INDLEDNING
CNA HARDY-MODPARTSKODEKS (databehandlerversion) Behørigt underskrevet som gyldig og bindende kontrakt af en bemyndiget repræsentant for: "Modparten":
Underskrevet:
Navn
Dato:
"CNA Hardy-koncernen", der handler gennem
CNA Services (UK) Limited (hvilket omfatter de driftsenheder, hvortil der henvises i artikel 4)
Dato:
INDLEDNING
CNA Hardy-koncernen driver virksomhed i fuld overensstemmelse med alle love og bestemmelser, der gælder for koncernens virksomhed.
For at sikre CNA Hardy-koncernens fortsatte overholdelse af gældende love og bestemmelser (navnlig i lyset af den forestående gennemførelse af nye love og regler om databeskyttelse) er det nødvendigt at sikre, at alle CNA Hardy-koncernens modparter, leverandører og forretningspartnere (der leverer varer, tjenesteydelser eller formidler forsikringsydelser) vedstår og attesterer, at de opfylder CNA Hardy-koncernens standarder og overholder og vil fortsætte med at overholde alle gældende love, bestemmelser, cirkulærer, retningslinjer samt kodekser og standarder inden for branchen.
Denne modpartskodeks (i det følgende benævnt "kodeks") beskriver CNA Hardy-koncernens forventninger og krav til sine modparter til opfyldelse af standarderne vedrørende:
- Lovgivningen mod slaveri og tvangsarbejde
- Lovgivningen mod korruption og bestikkelse
- EU's ledelseskrav på det finansielle område, der også gælder parter, som leverer en række ydelser til regulerede finansielle servicevirksomheder som forsikringsselskaber [EIOPA Solvens II-ledelsessystem]
- Det Forenede Kongeriges udtræden af EU ("Brexit") og reorganiseringen af CNA Hardy-koncernens drift med henblik på at sikre kontinuitet i betjeningen af koncernens kunder.
- Lovgivningen om beskyttelse af personoplysninger og data
ARTIKEL 3: LEDELSESKRAV PÅ DET FINANSIELLE OMRÅDE, DER OGSÅ GÆLDER PARTER, SOM LEVERER EN RÆKKE YDELSER TIL REGULEREDE
FINANSIELLE SERVICEVIRKSOMHEDER SOM FORSIKRINGSSELSKABER
(a) Modparten anerkender, at CNA Hardy-koncernen i henhold til de gældende love, bestemmelser, cirkulærer, retningslinjer samt kodekser og standarder inden for branchen, der gælder for CNA Hardy- koncernens drift og aktiviteter (herunder bl.a. solvens II-direktivet, Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordningers retningslinjer for ledelsessystem ifølge solvens II og banktilsynsmyndighedens ("PRA") og tilsynsmyndigheden for finansiel adfærds ("FCA") regelsæt og dertil tilhørende vejledninger), er forpligtet til at sikre, at alle medarbejdere og andet personale hos modparten ("modpartens personale"), der udfører tjenester for CNA Hardy-koncernen, opfylder kravene til egnethed og hæderlighed.
(b) Modparten skal sikre og sørge for, at modpartens medarbejdere til enhver tid:
(i) har tilstrækkelige faglige kvalifikationer, kompetence, viden og erfaring,
(ii) har et godt omdømme og integritet,
(iii) handler med fornøden kompetence, grundighed og omhu, og
(iv) har gennemgået eller er i færd med at gennemgå al den uddannelse,
der kræves for at sætte dem i stand til at varetage deres stilling og funktion og dette i overensstemmelse med gældende love, bestemmelser, cirkulærer, retningslinjer samt kodekser og standarder inden for branchen.
(c) Xxxxxx kommer at i tilfælde, hvor
(i) modparten leverer ydelser i henhold til en aftale, der er blevet anmeldt til PRA i henhold til pkt. 7.3 i PRA Conditions Governing Business Part i PRA Rulebook og/eller til FCA som udlicitering i væsentligt omfang som anført i SUP 15.3.8G(i)(e) i FCA Rulebook ("udlicitering i væsentligt omfang"), eller
(ii) (en medarbejder hos modparten bliver godkendt til at udøve en "kontrolleret" funktion (som defineret i henhold til section 59 i Financial Services and Markets Act 2000 ("FSMA"), bliver udpeget til at varetage en "nøglefunktion" (som denne term er defineret i PRA Rulebook) eller er omfattet af et certifikat i forhold til en bestemt funktion ifølge sections 63e og 63f i FSMA
for en enhed i CNA Hardy-koncernen, finder bestemmelserne i tillæg 2 anvendelse i forhold til de medarbejdere hos modparten, der præsterer ydelser som del af udliciteringen i væsentligt omfang, eller, for så vidt angår litra c), nr. ii) ovenfor, den person ("regulerede personer"), der er udpeget til at udføre denne opgave.
(d) Modparten vedstår, at kravene i artikel 3, litra b) og c), i givet fald vil være de "krav om egnethed og hæderlighed", der finder anvendelse på modparten.
(e) Modparten skal:
(i) føre ajourførte fortegnelser over modpartens medarbejdere og efter anmodning afgive oplysninger til CNA Hardy-koncernen vedrørende det pågældende personale hos modparten, herunder bl.a. de oplysninger, der kræves af CNA Hardy-koncernen med henblik på at vise overholdelse af gældende krav om egnethed og hæderlighed, samt
(ii) til enhver tid sikre, at modparten har retten til at stille de pågældende oplysninger til rådighed i overensstemmelse med de gældende love, bestemmelser, cirkulærer, retningslinjer samt kodekser og standarder inden for branchen, der finder anvendelse på modpartens drift og aktiviteter.
ARTIKEL 4: DET FORENEDE KONGERIGES UDTRÆDEN AF EU ("BREXIT") OG REORGANISERINGEN AF CNA HARDY-KONCERNENS DRIFT MED HENBLIK
PÅ AT SIKRE KONTINUITET I BETJENINGEN AF KONCERNENS KUNDER.
CNA Hardy-koncernen består af seks (der bliver til syv i 2018) hoveddriftsenheder som beskrevet og defineret nedenfor. Der findes andre CNA-koncernselskaber, der fungerer som holdingselskaber eller kapitalholdingselskaber, men som ikke er i front som kontraherende enheder eller driftsenheder.
CNA Services (UK) Limited ("CNASL") | Denne enhed fungerer som den primære virksomhed, der indgår kontrakter for og på vegne af andre koncernenheder og primært tager sig af centraliserede tjenester og kontrakter på vegne af andre enheder, og den har også de fleste koncernmedarbejdere ansat. |
CNA Insurance Company Limited ("CICL") | Dette er et forsikringsselskab med hjemsted i Det Forenede Kongerige, men som p.t. driver virksomhed med juridiske afdelinger over hele Europa. |
Xxxxx (Underwriting Agencies) Limited ("HUAL") | Dette er et forsikringsselskab med hjemsted i Det Forenede Kongerige, der driver virksomhed gennem Lloyds of London, SYNDIKAT 382. |
Xxxxx Underwriting Asia Pte Limited ("HAP") | Dette er en forsikringsservicevirksomhed, der driver virksomhed i henhold til bemyndigelse fra HUAL. |
Xxxxx Underwriting Labuan Limited (“HUL”) | Dette er en forsikringsservicevirksomhed, der driver virksomhed i henhold til bemyndigelse fra HUAL. |
CNA Hardy International Services Limited ("CHISL") | Dette er en forsikringsservicevirksomhed, der kaldes udpeget repræsentant, og som driver virksomhed med tilladelse fra CICL. |
CNA Insurance Company (Europe) SA ("CICE") | Denne enhed bliver forsikringsselskabet for europæisk anden forsikring end forsikring i Det Forenede Kongerige. De nuværende europæiske filialer af CICL bliver overført til CICE. |
Uanset om andet måtte være anført, anerkender og accepterer modparten, at:
(a) Alle tjenesteydelser, der leveres til CNASL, kan frit overdrages til og bruges til fordel for CICL, HUAL, HAP, HUL, CHISL og/eller CICE efter behov, uden underretning.
