DATABEHANDLERAFTALE DATO : 26. JUNI 2020
Denne databehandleraftale er baseret på et aftaleformat som Forsikringsmæglerforeningen har udarbejdet til brug for Forsikringsmæglerforeningens medlemsvirksomheder
DATABEHANDLERAFTALE DATO : 26. JUNI 2020
INDHOLDSFORTEGNELSE
Overskrift Side
1. AFTALENS BAGGRUND OG FORMÅL 1
2. KUNDENS INSTRUKS TIL FORSIKRINGSMÆGLEREN 2
5. KONTROLLER OG ERKLÆRINGER 3
6. BRUG AF UNDERDATABEHANDLERE 3
7. OVERFØRSEL TIL TREDJELANDE 4
8. TAVSHEDSPLIGT OG FORTROLIGHED 4
9. FORSIKRINGSMÆGLERENS PERSONOPLYSNINGER 4
11. OVERDRAGELSE, MISLIGHOLDELSE, ANSVARSBEGRÆNSNING, LOVVALG OG VÆRNETING 5
BILAGSFORTEGNELSE
Bilag 1: Beskrivelse af typen af personoplysninger samt kategorien af personer, der behandles, tillige med behandlingens karakter og formål
Bilag 2: Beskrivelse af Forsikringsmæglerens tekniske og organisatoriske sikkerhedsforanstaltninger
Bilag 3: Underdatabehandlere der anvendes af Forsikringsmægleren
DENNE DATABEHANDLERAFTALE er indgået den 23. maj 2018 MELLEM
X
(”Kunden”) og
CareRisk P/S
Xxxxx Xxxxxx Vej 40F 8230 Åbyhøj (”Forsikringsmægler”)
(Xxxxxx og Forsikringsmæglerne hver for sig en ”Part” eller ”Parten” og sammen ”Parter” eller ”Parterne”)
1. AFTALENS BAGGRUND OG FORMÅL
1.1. Parterne har indgået aftale om Forsikringsmæglernes levering til Kunden af forsikringsmæglerserviceydelser (”Ydelserne”), som beskrevet i Samarbejdsaftale af 27.11.2015 ("Samarbejdsaftalen").
1.2. Som led i levering af Ydelserne vil Kunden overlade personoplysninger til Forsikringsmægleren, og/eller Forsikringsmægleren vil som led i levering af Ydelserne indsamle og behandle personoplysninger på Kundens vegne (”Kundens Personoplysninger”). I denne relation er Forsikringsmægleren databehandler jfr. pkt. 2. I Bilag 1 er indeholdt en nærmere beskrivelse af typen af personoplysninger samt kategorien af personer, der behandles, tillige med en beskrivelse af behandlingens karakter og formål.
1.3. Forsikringsmægleren vil – efter omstændighederne og afhængig af Samarbejdsaftalen – skulle yde personlig rådgivning og bistand til Kundens ansatte, herunder i forbindelse med rådgivning om samt etablering og vedligeholdelse af personlige forsikringsaftaler samt bistand ved skadesbegivenheder. I relation til denne rådgivning og bistand er Forsikringsmægleren efter omstændighederne dataansvarlig jfr. pkt. 9.
1.4. Med nærværende Aftale ønsker parterne at etablere deres respektive forpligtelser og rettigheder i relation til behandlingen af Kundens Personoplysninger Jfr. Aftalens pkt. 2-8 og 10-12. I Aftalens pkt. 9 er reguleret den situation hvor Forsikringsmægleren måtte optræde som dataansvarlig i relation til oplysninger om Kundens ansatte ("Forsikringsmæglerens Personoplysninger").
