REVI-GRAY v/Jesper Gray

REVI-GRAY v/Xxxxxx Xxxx

Xxxxxxxxxx 0, 0

0000 Xxxxxxxxx

CVR-nr.:

Telefon:

00 00 00 00

00 00 00 00

Databehandleraftale

Email: xx@xxxxxxxx.xx Web: xxx.xxxxxxxx.xx

Mellem

#Klient #Adresse. #Post CVR‐nr. #cvr

Herefter kaldet: Dataansvarlig Og

Kontakt info Dataansvarlig:

Kontaktperson:

Kontakt mail:

Kontakt telefon:

a

REVI‐XXXX v/Xxxxxx Xx x Xxxxxxxxxx 0, 0

0000 Xxxxxxxxx

CVR nr.: 25 27 12 46

Herefter kaldet: Databehandler

er der d.d. indgået følgende databehandleraftale.

Indhold af databehandleraftale

§ 1: Baggrund, formål og definitioner 2

§ 2: Aftalens gyldighed 2

§ 4 Databehandlers brug af underleverandører 4

§ 5 Underretningspligt 4

§ 6 Sletning af data 5

§ 7 Håndtering af data efter aftalens ophør 5

§ 8 Misligholdelse og ansvar 5

§ 9 Accept af databehandleraftale 5

Revisionshistorik 6

§ 1: Baggrund, formål og definitioner

1.1 Denne databehandleraftale (herefter kaldet ”Aftalen”) vedrører udleveret information fra #Klient.

1.2 Formålet med indgåelsen a de krav, der er til it‐sikkerh

Aftalen er at sikre, at Dataansvarlig og Databehandler lever op til d og behandling af persondata i gæ dende lovgivning.

1.3 I denne aftale skal anvendes samme definitioner som beskrevet i Artikel 4 i EU's forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger 2016/679 (i det følgende kaldet Persondataforordningen), eksempelvis:

• "personoplysninger": enhver form for information om en identificeret eller identificerbar fysisk person ("den registrerede"); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere ele‐ menter, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

• "behandling": enhver aktivitet eller række af aktiviteter – med eller ude n brug af automa‐ tisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, s stematisering, opbevaring, til‐ pasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formid‐

xxxx eller enhver anden form for overladelse, sammenstillin sletning eller tilintetgørelse.

eller samkøring, begrænsning,

§ 2: Aftalens gyldighed

2.1 Aftalen er gældende fra tidspunktet fra Aftalens underskrift.

2.2 Aftalen gælder for både Test‐ og Produktionsmiljø.

2.3 Aftalen gælder indtil 5 år efter #Klient afslutter kunderelationen.

§ 3: Parternes forpligtelser

3.1 #Klient er Dataansvarlig.

3.2 Databehandler handler alene efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til et tredjeland el er en international organisati‐ on, medmindre det kræves i henhold til EU‐ret eller medlemsst ternes nationale ret, som da‐ tabehandleren er underlagt; i så fald underretter databehandle en den dataansvarlige om det‐ te retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underret‐ ning af hensyn til vigtige samfundsmæssige interesser..

Databehandleren skal i videst muligt omfang assistere med pse data.

donymisering og kryptering af

3.3 Databehandler forpligter sig til, til enhver tid at overholde samt ige lovgivningsmæssige krav,

herunder tillige eventuelle nationale lovgivninger for Databeha dler hvis Databehandler er

hjemmehørende udenfor Danmark, vedrørende databehandling af personoplysninger samt den Dataansvarliges informationssikkerhedspolitik med tilhørende retningslinjer i forbindelse med den databehandling, som udføres for den Dataansvarlige.

3.4 I henhold til Persondataforordningen skal Databehandleren træffe alle foranstaltninger, som kræves i henhold til artikel 32, herunder de fornødne tekniske og organisatoriske sikkerheds‐ foranstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forrin‐ ges samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lovgivningsmæssige krav.

Databehandleren skal have dokumentation for alle processer i den forbindelse.

3.5 Databehandleren skal sikre, at kun personer, som autoriseres hertil, har adgang til de p oplysninger, der behandles.

rson‐

Alene de personer, der nødvendigvis skal have adgang til perso hertil.

oplysninger, må have adgang

Databehandler er forpligtet til at sikre, at enhver fysisk person ed adgang til de personoplys‐

ninger, der behandles, har forpligtet sig til fortrolighed eller er underlagt en passende lovbe‐ stemt tavshedspligt og er instrueret i, hvordan persondata kan, må og skal behandles efter gældende lovgivning.

3.6 Databehandleren og dennes autoriserede medarbejdere må foretage databehandling fra mo‐ bile arbejdspladser (arbejdspladser der ikke er på Databehandlerens adresse og befinder sig indenfor EU, f.eks. medarbejderens privatadresse) såfremt databehandlingen sker fra arbejds‐ pladser, som dels rent fysisk befinder sig indenfor EU, dels er underlagt Databehandlers egne sikkerhedsregler.

Arbejdspladserne skal således være sikret med tekniske kontroller, der sikrer at behandlingen af personoplysninger sker i overensstemmelse gældende lovgivning og Dataansvarlig og Data‐ behandlers retningslinjer.

Endvidere skal den enkelte medarbejder hos Databehandleren instrueres i hvordan man med‐ virker til at sikre, at uvedkommende ikke får adgang til personoplysninger.

