DATABEHANDLERAFTALE Mellem Lolland Kommune Jernbanegade 7








DATABEHANDLERAFTALE

Mellem

Lolland Kommune

Xxxxxxxxxxxx 0

4930 Maribo

CVR. nr.: 29188572

(herefter ”Kommunen”)


og

[Leverandørens navn]

[adresse]

[postnr. og by]

CVR. nr.: [XXXX]

(herefter ”Leverandøren”)





er der indgået nedenstående databehandleraftale (herefter ”Aftalen”) om Leverandørens behandling af personoplysninger på vegne af Lolland Kommune





























  1. Generelt

    1. Aftalen vedrører Leverandørens forpligtelse til at efterleve de sikkerhedskrav, som fremgår af Lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven) § 42, jf. § 41, stk. 3-5. Kravene er beskrevet i:



  1. Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (Sikkerhedsbekendtgørelsen).



  1. Vejledning nr. 37 af 02/04/2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (Sikkerhedsvejledningen).



    1. Den 25. maj 2018 erstattes Persondataloven af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (herefter Databeskyttelsesforordningen) således, at Aftalens pkt. 1.1 (i) – (ii) herefter erstattes med Databeskyttelsesforordningen.


    1. I Aftalen er indarbejdet de krav, som såvel Persondataloven som de kommende regler i Databeskyttelsesforordningen stiller til databehandleraftaler.


    1. Leverandøren skal behandle personoplysninger i overensstemmelse med god databehandlingsskik, jf. de til enhver tid gældende regler og forskrifter for behandling af personoplysninger.


  1. Formål

    1. Leverandøren behandler i medfør af aftale med Kommunen om levering af personlig pleje og praktisk hjælp (herefter ”Hovedaftalen”) personoplysninger for Kommunen, hvor Leverandørens behandlinger og formålet med behandlingerne er beskrevet.

  2. Kommunens rettigheder og forpligtelser

    1. Lolland Kommune er dataansvarlig for de personoplysninger, som Kommunen instruerer Leverandøren om at behandle. Lolland Kommune har ansvaret for, at de personoplysninger, som Kommunen instruerer Leverandøren om at behandle, må behandles af Leverandøren, herunder at behandlingen er nødvendig og saglig i forhold til Kommunens opgavevaretagelse.


    1. Lolland Kommune har de rettigheder og forpligtelser, som er givet en dataansvarlig i medfør af lovgivningen, jf. Aftalens pkt. 1.1 og 1.2.

  1. Leverandørens forpligtelser

    1. Leverandøren er databehandler for de personoplysninger, som Leverandøren behandler på vegne af Kommunen, jf. pkt. 6 og bilag 3.


    1. Leverandøren behandler alene de overladte personoplysninger efter instruks fra Kommunen, jf. pkt. 6 og bilag 3, og alene med henblik på opfyldelse af Hovedaftalen.



    1. Leverandøren skal sikre personoplysningerne via tekniske og organisatoriske sikkerhedsforanstaltninger, som beskrevet i Sikkerhedsbekendtgørelsen og Sikkerhedsvejledningen (frem til 25. maj 2018) og Databeskyttelsesforordningen (fra 25. maj 2018), jf. bilag 1 – Sikkerhed.



    1. Leverandøren skal på opfordring fra Kommunen hjælpe med at opfylde Kommunens forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger fra borgere om indsigt i egne oplysninger, udlevering af borgerens oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af borgerens oplysninger, samt Kommunens forpligtelser i forhold til underretning af den registrerede ved sikkerhedsbrud, fra 25. maj 2018 i medfør af Databeskyttelsesforordningens kap. III samt artikel 34.



    1. Leverandøren skal fra 25. maj 2018 hjælpe Kommunen med at efterleve dennes forpligtelser efter Databeskyttelsesforordningens artikel 32-36.



    1. Leverandøren garanterer fra 25. maj 2018 at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske foranstaltninger sådan, at Leverandørens behandling af Kommunens personoplysninger opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.



    1. Hvis Leverandøren er etableret i en anden EU-medlemsstat, skal Leverandøren frem til 25. maj 2018 ligeledes overholde de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat.