(b) Hvis en omstrukturering af CNA Hardy-koncernen efter Det Forenede Kongeriges foreslåede udtræden af EU skulle nødvendiggøre, at nogen aftale mellem modparten og et medlem af CNA Hardy-koncernen (herunder, men ikke begrænset til, nærværende aftale) ændres med henblik på at muliggøre overførslen af en tjenesteydelse eller anden kontraktmæssig ydelse, er modparten indforstået med den pågældende overdragelse uden underretning.
(c) Hvis en omstrukturering af CNA Hardy-koncernen efter Det Forenede Kongeriges foreslåede udtræden af EU skulle nødvendiggøre, at nogen aftale mellem modparten og et medlem af CNA Hardy-koncernen (herunder, men ikke begrænset til, nærværende aftale) til enhver tid bliver fornyet gennem overdragelse til et datterselskab af eller holdingselskab for det pågældende medlem af CNA Hardy-koncernen og til enhver tid et datterselskab af et holdingselskab i CNA Hardy-koncernen, er modparten indforstået med at:
(i) give sit samtykke til den pågældende novation, som ikke må afvises uden rimeligt grundlag,
(ii) samarbejde i sådant rimeligt omfang, som CNA Hardy-koncernen med rimelighed kan forlange, og
(iii) indgå de aftaler, som er nødvendige for at gennemføre den novation, der er anført i nærværende punkt (c).
(d) Hvis en omstrukturering af CNA Hardy-koncernen efter Det Forenede Kongeriges foreslåede udtræden af EU skulle nødvendiggøre, at nogen aftale mellem modparten og et medlem af CNA Hardy-koncernen (herunder, men ikke begrænset til, nærværende aftale) ændres, således at der udarbejdes en enkeltstående aftale mellem modparten og det pågældende medlem af CNA Hardy-koncernen (eller i givet fald et andet medlem), er modparten indforstået med i god tro at indgå en sådan aftale på i det
væsentlige samme betingelser som den pågældende eksisterende aftale med CNA Hardy-koncernen, og fordobler ingen eksisterende forpligtelser i forholdet mellem en ny og en eksisterende aftale ved at gøre dette.
ARTIKEL 5: LOVGIVNINGEN OM BESKYTTELSE AF PERSONOPLYSNINGER OG DATA
CNA Hardy-koncernen og modparten anerkender at:
(a) Den aftale, der foreligger mellem CNA Hardy-koncernen og modparten, kan nødvendiggøre, at modparten behandler personoplysninger på vegne af CNA Hardy-koncernen,
(b) CNA Hardy-koncernen alene afgør, til hvilke formål og på hvilken måde persondata behandles af modparten på vegne af CNA Hardy-koncernen i henhold til aftalen, og
(c) CNA Hardy-koncernen vil være dataansvarlig og modparten vil være databehandler i forhold til alle de pågældende personoplysninger.
Hvis modparten i forbindelse med levering af en tjenesteydelse ifølge aftalen behandler persondata på vegne af CNA Hardy-koncernen, skal modparten til enhver tid efterleve forskrifterne i tillæg 1.
ARTIKEL 6: EKSEMPLARER OG ELEKTRONISKE SIGNATURER
Denne kodeks kan udfærdiges i en eller flere genparter, som hver især vil blive anset for at være et originalt eksemplar af denne kodeks, og alle, set under ét, vil blive betragtet som én og samme aftale. Parternes underskrifter, der er sendt via telefax, e-mail eller på anden elektronisk måde, anses som originalunderskrifter og fax- eller elektroniske kopier heraf anses som kopier af originalerne.
ARTIKEL 7: ÆNDRINGER
Ingen ændring af denne kodeks vil være gældende, medmindre den er skriftlig og underskrevet af parterne (eller deres repræsentanter), og enhver ændring af kodeksen, der angives at skulle foretages i henhold til en oprindelig aftale, er kun gældende, når den henviser til denne kodeks og ændringerne af kodeksen og er skriftlig og underskrevet af parterne.
ARTIKEL 8: FORRANG OG VIRKNING
Uanset om andet måtte fremgå af en aftale, sædvane eller tilkendegivelse, som modparten eller CNA Hardy- koncernen har indgået eller fremsat, er det aftalt af modparten og CNA Hardy-koncernen, at nærværende kodeks skal have forrang og gå forud for enhver eksisterende aftale samt ethvert kontraktvilkår eller sædvane, uanset eventuelle erklæringer om det modsatte, der er indeholdt i disse. Det er aftalt af modparten og CNA Hardy- koncernen, at denne kodeks udgør en gyldig tilføjelse til og ændring af enhver eksisterende aftale, uanset eventuelle formkrav, der er angivet i den pågældende aftale, der kan påvirke denne.
Det er aftalt af modparten og CNA Hardy-koncernen, at i den situation, at modparten ikke har accepteret og underskrevet denne kodeks elektronisk eller fysisk eller har rejst spørgsmål i forbindelse med tiltrædelsen heraf, skal, efter en første rykker fremsat af CNA Hardy-koncernen om at underskrive, de fortsatte forhandlinger eller forretninger mellem modparten og CNA Hardy-koncernen tages som bevis for og indforståelse fra modpartens side vedrørende dennes tiltrædelse af kodeksen, og at kodeksen skal have den virkning, der er beskrevet ovenfor i denne artikel.
ARTIKEL 9: OVERHOLDELSE AF LOVGIVNING
Modparten skal overholde alle gældende love, bestemmelser, cirkulærer, retningslinjer samt kodekser og standarder inden for branchen, der finder anvendelse på modpartens drift og aktiviteter, og hvis manglende overholdelse individuelt eller samlet, i væsentlig grad eller på skadelig måde (eller begge) ville påvirke modpartens mulighed for at opfylde sine forpligtelser i henhold til denne kodeks eller andre aftaler eller på nogen
måde udsætte CNA Hardy-koncernen for skade på omdømmet, skadevirkninger eller ansvar, herunder ansvar ifølge bestemmelserne i Criminal Finance Act 2017 [lovgivning om hvidvask af penge terrorfinansiering mv.].
ARTIKEL 10: LOVVALG OG VÆRNETING
Fortolkningen, gyldigheden og virkningen af denne aftale reguleres af lovgivningen i England og Wales, og parterne anerkender hermed uigenkaldeligt de engelske domstoles enekompetence til at afgøre enhver tvist mellem dem.
TILLÆG 1: DATABEHANDLERTILLÆG
Tilknyttet virksomhed betyder medlem af en parts koncern eller en underbehandler, underleverandør, partner eller agent.
