster, og databehandleren er endvidere forpligtet til at overholde enhver gældende databeskyttelseslovgivning• som angivet i denne Databehandleraftale. Hvis EU-retten eller en medlemsstats nationale ret, som databehandleren er underlagt, kræver, at databehandleren skal behandle personoplysningerne i pkt. 1.2, skal databehandleren underrette Databehandler underretter omgående den dataansvarlige om dette retlige krav inden behandling. Dette gælder imidlertid ikke, hvis den pågældende lovgivning forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. Databehandleren skal omgående underrette den dataansvarligeDataansvarlige, hvis en instruks efter databehandlerens Databehandlerens mening er i strid med denne forordning Databeskyttelsesforordningen eller databeskyttelsesbestemmelserne databeskyttelsesbestemmelser i en medlemsstats anden EU-ret eller med- lemsstaternes nationale ret. 4.2 Databehandleren skal træffe alle nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle yderligere foranstaltninger, der er nødvendige for at sikre, at de personoplysninger, der fremgår af pkt. 1.2, ikke hændeligt eller ulovligt tilintetgøres, bortkommer eller forringes eller videregives til uautoriserede tredjeparter, misbruges eller på anden måde behandles i strid med til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er beskrevet mere detaljeret i Tillæg 1. 4.3 Databehandleren Databehandler skal sikre, at ansattePersonoplysningerne er underlagt fortrolighed, integritet og tilgængelighed i henhold til gældende lovgivning om behandling af personoplysninger. Databehandler og dennes medarbejdere skal sikre fortrolighed vedrørende de behandlede Personoplysnin- ger. Denne bestemmelse gælder også efter Aftalens ophør. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysningernePersonoplysninger på vegne af den Dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 4.4 Hvis den dataansvarlige anmoder herom, . Databehandler skal databehandleren angive og/eller dokumentere, at databehandleren opfylder kravene i den gældende databeskyttelseslovgivning, herunder dokumentation vedrørende databehandlerens dataflow samt procedurer/politikker for behandling af personoplysninger. 4.5 Under hensyntagen til behandlingens art skal databehandlere, så vidt muligt, bistå den dataansvarlige Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, så vidt dette er muligt, for opfyldelse af den dataansvarliges forpligtelse Dataansvarliges forpligtelser til at besvare svare på anmodninger fra en registreret Regi- strerede og om generel udøvelse af vedkommendes Registreredes rettigheder som angivet i kapitel 3 i den generelle forordning om databeskyttelse. 4.6 Databehandleren, eller anden databehandler (underdatabehandler), skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige for den dataansvarliges videre behandling deraf, medmindre den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 Hvis databehandleren behandler personoplysninger i en anden medlemsstat, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i pågældende medlemsstat. 4.8 Databehandleren skal underrette den dataansvarlige, hvis der er mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for underretning af den dataansvarlige om sikkerhedsbrud er 24 timer fra det øjeblik, databehandleren bliver bekendt med et brud på sikkerheden. På den dataansvarliges anmodning skal databehandleren bistå den dataansvarlige i forbindelse med afklaring af omfanget af sikkerhedsbruddet, herunder udarbejdelse af eventuel underretning af det relevante datatilsyn og/eller de registrerede. 4.9 Databehandleren skal give den dataansvarlige alle nødvendige oplysninger til at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner, herunder inspektioner, der udføres af den dataansvarlige eller anden revisor, som er bemyndiget af den dataansvarlige. 4.10 Ud over ovenstående skal databehandleren bistå den dataansvarlige med at sikre opfyldelse af den dataansvarliges forpligtelser i henhold til artikel 32-36 Databeskyttelsesforordningens Kapitel 3 og Artikel 32 til 36. Databehandler giver, uden unødig forsinkelse, meddelelse til den Dataansvarlige om hændelser som den Dataansvarlige i henhold til lovgivningen er forpligtet til at meddele til Datatilsynet eller Registrerede. Desuden giver Databehandler i det omfang det er hensigtsmæssigt og lovligt den generelle forordning Dataansvarlige medde- lelse om: • Anmodninger om databeskyttelsevideregivelse af Personoplysninger modtaget fra en Registreret. Denne bistand tager hensyn • Anmodninger om videregivelse af Personoplysninger fra offentlige myndigheder, såsom politiet. Databehandleren besvarer ikke direkte henvendelser fra Registrerede, medmindre der foreligger samtykke fra den Dataansvarlige. Databehandleren videregiver ikke Personoplysninger til behandlingens art offentlige myndigheder, såsom politiet, medmindre der foreligger lovligt grundlag. Databehandleren har ikke ejerskab til, eller kontrol med, hvorvidt og de oplysningerhvordan den Dataansvarlige vælger at benytte sig af eventuel tredjeparts integrationer via Databehandlers API, der er til rådighed via direkte databasekobling eller lignende. Ansvaret for databehandlerensådanne integrationer med tredjepart påhviler udelukkende Dataansvarlig.

