SKABELON FOR DATABEHANDLERAFTALER HVOR AAU ER DATAANSVARLIG Version 2.1 af 09-05-2018









SKABELON FOR DATABEHANDLERAFTALER



HVOR AAU ER DATAANSVARLIG



Version 2.1 af 09-05-2018





















Vejledning til brug af skabelonen

  • Tekst der er sat i [ ] og markeret med gul angiver, at der skal foretages udfyldning for den konkrete aftale.



  • Tekst der er sat i [ ] og markeret med rød angiver en forklaring til det kommende afsnit, og skal slettes inden aftalen fremsendes til databehandleren.



  • Databehandleraftalen er udformet således, at den overholder reglerne for behandling af personoplysninger, som finder anvendelse d. 25. maj 2018



  • Disse første sider (s. 1 og 2) slettes ved fremsendelse til Databehandleren.



  • Vær opmærksom på, at der kræves kontrasignering såfremt, der sker ændringer i skabelonen i forbindelse med aftaleindgåelse. Vær desuden opmærksom på ALTID at registrere ændringer, så de er synlige for de underskriftansvarlige.



  • Ved indgåelse af databehandleraftalen, skal databehandleren fremsende en intern overordnet audit-rapport, evt. med databehandlerens interne sikkerhedspolitik som bilag, jf. pkt. 6.2. Rapporten skal arkiveres som et bilag til aftalen.

Shape1













































DATABEHANDLERAFTALE







Mellem


Aalborg Universitet

Frederik Bajers Vej 5

9100 Aalborg

CVR. Nr. 29102384

(herefter den dataansvarlige)



og



[Navn på virksomhed/leverandør]

[Adresse for virksomhed/leverandør]

[CVR nr. for leverandør]

(herefter databehandleren)





Herefter benævnt ”Parterne”





Med virkning fra [Indsæt dato] er der indgået følgende aftale om behandling af personoplysninger:





1. Formål og instruks

1.1 Databehandleren behandler personoplysninger i medfør af aftale med den dataansvarlige, til formål for opfyldelse af aftalen [Indsæt titel på aftalen eller anden entydig identifikation], som er indgået den [dato].

1.2 Den dataansvarlige instruerer hermed databehandleren om at foretage behandling af personoplysninger på vegne af den dataansvarlige til brug for [drift/levering] af [ydelser/løsninger] i medfør af aftalen som angivet i pkt. 1.1.

Ovenstående omfatter, at der skal ske en overordnet beskrivelse af hvilken type drift eller levering, der skal foretages for AAU, f.eks. ”til brug for drift af System XX”.

Databehandleren må ikke anvende personoplysningerne til andre formål end de, som er bestemt af den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt. I så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.

1.3 I følgende databehandlerinstruks angives det specifikt, hvilke data der skal behandles, og i hvilket omfang de skal behandles:

Følgende skal enten udfyldes af AAU eller af databehandleren. Såfremt felterne udfyldes af databehandleren skal det udfyldte godkendes af AAU – og bliver dermed AAU’s instruks.

Angivelse af formål med behandling af data:

Skal udfyldes ved aftaleindgåelse

Angivelse af hvilke typer behandlinger databehandleren foretager for at opfylde formålet:

Indsamling

Registrering

Organisering

Systematisering

Opbevaring

Tilpasning eller ændring

Genfinding

Søgning

Brug

Videregivelse

Sammenstilling eller samkøring

Sletning


Angivelse af hvilken type data skal behandles:


Sæt kryds og/eller uddyb



Almindelige personoplysninger


Klassiske stamoplysninger, dvs. navn, køn, adresse, telefonnummer, fødselsdato, nær familie og foto-ID.


Desuden omfatter almindelige personoplysninger oplysninger om uddannelse, kursusbeviser, arbejdsopgaver, nationalitet, deltagelse i hold/fag, oplysninger om løn, skat, pension, mv.