Databeskyttelsesdirektiver betyder Europa-Parlamentets og Rådets direktiv 95/46 /EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation)
Databeskyttelseslovgivning betyder alle gældende love og regler om databeskyttelse og beskyttelse af personoplysninger, herunder uden begrænsning dem, der gælder for indsamling, brug, opbevaring, offentliggørelse eller overførsel af personoplysninger ifølge og i forbindelse med denne aftale, herunder uden begrænsning databeskyttelsesdirektiverne, Data Protection Act 1998 [databeskyttelsesloven af 1998] og Electronic Communications (EC Directive) Regulations 2003 [bekendtgørelse om beskyttelse af personlige oplysninger og elektronisk kommunikation (EF-direktivet) af 2003] samt fra dens ikrafttræden, i alle tilfælde i den til enhver tid gældende affattelse, og herunder den til enhver tid gældende lovgivning om databeskyttelse og beskyttelse af personoplysninger, der er gennemført i Det forenede Kongerige fra denne aftales dato, tillige med alle gældende regler, direktiver, bekendtgørelser, cirkulærer, anvisninger, praksisoversigter og vejledninger samt formel skriftlig rådgivning udstedt af eller på vegne af Information Commissioner [~datatilsynet] og/eller enhver anden relevant databeskyttelsestilsynsmyndighed, som er af betydning for de personoplysninger, der i tidens løb behandles i medfør af denne aftale.
Sikkerhedsforanstaltninger betyder tekniske og organisatoriske sikkerhedsforanstaltninger, der er passende for de risici, som er forbundet med behandling af personoplysninger ifølge denne aftale, og som er tilstrækkelige til at beskytte mod utilsigtet eller ulovlig destruktion eller hændeligt tab, ændring, uautoriseret offentliggørelse eller adgang til personoplysninger, der overføres, opbevares eller på anden måde behandles i medfør af aftalen, og mod alle andre ulovlige former for behandling, herunder uden begrænsning de minimumskrav, der er angivet i vedhæftede tillæg B og fra og med den 25. maj 2018 på webstedet xxx.xxxxxxxx.xxx\privacy i den til enhver tid gældende affattelse.
Standardkontraktbestemmelser betyder standardkontraktbestemmelser for databehandlere etableret i tredjelande, jf. Kommissionens afgørelse 2010/87/EU af 5. februar 2010 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF eller enhver anden kommissionsafgørelse, der til enhver tid måtte erstatte denne kommissionsafgørelse.
I forbindelse med dette databehandlertillæg skal følgende udtryk have de betydninger, der tillægges dem i databeskyttelseslovgivningen: dataansvarlig, registreret, personoplysninger, behandling og databehandler.
Forpligtelser i forbindelse med databehandling
1. Modparten skal selv og skal sikre sig, at alle tilknyttede underbehandlere:
(a) overholder databeskyttelseslovgivningen og ikke ved sin/deres handling eller undladelse bevirker, at CNA Hardy-koncernen kommer i strid med databeskyttelseslovgivningen,
(b) holder personoplysninger hemmelige og fortrolige i overensstemmelse med fortrolighedsbestemmelsen(-erne) i denne aftale og efter anmodning opdaterer alle oplysninger i forbindelse med modpartens overholdelse af dette databehandlertillæg vedrørende it-systemet efter anvisning fra CNA Hardy-koncernen,
(c) kun behandler personoplysningerne i overensstemmelse med CNA Hardy-koncernens skriftlige instrukser og kun i det omfang, det er nødvendigt for udførelsen af dens/deres forpligtelser ifølge denne aftale (eller for underbehandlere, den pågældende underaftale eller anden skriftlige kontrakt), og straks underretter CNA Hardy-koncernen, hvis en instruks efter modpartens opfattelse ikke er i overensstemmelse med databeskyttelseslovgivningen,
Restriktioner på videregivelse og overførsel til steder uden for EØS
2. Modparten må ikke og skal sikre, at tilknyttede underbehandlere ikke:
(a) videregiver personoplysninger til tredjepart eller tredjemand (undtagen til tilknyttede virksomheder og sine/deres egne ansatte med henblik på opfyldelsen af deres forpligtelser i henhold til denne aftale, i det omfang videregivelsen er strengt nødvendig, medmindre de har udtrykkelig tilladelse fra CNA Hardy-
koncernen (det pågældende samtykke må ikke afvises uden rimelig grund), og i alle tilfælde skal modparten:
(i) underrette CNA Hardy-koncernen skriftligt om enhver tredjepart eller tredjemand (inkl. tilknyttede virksomheder), til hvilke modparten videregiver personoplysninger, og om det sted eller de steder, hvor behandlingen vil finde sted,
(ii) udarbejde skriftlige aftaler med tredjeparten eller tredjemændene (herunder tilknyttede virksomheder), som svarer til dem, der er anført i nærværende databehandlertillæg,
(iii) sørge for, at tredjeparterne eller tredjemændene (herunder tilknyttede virksomheder) opfylder forpligtelserne i nærværende databehandlertillæg,
(iv) forblive fuldt ud ansvarlig for alle handlinger eller undladelser fra sådanne tredjeparter og tredjemænd (herunder tilknyttede virksomheder) for personoplysninger, der behandles af dem,
(i) medmindre modparten har udtrykkelig tilladelse fra CNA Hardy-koncernen (og den pågældende tilladelse må ikke nægtes uden rimelig grund); CNA Hardy-koncernen tillader imidlertid hermed, at modparten videregiver personoplysningerne til sine underentreprenører og/eller underbehandlere, herunder uden begrænsning dem, der er inden for modpartens egen virksomhedskoncern, og som kan ændre sig med tiden, dog til enhver tid på betingelse af, at modparten underretter CNA Hardy- koncernen skriftligt om alle underentreprenører og/eller underbehandlere og de steder hvor de pågældende behandler personoplysningerne, og
(c) hvor det er nødvendigt eller passende, herunder uden begrænsning til enhver tid efter anmodning fra CNA Hardy-koncernen, at gøre registrerede opmærksomme på CNA Hardys databehandlingsmeddelelse, som er tilgængelig på xxx.xxxxxxxx.xxx\privacy, og
(d) hvor udtrykkeligt frem for stiltiende samtykke til XXX Xxxxxx databehandlingsmeddelelse eller brug af følsomme personoplysninger er påkrævet til behandlingen, indhente og opbevare en skriftlig optegnelse over den pågældende udtrykkelige tilladelse, som er i overensstemmelse med gældende love og regler, og efter anmodning stille samtykket til rådighed for CNA Hardy i mindst 7 år fra datoen for indhentelsen.