3.7 Da den Dataansvarlige har ligt til aktivt at sikre, at de krævede sikkerhedsforanstaltninger

overholdes hos Databehandleren, skal Databehandler indhente en årlig revisionserklæring fra en uafhængig tredjepart som dokumentation for, at sikkerhedsmæssige foranstaltninger er gennemførte hos Databehandler.

3.8 I tilfælde af, at den Dataansvarlige og/eller relevante offentlige myndigheder, herunder men ikke udelukkende Datatilsynet, ønsker at foretage en fysisk inspektion af de tekniske og orga‐ nisatoriske sikkerhedsforanstaltninger, som Databehandler skal iagttage, forpligter Databe‐ handleren sig til – med et rimeligt varsel – at stille tid og ressou cer til rådighed herfor med ak‐ tiviteter for 1 person i op til 2 arbejdsdage pr. år.

3.9 Databehandleren er, under hensyntagen til behandlingens karakter, forpligtet til ved hjælp af passende tekniske og organisatoriske foranstaltninger, at bistå den Dataansvarlige med opfyl‐ delse af den Dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af de regi‐ streredes rettigheder efter gældende lovgivning, herunder tillige som fastlagt i Persondatafor‐ ordningens kapitel III.

3.10 Databehandleren skal til enhver tid og på anmodning fra den Dataansvarlige give den Dataan‐ svarlige, eller en af den Dataansvarlige bemyndiget, tilstrækkelige oplysninger til, at denne kan påse, at Databehandlerens forpligtelser efter denne aftale og i øvrigt efter gældende lovgiv‐ ning, herunder men ikke udelukkende de ovenfor nævnte tekniske og organisatoriske sikker‐ hedsforanstaltninger, er truffet og iagttaget.

Endvidere skal Databehandleren kunne dokumentere, at identificerede sårbarheder bliver imødegået ud fra en risikobaseret vurdering.

3.11 Databehandleren må ikke behandle personoplysninger udenfor EU uden den Dataansvarliges udtrykkelige samtykke.

§ 4 Databehandlers brug af underleverandører

4.1 Såfremt Databehandleren samarbejder med eller ønsker at samarbejde med en underleveran‐ dør, skal skriftlig godkendelse heraf indhentes fra den Dataansvarlige.

4.2 Det er Databehandlerens ansvar at sikre sig, at underleverandøren lever op til de samme krav,

den Dataansvarlige har stillet til Databehandler, herunder krav m audit og kontrol.

Hvis denne anden databehandler ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren ansvarlig overfor den Dataansvarlige for opfyldelsen af denne anden data‐ behandlers forpligtelser.

4.3 Ved ønske om indgåelse af aftale med ny underleverandør / skift af eksisterende underleve‐ randør skal den Dataansvarlige adviseres herom minimum 1 måned før.

§ 5 Underretningspligt

5.1 Databehandleren er forplig et til straks at underrette den Dataansvarlige ved kendskab til en‐ hver afvigelse i forhold til denne aftales indhold, f.eks.:

• Ved enhver fravigelse fra givne instrukser.

• Ved enhver mistanke om brud på fortroligheden.

• Ved enhver mistanke om misbrug, fortabelse og forringelse af data.

• Ved ethvert brud på persondatasikkerheden.

5.2 Underretning af den Dataansvarlige sker straks og inden 24 tim r efter konstateringen ved afsendelse af e‐mail indeholdende beskrivelse af forløbet, formodet årsag og korrigerende for‐ anstaltninger (udførte samt planlagte) til den Dataansvarliges mail, samt efterfølgende telefo‐

nisk henvendelse til den Dataansvarliges persondataansvarlige å telefon.

§ 6 Sletning af data

6.1 Databehandler forpligter sig til at slette personoplysninger, når disse ikke længere er relevante for databehandlingen, medmindre EU‐retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne.

§ 7 Håndtering af data efter aftalens ophør

7.1 Databehandleren forpligter sig, at sikre at personoplysninger efter den dataansvarliges valg slettes eller tilbageleveres, når databehandlingen jf. aftale med den Dataansvarlige skal ophø‐ re.

7.2 Det påhviler den Dataansvarlige at oplyse Databehandleren om det tidspunkt, hvor databe‐ handlingen skal ophøre.

7.3 Sletning må dog ikke ske, før Databehandleren har oplyst den Dataansvarlige om den påtænk‐ te fremgangsmåde for sletning og indhentet særskilt bekræftelse fra den Dataansvarlige på, at sletning skal gennemføres på den oplyste dato og på den angivne måde.

Såfremt den Dataansvarlige ikke finder slettemetoden tilstrækkelig effektiv, skal den Dataan‐

svarlige meddele Databehandleren hvilken slettemetode, der a

ses for tilstrækkelig eff

ktiv.

7.4 Ved anmodning fra den Dataansvarlige, skal Databehandleren f emsende en skriftlig erklæring

på, at data er slettet som aftalt, inklusiv en beskrivelse af den a vendte metode.

§ 8 Misligholdelse og ansvar

8.1 Hvis Databehandler ikke overholder aftalegrundlaget, kan aftalen opsiges med øjeblikkelig virkning.

8.2 Databehandler er forpligtet til i enhver henseende at skadesløs holde den Dataansvarlige for enhver omkostning, der måtte opstå som følge af Databehandlers manglende efterlevelse af

denne aftale, Persondataloven, Persondataforordningen eller anden gældende lovgivni g.

§ 9 Accept af databehandleraftale

Den /

Dataansvarlig

Den /

Databehandler REVI‐GRAY

Revisionshistorik

Version

V0.1

Note

Første udkast

Dato

3. januar 2019

Redigeret af

Xxxxxx Xxxx