Københavns Kommune og
DATABEHANDLERAFTALE
Københavns Kommune og
[navn på databehandler]
Version 3.0
KØBENHAVNS KOMMUNE
Socialforvaltningen
0
Københavns Kommune, Koncern IT, Vejledende Sikkerhed – databehandleraftale vers. 3.0 (130619)
Indhold
1. De behandlede personoplysninger 4
3. Databehandlerens forpligtelser 5
4. Overførsel af oplysninger til underdatabehandlere eller tredjeparter 8
5. Overførsel af oplysninger til tredjelande 10
9. Underskrifter og kontaktpersoner 12
Bilag 1: Registrerede personer og kategorier af personoplysninger 13
Bilag 2: Underdatabehandlere 14
Databehandleraftale
Københavns Kommune Socialforvaltningen
xxx Danmark
CVR-nummer: 64942212 ("den Dataansvarlige")
og
[Navn på databehandler] [Adresse]
[Land]
CVR-nummer: [CVR-nr.] ("Databehandleren")
(hver for sig kaldet en "Part" og samlet "Parterne")
har indgået nærværende databehandleraftale.
DATABEHANDLERAFTALE
("Aftalen")
om Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige.
Præambel
Københavns Kommune varetager en række myndighedsopgaver m.v. De fleste af disse opgaver er nærmere reguleret i lovgivningen.
Når kommunen varetager disse opgaver, behandler kommunen i stort omfang personoplysninger om borgere og medarbejdere som dataansvarlig. Kommunen skal i den forbindelse overholde reglerne i databeskyttelsesforordningen og databeskyttelsesloven, og kommunen skal som dataansvarlig i den forbindelse sikre sig, at der er hjemmel til den behandling, som en databehandler instrueres i at foretage.
Som led i overholdelsen af disse databeskyttelsesregler vil kommunen indgå databehandleraftaler som efter databeskyttelsesforordningen er en forudsætning for, at databehandlere kan løse opgaver på vegne af kommunen efter instruks.
Denne Aftale sikrer, at Parterne overholder kravene i databeskyttelsesforordningen til indholdet af databehandleraftaler.
1. De behandlede personoplysninger
1.1 Aftalen er indgået i forbindelse med Parternes indgåelse af aftale vedrørende [indsæt titel på hovedaftale] (”Hovedaftalen”).
1.2 Aftalen regulerer Databehandlerens behandling af personoplysninger i forbindelse med Hovedaftalen. I tilfælde af uoverensstemmelse mellem Aftalen og Hovedaftalen vedrørende behandling af personoplysninger har Aftalen forrang. Andre spørgsmål end behandling af personoplysninger reguleres af Hovedaftalen. I tilfælde af uoverensstemmelse mellem Aftalen og Hovedaftalen om andre spørgsmål end behandling af personoplysninger har Hovedaftalen forrang.
1.3 Aftalen og Hovedaftalen er indbyrdes afhængige, og kan ikke opsiges særskilt. Aftalen kan dog – uden at Hovedaftalen opsiges – erstattes af en anden gyldig databehandleraftale.
1.4 Databehandleren forpligter sig til at efterleve den Dataansvarliges Informationssikkerhedspolitik og Informationssikkerhedsregulativ i forbindelse med sin behandling af personoplysninger for den Dataansvarlige. En uddybning heraf fremgår af bilag 3, afsnit 2.1.
1.5 Databehandleren behandler de typer af personoplysninger, som fremgår af bilag 1, på vegne af den Dataansvarlige. Personoplysningerne angår de i bilag 1 oplistede registrerede personer og den nærmere beskrevne behandling. Bilag 2 indeholder en liste over de eventuelle underdatabehandlere, som den Dataansvarlige har godkendt. Bilag 3 indeholder en nærmere instruks om, hvilken behandling Databehandleren skal foretage på vegne af den Dataansvarlige (behandlingens genstand), hvilke sikkerhedsforanstaltninger der som minimum skal iagttages, samt hvordan den Dataansvarlige ved tilsyn kan sikre sig, at behandlingen overholder kravene i databeskyttelsesforordningen, databeskyttelsesloven og Aftalen.
