Databehandleraftale

Databehandleraftale vedrørende VandData

Databehandleraftale

mellem

Konkurrence- og Forbrugerstyrelsen
Xxxx Xxxxxxxxx Xxx 00

2500 Valby

CVR-nr.: 10294819

(som dataansvarlig, i det følgende benævnt ”Kunden”)

og

[Leverandør]

[Adresse]

[Postnummer og by]

CVR-nr.: [….]

(som databehandler, i det følgende benævnt ”Leverandøren”)

om behandling af personoplysninger i forbindelse med vedligeholdelse og videreudvikling af VandData.

Indhold

1 Om databehandleraftalen 3

2 Behandling af personoplysninger 3

3 Krav til leverandøren 4

4 Kontroller og revision 6

5 Leverandørens underretning til kunden om sikkerhedsbrud m.v. 7

6 Leverandørens brug af underleverandør (underdatabehandler) 8

7 Overførsel af personoplysninger til tredjelande eller internationale organisationer 9

8 Fortegnelse 9

9 Tavshedspligt og fortrolighed 9

10 Misligholdelse og erstatningspligt 10

11 Varighed og ophør af databehandleraftalen 10

12 Forrang 11

13 Meddelelser og underretning 11

14 Overdragelse af databehandleraftalen 11

15 Ændringer til databehandleraftalen 11

16 Vederlag 12

17 Underskrift 13

Bilag 1 - Instruks 14

Bilag 2 - Underleverandører (underdatabehandlere) 16

Bilag 3 - Kontaktpersoner 17

Bilag 4 - Kontrol og revision 18

Bilag 5 - Underretning om sikkerhedsbrud 19

1Om databehandleraftalen

1. Denne databehandleraftale (”Databehandleraftalen”) indgås i tilknytning til den imellem parterne indgåede Rammekontrakt af [dato] om vedligeholdelse og videreudvikling af løsningen VandData (”Hovedkontrakten”). Databehandleraftalen fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige.

2. Kunden er dataansvarlig, og Leverandøren er databehandler, i forbindelse med de i Databehandleraftalen angivne behandlinger af personoplysninger.

3. Leverandørens behandling af personoplysninger i medfør af Databehandleraftalen skal overholde reglerne i den til enhver tid gældende danske og europæiske databeskyttelsesret samt vilkårene i Databehandleraftalen.

4. Behandlingen er omfattet af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (”databeskyttelsesforordningen”) samt øvrig national lovgivning, som supplerer databeskyttelsesforordningen, herunder navnlig databeskyttelsesloven.

5. Leverandøren må ikke påbegynde behandling af personoplysninger, forinden Databehandleraftalen er indgået.

2Behandling af personoplysninger

1. Leverandøren må alene foretage behandling af personoplysninger i henhold til Databehandleraftalen efter dokumenteret instruks fra Kunden, jf. Bilag 1, samt vilkårene i Databehandleraftalen.

2. Leverandøren behandler de typer af personoplysninger og til de formål, som fremgår af Bilag 1. Personoplysningerne angår de i Bilag 1 oplistede kategorier af datasubjekter.

3. Leverandøren må ikke behandle de i Bilag 1 nævnte personoplysninger til andre formål end angivet i Databehandleraftalen, medmindre Leverandøren er forpligtet hertil efter EU-retten eller lovgivningen i den medlemsstat, som Leverandøren er underlagt. I givet fald skal Leverandøren skriftligt underrette Kunden om denne juridiske forpligtelse, forinden behandlingen påbegyndes, medmindre pågældende lovgivning på baggrund af vigtige samfundsinteresser forbyder en sådan underretning.

4. Leverandøren skal omgående underrette Xxxxxx, hvis Kundens instruks efter Leverandørens mening er i strid med gældende databeskyttelsesret.

5. Leverandøren skal dokumentere, at denne overholder Xxxxxxx instruks, jf. bestemmelserne i punkt 4.

6. Leverandøren er ikke berettiget til at opbevare personoplysninger i længere tid, end hvad der er nødvendigt i forhold til opfyldelse af de formål, hvortil personoplysningerne behandles, jf. Bilag 1.

7. Leverandøren skal sikre, at enhver fysisk person, der udfører arbejde for Leverandøren eller Leverandørens eventuelle underleverandører, og som får adgang til personoplysninger omfattet af Databehandleraftalen, kun behandler disse personoplysninger i henhold til Xxxxxxx instruks, medmindre anden behandling kræves i henhold til EU-retten eller national ret.