1.5. Parterne er gensidigt forpligtede til i enhver behandling af personoplysninger at overholde den til enhver tid gældende persondatalovgivning i Danmark; for nuværende særligt Persondataloven (lov nr. 421 af 31. maj 2000 med senere ændringer) indtil den ophæves, Sikkerhedsbekendtgørelsen (bekendtgørelse 528/2000 med senere ændringer) i det omfang, denne finder anvendelse efter sit indhold, og Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF samt lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger samt sådan anden lovgivning, der implementerer eller supplerer disse regler (”Databeskyttelseslovgivningen”).
2. KUNDENS INSTRUKS TIL FORSIKRINGSMÆGLEREN
2.1. Forsikringsmægleren er databehandler for Kundens Personoplysninger, som Forsikringsmægleren behandler for og på vegne af Kunden.
2.2. Forsikringsmægleren behandler alene Kundens Personoplysninger i det omfang det er nødvendigt for at levere Ydelserne i overensstemmelse med Samarbejdsaftalen og bilag 1 og i henhold til den til enhver tid dokumenterede instruks fra Kunden (”Instruksen”). Samarbejdsaftalen samt nærværende Aftale med bilag udgør Instruksen på underskriftstidspunktet.
2.3. Forsikringsmægleren skal underrette Xxxxxx, hvis Instruksen efter Forsikringsmæglerens vurdering er i strid med Databeskyttelseslovgivningen.
2.4. Ændringer til og udvidelser af Instruksen, der ikke er forudsat i Samarbejdsaftalen, samt implementeringen heraf skal i rimelig tid forinden implementeringen drøftes mellem Parterne. Forsikringsmægleren er berettiget til vederlag for det tidsforbrug samt de øgede omkostninger ved leveringen af Ydelserne ændringen af Instruksen indebærer.
2.5. Forsikringsmægleren kan behandle Kundens Personoplysninger udenfor Instruksen i tilfælde, hvor det kræves i henhold til EU-retten eller national ret, som Forsikringsmægleren er underlagt. Ved behandling af Kundens Personoplysninger udenfor Instruksen skal Forsikringsmægleren underrette Xxxxxx herom, medmindre det vil være i strid med EU-retten eller den nationale ret.
2.6. Forsikringsmægleren er berettiget til, i det omfang det er nødvendigt for at kunne dokumentere levering af Ydelserne eller forsvare sig mod retskrav, at bevare en kopi af Kundens Personoplysninger. Kundens Personoplysninger må i så fald udelukkende behandles til de anførte formål.
3. KUNDENS FORPLIGTELSER
3.1. Kunden er dataansvarlig for Kundens Personoplysninger.
3.2. Xxxxxx har ansvaret for at have hjemmel efter Databeskyttelseslovgivningen til den behandling af Kundens Personoplysninger, der sker i henhold til Instruksen. Kunden har herunder forpligtelsen t i l at s i kre, at der i det omfang, det kræves af Databeskyttelseslovgivningen, foreligger fornødent samtykke fra de omhandlede personer.
3.3. K u n d e n h a r a n s v a r e t f o r o p f y l d e l s e a f p e r s o n e r s r e t t i g h e d e r e f t e r Databeskyttelseslovgivningen. Modtager Forsikringsmægleren anmodninger fra de omhandlede personer vedrørende Kundens Personoplysninger, skal Forsikringsmægleren uden ugrundet ophold underrette Kunden herom. Forsikringsmægleren skal, i fornødent omfang og så vidt muligt, bistå Kunden med opfyldelse af Kundens forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder, herunder om indsigt, berigtigelse, begrænsning, sletning, indsigelse og dataportabilitet. Forsikringsmægleren er berettiget til vederlag for tidsforbrug og omkostninger forbundet hermed.
4. BEHANDLINGSSIKKERHED
4.1. Forsikringsmægleren skal gennemføre passende tekniske og organisatoriske foranstaltninger med henblik på at forhindre Kundens Personoplysninger mod a) utilsigtet eller ulovlig destruktion, tab eller ændring, b) uautoriseret offentliggørelse, adgang eller misbrug, eller c) anden ulovlig behandling. Forsikringsmægleren garanterer at ville gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i Databeskyttelseslovgivningen.