  1. Underleverandør (underdatabehandler)

    1. Ved underdatabehandler forstås en underleverandør, til hvem Leverandøren har overladt hele eller dele af den behandling, som Leverandøren foretager på vegne af Kommunen.


    1. Leverandøren må ikke uden udtrykkelig skriftlig godkendelse fra Kommunen anvende andre underdatabehandlere end dem, der på forhånd er oplyst til Lolland Kommune forud for anvendelsen, til at behandle de personoplysninger, som Kommunen har overladt til Leverandøren i medfør af Hovedaftalen.


    1. Hvis Leverandøren overlader behandlingen af personoplysninger, som Kommunen er dataansvarlig for, til underdatabehandlere, skal Leverandøren indgå en skriftlig (under)databehandleraftale med underdatabehandleren.



    1. Underdatabehandleraftalen, jf. pkt. 5.3, skal pålægge underdatabehandleren de samme databeskyttelsesforpligtelser, som Leverandøren er pålagt efter Aftalen, herunder, at underdatabehandleren fra 25. maj 2018 garanterer at kunne levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at kunne implementere de passende tekniske og organisatoriske foranstaltninger således, at underdatabehandlerens behandling opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.


    1. Når Leverandøren overlader behandlingen af personoplysninger, som Kommunen er dataansvarlig for, til underdatabehandlere, har Leverandøren over for Kommunen ansvaret for underdatabehandlernes overholdelse af disses forpligtelser, jf. pkt. 5.3.



    1. Kommunen kan til enhver tid forlange dokumentation fra Leverandøren for eksistensen og indholdet af underdatabehandleraftaler for de underdatabehandlere, som Leverandøren anvender i forbindelse med opfyldelsen af sine forpligtelser over for Kommunen.



    1. Al kommunikation mellem Kommunen og underdatabehandleren sker via Leverandøren.

  1. Instrukser

    1. Leverandørens behandling af personoplysninger på vegne af Kommunen sker udelukkende efter dokumenteret instruks, jf. bilag 3. Det er Leverandørens ansvar at sikre, at eventuelle underdatabehandlere, jf. pkt 5.3, får tilsendt Kommunens instruks, jf. bilag 3.

    1. Leverandøren giver fra 25. maj 2018 omgående besked til Kommunen, hvis en instruks efter Leverandørens vurdering er i strid med lovgivningen, jf. pkt. 1.2.

  1. Tekniske og organisatoriske sikkerhedsforanstaltninger

    1. Leverandøren skal frem til 25. maj 2018, jf. bilag 1, træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysninger:


  1. tilintetgøres, mistes, ændres eller forringes,

  2. kommer til uvedkommendes kendskab eller misbruges, eller

i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.1


    1. Leverandøren skal fra 25. maj 2018, jf. bilag 1, iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende sikkerhedsniveau.

    1. Leverandøren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af Kommunens personoplysninger, om Leverandørens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed, jf. pkt 9.



    1. Leverandøren er forpligtet til straks at underrette Kommunen om ethvert sikkerhedsbrud uanset, om dette sker hos Leverandøren eller hos en underdatabehandler.



  1. Overførsler til andre lande



    1. Leverandøren må ikke overføre eller tillade overførsel af personoplysninger til udlandet.

  1. Tavshedspligt og fortrolighed

    1. Leverandøren er under og efter Hovedaftalens ophør, pålagt fuld tavshedspligt omkring alle oplysninger, denne bliver bekendt med gennem samarbejdet. Aftalen indebærer, at tavshedspligtsbestemmelserne i straffelovens §§ 152-152f, jf. straffelovens § 152a, finder anvendelse.



    1. Leverandøren skal fra 25. maj 2018 sikre, at alle, der behandler oplysninger omfattet af Aftalen, herunder ansatte, tredjeparter (f.eks. en reparatør) og underdatabehandlere, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

  1. Kontroller og erklæringer

    1. Leverandøren er forpligtet til uden ugrundet ophold at give Kommunen nødvendige oplysninger til, at Kommunen til enhver tid kan sikre sig, at Leverandøren overholder de krav, der følger af denne Aftale.


    1. Lolland Kommune, en repræsentant for Kommunen eller dennes revision (såvel intern som ekstern) har adgang til at foretage inspektioner og revision hos Leverandøren, få udleveret dokumentation, herunder logs, stille spørgsmål m.v. med henblik på at konstatere, at Leverandøren overholder de krav, der følger af denne Aftale.