1.6 Den Dataansvarlige er berettiget til at slette og/eller tilføje yderligere typer af personoplysninger og/eller registrerede personer til ovenstående liste ved fremsendelse af en ny liste over personoplysninger og/eller registrerede personer til Databehandleren.
2. Formål
2.1 Databehandleren må alene behandle personoplysninger til formål, som er nødvendige for at [indsæt formål med at behandle data i relation til hovedaftalen].
Se vejledningen for eksempler.
3. Databehandlerens forpligtelser
3.1 Databehandleren må alene behandle de af den Dataansvarlige overførte personoplysninger i overensstemmelse med den Dataansvarliges instrukser medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt.
3.2 Databehandleren underretter omgående den Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
3.3 Databehandleren skal fra den 25. maj 2018 særligt leve op til reglerne i databeskyttelsesforordningen og databeskyttelsesloven.
3.4 I bilag 3 er en nærmere instruks om, hvilken behandling Databehandleren skal foretage på vegne af den Dataansvarlige (behandlingens genstand), hvilke sikkerhedsforanstaltninger der skal iagttages, samt hvordan den Dataansvarlige kan sikre sig, at behandlingen overholder kravene i databeskyttelsesforordningen, databeskyttelsesloven og Aftalen.
3.5 Databehandleren skal på den Dataansvarliges anmodning redegøre for og/eller dokumentere, at Databehandleren opfylder kravene i databeskyttelseslovgivningen, herunder fremvise dokumentation for Databehandlerens datastrømme og procedurer/politikker for behandling af personoplysninger.
3.6 Databehandleren stiller alle oplysninger, der er nødvendige for at påvise Databehandlerens overholdelse af kravene i databeskyttelsesforordningen og Aftalen, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige. Den nærmere procedure for den Dataansvarliges tilsyn med Databehandleren fremgår af Aftalens bilag 3.
3.7 Den Dataansvarliges tilsyn med eventuelle underdatabehandlere sker gennem Databehandleren. Den nærmere procedure herfor fremgår af Aftalens bilag 3.
3.8 Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til den Dataansvarliges og Databehandlerens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til Databehandlerens fysiske faciliteter mod behørig legitimation.
3.9 Databehandleren sikrer, at kun de personer, der autoriseres hertil, har adgang til de personoplysninger, der behandles på vegne af den Dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den Dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Databehandleren skal efter anmodning fra den Dataansvarlige fremvise dokumentation for, at de relevante medarbejdere er underlagt en sådan forpligtelse samt at de er orienteret om, at fortroligheds- og tavshedspligten fortsætter efter endt ansættelse og aftalens ophør.
3.10 Databehandleren underretter uden unødig forsinkelse den Dataansvarlige senest 12 timer efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos Databehandleren eller en eventuel underdatabehandler. Underretningen skal bestå af oplysning om, at der er sket et brud på persondatasikkerhed samt en kort beskrivelse af karakteren og det umiddelbare omfang.
I umiddelbar forlængelse heraf bistår Databehandleren løbende den Dataansvarlige med de oplysninger, som er nødvendige for, at den Dataansvarlige kan efterleve sine forpligtelser i forbindelse med et brud på persondatasikkerheden, herunder eventuel underretning af de registrerede og anmeldelse af bruddet til tilsynsmyndigheden. Inden for 48 timer fra det konstaterede brud på persondatasikkerheden afgiver Databehandleren så vidt muligt en endelig redegørelse for hændelsen til den Dataansvarlige. Redegørelsen skal mindst indeholde de oplysninger, som den Dataansvarlige efter databeskyttelsesforordningens artikel 33, stk. 3, er forpligtet til at give til tilsynsmyndigheden.