4.2. Forsikringsmægleren har på underskriftstidspunktet implementeret de i Bilag 2 beskrevne tekniske og organisatoriske sikkerhedsforanstaltninger. Parterne er enige om, at disse foranstaltninger på underskriftstidspunktet opfylder garantien i pkt. 4.1.
4.3. Forsikringsmægleren skal uden unødig forsinkelse underrette Xxxxxx om ethvert brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til Kundens Personoplysninger (”Sikkerhedsbrud”). Underretningen skal indeholde en beskrivelse af i) karakteren af Sikkerhedsbruddet, herunder om muligt kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger; ii) de sandsynlige konsekvenser af Sikkerhedsbruddet; og iii) de foranstaltninger, der er truffet eller foreslået af Forsikringsmægleren med henblik på at afhjælpe Sikkerhedsbruddet, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
4.4. Forsikringsmægleren skal efter anmodning bistå Kunden med at sikre overholdelse af krav om anmeldelse af og underretning om Sikkerhedsbrud til den kompetente tilsynsmyndighed og/ eller registrerede. I det omfang Sikkerhedsbruddet ikke kan tilregnes Forsikringsmægleren, er Forsikringsmægleren berettiget til vederlag for tidsforbrug og omkostninger forbundet hermed.
4.5. Forsikringsmægleren skal i fornødent omfang og på Kundens anmodning bistå Kunden med gennemførelse af konsekvensanalyser og forudgående høring af tilsynsmyndigheden. Forsikringsmægleren er berettiget til vederlag for tidsforbrug og omkostninger forbundet hermed.
5. KONTROLLER OG ERKLÆRINGER
5.1. Forsikringsmægleren skal på Kundens anmodning stille de nødvendige oplysninger til rådighed for Kunden, så denne kan påse, at Forsikringsmægleren som databehandler for Kundens Personoplysninger overholder; i) sine forpligtelser i henhold til Aftalen og; ii) bestemmelserne i den til enhver tid gældende Databeskyttelseslovgivning.
5.2. Forsikringsmægleren skal give mulighed for og bidrage til, at Kunden, eller en revisor, som er bemyndiget af Kunden, har adgang til at foretage revisioner, herunder inspektioner hos Forsikringsmægleren, med henblik på at konstatere, at Forsikringsmægleren overholder de i punkt 5.1 anførte forpligtelser Forsikringsmægleren er berettiget til vederlag for tidsforbrug og omkostninger forbundet hermed, medmindre revisionen konkluderer, at Forsikringsmægleren væsentligt har misligholdt sine forpligtelser i Aftalen. I denne situation er Forsikringsmægleren ikke berettiget til at fakturere sin arbejdstid.
6. BRUG AF UNDERDATABEHANDLERE
6.1. Forsikringsmægleren har ved underskrivelsen af nærværende aftale oplyst at gøre brug af de i Bilag 3 anførte underdatabehandlere. Kunden har godkendt, at denne brug af underdatabehandlere er omfattet af Instruksen.
6.2. Forsikringsmægleren underretter Kunden om eventuelle planlagte tilføjelser eller erstatninger af underdatabehandlere og giver Kunden mulighed for inden for rimelig frist at gøre indsigelse mod sådanne ændringer.
6.3. Hvis Forsikringsmægleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af Kunden, pålægges underdatabehandleren tilsvarende databeskyttelsesforpligtelser som dem, der er fastsat i Aftalen, gennem en kontrakt eller et andet retligt dokument, hvorved der navnlig stilles de fornødne garantier for, at de vil gennemføre de passende og tekniske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i Databeskyttelseslovgivningen.
6.4. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Forsikringsmægleren fuldt ansvarlig over for Kunden for opfyldelsen af underdatabehandlerens forpligtelser.
