PARTER:

DATABEHANDLERAFTALE

PARTER:

Virksomhed:

CVR:

Adresse:

Postnummer: By:

(i det følgende benævnt KUNDEN)

MICO ApS CVR 29220646

Xxxxxxxxxxxxx 00

2450 København SV

(i det følgende benævnt MICO)

INDLEDNING

Nærværende databehandleraftale beskriver de forhold, der gør så gældende i det omfang en virksomhed gør brug af de ydelser, som MICO tilbyder. Det omfatter bl.a. driftsaftaler, hostingaftaler og anvendelse af underleverandører.

Databehandleraftalen beskriver generelle og evt. specifikke forhold. Særlige forhold og betingelser kan aftales. Gældende forhold vil fremgå af nærværende databehandleraftales underbilag 1.

1. ANVENDELSESOMRÅDE OG OMFANG

1.1. KUNDEN er dataansvarlig for de personoplysninger, som MICO behandler på vegne af KUNDEN i henhold til Driftsaftalen. MICO er databehandler. KUNDEN overlader det til MICO at behandle de i underbilag 1 angivne personoplysninger på KUNDENs vegne i overensstemmelse med denne databehandleraftale (i det følgende benævnt Databehandleraftale(n).

1.2. I tilfælde af konflikt mellem Driftsaftalen eller andre aftaler mellem parterne og Databehandleraftalen skal Databehandleraftalen have forrang.

1.3. Databehandleraftalen er gældende fra Driftsaftalens underskrivelse. I det omfang bestemmelser alene vil være gældende fra Persondataforordningens ikrafttræden den 25. maj 2018 er dette særskilt anført nedenfor.

1.4. Databehandleraftalen er en integreret del af Driftsaftalen og dennes bestemmelser, herunder, men ikke begrænset til, bestemmelser om opsigelse.

2. DEFINITIONER

2.1. Medmindre andet fremgår nedenfor, gælder de definitioner, som følger af Driftsaftalen, også for Databehandleraftalen. Medmindre andet fremgår af Databehandleraftalen eller Driftsaftalen, skal de anvendte termer have samme betydning som i Persondataloven frem til Persondataforordningens ikrafttræden, hvorefter de anvendte termer skal have samme betydning som i Persondataforordningen. Efter Persondataforordningens ikrafttræden skal enhver henvisning til Persondataloven enten i Driftsaftalen eller i nærværende Databehandleraftale betragtes som en henvisning til Persondataforordningen.

2.2. ”Persondataforordningen” betyder Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF.

2.3. ”Persondataloven” betyder lov nr. 429 af 31. maj 2000 med senere ændringer.

3. DE BEHANDLEDE OPLYSNINGER

3.1. De behandlede oplysninger er indeholdt i Underbilag 1.

4. KUNDENS PLIGTER

4.1. KUNDEN indestår som dataansvarlig for overholdelse af Persondataloven, og fra Persondataforordningens ikrafttræden, Persondataforordningen, og det er KUNDENs ansvar at sikre, at KUNDEN i nødvendigt omfang og overfor de relevante myndigheder, de registrerede etc. kan dokumentere dette. KUNDEN indestår endvidere for, at KUNDEN har hjemmel til at behandle og til at overlade det til MICO at behandle de personoplysninger,

som er omfattet af Driftsaftalen. Det er KUNDENs ansvar at sikre, og KUNDEN indestår for, at der alene overlades personoplysninger til MICO til behandling, som er relevante, nødvendige og begrænset til det formål, som KUNDEN har med behandlingen samt, at personoplysningerne er korrekte. KUNDEN indestår for at den instruks, i henhold til hvilken XXXX skal behandle oplysningerne på vegne af KUNDEN, er lovlig.

4.2. KUNDEN indestår endvidere for, at KUNDEN varetager sine forpligtelser i henhold til Databehandleraftalen og Persondataloven og efter Persondataforordningens ikrafttræden, Persondataforordningen, herunder forpligtelserne anført i pkt. 4.3 nedenfor. MICO er forpligtet til straks at give KUNDEN skriftlig meddelelse om eventuelle krav, forpligtelser eller omkostninger og, hvor der er tale om en sag i forhold til en tredjepart, skal KUNDEN straks overtage førelsen af sagen.