3.11 Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Denne forpligtelse indebærer, at Databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a. være tale om følgende foranstaltninger:
• Pseudonymisering og kryptering af personoplysninger
• Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester
• Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
• En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed
3.12 Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. Databehandleren skal i forbindelse med ovenstående i alle tilfælde iværksætte det sikkerhedsniveau og de eventuelle foranstaltninger, som måtte være specificeret nærmere i bilag 3.
3.13 Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3. Der kan herunder bl.a. være tale om følgende rettigheder:
• Opfyldelse af oplysningspligten ved indsamling af oplysninger hos den registrerede
• Opfyldelse af oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
• Overholdelse af den registreredes indsigtsret
• Overholdelse af den registreredes ret til berigtigelse
• Overholdelse af den registreredes ret til begrænsning af behandling
• Opfyldelse af underretningspligten i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
• Overholdelse af den registreredes ret til indsigelse
• Overholdelse af den registreredes ret til ikke at være genstand for automatiske individuelle afgørelser, herunder profilering
3.14 Databehandleren bistår den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, jf. art 28, stk. 3, litra f. Der kan herunder bl.a. være tale om følgende foranstaltninger:
• Gennemførelse af passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen
• Anmeldelse af brud på persondatasikkerheden til Datatilsynet uden unødig forsinkelse og om muligt senest 72 timer, efter at den Dataansvarlige er blevet bekendt med bruddet
• Underrettelse – uden unødig forsinkelse – af den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder
• Gennemførelse af en konsekvensanalyse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder
• Høring af Datatilsynet inden behandling, hvis en konsekvensanalyse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den Dataansvarlige for at begrænse risikoen.
4. Overførsel af oplysninger til underdatabehandlere eller tredjeparter
4.1 Databehandleren opfylder de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler) til behandling af personoplysninger omfattet af Aftalen.
4.2 Databehandleren må således ikke gøre brug af en anden databehandler (underdatabehandler) uden forudgående specifik eller generel skriftlig godkendelse fra den Dataansvarlige.
4.3 I tilfælde af generel skriftlig godkendelse skal Databehandleren underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
4.4 Den Dataansvarliges betingelser for Databehandlerens brug af eventuelle underdatabehandlere fremgår af Aftalens bilag 2.
4.5 Den Dataansvarliges eventuelle godkendelse af specifikke underdatabehandlere er anført i Aftalens bilag 2.
4.6 Når Databehandleren har den Dataansvarliges godkendelse til at gøre brug af en underdatabehandler, sørger Databehandleren for at pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i Aftalen, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i denne forordning.
4.7 Databehandleren er således ansvarlig for – igennem indgåelsen af en underdatabehandleraftale – at pålægge en eventuel underdatabehandler de forpligtelser, som Databehandleren selv er underlagt efter databeskyttelsesreglerne og Aftalen med tilhørende bilag.
4.8 Underdatabehandleraftalen og eventuelle senere ændringer hertil sendes i kopi til den Dataansvarlige, som herigennem har mulighed for at sikre sig, at der er indgået en gyldig aftale mellem Databehandleren og underdatabehandleren.
4.9 Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.
4.10 Tilsynet med eventuelle underdatabehandleres overholdelse af databeskyttelsesreglerne og Aftalen føres af Databehandleren på vegne af den Dataansvarlige. Der henvises til Aftalens bilag 3.
5. Overførsel af oplysninger til tredjelande
5.1 Databehandleren må alene foretage overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer efter dokumenteret instruks eller godkendelse fra den Dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt. I så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
5.2 Den Dataansvarliges eventuelle instruks eller godkendelse af, at der foretages overførsel af personoplysninger til et tredjeland, vil fremgå af Aftalens bilag 3.
6. Ansvar
6.1 I tilfælde af Databehandlerens overtrædelse af nærværende Databehandleraftale, herunder ved manglende overholdelse af gældende databeskyttelseslovgivning, er Databehandleren ansvarlig efter dansk rets almindelige regler og artikel 82 i databeskyttelsesforordningen.