8. Parternes kontaktpersoner i henhold til Databehandleraftalen fremgår af Bilag 3.

3Krav til leverandøren

1. Leverandøren garanterer at kunne levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at kunne implementere de passende tekniske og organisatoriske foranstaltninger med henblik på at opfylde kravene til behandling af personoplysninger i gældende databeskyttelsesret.

2. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne, samt behandlingens karakter, omfang, sammenhæng og formål, samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører Leverandøren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandlingen udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til de personoplysninger, som Leverandøren behandler i medfør af Databehandleraftalen.

3. Ovenstående forpligtelse indebærer, at Leverandøren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder blandt andet, alt efter hvad der er relevant, være tale om følgende foranstaltninger:

1. Pseudonymisering og kryptering af personoplysninger

2. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester

3. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse

4. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske sikkerhedsforanstaltninger til sikring af behandlingssikkerhed.

Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandlingen udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

4. Leverandøren skal endvidere i alle tilfælde overholde og implementere de af Kunden eventuelt yderligere fastsatte krav til sikkerhedsforanstaltninger, jf. Bilag 1.

5. Leverandøren skal uden unødig forsinkelse, efter at være blevet opmærksom herpå, skriftligt underrette Xxxxxx om enhver manglende overholdelse af Leverandørens sikkerhedsforpligtelser efter Databehandleraftalen, uanset om dette beror på manglende overholdelse hos Leverandøren eller dennes eventuelle underleverandører.

6. Leverandøren skal uden unødig forsinkelse, efter at være blevet opmærksom herpå, skriftligt underrette Xxxxxx om enhver anmodning rettet til Leverandøren eller dennes underleverandører fra en registreret om udøvelse af dennes rettigheder. Leverandøren er ikke berettiget til at besvare anmodninger fra en registreret omkring udøvelse af dennes rettigheder i henhold til gældende databeskyttelsesret. Leverandøren skal på opfordring fra Kunden hjælpe med at opfylde Xxxxxxx forpligtelser i forhold til de registreredes rettigheder i henhold til gældende databeskyttelsesret. Leverandøren skal implementere passende tekniske og organisatoriske foranstaltninger til at bistå Kunden med opfyldelse af Kundens forpligtelse i forhold til denne bestemmelse. Kunden kan eventuelt instruere Leverandøren i at iværksætte specifikke tiltag for at Kunden kan imødekomme anmodninger fra registrerede.

7. Leverandøren skal uden unødig forsinkelse efter at være blevet opmærksom herpå skriftligt underrette Xxxxxx om enhver henvendelse rettet til Leverandøren eller dennes eventuelle underleverandører fra Datatilsynet vedrørende behandling af personoplysninger omfattet af Databehandleraftalen.

8. Leverandøren skal uden unødig forsinkelse efter at være blevet opmærksom herpå skriftligt underrette Xxxxxx om enhver henvendelse rettet til Leverandøren eller dennes eventuelle underleverandører fra en myndighed om videregivelse af personoplysninger omfattet af Databehandleraftalen, medmindre orientering af Kunden er forbudt i henhold til EU-retten eller lovgivningen i en medlemsstat.

9. Leverandøren skal bistå Kunden med at sikre overholdelse af de i databeskyttelsesforordningens artikel 32-36 beskrevne forpligtelser, herunder men ikke begrænset til på anmodning give Kunden alle nødvendige oplysninger til brug for Kundens udarbejdelse af konsekvensanalyser vedrørende databehandlingen herunder til brug for Kundens eventuelle forudgående høring af Datatilsynet.

4Kontroller og revision

1. Leverandøren skal på Kundens anmodning stille alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i Databehandleraftalen samt gældende databeskyttelsesret, til rådighed for Xxxxxx eller dennes repræsentant.

2. Leverandøren og enhver eventuel underleverandør skal én gang årligt indhente en revisionserklæring fra en statsautoriseret revisor angående Leverandørens og dennes eventuelle underleverandørers overholdelse af kravene til sikkerhedsforanstaltninger fastsat i Databehandleraftalen. Erklæringen skal udarbejdes på grundlag af en anerkendt standard for sådanne erklæringer. Parterne aftaler nærmere hvilken standard, der skal anvendes, jf. Bilag 4. Erklæringen skal afgives til udgangen af hvert år, således at erklæringen er Kunden i hænde senest den 31. december.