CPR-numre

Fortrolige personoplysninger


Fortrolige personoplysninger kan omfatte: Personlighedstest, skilsmisse, registreret partnerskab, adoptionsforhold, alkohol- og narkotikatest, registrering af snyd til eksamen, logning af internetbrug, karakterer, væsentlige sociale problemer og familieforhold, bortvisningsgrund, disciplinære sager, referater af personlige samtaler, hvis disse indeholder oplysninger af særlig karakter, hemmelig adresse og telefonnummer, mv.


Xxxxxxxxxxxx og lovovertrædelser


Herunder oplysninger om at den registrerede er dømt i strafbare forhold, oplysninger om at den registrerede har begået strafbare forhold, o.l.

Følsomme oplysninger:


Race eller etnisk oprindelse

Politisk overbevisning

Religiøs overbevisning

Filosofisk overbevisning

Fagforeningsmæssigt tilhørsforhold

Helbredsoplysninger

Seksuelle forhold eller orientering

Genetiske eller biometriske data til brug for identificering

Andet


Såfremt der er valgt ”andet”, skal dette specificeres her:

_______________________________

Kategorier af registrerede som behandles:

Ansatte

Xxxxxxxxxx

Tidligere ansatte

Eksterne

Andet


Såfremt der er valgt ”andet”, skal dette specificeres her:


__________________________

Angivelse af det antal personer databehandleren skal behandle oplysninger om:

(Det er tilstrækkeligt med et ”op til” eller ”ca. antal”)

Skal udfyldes ved aftaleindgåelse

Såfremt den dataansvarlige får behov for informationer om den behandling, som databehandleren udfører, må følgende personer kontaktes

(Angiv personer samt kontaktoplysninger)


Skal udfyldes ved aftaleindgåelse

Angiv tidsperiode for databehandlerens behandling af data

(Start og slutdato)


Skal udfyldes ved aftaleindgåelse

Angiv om databehandleren skal slette eller tilbagelevere data efter databehandlingsopgaven er afsluttet

Anbefales at udfylde ved aftaleindgåelse, alternativt skal dette meddeles databehandleren senest 4 uger inden databehandlingens ophør. Se pkt. 10.





2. Databehandlerens forpligtelser

2.1 Databehandleren handler alene på vegne af og efter dokumenteret instruks fra den dataansvarlige i forbindelse med gennemførelsen af aftalen. Det er således alene den dataansvarlige, der afgør til hvilket formål, der må foretages behandling af personoplysningerne.

2.2 Databehandleren skal bistå med beskyttelse af de registreredes rettigheder. Herunder skal databehandleren assistere den dataansvarlige ved opfyldelse af de registreredes indsigtsret samt på den dataansvarliges anmodning tilse at oplysningspligten overholdes.

2.3 Personoplysningerne skal udelukkende behandles i et omfang, der er proportionalt for persondatabehandlingen. Personoplysninger må således alene behandles til formål, som er nødvendige for opfyldelsen af databehandleraftalen og personoplysningerne må ikke opbevares længere end absolut nødvendigt i forhold til formålet, hvortil disse oplysninger er indsamlet.

2.4 Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles med de gældende regler om databeskyttelse.


2.5 Databehandleren er således forpligtet til at overholde følgende sikkerhedsforanstaltninger:

  • Indføre log-in og adgangsprocedurer samt opsætte og vedligeholde en firewall og antivirus software. Ved anvendelse af personoplysninger, skal der benyttes logning samt foretages registrering af alle afviste adgangsforsøg.

  • Databehandleren skal sikre, at alene medarbejdere med et arbejdsrelateret formål hertil, har adgang til personoplysningerne. Dermed må kun de personer, som autoriseres dertil, have adgang til den data, der behandles.

Den dataansvarlige har ret til at få udleveret en liste, som angiver hvilke ansatte hos databehandleren – og databehandlerens eventuelle underdatabehandlere – der har bruger-autorisation samt tilhørende kontrol til de personoplysninger, databehandleren behandler på vegne af den dataansvarlige.

  • Datalagringsmedier skal opbevares på forsvarlig vis, således disse ikke er tilgængelige for tredjemand. Der skal desuden udarbejdes instrukser for anvendelse og opbevaring af datalagringsmedierne.