7. Ikrafttrædelse og ophør
7.1 Aftalen træder i kraft den [indsæt dato].
7.2 Aftalen er gældende, så længe behandlingen består eller til Aftalen opsiges eller eventuelt ophæves.
7.3 Aftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i Aftalen giver anledning hertil.
7.4 I tilfælde af Aftalens ophør forpligtes Databehandleren til, efter den Dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den Dataansvarlige, samt at slette eksisterende kopier, medmindre EU- retten eller national ret foreskriver opbevaring af personoplysningerne.
8. Lovvalg og værneting
8.1 Aftalen reguleres af dansk ret dog undtaget danske lovvalgsregler.
8.2 Ethvert krav og enhver tvist, der udspringer eller på anden måde er forbundet med Aftalen, skal afgøres ved Københavns Byret.
9. Underskrifter og kontaktpersoner
9.1 Aftalen er underskrevet i to enslydende, originale eksemplarer, hvoraf hver Part modtager et eksemplar.
***
På vegne af den Dataansvarlige: På vegne af Databehandleren:
Navn: Navn:
Stilling: Stilling:
Dato og sted: Dato og sted:
Kontaktpersoner hos den Dataansvarlige og Databehandleren
Navn: Navn:
Stilling: Stilling:
Telefonnummer: Telefonnummer:
E-mail: E-mail:
Bilag 1: Registrerede personer og kategorier af personoplysninger
1. Registrerede personer
[Indsæt liste over registrerede personer]
[fx borgere, der ansøger om xxx, som led i varetagelse af en myndighedsopgave, medarbejdere osv.]
2. Kategorier af personoplysninger
[Indsæt liste over kategorierne af personoplysninger]
[fx kontaktoplysninger, betalingsoplysninger, alder, køn etc.]
3. Behandlingens varighed
Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige kan påbegyndes efter Aftalens ikrafttræden. Behandlingen har følgende varighed:
[beskriv varighed af behandlingen]
Bilag 2: Underdatabehandlere
1. Betingelser for databehandlerens eventuelle brug af underdatabehandlere
[Beskriv betingelserne for databehandlerens anvendelse af underdatabehandlere]
2. Godkendte underdatabehandlere
Den dataansvarlige har ved databehandleraftalens ikrafttræden godkendt anvendelsen af følgende underdatabehandlere:
Navn | CVR-nr | Adresse | Beskrivelse af behandling |
[Navn] | [CVR- nr] | [Adresse] | [Overordnet beskrivelse af behandlingen hos underdatabehandleren] |
[Navn] | [CVR- nr] | [Adresse] | [Overordnet beskrivelse af behandlingen hos underdatabehandleren] |
[Navn] | [CVR- nr] | [Adresse] | [Overordnet beskrivelse af behandlingen hos underdatabehandleren] |
[Navn] | [CVR- nr] | [Adresse] | [Overordnet beskrivelse af behandlingen hos underdatabehandleren] |
Bilag 3: Instruks
1. Behandlingens genstand
[Beskrives nærmere]
2. Behandlingssikkerhed
2.1. Foranstaltninger som følge af Københavns Kommunes Informationssikkerhedspolitik og Informationssikkerhedsregulativ
Databehandlerens forpligtelse til at efterleve den Dataansvarliges gældende Informationssikkerhedspolitik og Informationssikkerhedsregulativ, jf. Aftalens punkt 1.4, betyder i praksis, at Databehandleren navnlig forpligter sig til at iagttage nedenstående forhold:
- At Databehandleren arbejder systematiseret med sikkerhed med afsæt i anerkendte principper og standarder inden for informationssikkerhed, f.eks. ISO 27001 eller tilsvarende (Informationssikkerhedsregulativets punkt 1.2)