3. Kunden eller en uafhængig ekspert bemyndiget af Xxxxxx har ret til at foretage inspektioner af Leverandørens fysiske faciliteter, hvor der behandles personoplysninger samt modtage de nødvendige informationer til udførelsen af undersøgelsen af, hvorvidt Leverandøren har truffet de sikkerhedsforanstaltninger, der følger af Databehandleraftalen samt gældende databeskyttelsesret. Dette kan eksempelvis være aktuelt, såfremt den afgivne revisionserklæring påviser mangler eller giver anledning til uklarhed om, hvorvidt behandlingen hos Leverandøren lever op til kravene i den til enhver tid gældende databeskyttelsesret og Databehandleraftalen med bilag. Det kan ligeledes være tilfældet, hvis en konkret omstændighed, fx et sikkerhedsbrud, giver anledning til tvivl om beskyttelsen af personoplysningerne hos Leverandøren. Kunden indhenter erklæring om fortrolighed fra den uafhængige ekspert

4. Leverandøren skal give myndigheder, der efter EU-retten eller lovgivningen i en medlemsstat har ret til adgang til Kundens og Kundens leverandørers faciliteter, eller repræsentanter, der optræder på myndighedernes vegne, adgang til Leverandørens fysiske faciliteter mod forevisning af behørig legitimation.

5. Kunden er berettiget til at videregive informationer modtaget i henhold til bestemmelserne i punkt 4 til Datatilsynet efter anmodning herom fra Datatilsynet.

6. Ud fra en vurdering af formålet med Leverandørens behandling af personoplysninger i medfør af Databehandleraftalen, herunder antallet af registrerede og kategorierne af personoplysninger, kan Kunden fravige kravet om audit i pkt. 4.2, såfremt Kunden vurderer, at Leverandøren på anden vis vil kunne dokumentere overholdelse af kravene til sikkerhedsforanstaltninger fastsat i Databehandleraftalen.

5Leverandørens underretning til kunden om sikkerhedsbrud m.v.

1. Leverandøren skal uden unødig forsinkelse efter at være blevet opmærksom herpå skriftligt underrette Xxxxxx om enhver mistanke om eller konstatering af brud på persondatasikkerheden.

2. Leverandørens underretning efter pkt. 5.1 skal som minimum omhandle følgende:

1. en beskrivelse af karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og antal berørte registrerede samt kategorierne og antal berørte registreringer af personoplysninger,

2. en beskrivelse af de sandsynlige konsekvenser af bruddet på persondatasikkerheden, og

3. en beskrivelse af de foranstaltninger, som er truffet, eller som Leverandøren foreslår truffet, for at håndtere bruddet på persondatasikkerheden, herunder foranstaltninger for at begrænse dets mulige skadevirkninger.

3. Hvis bruddet på persondatasikkerheden sker hos en underleverandør, skal Leverandøren sikre, at underleverandøren giver den samme information som opremset i pkt. 5.2.

4. Leverandørens underretning efter pkt. 5.1 sker ved brug af Kundens skabelon for underretning, jf. Bilag 5.

5. Leverandøren må ikke hverken offentligt eller til tredjeparter kommunikere om sikkerhedsbrud eller manglende overholdelse af Databehandleraftalen uden forudgående skriftlig aftale med Kunden om indholdet af en sådan kommunikation, medmindre Leverandøren er forpligtet til en sådan kommunikation efter lovgivningen.

6Leverandørens brug af underleverandør (underdatabehandler)

1. Leverandøren må ikke gøre brug af en underleverandør (underdatabehandler) til behandling af personoplysninger omfattet af Databehandleraftalen, medmindre Kunden forinden har givet specifikt skriftligt samtykke hertil.

2. Leverandøren skal forinden brug af en underdatabehandler indgå en skriftlig aftale (”Underdatabehandleraftale”) med denne underdatabehandler, hvori underdatabehandleren som minimum pålægges de samme forpligtelser, som Leverandøren har påtaget sig ved Databehandleraftalen. Leverandøren skal desuden sikre, at underdatabehandleren stiller de fornødne garantier for, at denne vil gennemføre passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling af personoplysninger opfylder kravene i gældende databeskyttelsesret samt kravene fastsat i medfør af Databehandleraftalen. Underdatabehandleraftalen skal endvidere indeholde bestemmelser, hvor underdatabehandleren accepterer Kunden som begunstiget tredjemand i Underdatabehandleraftalen, herunder en ret for Kunden til at håndhæve aftalen direkte mod underdatabehandleren, som om Kunden havde været part i Underdatabehandleraftalen. Leverandøren afholder omkostningerne forbundet med udarbejdelse af Underdatabehandleraftalen.