4.3. KUNDEN er forpligtet til at give besked til MICO, hvis KUNDENs instruks ændrer sig, fx hvis kategorierne af personoplysninger, som MICO skal behandle på vegne KUNDEN i henhold til Driftsaftalen, ændrer sig. Sådanne ændringer skal, medmindre andet aftales skriftligt mellem KUNDEN og MICO, betragtes som en ændring af Driftsaftalen. Hvis eventuelle ændringer medfører yderligere krav til MICOs gennemførelse af tekniske og organisatoriske foranstaltninger, afholder KUNDEN omkostningerne hertil. KUNDEN og MICO skal drøfte og planlægge nærmere, hvorledes eventuelle ændringer afledt heraf skal implementeres.

4.4. Hvor KUNDEN og MICO skal aftale og udføre implementering af ændringer afledt af pkt.

4.3 skal dette aftales skriftligt mellem parterne.

5. MICOS PLIGTER

5.1. Persondatalovens § 41, stk. 3-5 er gældende for MICO frem til Persondataforordningens ikrafttræden.

5.2. MICO må alene behandle personoplysninger i henhold til og i overensstemmelse med KUNDENs til enhver tid gældende instruktioner. KUNDENs instruks omfatter MICOs behandling på vegne af KUNDEN i overensstemmelse med Underbilag 1 samt enhver behandling, som er nødvendig for MICOs levering af ydelserne til KUNDEN i henhold til Driftsaftalen.

5.3. I det omfang MICO behandler data for KUNDEN, skal MICO træffe de fornødne sikkerhedsforanstaltninger for at sikre, at de i Underbilag 1 nævnte personoplysninger ikke tilintetgøres, fortabes eller forringes, og at de ikke kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med Persondataforordningen. Sådanne sikkerhedsforanstaltninger skal afspejle det aktuelle tekniske niveau, og være proportionale i forhold til gennemførelsesomkostninger i betragtning af behandlingens karakter, omfang, kontekst og formål samt risikoen for fysiske personers rettigheder og

frihedsrettigheder. MICO skal endvidere overholde særlige krav til sikkerhedsforanstaltninger, der er fastsat i medfør af den grundlæggende driftsaftale (i daglig tale "serviceaftalen").

5.4. Underbilag 1 indeholder en nærmere beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltningerne, som iværksættes af MICO.

5.5. Pkt. 5.3 gælder for al behandling foretaget af MICO, også når behandlingen af personoplysninger hos MICO sker ved anvendelse af hjemmearbejdspladser.

5.6. Såfremt MICO måtte blive bekendt med et eventuelt sikkerhedsbrud omfattende personoplysninger, som MICO behandler på vegne af KUNDEN, skal MICO uden unødig forsinkelse skriftligt orientere KUNDEN herom. Denne orientering skal som minimum indeholde oplysninger om arten af det konstaterede sikkerhedsbrud, samt hvilke mitigerende foranstaltninger MICO har truffet i anledning af det konstaterede sikkerhedsbrud. MICO er forpligtet til i rimeligt omfang at bistå KUNDEN med opfyldelse af KUNDENs forpligtelser, når det måtte være påkrævet i henhold til gældende lovgivning i forbindelse med meddelelser om sikkerhedsbrud til Datatilsynet og de registrerede under hensyn til de oplysninger, der er tilgængelige for MICO.

5.7. Såfremt MICO modtager en begæring vedrørende den registreredes rettigheder, skal MICO hurtigst muligt videregive denne begæring til KUNDEN. MICO er forpligtet til i rimeligt omfang at bistå KUNDEN med besvarelse af anmodninger vedrørende den registreredes rettigheder. KUNDEN afholder de rimelige omkostninger forbundet hermed for MICO, svarende til medgået tidsforbrug.

6. MICOS BRUG AF UNDERLEVERANDØRER OG VIDEREGIVELSE AF DATA

6.1. MICO er kun berettiget til at overlade behandling af personoplysninger i medfør af Databehandleraftalen til tredjemand (i det følgende betegnet ”Underleverandører”), til opfyldelse af MICOs forpligtelser overfor KUNDEN hvis KUNDEN har givet skriftligt samtykke til dette.