- At Databehandleren skal sikre, at modstridende funktioner og ansvarsområder, medmindre det ikke er muligt, adskilles for at nedsætte muligheden for uautoriseret eller utilsigtet anvendelse, ændring eller misbrug af kommunens informationsaktiver. I tilfælde, hvor det er særligt vanskeligt eller uladsiggørligt at gennemføre egentlig funktionsadskillelse, skal andre sikkerhedsforanstaltninger iværksættes gennem overvågning af aktiviteter, tilsyn mv. (Informationssikkerhedsregulativets punkt 2)
- At Databehandleren sikrer sig, at dets ansatte er instrueret i relevante regler om navnlig informationssikkerhed og databeskyttelse (Informationssikkerhedsregulativets punkt 3.3)
- At Databehandleren ved væsentlige ændringer af it-systemer og infrastruktur orienterer den dataansvarlige herom med henblik på, at den dataansvarlige kan foretage fornyede risikovurderinger og sikkerhedsforanstaltninger (Informationssikkerhedsregulativets punkt 3.4)
- At Databehandleren skal bistå den Dataansvarlige med at foretage løbende opfølgning og tilsyn, som nærmere beskrevet i Aftalens bilag 3 (Informationssikkerhedsregulativets punkt 3.6 og 3.7)
- At Databehandleren i tilknytning til Aftalens punkt 3.11 ligeledes skal afrapportere om yderligere hændelser, som er af væsentlig økonomisk
betydning for den Dataansvarlige, som medfører et øget risikoniveau for behandlingen af data eller som i øvrigt må betragtes som en sikkerhedshændelse (Informationssikkerhedsregulativets punkt 3.8 og 3.10)
- At Databehandleren som følge af sikkerhedshændelser eller andre identificerede forhold, der truer informationssikkerheden, skal iværksætte foranstaltninger, der nedsætter eller eliminerer konsekvenserne af de uhensigtsmæssige forhold (Informationssikkerhedsregulativets punkt 3.9)
- At Databehandleren skal bistå den Dataansvarlige med besvarelse på anmodninger om udøvelsen af de registreredes rettigheder som angivet i Aftalens punkt 3.14 (Informationssikkerhedsregulativets punkt 3.10)
- At Databehandleren har processer (et beredskab) for, at driften af et system genoptages i tilfælde af et nedbrud (informationssikkerhedsregulativets punkt 3.11).
2.2. Øvrige sikkerhedsforanstaltninger
[Beskrives nærmere]
2.2.1. Lokalitet for behandlingen
[Beskrives nærmere – fx i skemaet]
Navn | CVR-nr | Adresse | Beskrivelse af behandling |
[Navn] | [CVR- nr] | [Adresse] | [Overordnet beskrivelse af behandlingen hos underdatabehandleren] |
[Navn] | [CVR- nr] | [Adresse] | [Overordnet beskrivelse af behandlingen hos underdatabehandleren] |
[Navn] | [CVR- nr] | [Adresse] | [Overordnet beskrivelse af behandlingen hos underdatabehandleren] |
[Navn] | [CVR- nr] | [Adresse] | [Overordnet beskrivelse af behandlingen hos underdatabehandleren] |
2.2.2. Opbevaring og opbevaringsperioder
[Beskrives nærmere]
2.2.3. Instruks eller godkendelse vedrørende overførsel af personoplysninger til tredjelande
[Beskrives nærmere]
2.2.4. Den Dataansvarliges tilsyn med behandlingen hos Databehandleren
[Beskrives nærmere]
Databehandlerens bistand og udgifter i forbindelse med den Dataansvarliges tilsyn afholdes af Databehandleren selv.
2.2.5. Den Dataansvarliges tilsyn med behandling hos eventuelle underdatabehandlere
[Beskrives nærmere]
Underdatabehandlerens bistand og udgifter i forbindelse med den Dataansvarliges tilsyn afholdes af underdatabehandleren selv.