  • I forbindelse med reparation og service af medier, der indeholder personoplysninger, samt ved kassation af anvendte medier, skal der træffes foranstaltninger for at sikre sikkerheden omkring personoplysningerne.

  • Bygninger og systemer, der anvendes i forbindelse med databehandlingen, skal være sikret, og der skal alene anvendes udstyr og programmel af høj kvalitet, som opdateres løbende.

  • Det skal sikres, at databehandlerens medarbejdere modtager passende uddannelse, fyldestgørende instruktioner i og retningslinjer for behandlingen af personoplysningerne. Databehandleren er forpligtet til at sikre, at de medarbejdere, der er involveret i behandlingen af personoplysningerne, er bekendt med sikkerhedskravene.

  • Inddata, som ikke indgår i en manuel sag eller et manuelt register, må kun anvendes af medarbejdere, som er beskæftiget med inddateringen. Inddatamateriale indeholdende fortrolige personhenførbare oplysninger, skal opbevares aflåst, når de ikke anvendes.

  • Uddatamateriale må kun anvendes af personer, der er beskæftiget med de formål, til hvilke behandlingen af personoplysningerne foretages.



2.6 Databehandleren er forpligtet til straks at give den dataansvarlige besked om driftsforstyrrelser eller risiko for sikkerhedsbrud. Kontaktoplysninger er angivet i pkt. 11.1.

2.7 Databehandleren skal på den dataansvarliges anmodning give den dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at de ovennævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet. Herved skal databehandleren give fysisk adgang til personoplysningerne, såfremt dette er påkrævet af den dataansvarlige. Personoplysninger som behandles på vegne af den dataansvarlige, må aldrig opbevares i usikre tredjelande.

Usikre tredjelande er de lande som ikke er angivet på følgende liste:
- EU-lande
- EØS-lande
- Andorra
- Argentina
- Australien (angår kun overførsel af personoplysninger vedrørende flypassagerer - se Kommissionens hjemmeside for yderligere oplysninger)
- Canada
- Færøerne
- Guernsey
- Isle of Man
- Israel
- Jersey
- New Zealand
- Schweiz
- Uruguay
- USA (overførsel af personoplysninger til organisationer (typisk virksomheder), der har tilsluttet sig EU - U.S. Privacy shield - se Kommissionens hjemmeside for yderligere oplysninger)

2.8 Databehandleren må ikke uden instruks fra den dataansvarlige videregive oplysninger, som databehandleren kommer i besiddelse af ved udførelsen af opgaven som databehandler. Databehandleren må ej heller bruge eller behandle oplysninger fra databehandleropgaven til egne formål eller til andre formål end de, som den dataansvarlige har fastsat. Såfremt databehandleren i modstrid med denne aftale behandler oplysninger til egne formål eller andre formål end de, som den dataansvarlige har fastsat, kræver det et selvstændigt retligt grundlag, og databehandleren vil få selvstændig status som dataansvarlig for den konkrete behandling.

2.9 Såfremt den dataansvarlige vurderer, at der skal foretages en konsekvensanalyse, jf. Databeskyttelsesforordningens art. 35, skal databehandleren medvirke til at foretage denne analyse, såfremt den dataansvarlige anmoder databehandleren herom. Dette omfatter blandt andet, at databehandleren på opfordring fra den dataansvarlige skal udlevere oplysninger, der måtte være nødvendige i forhold til udarbejdelse af konsekvensanalysen.

2.10 Databehandleren skal i følgende skema registrere den fysiske placering af personoplysningerne:

Leverandør

Datacenters placering
(fysisk adresse)

Primær


Skal udfyldes ved aftaleindgåelse


Skal udfyldes ved aftaleindgåelse

Back-up


Skal udfyldes ved aftaleindgåelse


Skal udfyldes ved aftaleindgåelse

Evt. Underdatabehandler


Skal udfyldes ved aftaleindgåelse


Skal udfyldes ved aftaleindgåelse



Databehandleren skal ajourføre oplysningerne over for den dataansvarlige ved enhver ændring af adresseangivelsen. Kontaktoplysninger til den dataansvarlige er angivet i pkt. 11.1.