Datasikkerhed og brud på datasikkerheden
3. Modparten skal selv og skal sikre sig, at alle tilknyttede underbehandlere:
(b) sikre pålideligheden af dens/deres personale, der har adgang til personoplysningerne, og sikre, at de:
(i) kun behandler personoplysninger, når det er strengt nødvendigt med henblik på forpligtelserne ifølge denne aftale,
(ii) er fuldt ud bekendte med de foranstaltninger, der er iværksat, og hvilke skridt der skal tages, når de behandler personoplysninger omfattet af lovgivningen om databeskyttelse og nærværende databehandlertillæg,
(iii) har forpligtet sig til at beskytte fortroligheden af personoplysningerne, herunder gennem en passende tavshedsforpligtelse (enten gennem skriftlig aftale eller på anden måde) i forhold til personoplysningerne, og
(iv) har modtaget og fortsat med passende mellemrum modtager uddannelse, der er tilstrækkelig til at løse relevante it-risici, og at alt centralt it-personale tager skridt til at fastholde den aktuelle viden om skiftende it-trusler og forholdsregler,
(c) straks (og under alle omstændigheder inden for 24 timer efter kundskab) underretter CNA Hardy- koncernen via en e-mail til xxxxxxxxxxxxxxxxxxxxx@xxxxxxxx.xxx og xxxxxxxxxxxx@xxxxxxxx.xxx om enhver konstateret eller formodet hændelse af utilsigtet eller ulovlig destruktion, tab, ændring, uautoriseret eller utilsigtet offentliggørelse af eller adgang til personoplysninger eller andet brud på punkt 3(a) ("Brud på datasikkerheden"),
(d) omgående forsyner CNA Hardy-koncernen med:
(i) alle oplysninger i dennes/deres besiddelse eller under dennes/deres kontrol vedrørende ethvert sikkerhedsbrud, herunder uden begrænsning:
• en beskrivelse af arten af bruddet på datasikkerheden,
• kategorierne og antallet af berørte registrerede samt fortegnelser over de personoplysninger, der påvirkes,
• navn og kontaktoplysninger for den eller de pågældendes databeskyttelsesrådgiver eller andet kontaktpunkt, hos hvem yderligere oplysninger kan indhentes,
• en beskrivelse af de sandsynlige konsekvenser af bruddet på datasikkerheden
• og en beskrivelse af de trufne eller påtænkte foranstaltninger, som den eller de pågældende vil træffe med henblik på at imødegå sikkerhedsbruddet, og
(ii) al hjælp og alt samarbejde, som er nødvendigt for, at CNA Hardy-koncernen kan forsøge at afbøde virkningerne af sikkerhedsbruddet og opfylde sine egne forpligtelser i henhold til lovgivningen om databeskyttelse i forhold til brud på datasikkerheden (herunder uden begrænsning koncernens pligt til at anmelde sikkerhedsbruddet til Information Commissioner og at meddele oplysninger om dette til de ramte registrerede, hvor dette skal ske),
(e) ikke udsender nogen meddelelse eller offentliggør eller på anden måde godkender udsendelse af nogen meddelelse eller oplysninger om et sikkerhedsbrud (en "sikkerhedsbrudsmeddelelse") eller godkender eller tillader, at der sker godkendelse af samme uden forudgående skriftligt samtykke fra CNA Hardy- koncernen samt forudgående skriftlig godkendelse fra CNA Hardy-koncernen af indholdet, medierne og tidspunktet for sikkerhedsbrudsmeddelelsen,
(f) efter udløbet eller ophøret af denne aftale:
(i) i det omfang det med rimelighed er muligt, og idet det tillades at opbevare sådanne fortegnelser, når det er foreskrevet ved lov eller bekendtgørelse ifølge punkt (f) nedenfor om førelse af fortegnelser, og automatiseret sikkerhedskopiering, hvor intet forsøg på at genindsætte de pågældende CNA Hardy-data konkret er gjort (og hvor CNA Hardy-data af andre årsager ikke er bevaret) eller opbevaring sker af hensyn til spørgsmål om bedrageri eller forsikring, permanent og sikkert sletter alle elektroniske kopier af personoplysninger fra den/de pågældendes systemer og fra alle computere og andre enheder i dennes/deres besiddelse eller under dennes/deres kontrol, og
(ii) på sikker måde til CNA Hardy-koncernen tilbagegiver alle papirkopier af de personoplysninger, der er i den pågældendes/deres besiddelse eller under den pågældendes/deres kontrol, eller efter CNA Hardy-koncernens valg på sikker måde og permanent destruerer alle papireksemplarer af samme, og
(iii) inden 30 dage efter udløbet eller ophøret over for CNA Hardy-koncernen skriftligt bekræfter, at dette punkt 3(f) er overholdt fuldt ud.
Førelse af fortegnelser, revision og bistand
4. Modparten skal selv og skal sørge for, at alle tilknyttede underbehandlere uden yderligere omkostninger for CNA Hardy-koncernen:
(a) efter anmodning omgående forsyner CNA Hardy-koncernen med alle oplysninger i dennes/deres besiddelse eller under dennes/deres kontrol i forbindelse med behandling af personoplysninger i medfør af denne aftale samt yder al bistand og samarbejde, materialer og/eller teknisk dokumentation, som måtte være nødvendig for, at CNA Hardy-koncernen kan:
(i) verificere, at modparten overholder dette databehandlertillæg,
(ii) overholde sine forpligtelser ifølge databeskyttelseslovgivningen, herunder bevise dette over for Information Commissioner,
(iii) foretage konsekvensanalyser vedrørende databeskyttelse i forbindelse med behandling af personoplysninger i medfør af denne aftale, hvor det er relevant, og
(iv) samarbejde og rådføre sig med Information Commissioner om ethvert spørgsmål, der er relevant for behandlingen afpersonoplysningerne, og inden for de tidsfrister, der er fastsat af Information Commissioner og/eller i databeskyttelseslovgivningen (herunder i forbindelse med revisions- og rapporteringsforpligtelser vedrørende førelse af en skriftlig fortegnelse over behandlingsaktiviteter (og tilvejebringelse af oplysninger til Information Commissioner med hensyn til samme),
(b) informerer CNA Hardy-koncernen, herunder ved at tilvejebringe kopier og alle oplysninger, hvis den/de skulle modtage nogen:
(i) meddelelse, korrespondance eller anmodning om information (skriftligt eller mundtligt) fra Information Commissioner, der direkte eller indirekte vedrører de personoplysninger, som behandles i medfør af denne aftale, herunder uden begrænsning i forbindelse med alle håndhævelsesaktiviteter eller undersøgelser i henhold til databeskyttelseslovgivningen ("Anmodning fra Information Commissioner"), og/eller
(ii) meddelelse, korrespondance, klage, anmodning eller forespørgsel (skriftligt eller mundtligt) fra en registreret, der direkte eller indirekte vedrører personoplysninger behandlet i medfør af denne aftale, herunder uden begrænsning enhver anmodning om adgang til en registreret, enhver anmodning om, at behandling af personoplysninger skal ophøre, eller enhver anden anmodning fra en registreret om udøvelse af dennes rettigheder i henhold til databeskyttelseslovgivningen ("anmodning fra en registreret"), og
(c) samarbejde med og bistå CNA Hardy-koncernen i forbindelse med behandlingen af anmodninger fra Information Commissioner eller en registreret inden for tidsfristerne i databeskyttelseslovgivningen eller i Information Commissioners anmodning henholdsvis den registreredes anmodning,
(d) kun at besvare den registreredes anmodning direkte, hvis de har udtrykkelig forudgående skriftlig tilladelse fra CNA Hardy-koncernen til at gøre det, og under alle omstændigheder i nøje overensstemmelse med CNA Hardy-koncernens dokumenterede instrukser,
(e) udarbejde og føre en skriftlig fortegnelse, herunder i elektronisk form, over alle kategorier af behandlingsaktiviteter udført på vegne af CNA Hardy-koncernen i tilknytning til modpartens (og dennes tilknyttede selskabers) behandling af personoplysninger i forbindelse med denne aftale, herunder som minimum:
(i) formålene med behandlingen,
(ii) en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger,
(iii) kategorierne af modtagere, til hvem personoplysningerne er blevet eller vil blive videregivet, herunder modtagere uden for EØS og deres fysiske placering,
(iv) tidsfrister for sletning af de forskellige kategorier af personoplysninger, og
(v) en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, jf. punkt 3(a) ("datafortegnelsen"),
og den/de pågældende skal straks efter anmodning på sikker måde udlevere en kopi af datafortegnelsen til CNA Hardy-koncernen,
(g) efter skriftlig anmodning giver CNA Hardy-koncernen, eller eventuelle tredjeparter udpeget af CNA Hardy-koncernen (under forudsætning af indgåelse af rimelige og passende fortrolighedsforpligtelser), tilladelse til at auditere og inspicere modpartens behandlingsaktiviteter. Modparten skal efterleve alle rimelige anmodninger og instrukser fra CNA Hardy-koncernen, således at CNA Hardy-koncernen har mulighed for at påse, at modparten og eventuelle underbehandlere overholder deres forpligtelser i henhold til denne aftale og databeskyttelseslovgivning.