  1. Ændringer i Aftalen

    1. I det omfang ændringer i lovgivningen, jf. pkt 1.1 og 1.2, eller tilhørende praksis, giver anledning til dette, er Kommunen med et varsel på 90 dage og uden at dette medfører krav om betaling fra Leverandøren, berettiget til at foretage ændringer i Aftalen.

  2. Sletning af data

    1. Kommunen træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af personoplysningerne efter, at behandlingen af personoplysningerne er ophørt i medfør af Hovedaftalen.


    1. Kommunen skal senest 90 dage inden Hovedaftalens ophør skriftligt meddele Leverandøren, hvorvidt alle personoplysningerne skal slettes eller tilbageleveres til Kommunen. I det tilfælde, hvor personoplysningerne tilbageleveres til Kommunen, skal Leverandøren ligeledes slette eventuelle kopier. Leverandøren skal sikre, at eventuelle underdatabehandlere ligeledes efterlever Kommunens meddelelse.

  1. Misligholdelse og tvistigheder

    1. Misligholdelse og tvistigheder er reguleret i Hovedaftalen.

  2. Erstatning og forsikring

    1. Erstatnings- og forsikringsspørgsmål er reguleret i Hovedaftalen.

  3. Ikrafttræden og varighed

    1. Aftalen indgås ved begge parters underskrift og løber indtil ophør af Hovedaftalen.


  1. Formkrav


    1. Aftalen skal foreligge skriftligt, herunder elektronisk, hos Kommunen og Leverandøren.



For Kommunen For Leverandøren

Dato Dato





_________________________ _________________________





Bilag:

Bilag 1 – Sikkerhed

Bilag 2 – Oplysninger om lokationer for behandling og underleverandører (underdatabehandlere)

Bilag 3 – Instruks



Bilag 1 – Sikkerhed

  1. Indledning

Dette bilag indeholder en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som Leverandøren i medfør af Aftalen har ansvar for at gennemføre, overholde og sikre overholdelse af hos dennes underdatabehandlere, som er angivet i bilag 2.

  1. Sikkerhedskrav indtil 25. maj 2018

Leverandøren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der opfylder kravene i Sikkerhedsbekendtgørelsen og tilhørende praksis.


Foranstaltningerne gennemføres for at undgå, at personoplysninger:


tilintetgøres, mistes, ændres eller forringes,

kommer til uvedkommendes kendskab eller misbruges,

eller i øvrigt behandles i strid med lovgivningen, jf. Aftalens pkt. 1.1


Generelle sikkerhedsforanstaltninger

Leverandøren skal sikre at der er taget skridt til at kravene til de generelle sikkerhedsforanstaltninger i Sikkerhedsbekendtgørelsens kap. 2 om interne sikkerhedsbestemmelser, instrukser, retningslinjer for Leverandørens tilsyn og ajourføring, instruktion, fysisk sikring samt sikkerhed ved reparation, service, kassation af medier mv. overholdes.


Autorisation og adgangskontrol

Leverandøren skal sikre at det kun er relevante personer, som har brug for som led i ders opgaveudførelse, at have adgang til persondata.


Leverandøren skal beskrive hvordan det sikres at uvedkommende ikke har adgang og hvordan man vil håndtere eventuel uautoriseret adgang.


[Leverandøren udfylder]


Inddatamateriale som indeholder personoplysninger

Er ikke relevant her, da leverandøren ikke behandler inddata, jf. sikkerhedsbekendtgørelsen kap. 2.


Uddatamateriale som indeholder personoplysninger

Er ikke relevant her, da leverandøren ikke behandler uddata, jf. sikkerhedsbekendtgørelsen kap. 2.


Eksterne kommunikationsforbindelser

Her beskriver Leverandøren, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2 om eksterne kommunikationsforbindelser.


[Leverandøren udfylder]



Hjemmearbejdspladser

Leverandørens behandling af personoplysninger sker helt eller delvist ved anvendelse af hjemmearbejdspladser [Leverandøren udfylder]:

Ja

x Nej

Sikkerhedskrav fra 25. maj 2018

Leverandøren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til de aftalte behandlinger, jf. Instruks (bilag 3), og som dermed opfylder Databeskyttelsesforordningens artikel 32.