Ovenstående sikkerhedsbestemmelser gælder ligeledes i det omfang databehandleren gør brug af hjemme- eller fjernarbejdspladser.

2.11 Databehandleren giver straks, og ikke senere end 14 dage efter modtagelsen af instruksen, besked til den dataansvarlige, hvis en instruks efter databehandlerens vurdering er i strid med lovgivningen.



3. Underdatabehandler

3.1 Ved underdatabehandler forstås en underleverandør, til hvem databehandleren har overladt hele eller dele af den behandling, som databehandleren foretager på vegne af den dataansvarlige.

3.2 I de tilfælde, hvor databehandleren ønsker at overlade personoplysninger til behandling hos en eller flere underdatabehandlere, kræves den dataansvarliges forudgående skriftlige samtykke hertil.

3.3 Såfremt skriftligt samtykke er opnået i overensstemmelse med ovennævnte pkt. 3.2, er det databehandlerens ansvar, at underdatabehandleren efterlever databehandleraftalen, idet aftalen også er gældende for disse.

3.4 Databehandleren skal have indgået databehandleraftaler med underdatabehandleren på tilsvarende vilkår, som de krav, der stilles i medfør af lovgivningen samt øvrige krav i medfør af nærværende databehandleraftale.

3.5 Efter anmodning fra den dataansvarlige skal databehandleren levere en kopi af de underdatabehandleraftaler, som databehandleren anvender i forbindelse med opfyldelse af sine forpligtelser over for den dataansvarlige.

3.6 Det er databehandlerens ansvar at sikre, at underdatabehandleren kan levere den tilstrækkelige ekspertise, pålidelighed og ressourcer til at kunne implementere de passende tekniske og organisatoriske foranstaltninger således, at underdatabehandlerens behandling sikrer beskyttelse af den registreredes rettigheder og opfylder de krav, som følger af lovgivningen.



4. Tavshedspligt og fortrolighed

4.1 Databehandleren er, under og efter aftalens ophør, pålagt fuld tavshedspligt omkring samtlige oplysninger, denne bliver bekendt med gennem samarbejdet. Det pålægger databehandleren at sikre, at samme tavshedspligt er pålagt databehandlerens medarbejdere og eventuelle underdatabehandlere.

4.2 Oplysninger, data og/eller materiale som databehandleren får kendskab til i forbindelse med adgangen til de personoplysninger, som skal behandles, må udelukkende anvendes til løsning af den konkrete opgave, som er aftalt med den dataansvarlige.

4.3 Databehandleren skal sikre, at alle oplysninger, data og materiale fra den dataansvarlige opbevares fortroligt og på en sådan måde, at det udelukkende er personer, som indgår i løsningen af opgaven, der får adgang til disse.



5. Behandling i andre lande

5.1 Databehandlerens overførsel af personoplysninger til lande, der ikke er medlem af EU eller EØS (herefter benævnt ”tredjelande”), f.eks. via en cloud-løsning eller en underdatabehandler, kræver den dataansvarliges skriftlige samtykke.

5.2 Såfremt der foretages overførsel af personoplysninger til tredjelande, skal der foreligge et gyldigt overførselsgrundlag.

5.3 Hvis databehandleren efter forudgående skriftligt samtykke fra den dataansvarlige foretager databehandling i et tredjeland, skal databehandleren sikre, at reglerne i Databeskyttelsesforordningens kapitel V (Artikel 44-50) er overholdt.



6. Inspektion, tilsyn og kontrol

6.1 I tilfælde af at den dataansvarlige, den dataansvarliges repræsentant (såvel intern som ekstern) og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en fysisk inspektion hos databehandleren, forpligter databehandleren sig til at stille sig til rådighed for en sådan inspektion.