Yderligere ændringer
5. Modparten er klar over, at direktiv 95/46/EF, herunder uden begrænsning som det er gennemført ved Data Protection Act 1998, vil blive erstattet af forordning (EU) 2016/679 fra dennes ikrafttrædelse; i overensstemmelse hermed vil modparten på anmodning fra CNA Hardy-koncernen acceptere en ændring af dette databehandlertillæg på de vilkår, som måtte blive krævet af CNA Hardy-koncernen, i det omfang CNA Hardy-koncernen med rimelighed anser en sådan ændring for nødvendig med henblik på overholdelse af forordning (EU) 2016/679 og de love og regler om databeskyttelse og beskyttelse af personoplysninger, der til enhver tid er gældende i Det forenede Kongerige på eller efter datoen for denne aftale.
Ansvar
7. Med forbehold af den ansvarsbegrænsning, der er anført i punkt 6, skal hver part (den "skadesløsholdende part") holde den anden part (herunder tilknyttede selskaber samt deres respektive bestyrelsesmedlemmer, direktører, medarbejdere og agenter) (de "skadesløsholdte parter") fra og mod ethvert tab eller erstatningsansvar, som de skadesløsholdte parter pådrager sig eller lider som følge af den skadesløsholdende parts eller en til den skadesløsholdende part tilknyttet virksomheds misligholdelse af databeskyttelseslovgivningen eller dette databehandlertillæg, herunder uden begrænsning konventionalbøder, andre bøder (herunder administrative bøder) erstatninger og omkostninger. I tilfælde af at det anses for at stride mod den offentlige orden eller loven om friholdelse for en bøde eller bod, der er omfattet af nærværende, erstattes godtgørelsen af en forpligtelse til at betale en gæld ifølge kontrakt af samme størrelse som bøden eller boden.
TILLÆG A
BESKRIVELSE AF DEN BEHANDLING AF PERSONOPLYSNINGER, DER VIL KUNNE (TIL STADIGHED I OVERENSSTEMMELSE MED DATABESKYTTELSESLOVGIVNINGEN OG UNDER HENSYN TIL YDELSENS KARAKTER) FINDE STED I MEDFØR AF DENNE AFTALE
Behandlingens varighed
De personoplysninger, der behandles af modparten i medfør af denne aftale, må kun behandles i aftalens løbetid, hvorefter de skal slettes på sikker måde, og papirkopier skal destrueres eller afleveres i overensstemmelse med de relevante bestemmelser i denne aftale.
Kategorierne af registrerede
De personoplysninger, der behandles af modparten i medfør af denne aftale, kan vedrøre nogle af eller alle følgende kategorier af registrerede:
Til forsikringsadministrative formål:
• Mæglere og medarbejdere hos mæglerfirmaer (eller selvstændige mæglere)
• Kunder og medarbejdere hos kundevirksomheder
• Forsikrede ("forsikrede") og deres ansatte
• Skadesanmeldere
• Klagere, korrespondenter og forespørgere
• Genstandene for sådanne klager, korrespondancer og henvendelser
• Medarbejdere inklusive ansatte, medkontrahenter, konsulenter og volontører
• Agenter, midlertidige og løst ansatte medarbejdere
• Slægtninge, værger og partnere til klagerne eller til den registrerede ifølge klagerne (om nødvendigt og afhængigt af arten af den police, klagerne har tegnet)
• Enhver anden registreret med hvem den dataansvarlige driver forretning eller har andre kontraktmæssige, licensmæssige eller andre juridiske ordninger samt deres medarbejdere (hvis relevant).
Til informationsteknologiadministrative og databaseadministrative formål:
• Nuværende eller potentielle kunder, forsikrede, klienter og deres medarbejdere
• Klagere, korrespondenter og forespørgere og deres medarbejdere
• Genstandene for sådanne klager, korrespondancer og henvendelser
• Medarbejdere inklusive ansatte, medkontrahenter, konsulenter og volontører
• Agenter, midlertidige og løst ansatte medarbejdere
• Slægtninge, værger og medarbejdere hos den registrerede, herunder medarbejderes pårørende
• Ansatte hos leverandørvirksomheder og potentielle leverandørvirksomheder (eller selvstændige leverandører)
• Enhver anden registreret, der på nogen måde bruger eller opnår adgang til informationsteknologiens infrastruktur (og/eller i givet fald databehandleren).
Til overholdelsesformål og i det omfang, det er tilladt ifølge gældende lovgivning:
• Medarbejdere inklusive ansatte, ledere, bestyrelser, medkontrahenter, konsulenter og volontører
• Agenter, midlertidige og løst ansatte medarbejdere
• Enhver anden registreret, med hvem den dataansvarlige driver forretning eller har andre kontraktmæssige, licensmæssige eller andre juridiske ordninger samt deres medarbejdere (hvis relevant og i det omfang, det er lovligt).
• Enhver registreret, som på nogen måde deltager i, eller til hvem der refereres i et spørgsmål vedrørende overholdelse, herunder medarbejdere, familiemedlemmer, venner eller andre bekendte af nogen af de registrerede i overensstemmelse med gældende lov.
Emnet for, arten af og formålene med behandlingen
De personoplysninger, der behandles af modparten i medfør af denne aftale, kan vedrøre nogle af eller alle følgende formål:
• Forsikringsadministration, herunder godkendelse og revision af beslutningerne i forhold til den dataansvarliges kunder/klienter, forsikrede og skadesanmeldere, samt beslutningen om, hvorvidt en person kan accepteres som kunde/klient eller, hvis det er en selvstændig, som mægler – i alle tilfælde omfattende administrationen af den dataansvarliges livs-, helbreds-, pensions-, ejendoms-, motor- og anden forsikringsvirksomhed og ethvert andet forretningsmæssigt område, hvor den dataansvarlige er involveret
• Informationsteknologiadministrative og databaseadministrative formål udført af databehandleren i dennes egenskab af dataansvarlig
• Overholdelsesformål for at sikre, at den dataansvarlige overholder gældende lovgivning eller for at reagere på myndighedernes krav, i det omfang det er tilladt i henhold til gældende lovgivning
Kategorierne/typen af personoplysninger
De personoplysninger, der behandles af modparten i medfør af denne aftale, kan vedrøre nogle af eller alle følgende kategorier af oplysninger:
Til Forsikringsadministrative formål:
• Personoplysninger
• Kontaktoplysninger
• Uddannelse (for nogle ansatte i mæglerfirmaer og i visse tilfælde for anmeldere)
• Bankoplysninger (til betaling af selvstændige mæglere eller betaling af skadesanmeldere)
• Fysisk eller psykisk helbred eller tilstand
• Lovovertrædelser (inklusive påståede lovovertrædelser) (i det omfang det er tilladt i henhold til gældende lovgivning)
• Straffesager, udfald og domme (i det omfang, det er tilladt i henhold til gældende lovgivning).