7. OVERFØRSEL TIL TREDJELANDE
7.1. Forsikringsmægleren må ikke forårsage eller tillade, at Kundens Personoplysninger overføres til lande uden for Det Europæiske Økonomiske Samarbejdsområde (EØS), medmindre en sådan overførsel er forudsat i Instruksen, eller Kunden har givet sit forudgående skriftlige samtykke til en sådan overførsel.
7.2. I det omfang Kunden i overensstemmelse med punkt 7.1 har tilladt en overførsel af Kundens Personoplysninger, skal Forsikringsmægleren sikre sig, at der er et gyldigt overførselsgrundlag iht. Databeskyttelseslovgivningen.
8. TAVSHEDSPLIGT OG FORTROLIGHED
8.1. Forsikringsmægleren skal behandle Kundens Personoplysninger fortroligt. Forsikringsmægleren skal sikre, at de personer, der er autoriseret til at behandle Kundens Personoplysninger, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
8.2. Forsikringsmægleren forpligter sig til at sikre, at adgangen til Kundens Personoplysninger begrænses til de medarbejdere, for hvem det er nødvendigt at behandle Kundens Personoplysninger for at kunne opfylde Forsikringsmæglerens forpligtelser over for Kunden.
8.3. Forsikringsmæglerens forpligtelser i henhold til denne bestemmelse gælder uden tidsbegrænsning, og uanset om Parternes samarbejde er ophørt.
9. FORSIKRINGSMÆGLERENS PERSONOPLYSNINGER
9.1. Nærværende pkt. 9 finder anvendelse i de tilfælde hvor Forsikringsmægleren optræder som rådgiver i forhold til Xxxxxxx ansatte og dermed efter omstændighederne indtager rollen som dataansvarlig i forhold til visse af Kundens ansattes personoplysninger.
9.2. Forsikringsmægleren skal efter omstændighederne yde personlig rådgivning og bistand til Xxxxxxx ansatte i forbindelse med etablering og vedligeholdelse af den ansattes personlige forsikrings og pensionsaftaler samt bistand ved skades og pensionsbegivenheder.
9.3. Til brug herfor vil Forsikringsmægleren indsamle personoplysninger om den ansatte fra den ansatte selv og i henhold til samtykke fra den ansatte tillige fra tredjeparter (såsom forsikringsleverandører, læger mv.).
9.4. Den ansatte vil ligeledes give Forsikringsmægleren samtykke til at indhente oplysninger fra Kunden som arbejdsgiver for den ansatte, herunder at gøre brug af de personoplysninger om den ansatte, som Forsikringsmægleren har modtaget fra Kunden, og som er nødvendige for at Forsikringsmægleren kan rådgive og bistå Kundens ansatte.
9.5. Betinget af, at den ansatte har givet Forsikringsmægleren samtykke kan Forsikringsmægleren, som dataansvarlig, indsamle og behandle de personoplysninger om den ansatte som Xxxxxx har overladt til Forsikringsmægleren, og som er nødvendige for, at Forsikringsmægleren kan opfylde sin rådgivnings og bistandsforpligtelse over for Kundens ansatte.
9.6. Parterne er bevidste om, at Forsikringsmægleren derved kan indsamle og behandle personoplysninger, som delvist måtte være identiske med en del af Kundens Personoplysninger. Parterne ønsker med denne aftale at klarlægge deres respektive ansvar efter Databeskyttelseslovgivningen.
9.7. Forsikringsmægleren er dataansvarlig for Forsikringsmæglerens Personoplysninger.
9.8. Forsikringsmægleren har ansvaret for at have hjemmel efter Databeskyttelses-lovgivningen til behandlingen af Forsikringsmæglerens Personoplysninger i relation til rådgivning og bistand til Kundens ansatte.
9.9. Forsikringsmægleren har herunder forpligtelsen til at sikre, at der i det omfang, det kræves af Databeskyttelseslovgivningen, foreligger fornødent samtykke fra Kundens ansatte til Forsikringsmæglerens behandling af personoplysninger som dataansvarlig.