6.2 Ved indgåelse af databehandleraftalen skal databehandleren fremsende en intern overordnet audit-rapport, evt. med databehandlerens interne sikkerhedspolitik som bilag, til den dataansvarlige. Rapporten vil indgå i databehandleraftalen som bilag 1.


6.3 Derudover kan tilsyn og kontrol ske ved, at den dataansvarlige årligt anmoder databehandleren om at indhente en revisionserklæring (ISAE-erklæring eller tilsvarende efter nærmere aftale med den dataansvarlige), der er udarbejdet af en uafhængig ekspert, på grundlag af en anerkendt standard. Revisionserklæringen skal afleveres til den ansvarliges faglige og administrative kontraktperson, jf. afsnit 11.1. Udgifterne til revisionserklæringen, afholdes af databehandleren.


6.4 Den dataansvarlige og dennes repræsentant har herudover adgang til at føre tilsyn, herunder fysisk tilsyn, ved databehandleren eller dennes underdatabehandlere, når der efter den dataansvarliges vurdering opstår behov herfor. Udgiften i forbindelse med et fysisk tilsyn afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer, der er nødvendige for, at den dataansvarlige kan gennemføre sit tilsyn, jf. pkt. 6.1.



7. Underretningspligt

7.1 Databehandleren er forpligtet til uden unødig forsinkelse og senest inden for 24 timer at underrette den dataansvarlige skriftligt ved kendskab til enhver afvigelse i forhold til databehandleraftalens indhold, f.eks.:

  • Ved enhver fravigelse fra givne instrukser,

  • Ved enhver mistanke om brud på fortroligheden,

  • Ved enhver mistanke om misbrug, fortabelse og forringelse af data.

7.2 Ved enhver mistanke om alvorlig misligholdelse af databehandleraftalen skal den dataansvarlige uden yderligere ophold underrettes herom.



8. Erstatning

8.1 Såfremt en registreret kræver erstatning for materiel eller immateriel skade finder Databeskyttelsesforordningens art. 82 anvendelse.

8.2 Ved enhver mistanke om misligholdelse af databehandleraftalen, herunder databehandlerens forpligtelser, skal den dataansvarlige uden ugrundet ophold underrettes herom.

8.3 Databehandleren skal skadesløsholde den dataansvarlige for enhver form for sagsanlæg, dokumenteret krav, omkostninger (herunder rimelige udgifter til advokatbistand), tab, ansvar, udgifter eller skader, som er en følge af databehandlerens misligholdelse af denne aftale.



9. Ændringer i aftalen

9.1 Den dataansvarlige kan til enhver tid, med et forudgående varsel på mindst 30 dage foretage ændringer i instruksen. Databehandleren skal ved sådanne ændringer uden ugrundet ophold sikre, at Underdatabehandlerne tillige forpligtes af ændringerne.

9.2 I det omfang ændringerne i lovgivningen eller tilhørende praksis giver anledning hertil, er den Dataansvarlige med et varsel på 30 dage, berettiget til at foretage ændringer i aftalen.

9.3 Såfremt vilkårene i databehandlerinstruksen, jf. pkt. 1.3, ændrer sig, skal databehandleren informere den dataansvarlige om dette uden yderligere ophold og senest inden for 10 dage. Herefter kan den dataansvarlige vælge at opsige aftalen med øjeblikkelig virkning eller indgå en ny databehandleraftale med tilhørende databehandlerinstruks. Alternativt kan der, såfremt der er enighed mellem parterne, udarbejdes et ændringsbilag til denne databehandleraftale, hvori de nye vilkår angives.



10. Håndtering af personoplysninger efter databehandleraftalens ophør

10.1 Databehandleren forpligter sig til at sikre, at personoplysningerne tilbageleveres og/eller slettes, når databehandlingen i henhold til databehandleraftalen skal ophøre, dog bortset fra personoplysninger, som databehandleren er forpligtet til at opbevare i medfør af EU ret eller national lovgivning.

10.2 Det påhviler den dataansvarlige at oplyse databehandleren om det tidspunkt, hvor opbevaring af den dataansvarliges personoplysninger skal ophøre. Det tilkommer herefter databehandleren at tilbagelevere og slette personoplysningerne ved det oplyste tidspunkt.