Til informationsteknologiadministrative og databaseadministrative formål:
• Navn
• Dato og fødested (kun for medarbejdere hos den dataansvarlige)
• Bopælsland
• Nationalitet I Visumstatus I Mobilitet (kun for medarbejdere hos den dataansvarlige)
• Køn
• Civilstand
• Adresse og e-mailadresse
• Telefonnr. og andre kontaktnumre (erhverv og privat)
• Militær status (hvis relevant)
• Arbejdsgiver
• Ansættelsesmæssig status
• Ansættelseshistorik (kun for de ansatte hos den dataansvarlige, f.eks. oplysninger om ansættelse, opsigelse, karriere, forventet karriereudvikling, forventet pensioneringsdato og ophør)
• Stillingsbetegnelse, stillingsniveau og jobopgaver
• Jobpræstationer (herunder bemærkninger fra medarbejderen og dennes leder), projektkarakterer og vurderinger, medarbejderens jobmål for året (kun for medarbejdere hos den dataansvarlige)
• Fraværsoplysninger: startdato/slutdato, fraværstype (f.eks. sygdom eller forældreorlov), sygdomsårsager (kun hvis og i det omfang, det er nødvendigt for at overholde de forpligtelser, som gælder for den dataansvarlige, der er arbejdsgiver)
• Kontaktoplysninger for nødstilfælde (f.eks. nødkontaktnavn, telefonnummer, kun relation, hvis det er af betydning, samt kontaktoplysninger (kun for de ansatte hos den dataansvarlige. Disse oplysninger er frivillige og kan indtastes/opdateres af medarbejderne hos den dataansvarlige)
• Forældreorlov: navnet på medarbejderens pårørende/adresseoplysninger, den pårørendes slægtskabsforhold til medarbejderen
• Uddannelses- og erhvervsuddannelsesoplysninger, herunder medarbejderudviklingsplaner (kun for medarbejdere hos den dataansvarlige)
• Disciplinære meddelelser og oplysninger (kun for medarbejdere hos den dataansvarlige)
• Oplysninger om ydelser (kun for medarbejdere hos den dataansvarlige)
• Sprog, der tales
• Nationalt id
• Personlig national identifikation (skattekode)
• Racemæssig og etnisk oprindelse, religiøs, filosofisk eller anden overbevisning, politiske meninger
• Omfattende baggrundsundersøgelser (for skadesanmeldere) i det omfang, det er tilladt i henhold til gældende lov (dvs. følsomme oplysninger)
• Bankoplysninger (til betaling af selvstændige mæglere, til betaling af skadesanmelder eller med henblik på betaling af løn til medarbejdere hos den dataansvarlige
• Oplysninger om virksomhedsejendom, der er overladt personale (kun for de ansatte hos den dataansvarlige, f.eks. virksomhedskreditkort og andre fordele)
• Omfattende baggrundsundersøgelser i overensstemmelse med gældende lov (kun for de ansatte hos den dataansvarlige og i visse tilfælde for skadesanmeldere)
• Økonomiske oplysninger og lønoplysninger (kun for de ansatte hos den dataansvarlige og i visse tilfælde for skadesanmeldere, f.eks. lønklasse, vederlag og årligt vederlag, lønpakke, oplysninger om deltagelse i og ledelse af den dataansvarliges fordelsprogrammer).
Til overholdelsesformål:
• alle oplysninger, der er nødvendige for at overholde gældende lovgivning eller myndigheders anmodninger i det omfang, det er tilladt i henhold til gældende lov; dette omfatter bl.a. alle de datakategorier, der er anført ovenfor og nedenfor i afsnittet "Kategorier af data" i denne del 1 af tillæg A.
Modtagere
På grundlag af bestemmelserne i denne aftale, der regulerer modpartens videregivelse af personoplysninger til tredjeparter, kan de personoplysninger, der behandles af modparten i medfør af denne aftale, videregives til nogle af eller alle følgende kategorier af modtagere:
Til forsikringsadministration:
• Ledere hos den dataansvarlige og/eller databehandleren, der har ansvaret for godkendelse og revision af de afgørelser, som den dataansvarlige har truffet vedrørende tegningsansvar og skadesanmeldelser
• Eksterne virksomhedskonsulenter og serviceudbydere (f.eks. juridiske, økonomiske og regnskabsmæssige rådgivere samt rådgivere vedrørende informationsteknologi og HR og/eller lignende konsulenter og rådgivere) for den dataansvarlige og/eller databehandleren, der har behov for at kende til disse for at opnå det relevante formål.
Til informationsteknologiadministrative og databaseadministrative formål:
• Udpeget personale i it- og HR-afdelingerne hos den dataansvarlige og/eller databehandleren, der har behov for at kende til oplysningerne, f.eks. it-administratorer og teknisk HR- supportpersonale
• Eksterne virksomhedskonsulenter og serviceudbydere (f.eks. juridiske, økonomiske og
regnskabsmæssige rådgivere samt rådgivere vedrørende informationsteknologi og HR og/eller lignende konsulenter og rådgivere) for den dataansvarlige og/eller databehandleren, der har behov for at kende til disse for at opnå det relevante formål.
Til overholdelsesformål:
• Udpeget personale i it- og HR-afdelingerne hos den dataansvarlige, der har behov for at kende til oplysningerne, som f.eks. it-administratorer og teknisk HR-supportpersonale
• Retshåndhævende myndigheder i overensstemmelse med gældende krav ifølge loven
• Eksterne virksomhedskonsulenter og serviceudbydere (f.eks. juridiske, økonomiske og regnskabsmæssige rådgivere samt rådgivere vedrørende informationsteknologi og HR og/eller lignende konsulenter og rådgivere) for den dataansvarlige, der har behov for at kende til disse for at opnå det relevante formål.
Særlige kategorier af personoplysninger og personoplysninger vedrørende straffedomme og lovovertrædelser
De personoplysninger, som behandles af modparten i medfør af denne aftale, kan vedrøre nogle af eller alle følgende kategorier af særlige kategorier af personoplysninger og/eller oplysninger om straffedomme og lovovertrædelser, og dette i forhold til de registrerede, der er beskrevet ovenfor:
• alle lovovertrædelser eller påståede lovovertrædelser
• straffesager
• fysisk eller psykisk helbredstilstand
• fraværsoplysninger for den ansatte: startdato/slutdato, fraværstype (f.eks. sygdom eller forældreorlov), sygdomsårsager (kun hvis og i det omfang, det er nødvendigt for at overholde arbejdsgiverens forpligtelser)
• Oplysninger om skadesanmelderens helbred med henblik på vurdering af skaderne og behandling af anmeldelsen
• Oplysninger om ansøgerens eller forsikredes fysiske eller psykiske helbredstilstand med henblik på at gennemgå og godkende afgørelser truffet af den dataansvarlige vedrørende tegningsansvar og skadesanmeldelser
• Retlige oplysninger om skadesanmeldere og medarbejderne i det omfang, det er tilladt ifølge gældende lovgivning, og i det omfang, det er nødvendigt for at kunne behandle skadesanmeldelser og retssager, herunder beskyttelse af skadesanmeldernes interesser og ledelsen af den dataansvarlige i retssager
• Ikke-identificerende retlige oplysninger om forsikrede og skadesanmeldere i det omfang, det er tilladt ifølge gældende lovgivning
• Racemæssig eller etnisk oprindelse hos de registrerede ovenfor identificeres kun, når det er absolut nødvendigt for at nå formålene med de angivne ovennævnte overførsler og i overensstemmelse med gældende lovgivning
• Religiøse, filosofiske eller andre overbevisninger, politiske holdninger, medlemskab af partier, fagforeninger, foreninger eller organisationer af religiøs, filosofisk, politisk eller fagforeningsmæssig karakter hos de registrerede ovenfor identificeres kun, når det er strengt nødvendigt for at nå målet med de ovennævnte overførsler og i overensstemmelse med gældende lovgivning
• Personoplysninger, der beskriver helbredet hos de registrerede ovenfor, identificeres kun, når det er strengt nødvendigt for at opnå de formål, der er angivet i ovennævnte overførsler og i overensstemmelse med gældende lovgivning.