3. Kunden har til enhver tid ret til at få udleveret en kopi af Underdatabehandleraftalen.

4. Ved ophør af brugen af en underdatabehandler, skal Leverandøren give Xxxxxx skriftlig meddelelse herom.

5. Leverandøren er fuldt ud ansvarlig overfor Xxxxxx for underdatabehandlerens opfyldelse af dennes databeskyttelsesforpligtelser i henhold til Databehandleraftalen samt i henhold til gældende databeskyttelsesret. Leverandøren hæfter desuden for underdatabehandlerens manglende efterlevelse af bestemmelserne i Databehandleraftalen samt efter gældende databeskyttelsesret. Det forhold, at Kunden har meddelt samtykke til Leverandørens aftaleindgåelse med en underdatabehandler begrænser ikke Leverandørens pligt til at efterleve bestemmelserne i Databehandleraftalen.

6. I Bilag 2 er listet de underleverandører, som Kunden har givet samtykke til at Leverandøren anvender som underdatabehandlere i forbindelse med behandling af personoplysninger i medfør af Databehandleraftalen.

7Overførsel af personoplysninger til tredjelande eller internationale organisationer

1. Leverandøren må ikke overføre eller tillade dennes eventuelle underleverandører at overføre personoplysninger til et tredjeland eller international organisation uden Kundens forudgående samtykke, medmindre Leverandøren eller dennes eventuelle underleverandører er forpligtet hertil efter EU-retten eller lovgivningen i den medlemsstat, som Leverandøren er underlagt. I givet fald skal Leverandøren skriftligt underrette Xxxxxx om denne juridiske forpligtelse, forinden overførslen påbegyndes, medmindre pågældende lovgivning på baggrund af vigtige samfundsinteresser forbyder en sådan underretning.

2. Såfremt Kunden giver samtykke til overførsel til et tredjeland eller en international organisation, påhviler det Leverandøren at sikre, at der foreligger et lovligt overførselsgrundlag. Leverandøren afholder omkostningerne forbundet med etablering af det fornødne overførselsgrundlag. Overførselsgrundlaget skal forelægges Kunden forud for Kundens specifikke samtykke til overførslen.

3. Med tredjelande forstås i denne Databehandleraftale lande, der ikke er omfattet af EU/EØS.

8Fortegnelse

1. Leverandøren samt eventuelle underleverandører skal udarbejde og vedligeholde en elektronisk fortegnelse over alle kategorier af behandlinger, der foretages på vegne af Kunden, jf. databeskyttelsesforordningens artikel 30. Leverandøren skal endvidere udarbejde og vedligeholde en elektronisk fortegnelse over samtlige brud på persondatasikkerheden hos Leverandøren, jf. punkt 5.

2. Leverandøren skal på anmodning fra Kunden til enhver tid stille fortegnelserne til rådighed for Kunden eller Datatilsynet.

9Tavshedspligt og fortrolighed

1. Leverandøren skal holde personoplysningerne fortrolige og er alene berettiget til at anvende personoplysningerne som led i opfyldelsen af sine forpligtelser i henhold til Databehandleraftalen.

2. Leverandøren skal sikre, at de personer, herunder personer hos Leverandørens eventuelle underleverandører, der er autoriseret til at behandle personoplysninger i medfør af Databehandleraftalen, har forpligtet sig til fortrolighed, jf. Hovedkontrakten, eller er underlagt en passende lovbestemt tavshedspligt.

10Misligholdelse og erstatningspligt

1. Enhver misligholdelse af Databehandleraftalen anses som misligholdelse af Hovedkontrakten og behandles efter dansk rets almindelige regler om misligholdelse samt Hovedkontraktens bestemmer herom.