Databehandlerens forpligtelser. 4.1 Al behandling udført behandling, som databehandleren foretager af databehandleren af de personoplysninger, der er videregivet leveret af den dataansvarlige, skal ske i overensstemmelse med instrukserne fra de instruktioner, som den dataansvarligdataansvarlige har udarbejdet, og databehandleren er endvidere desuden forpligtet til at overholde al til enhver tid gældende databeskyttelseslovgivning. Hvis EU-retten eller national lovgivning i en medlemsstats nationale retEU-medlemsstat, som databehandleren er underlagt, kræverforeskriver, at databehandleren skal behandle personoplysningerne anført i pkt. 1.2Skema 1, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandlingjuridiske krav, før personoplysningerne behandles. Dette gælder imidlertid dog ikke, hvis den pågældende denne lovgivning forbyder en sådan underretning sådanne oplysninger af hensyn til hensyn, der er vigtige samfundsmæssige interesserfor den offentlige interesse. Databehandleren skal omgående straks underrette den dataansvarlige, hvis en instruks instruktion efter databehandlerens mening er i strid med denne forordning opfattelse krænker EU's generelle databeskyttelsesforordning eller databeskyttelsesbestemmelserne i en medlemsstats nationale retEU-medlemsstat. 4.2 Databehandleren skal træffe alle nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger, herunder eventuelle alle yderligere foranstaltninger, der er nødvendige for at sikre, at de personoplysninger, der fremgår af pkt. 1.2, personoplysningerne ikke hændeligt utilsigtet eller ulovligt tilintetgøres, bortkommer mistes eller forringes forringes, eller videregives at de bringes til uautoriserede tredjepartertredjeparters kendskab, misbruges eller behandles på anden måde behandles i strid med en måde, der strider mod den til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er nærmere beskrevet mere detaljeret i Tillæg 1Skema 2. 4.3 Databehandleren skal sikre, at ansattemedarbejdere, der er autoriseret til at behandle personoplysningernepersonoplysninger, har forpligtet sig til fortrolighed underskrevet en fortrolighedserklæring eller er underlagt en passende lovbestemt den relevante lovfæstede tavshedspligt. 4.4 Hvis den dataansvarlige anmoder heromderom, skal databehandleren angive erklære og/eller dokumentere, at databehandleren opfylder efterlever kravene i den gældende databeskyttelseslovgivning, herunder dokumentation vedrørende databehandlerens dataflow datastrømme samt procedurer/politikker for behandling af personoplysninger. 4.5 Under hensyntagen til behandlingens art skal databehandlere, databehandleren så vidt muligt, muligt bistå den dataansvarlige med passende tekniske og organisatoriske foranstaltninger, for opfyldelse af foranstaltninger med henblik på at opfylde den dataansvarliges forpligtelse til at besvare anmodninger fra en registreret om udøvelse af vedkommendes rettigheder den registreredes rettigheder, som angivet fastsat i kapitel 3 i den generelle forordning om databeskyttelsedatabeskyttelsesforordning. 4.6 Databehandleren, Databehandleren eller en anden databehandler (underdatabehandler), ) skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige for den dataansvarliges med henblik på dennes videre behandling deraf, medmindre databehandleren selv er berettiget til at behandle en sådan anmodning. Hvis den dataansvarlige har ret til selv at besvare anmodningen. På den dataansvarliges anmodning beder om det, skal databehandleren bistå hjælpe den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser. 4.7 Hvis databehandleren behandler personoplysninger i en anden medlemsstatet andet EU-land, skal databehandleren overholde lovgivningen vedrørende sikkerhedsforanstaltninger i det pågældende medlemsstatlands lovgivning om sikkerhedsforanstaltninger. 4.8 Databehandleren skal underrette den dataansvarlige, hvis der sker en driftsafbrydelse, en mistanke om, at databeskyttelsesreglerne er mistanke om brud på databeskyttelsesreglerne blevet overtrådt, eller der opstår andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens Databehandleren har en frist for underretning af den dataansvarlige om sikkerhedsbrud er på 24 timer fra det øjeblik, databehandleren vedkommende bliver bekendt med opmærksom på et brud på sikkerhedensikkerhedsbrud, til at oplyse den dataansvarlige om et sikkerhedsbrud. På Databehandleren skal efter anmodning fra den dataansvarliges anmodning skal databehandleren dataansvarlige bistå den dataansvarlige i forbindelse med afklaring af henblik på at klarlægge omfanget af sikkerhedsbruddet, herunder udarbejdelse af eventuel underretning af en notifikation til det relevante datatilsyn databeskyttelsesagentur og/eller de registrerede. 4.9 Databehandleren skal give den dataansvarlige stille alle nødvendige oplysninger til rådighed for den dataansvarlige, som er nødvendige for at kunne påvise overensstemmelse med artikel 28 i den generelle forordning om databeskyttelse databeskyttelsesforordning og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner, herunder inspektioner, der udføres af den dataansvarlige eller en anden revisor, som er bemyndiget udpeget af den dataansvarlige. 4.10 Ud over ovenstående ovennævnte skal databehandleren bistå den dataansvarlige med at sikre opfyldelse af sikre, at den dataansvarliges forpligtelser i henhold til artikel 32-36 i den generelle forordning om databeskyttelsedatabeskyttelsesforordning overholdes. Denne bistand tager hensyn til behandlingens art arten af behandlingen og de oplysninger, der er til rådighed tilgængelige for databehandleren.