TILLÆG B
I henhold til punkt 3(a) og 4(e)(v)accepterer modparten hermed at træffe følgende supplerende konkrete sikkerhedsforanstaltninger:
Sikkerhedsprogram. Modparten skal udfolde alle rimelige forretningsmæssige bestræbelser på at gennemføre og opretholde omfattende informationssikkerhedsstandarder og et skriftligt program vedrørende disse ("Sikkerhedsprogram"), der (i) er i overensstemmelse med alle gældende love og regler, herunder al databeskyttelseslovgivning, og (ii) indeholder rimelige og passende administrative, organisatoriske og fysiske sikkerhedsforanstaltninger, politikker og procedurer til bevarelse og beskyttelse af sikkerhed, integritet, tilgængelighed og fortrolighed for alle personlige og kommercielt følsomme data, der behandles på vegne af CNA Hardy-koncernen.
Disse sikkerhedsforanstaltninger og procedurer skal mindst omfatte anvendelsen af alle rimelige forretningsmæssige bestræbelser på at overholde følgende standarder:
Generelle kontroller
(i) Gennemførelse af regelmæssige risikovurderinger, penetrationsprøvninger, sårbarhedsscanning og katastrofegenopretningsøvelser.
(ii) Alle operativsystemer og applikationer skal have løbende support. Operativsystem og applikationssikkerhedspatcher skal være installeret på alle computerenheder og være ajourførte (f.eks. desktops, laptops, tablets, mobiltelefoner, servere, firewalls, switches).
(iii) Antivirus-/malware-software skal være installeret og aktiveret til at registrere skadelige programmer (f.eks. vira, trojanere).
Netsikkerhed
(i) Anvendelse af kryptering og netværkssegregation både internt og i forhold til forbindelse til eksterne enheder som tredjeparter og internet facing for at begrænse eksponeringen af følsomme oplysninger. Overvågning af netværkstrafik for at opdage og reagere på eventuel netværksindtrængen. Brug af firewalls og systemer til registrering af indtrængen, antivirus- og malwaredetektion, idet det sikres, at disse installeres og vedligeholdes af kvalificeret personale.
(ii) Sikre trådløse enheder til pålidelige trådløse netværk, idet der også her bruges netværkssegregation og relevant krypteringspraksis.
(iii) Anvendelse af sikkerhed (og om muligt kryptering af datastrøm) i forbindelse med CNA Hardy- koncernen (og dets koncernselskaber og koncernafdelinger) og alle tredjeparter, der får adgang til modpartens netværk.
(iv) Aktivering af sikker administration – brug af brugeradgangskontroller sammen med regelmæssige UAR- og PUAR-gennemgange.
Brugeradgangskontrol
(i) Al brugeradgang, og især privilegeret brugeradgang, skal godkendes og revideres regelmæssigt.
(ii) Brugeradgang skal styres gennem opdaterede beskyttelsesprogrammer, herunder multifaktorgodkendelse og adgangskontrol i medier, applikationer, operativsystemer og udstyr.
(iii) Operativsystemer eller applikationer, der har kapaciteten til elektronisk optagelse og opbevaring af brugeradgang, skal være installeret og aktiveret. Mindst 14 dages relevante brugeradgangsoplysninger skal opbevares.
(iv) Bruger-id'er og adgangskoder skal være unikke for hver bruger og må ikke deles.
(v) Krav til stærke adgangskoder skal være aktiveret (f.eks. alfanumeriske tegn, minimumslængde, kompleksitet, genbrugsbegrænsninger).
Personoplysninger
(i) Personoplysninger skal behandles, opbevares og transmitteres på sikker måde, herunder og uden begrænsning gennem kryptering.
(ii) Personale med adgang til personoplysninger skal være passende uddannet.
(iii) Interne systemer eller applikationer, der lagrer personoplysninger, skal begrænse rettigheder og privilegier til dem, der er påkrævet for at opfylde kravene i stillingen.
Sikkerhedskopier
(i) Passende procedurer for sikkerhedskopiering og genoprettelse af data bør udføres med jævne mellemrum for applikationer og informationssystemer til lagring af personoplysninger.
(ii) Backupmedier skal sikres mod uautoriseret fysisk adgang. Hvis de lagres andetsteds, skal backupmediet krypteres.
Fysisk sikkerhed
(i) Systemer skal sikres fysisk i områder med begrænset adgang.
(ii) Bærbare computere eller lagerenheder skal være fysisk sikret (f.eks. kabel og lås), hvis de forlades uovervågede i længere tid.
Netværksdiagram. Modparten skal til enhver tid efter anmodning forsyne CNA Hardy-koncernen med et netværksdiagram, der beskriver modpartens informationsnetværksinfrastruktur og alt udstyr, der anvendes i forbindelse med opfyldelsen af modpartens forpligtelser ifølge denne aftale, herunder uden begrænsning: (i) forbindelse til CNA Hardy-koncernen (og dens koncernselskaber og koncernafdelinger) og alle tredjeparter, der har adgang til modpartens netværk, (ii) alle netværksforbindelser, herunder fjernadgangstjenester og trådløs forbindelse, (iii) alle adgangskontrolforanstaltninger (f.eks. firewalls, pakkefiltre, registrering af indtrængen og forebyggelse og adgangsliste-styrede routere), (iv) alle backup- eller overskydende servere samt (v) tilladt adgang gennem hver netværksforbindelse. Modparten skal straks give CNA Hardy-koncernen et opdateret netværksdiagram, hvis modparten foretager væsentlige ændringer i sin infrastruktur og/eller af sit udstyr.
Ret til revision
Ud over alle rettigheder til revision i hoveddelen af denne aftale skal modparten give CNA Hardy-koncernen og enhver af dets udpegede tredjepartsrevisorer adgang til og bistand og oplysninger om servicelokationerne og sikkerhedsprogrammet i det omfang, det er nødvendigt for at bekræfte overholdelse af betingelserne i dette tillæg. Under enhver revision af denne art skal modparten yde al den bistand, der med rimelighed er påkrævet for at verificere tilstrækkeligheden og sikre fortsat vedligeholdelse af modpartens sikkerhedsprogram. Endvidere kan CNA Hardy-koncernen og enhver af dens udpegede tredjepartsrevisorer udføre autoriserede indtrængningsangreb på modpartens system på betingelse af, at: (i) modparten på forhånd underrettes om et sådant angreb, og (ii) parterne indbyrdes enes om planen for indtrængningstesten. Hyppigheden af revision i medfør af denne bestemmelse skal være med sådanne intervaller, som CNA Hardy-koncernen efter eget skøn anser for rimeligt nødvendige.
"Multifaktorgodkendelse" betyder godkendelse gennem verifikation af mindst to af følgende typer godkendelsesfaktorer:
(1) vidensfaktorer, f.eks. en adgangskode, eller
(2) besiddelsesfaktorer, f.eks. et token eller en sms på en mobiltelefon, eller
(3) iboende faktorer, f.eks. et biometrisk kendetegn.