9.10. Forsikringsmægleren har i relation til Forsikringsmæglerens Personoplysninger ansvaret for opfyldelse af personers rettigheder efter Databeskyttelseslovgivningen. Forsikringsmægleren har herunder forpligtelsen til at sikre, at Kundens ansatte har modtaget den information om Forsikringsmæglerens indsamling og behandling af personoplysninger som dataansvarlig som kræves af Databeskyttelseslovgivningen.
9.11. Modtager Forsikringsmægleren en rettighedsbegæring fra en af Kundens ansatte, som relaterer sig til den behandling af personoplysninger som Forsikringsmægleren er dataansvarlig for, opfylder Forsikringsmægleren begæringen som dataansvarlig. Er der tvivl om hvorvidt rettighedsbegæringen relaterer sig til den behandling Forsikringsmægleren foretager som dataansvarlig eller den behandling Forsikrings-mægleren foretager som databehandler for Kunden beder Forsikringsmægleren, den pågældende der har indgivet rettighedsbegæringen, præcisere hvilken behandling begæringen vedrører, og orienterer uden unødigt ophold Kunden om rettighedsbegæringen.
9.12. Overdragelse af Forsikringsmæglerens Personoplysninger fra Forsikringsmægleren til Kunden kan kun ske i det omfang det har fornøden hjemmel i Databeskyttelses-lovgivningen.
10. VARIGHED OG OPHØR
10.1. Aftalen træder i kraft ved Parternes underskrift og er gældende frem til Samarbejdsaftalen ophører.
10.2. Uanset punkt 10.1 gælder Aftalen, så længe Forsikringsmægleren er i besiddelse af nogen af Kundens Personoplysninger som databehandler.
10.3. I tilfælde af Samarbejdsaftalens ophør uanset årsag skal Forsikringsmægleren efter Kundens valg slette eller tilbagelevere alle Kundens Personoplysninger til Kunden, og slette eksisterende kopier, medmindre Databeskyttelseslovgivningen, EU-retten eller en EU medlemsstats nationale ret, foreskriver opbevaring af Kundens Personoplysninger. Uanset det foranstående er Forsikringsmægleren berettiget til, i det omfang det er nødvendigt for at kunne dokumentere levering af Ydelserne eller forsvare sig mod retskrav, at gemme en kopi af Kundens Personoplysninger. Kundens Personoplysninger må i så fald udelukkende behandles til de anførte formål. Intet heri skal forhindre Forsikringsmægleren i at beholde og opbevare Forsikrings-mæglerens Personoplysninger i overensstemmelse med Databeskyttelsesretten.
10.4. Forsikringsmægleren er ikke berettiget til at udøve tilbageholdsret i Kundens Personoplysninger for krav, herunder betaling af udestående fakturaer mm., som Forsikringsmægleren måtte have i forhold til Xxxxxx.
11. OVERDRAGELSE, MISLIGHOLDELSE, ANSVARSBEGRÆNSNING, LOVVALG OG VÆRNETING
11.1. Samarbejdsaftalens bestemmelser om overdragelse, misligholdelse og ansvarsbegrænsning, lovvalg og værneting skal også gælde denne Aftale. Såfremt Samarbejdsaftalen ikke regulerer Parternes ansvarsfordeling, skal dansk rets almindelige regler herfor finde anvendelse.
12. FORRANG
12.1. Såfremt, der er modstrid mellem Samarbejdsaftalen og denne Aftales bestemmelser om behandling af Personoplysninger, har nærværende Aftale forrang.