Foranstaltningerne fastlægges ud fra overvejelser om:

1. Hvad der kan lade sig gøre rent teknisk

2. Implementeringsomkostningerne

3. Den pågældende behandlings karakter, omfang, sammenhæng og formål, jf. Instruksen (bilag 3)

4. Konsekvenserne for borgerne ved et sikkerhedsbrud

5. Den risiko, der er forbundet med behandlingerne, herunder risikoen for:

a) tilintetgørelse af oplysningerne

b) tab af oplysningerne

c) ændring af oplysningerne

d) uautoriseret videregivelse af oplysningerne

e) uautoriseret adgang til oplysningerne



[Leverandøren udfylder]

Bilag 2 – Oplysninger om lokationer for behandling og underleverandører (underdatabehandlere – f.eks. vikarer)


  1. Lokation(er) for behandlingen af data kan ikke ændres af leverandøren.





  1. Underdatabehandlere Her angiver Leverandøren navn, adresse, cvr-nummer m.m. på underdatabehandlere, jf. pkt. 5.2 i Aftalen.

[Leverandøren udfylder, hvis der anvendes underdatabehandlere og såfremt det er muligt at oplyse ved starten af aftalen]



Bilag 3 – Instruks

Instruks

Kommunen instruerer hermed Leverandøren om at foretage behandling af Kommunens oplysninger til brug for levering af ydelser, jf. Hovedaftale om levering af personlig og praktisk hjælp efter lov om social service, samt sundhedsloven.



Overlader Leverandøren behandling af Kommunens oplysninger til underdatabehandlere, er Leverandøren ansvarlig for at indgå skriftlige (under)databehandleraftaler med disse, jf. Aftalens pkt. 5.3. Leverandøren er ansvarlig for, at Kommunens instruks fremsendes til eventuelle underdatabehandlere.


Behandlingens formål

Behandling af Kommunens oplysninger sker i henhold til formålet i Hovedaftalen. Leverandøren må ikke anvende oplysningerne til andre formål.

Oplysningerne må ikke behandles efter instruks fra andre end Kommunen.



Generel beskrivelse af behandlingen

Leverandøren skal registrere forhold i forbindelse med udførelsen af den af hovedaftalen omhandlede opgave, personlig og praktisk hjælp. Der registreres helbredsmæssige forhold, samt hvorvidt borgeren har andre behov eller indlægges på hospital, samt øvrige observationer til brug for kommunens forpligtelse til at yde de ydelser der følger af hovedaftalens lovgrundlag.


Typen af personoplysninger

Behandlingerne indeholder personoplysninger i de nedenfor afkrydsede kategorier. Leverandørens og eventuelle underdatabehandleres niveau for behandlingssikkerhed bør afspejle oplysningernes følsomhed, jf. bilag 1.



Almindelige personoplysninger (indtil 25. maj 2018, jf. Persondatalovens § 6, fra 25. maj 2018, jf. Databeskyttelsesforordningens artikel 6)

Almindelige personoplysninger

Følsomme personoplysninger (indtil 25. maj 2018, jf. Persondatalovens § 7, fra 25. maj 2018, jf. Databeskyttelsesforordningens artikel 9):


Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v.



Oplysninger om enkeltpersoners rent private forhold (indtil 25. maj 2018, jf. Persondatalovens § 8, fra 25. maj 2018, jf. Databeskyttelsesforordningens artikel 6 og 9):


Strafbare forhold


_____________________________________________________________________


_____________________________________________________________________


Oplysninger om cpr-nummer (indtil 25. maj 2018, jf. Persondatalovens § 11, fra 25. maj 2018, eventuelt national lovgivning, jf. Databeskyttelsesforordningens artikel 87)

CPR-numre



Kategorier af registrerede

Der behandles oplysninger om følgende kategorier af registrerede (f.eks. borgere, elever, kontanthjælpsmodtagere m.m.):

A) Borgere som modtager personlig pleje og praktisk hjælp




Tredjelande (ikke EU-medlemslande)

Leverandøren må ikke overføre personoplysninger til tredjelande.





11/11


Document Metadata

Filed: November 15th, 2021