TILLÆG C
Virksomheder registreret i Det Forenede Kongerige
Virksomhedsnavn | Virksomhedsnummer | Hjemsted | |
1 | Xxxxx (Underwriting Agencies) Limited | 1264271 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxx Xxxxxxx |
2 | Hardy IC Limited | 07809131 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxx Xxxxxxx |
3 | Hardy Insurance Services Limited | 03075206 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxx Xxxxxxx |
4 | Hardy Names Limited | 03227930 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxx Xxxxxxx |
5 | Hardy Underwriting Group plc | 03217501 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxx Xxxxxxx |
6 | Hardy Underwriting Limited | 02981735 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxx Xxxxxxx |
7 | CNA Insurance Company Limited | 950 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxx Xxxxxxx |
8 | CNA Europe Holdings Limited | 3526047 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxx Xxxxxxx |
9 | CNA Services (UK) Limited | 8836589 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxx Xxxxxxx |
10 | Maritime Insurance Company Limited | 4000324 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxx Xxxxxxx |
11 | CNA Hardy International Services Limited | 09849484 | 00 Xxxxxxxxx Xxxxxx, Xxxxxx, XX0X 0XX, Xxxxxx Xxxxxxx |
Europæiske filialer/virksomheder
Virksomhedsnavn | Virksomhedsnummer | Filialkontor | |
1 | CNA Hardy Belgium Branch | CNA België (Verzekeringsonderneming toegelaten onder het nr. 1075) van CNA Insurance Company Limited (handelsregistratienummer 950) | Succursale Belge, Xxxxxx Xxxxxxx-Xxxxx 000, 0000 Xxxxxxxxx |
2 | CNA Xxxxx Xxxxxxx Branch | CNA Insurance Company Limited (virksomhedsregistreringsnummer 950), | Xxxxxxxxxxxxx 0, 0 xxx, 0000 Xxxxxxxxx X, Xxxxxxx |
3 | CNA Xxxxx Xxxxxx Xxxxxx | CNA Insurance Company Limited est une société enregistrée en Angleterre sous le numéro 950 | 5th Floor, 00-00 xxx xx xx Xxxxxxxx , 00000 Xxxxx, Xxxxxx |
4 | CNA Hardy Germany Branch | CNA Insurance Company Limited Enspricht dem deutschen Registericht: Registernr 000 | Xx Xxxxxxxxx 0, X-00000 Xxxxxxx, Xxxxxxx, XXX 00000 |
5 | CNA Hardy Italy | CNA Insurance Company Limited societa registrata con xxxxxx 000 | Xxx Xxxxxxxx 0, 00000, Xxxxxx, Xxxxx |
6 | CNA Netherlands Branch | CNA Insurance Company Limited (handelsregistratienummer 950) | World Trade Centre, Xxxxxxxxxxxxxx 000, 0000 XX Xxxxxxxxx |
7 | CNA Hardy Switzerland Branch | CNA Insurance Company Limited er et selskab registreret i England under nummer 950 | Filial i Lugano, registreret med hjemsted Xxx Xxxxxx 0 X, 0000, Xxxxxx |
8 | CNA Hardy Luxembourg | CNA Insurance Company Europe S.A. er registreret i det luxembourgske handels- og selskabsregister under nummer B222697 | 0, xxx Xxxxxx Xxxxxxx, 0000 Xxxxxxxxxx, Xxxxxxxxxxxxxxxx Xxxxxxxxxx |
Internationalt registrerede virksomheder
Virksomhedsnavn | Virksomhedsnummer | Hjemsted | |
1 | Hardy Underwriting Asia PTE Limited | Xxx.xx. 201018369K, et Lloyd’s Asia serviceselskab, som handler på vegne af Hardy Syndicate 382. | 000 Xxxxxx Xxxxxx, Xxxxxx Xxxxx, #00-00, Xxxxxxxxx 000000 |
2 | Hardy Bermuda Limited | 00000 | Xxxxxxxx Xxxxx, 00 Xxxxx Xxxxxx, Xxxxxxxx, XX00, Xxxxxxx |
3 | Hardy Underwriting Bermuda Limited | 40834 | Crawford House, 00 Xxxxx Xxxxxx, Xxxxxxxx, XX00, Xxxxxxx |
4 | Hardy Underwriting Labuan Limited | LL14346 | Xxxxxxxxxx Xxxxxxx, xx. U1317, Lot 0000, Xxxxx Xxxxxxx Xxxxxx, 00000 Xxxxxx X.X., Xxxxxxxx |
TILLÆG D
Amerikanske koncernselskaber, til hvilke personoplysninger videregives i medfør af en modelbestemmelse om overførsel
Virksomhedsnavn | Virksomhedsnummer | Hjemsted | |
1 | Continental Casualty Company | 00-0000000 | 000 Xxxxx Xxxxxx Xxxxxx. Chicago, Illinois, 60604 USA |
2 | CNA Financial Corporation | 00-0000000 | 000 Xxxxx Xxxxxx Xxxxxx. Chicago, Illinois, 60604 USA |
TILLÆG 2: BESTEMMELSER VEDRØRENDE PERSONALE
1. Modparten skal selv og skal sørge for, at alt modpartens personale, der er regulerede personer, overholder relevante adfærdsstandarder og/eller regler fastsat af PRA og FCA i forhold til regulerede personer.
2. Modparten skal selv opfylde og skal sikre, at alt modpartens personale, der leverer tjenesteydelser som del af en udlicitering i væsentligt omfang, og/eller som er regulerede individer:
a. opfylder alle rimelige standarder, regler og retningslinjer, som CNA Hardy-koncernen opstiller vedrørende kravene om egnethed og hæderlighed,
b. er åbent og samarbejdsvilligt i forhold til PRA og FCA,
C. i det omfang, det er muligt, tager passende hensyn til CNA Hardy-koncernens kunders interesser i og til nødvendigheden af at behandle dem retfærdigt, og
d. overholder de yderligere krav, som CNA Hardy-koncernen anser for påkrævede med henblik på at sikre en sund og omhyggelig administration af koncernens forretninger.
3. Modparten skal omgående underrette CNA Hardy-koncernen om enhver oplysning, begivenhed eller omstændighed, som påvirker modpartspersonale, der leverer ydelser i forbindelse med udlicitering i væsentligt omfang eller regulerede personers overholdelse af kravene om egnethed og hæderlighed (herunder de pågældende regulerede personers brud på PRA’s og FCA’s adfærdsstandarder/-regler), gældende love, bestemmelser, cirkulærer, retningslinjer samt kodekser og standarder inden for branchen, så snart modparten bliver opmærksom herpå. For at sætte modparten i stand til at efterleve dette bilag skal modparten gennemføre relevant og passende tilsyn med det pågældende modpartspersonale.
4. Modparten skal udpege en eller flere navngivne personer, der har det overordnede ansvar for de ydelser, der leveres til CNA Hardy-koncernen. Modparten skal meddele navn og kontaktadresse på enhver sådan person til CNA Hardy-koncernen efter anmodning.
5. Modparten skal:
a. opbevare oplysninger om regulerede personers stillinger, funktioner samt alle øvrige oplysninger, der er nødvendige for at kontrollere de pågældende regulerede personers overholdelse af punkt 1 i dette tillæg,
b. må ikke erstatte eller forflytte en reguleret person uden forudgående skriftlig tilladelse fra CNA Hardy-koncernen, og
c. omgående underrette CNA Hardy-koncernen, hvis en reguleret person indgiver sin opsigelse.
6. Hvis en reguleret person skal erstattes eller forflyttes eller har indgivet sin opsigelse, skal modparten omgående:
a. skriftligt underrette CNA Hardy-koncernen om den pågældende opsigelse, henholdsvis erstatning eller forflyttelse,
b. give CNA Hardy-koncernen oplysninger om den foreslåede erstatning og/eller tid med hensyn til den foreslåede erstatning, som CNA Hardy-koncernen med rimelighed kan forlange, og
c. indhente CNA Hardy-koncernens skriftlige samtykke forud for iværksættelsen af en eventuel erstatning eller forflyttelse.
7. CNA Hardy-koncernen kan nægte at acceptere en person, der er indstillet eller foreslået af modparten som erstatning for en reguleret person, hvis den eller de pågældende person(er) efter CNA Hardy- koncernens rimelige skøn ikke lever op til kravene om egnethed og hæderlighed. Under disse omstændigheder skal modparten straks foreslå en anden/andre person(er) som erstatning, og punkterne 6 og 7 i dette tillæg finder anvendelse på udpegningen af denne erstatning.