6.2. Hvor XXXX anvender Underleverandører skal dette ske i henhold til bestemmelserne i dette pkt. 6.

6.3. MICO indestår for eventuelle Underleverandørers ydelser på samme måde, som var de MICOs egne.

6.4. MICOs anvendelse af Underleverandører til behandling af personoplysninger skal ske på basis af en skriftlig aftale indgået mellem MICO og Underleverandøren (i det følgende betegnet ”Underdatabehandleraftale”). Denne Underdatabehandleraftale skal pålægge Underleverandøren de samme forpligtelser, som påhviler MICO i medfør af nærværende Databehandleraftale, og Underleverandøren skal heri garantere, at Underleverandøren vil

overholde de samme forpligtelser, som påhviler MICO i medfør af nærværende Databehandleraftale.

6.5. MICO er ikke berettiget til at anvende underleverandører beliggende i usikre tredjelande.

6.6. MICO må i øvrigt ikke uden skriftlig aftale herom med KUNDEN, videregive personoplysninger til tredjemand eller myndigheder, medmindre det sker som led i MICOs opfyldelse af EU-ret eller medlemsstaters nationale ret. I dette tilfælde underretter MICO straks KUNDEN, med mindre EU-ret eller EU-medlemsstaters nationale ret forbyder en sådan underretning.

7. TILBAGELEVERING AF DATA / PERSONOPLYSNINGER

7.1. Ved nærværende Databehandleraftales ophør skal MICO på KUNDENs anmodning og efter instruktion fra KUNDEN tilbagelevere alle personoplysninger, som behandles på KUNDENs vegne, eller slette alle personoplysninger eller kopier heraf, medmindre at MICO er forpligtet til at opbevare oplysningerne i medfør af EU-ret eller medlemsstaternes national ret. MICO skal ligeledes foranledige tilbagelevering eller sletning af alle personoplysninger, som behandles af MICOs Underleverandører. MICO skal på begæring fra KUNDEN være forpligtet til at dokumentere opfyldelse af forpligtelserne i nærværende pkt. 7.1. KUNDEN skal være berettiget til for egen regning og efter nærmere aftale med MICO at påse, eventuelt med bistand fra tredjepart, at tilbagelevering/sletning er sket. Hvor KUNDEN anvender tredjepart i denne henseende, skal KUNDEN sikre, at tredjeparten er underlagt tilstrækkelige fortrolighedsforpligtelser.

8. BETALING

8.1. Hvor KUNDEN skal afholde MICOs omkostninger i henhold til Databehandleraftalen, skal dette være i henhold til princippet om medgået tid og materiale, medmindre andet udtrykkeligt er aftalt, og i henhold til de timepriser, som parterne har aftalt.

DATABEHANDLERAFTALENS INDHOLD (UNDERBILAG 1)

Dette afsnit omhandler behandling af oplysninger, brug af underleverandører, samt tekniske og organisatoriske sikkerhedsforanstaltninger i forbindelse hermed.

1. BEHANDLINGEN AF PERSONOPLYSNINGER, TYPER AF BEHANDLINGER

1.1. MICO leverer drift, support og vedligehold af IT-mæssig infrastruktur, baseret på on- premises, hostede eller cloudede løsninger. Dette indebærer, at MICO opbevarer og foretager backup af, eller overlader til underleverandører at opbevare og foretage backup af de personoplysninger, der er omfattet af denne Databehandleraftale. Som led i dette har MICO og MICOs Underleverandører adgang til de personoplysninger, der er omfattet af denne Databehandleraftale.

2. BEHANDLINGEN AF PERSONOPLYSNINGER, TYPER AF REGISTREREDE PERSONER OG TYPER AF PERSONOPLYSNINGER

2.1. KUNDENS ansatte og relaterede, omfattende kontaktoplysninger og personhenførbare data

2.2. KUNDENS kunder, omfattende kontaktoplysninger

2.3. KUNDENS samarbejdspartnere

2.4. Andre (udfyldes af kunden)

2.5. Gældende lovgivning: MICOs behandling af personoplysninger er underlagt persondatalovgivningen i Danmark.

3. BRUG AF UNDERLEVERANDØRER

KUNDEN giver XXXX tilladelse til frit at vælge og benytte underleverandører i forbindelse med levering af de aftalte ydelser.

4. TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER

4.1. MICO træffer de nedenfor beskrevne tekniske og organisatoriske sikkerhedsforanstaltninger i forbindelse med behandlingen af personoplysningerne beskrevet i dette Underbilag.

4.2. MICO behandler personoplysningerne i overensstemmelse med nærværende Databehandleraftale og de bestemmelser i henholdsvis Persondataloven eller Persondataforordningen, der er gældende for databehandlere.

4.3. Ansatte hos MICO, der er beskæftiget med behandling af personoplysninger under Databehandleraftalen, er underlagt tavshedspligt. Alene personale, som autoriseres hertil, har adgang til de personoplysninger, der behandles under Databehandleraftalen. Såfremt det følger Driftsaftalen, at særlige sikkerhedsgodkendelser er påkrævet for personale, der er beskæftiget med behandling af KUNDENs personoplysninger, sikrer MICO, at disse godkendelser tilvejebringes.

4.4. MICO sikrer, at MICOs medarbejdere modtager tilstrækkelig uddannelse og instruktioner.

4.5. MICO har restriktioner for fysisk adgang. Områder, hvor der sker behandling af personoplysninger - hvad enten dette er manuelt eller elektronisk – er ved adgangskontrolmekanismer adskilt fra områder, hvortil der er generel adgang. Sådanne adgangskontrolmekanismer kan eksempelvis omfatte systemer til fysisk adgangskontrol, låse, personsluser, sikkerhedspersonale og overvågningsudstyr.

4.6. MICO har begrænsninger på adgangsrettigheder til personoplysninger og et system til adgangskontrol. Adgang til personoplysninger er begrænset til medarbejdere, og hvor det er relevant, andre leverandører, med et arbejdsbetinget behov og tildeles efter forudgående godkendelse. Adgang tilbagekaldes, når brugeren ikke længere opfylder kriterierne for at have adgang.

4.7. Adgangsrettigheder gennemgås periodisk.

4.8. Der anvendes passende logiske autentifikationsmekanismer, eksempelvis adgangskoder, biometri eller lignende. De anvendte autentifikationsmekanismer lever op til, hvad der kan opfattes som god skik på området (eksempelvis krav til adgangskoders længde og kompleksitet).

4.9. MICO har passende tekniske foranstaltninger til at begrænse risikoen for uautoriseret adgang og/eller installering af skadelig kode. Sådanne foranstaltninger kan omfatte, firewalls, anti-virus software og malware-beskyttelse. MICO har formelle procedurer til sikring af, at sikkerhedssystemerne holdes opdaterede.

4.10. MICO har formelle procedurer for ændringshåndtering med henblik på at sikre, at enhver betydelig ændring er behørigt autoriseret, testet og godkendt inden udførelse. Proceduren understøttes af en effektiv funktionsadskillelse eller ledelsesopfølgning med det formål at sikre, at ingen enkeltpersoner kan tage ansvaret alene.

4.11. Hvis det er et krav i medfør af gældende lovgivning eller i øvrigt er omfattet af Driftsaftalen med KUNDEN, anvender MICO relevante krypteringsteknologier og andre tilsvarende foranstaltninger.

4.12. Hvis det følger af Driftsaftalen, skal MICO foranstalte at systemer og data sikkerhedskopieres, samt at sikkerhedskopier opbevares betryggende og i overensstemmelse med det i Driftsaftalen anførte.

4.13. MICO varetager autorisation i overensstemmelse med det i Driftsaftalen indeholdte.

4.14. MICO foretager i overensstemmelse med det i Driftsaftalen indeholdte, registrering af afviste adgangsforsøg og blokering for yderligere forsøg efter et nærmere antal på hinanden følgende afviste adgangsforsøg.

4.15. Produktion og test foregår i adskilte miljøer.

4.16. MICO har processer for håndtering af brud på datasikkerheden.

4.17. MICO sikrer, at der sker sletning af data inden udstyr overgives til tredjemand eller i øvrigt bortskaffes.

4.18. Senest fra Persondataforordningens ikrafttræden har MICO indført processer, politikker og kontroller for overholdelse af Persondataforordningen.

Dato:

For KUNDEN

Navn Underskrift

For MICO

Navn Underskrift