13. UNDERSKRIFTER
13.1. Aftalen underskrives i 2 originaleksemplarer, ét til hver af Parterne.
, den xx.xx.xxxx | Åbyhøj, den xx.xx.xxxx | |
Navn: Titel: | Navn: Xxxxx Xxxxxxxxx Titel: Direktør |
BILAG 1
Beskrivelse af typen af personoplysninger samt kategorien af personer, der behandles, tillige med behandlingens karakter og formål
Til brug for gennemførelse af forsikringsanalyse og vurdering af Kundens dækningsbehov samt til efterfølgende udfærdigelse af udbudsmateriale på grundlag af hvilket der kan indhentes tilbud fra forsikringsleverandører, i hvilken forbindelse personoplysninger kan videregives til forsikringsleverandører, samt efterfølgende løbende administration og rådgivning til Kunden modtager Forsikringsmægleren fra Kunden og – i henhold til fuldmagt fra Kunden – fra Kundens eksisterende forsikringsleverandører - følgende typer af personoplysninger:
Kategorier af personer | • Kundens ansatte |
Kategorier af personoplysninger | Almindelige personoplysninger: • Navn • Adresse • Telefonnummer • Stilling • Ansættelses og fratrædelsesdato • Dækninger • Skadeshistorik Særlige kategorier af personoplysninger: • Fagforeningsmæssigt tilhørsforhold • Helbredsoplysninger Xxxxx oplysninger: • CPR-nummer |
BILAG 2:
Beskrivelse af Forsikringsmæglerens tekniske og organisatoriske sikkerhedsforanstaltninger
Forsikringsmægleren skal gennemføre passende tekniske og organisatoriske foranstaltninger med henblik på at forhindre Kundens Personoplysninger mod a) utilsigtet eller ulovlig destruktion, tab eller ændring, b) uautoriseret offentliggørelse, adgang eller misbrug, eller c) anden ulovlig behandling.
Sikkerhedsforanstaltninger fastsættes under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene for de omfattede personers rettigheder og frihedsrettigheder
Forsikringsmægleren har på underskriftstidspunktet implementeret de nedenfor beskrevne tekniske og organisatoriske sikkerhedsforanstaltninger. Parterne er enige om, at disse foranstaltninger på underskriftstidspunktet opfylder garantien i pkt. 4.1.
Sikkerhedsforanstaltning | Beskrivelse |
Fysik sikkerhed | • Servere og andet udstyr hvorpå der behandles personoplysninger befinder sig i aflåst rum • Oplysninger på papir eller andet fysiks eller manuelt medie opbevares aflåst når de ikke er i brug |
Systemsikkerhed | • Servere og kommunikationslinjer er beskyttet af markedskonform firewall og virusbeskyttelse • Cloudbaseret database benyttes |
Organisatorisk sikkerhed | • Adgang til personoplysninger er begrænset til ansatte og andre , der har et sagligt behov for adgang til oplysningerne • Ansatte og andre der skal have adgang til oplysningerne modtager et unikt og personligt password • Password må ikke overdrages eller overlades til andre • Der er etableret procedurer for ajourføring og deaktivering af tildelte passwords såvel periodisk som ved fratrædelser og andre rolleskift • Alle ansatte er pålagt tavshedspligt • Ansatte der behandler persondata modtager instruktion og træning i beskyttelse af persondata • Der anvendes alene databehandlere, der kan garantere at have gennemført sikkerhedsforanstaltninger, der opfylder kravene i Databeskyttelseslovgivningen. Der indgås altid skriftlig aftale med databehandlere |
Data sikkerhed | • Personoplysningerne er cloud beskyttet i CRM • Der foretages logning af adgang til data |
BILAG 3:
Underdatabehandlere der anvendes af Forsikringsmægleren
Forsikringsmægleren har ved underskrivelsen af nærværende aftale oplyst at gøre brug af de nedenfor anførte underdatabehandlere. Kunden har godkendt, at denne brug af underdatabehandlere er omfattet af Instruksen.
Navn og CVR nr. | Adresse | Persondatabehandling der f o r e s t å s a f u n d e r d a t a - behandleren |
Udskiftning af de anførte databehandlere samt udpegelse af nye databehandlere sker under iagttagelse af Aftalens pkt. 6.