10.3 Såfremt personoplysningerne skal tilbageleveres, skal den dataansvarlige, senest to uger før tilbageleveringstidspunktet, anvise en metode hertil. Såfremt personoplysningerne skal slettes, skal databehandleren beskrive den påtænkte fremgangsmåde for sletning, senest to uger før databehandlingen skal ophøre. Såfremt den dataansvarlige ikke finder metoden tilstrækkelig effektiv, skal dette meddeles til databehandleren senest to uger efter at beskrivelsen er modtaget, og den dataansvarlige skal meddele databehandleren hvilken metode, der anses for tilstrækkelig effektiv.

10.4 Ved anmodning fra den dataansvarlige, skal databehandleren fremsende en skriftlig erklæring på, at personoplysningerne er slettet som aftalt.

10.5 Såfremt den dataansvarlige ikke tager stilling til, hvorvidt personoplysningerne skal slettes eller tilbageleveres, er databehandleren berettiget til på det tidspunkt, hvor databehandlingen skal ophøre jf. instruksen i pkt. 1.3, at sende en beskrivelse af, hvordan personoplysningerne påtænkes slettet til den dataansvarliges kontaktperson, jf. pkt. 11.1, og hvis den dataansvarlige ikke reagerer herpå inden 4 uger, er databehandleren berettiget til at slette personoplysningerne i overensstemmelse med den beskrevne måde.






11. Kontaktpersoner

11.1 Følgende personer hos parterne er kontaktpersoner i relation til daglige spørgsmål om informationssikkerhed, herunder ansvaret for styring af, kontrol med og varsling ved forsendelse og transmittering af personoplysninger:

Aalborg Universitet
Sikkerhedsansvarlig
E-mail: xxxx@xxx.xx
Tlf. nr.: 00 00 00 00



Databehandleren
Navn/funktion
E-mail:
Xxx.xx.:



12. Ikrafttræden og varighed

12.1 Databehandleraftalen træder i kraft på datoen for begge parters underskrivelse heraf.

12.2 Databehandleren er berettiget til ved skriftlig meddelelse til den dataansvarlige at opsige databehandleraftalen med en måneds skriftligt varsel, dog betinget af at den ovennævnte beskrevne dokumentation vedrørende håndtering af personoplysningerne efter databehandleraftalens ophør er modtaget og accepteret af den dataansvarlige, jf. pkt. 10.

12.3 Denne databehandleraftale har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne, herunder også hovedaftalen som angivet i pkt. 1.1.

12.4 Uanset hovedaftalens formelle aftaleperiode, jf. pkt. 1.1., skal denne databehandleraftale gælde så længe som databehandleren behandler den dataansvarliges data.



13. Formkrav

13.1 Aftalen skal foreligge skriftligt, herunder elektronisk hos den dataansvarlige og databehandleren.



14. Lovvalg og værneting

14.1 Databehandleraftalen er undergivet dansk ret.

14.2. Såfremt der opstår en uoverensstemmelse mellem parterne, kan hver af parterne kræve uoverensstemmelsen afgjort ved Voldgiftsinstituttet efter de af instituttet vedtagne regler for behandling af voldgiftssager.





Databehandleraftalen skal underskrives af den, som har autorisation hertil i henhold til delegationsinstruksen. Gyldig underskrift foretages således af en leder på delegationsniveau 3.

Såfremt der foretages ændringer af de vilkår, som er angivet i denne skabelon til databehandleraftaler, skal der foretages kontrasignering af den endelige Databehandleraftale. Gyldig kontrasignering skal foretages ved AAUs DPO







Underskrifter



For den dataansvarlige For databehandleren:

Dato: Dato:





_____________________________ ______________________________
Navn, titel Navn, titel





Evt. kontrasignering – se ovenfor med rødt



For den dataansvarlige

Dato:





_____________________________

Version 2.0 Side 14 af 14

Document Metadata

Filed: May 29th, 2018