2. Uanset bestemmelsen i pkt. 10.1 skal Leverandøren skadesløsholde Kunden, såfremt Kunden bliver mødt med krav fra tredjemand som følge af, at Leverandøren eller Leverandørens eventuelle underdatabehandlere har overtrådt den til enhver tid gældende databeskyttelsesret. Leverandøren hæfter kun for skader, hvis Leverandøren eller dennes eventuelle underdatabehandlere ikke har opfyldt sine forpligtelser, som det følger af den til enhver tid gældende databeskyttelsesret, eller hvis Leverandøren eller dennes eventuelle underdatabehandlere har undladt at følge eller handlet i strid med Xxxxxxx lovlige instruks, jf. Bilag 1. Forpligtelsen til at skadesløsholde Kunden er ikke omfattet af en eventuel aftalt erstatningsmaksimering i Hovedkontrakten. Leverandørens forpligtelse til at skadesløsholde Kunden gælder ikke for bøder pålagt Kunden i medfør af databeskyttelsesforordningens artikel 83 eller sanktioner fastlagt i Danmark i overensstemmelse med databeskyttelsesforordningens artikel 84.

3. Uanset bestemmelsen i pkt. 10.1 skal Kunden skadesløsholde Leverandøren, såfremt Leverandøren bliver mødt med krav fra tredjemand som følge af, at Kunden har overtrådt den til enhver tid gældende databeskyttelsesret. Kunden hæfter kun for skader, hvis Xxxxxx ikke har opfyldt sine forpligtelser, som det følger af den til enhver tid gældende databeskyttelsesret. Forpligtelsen til at skadesløsholde Leverandøren er ikke omfattet af en eventuel aftalt erstatningsmaksimering i Hovedkontrakten. Kundens forpligtelse til at skadesløsholde Leverandøren gælder ikke for bøder pålagt Leverandøren i medfør af databeskyttelsesforordningens artikel 83 eller sanktioner fastlagt i Danmark i overensstemmelse med databeskyttelsesforordningens artikel 84.

11Varighed og ophør af databehandleraftalen

1. Databehandleraftalen træder i kraft ved parternes underskrift og er gældende så længe Leverandøren eller dennes eventuelle underleverandører behandler personoplysninger på Kundens vegne eller frem til Hovedkontraktens ophør efter Hovedkontraktens regler herom, alt efter hvilket tidspunkt, der indtræder senest.

2. Ved ophør af Leverandørens og dennes eventuelle underleverandørers behandling af personoplysninger i henhold til Databehandleraftalen, er Leverandøren og dennes eventuelle underleverandører forpligtet til, efter Xxxxxxx nærmere anvisning, at slette eller tilbagelevere alle personoplysninger til Xxxxxx, herunder slette alle eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne.

3. Leverandøren eller dennes eventuelle underleverandører er ikke berettiget til at betinge den fulde og ubegrænsede efterlevelse af Databehandleraftalen, herunder Kundens instruks, af Kundens betaling af udestående fakturaer mv., og Leverandøren eller dennes eventuelle underleverandører har ingen tilbageholdsret i personoplysningerne.

4. Bestemmelserne i punkt 9 og 10 vil fortsat være gældende uanset Databehandleraftalens ophør.

12Forrang

1. I tilfælde af uoverensstemmelse mellem bestemmelserne i Databehandleraftalen og bestemmelserne i Hovedkontrakten eller andre skriftlige eller mundtlige aftaler indgået mellem parterne, skal bestemmelserne i Databehandleraftalen have forrang, medmindre strengere krav til behandlingssikkerheden er fastsat i Hovedkontrakten, Hovedkontraktens bilag eller anden aftale mellem parterne.

13Meddelelser og underretning

1. Skriftlige meddelelser samt underretning efter Databehandleraftalen skal ske i overensstemmelse med reglerne herom i Bilag 3 og 5.

14Overdragelse af databehandleraftalen

1. Leverandøren må ikke overdrage sine rettigheder og forpligtelser i henhold til Databehandleraftalen uden Kundens forudgående skriftlige samtykke.

15Ændringer til databehandleraftalen

1. Parterne kan til enhver tid aftale at ændre Databehandleraftalen. Ændringer skal være skriftlige og må ikke være uforenelige med den til enhver tid gældende udbudsretlige lovgivning.

2. Uanset bestemmelsen i pkt. 15.1 er Xxxxxx til enhver tid berettiget til med et varsel på 30 dage at ændre i Bilag 1 uden forudgående accept fra Leverandøren ved fremsendelse af nyt bilag til Leverandøren. Leverandøren skal ved sådanne ændringer uden ugrundet ophold sikre, at eventuelle underleverandører tillige forpligtes af ændringerne.

3. Uanset bestemmelsen i pkt. 15.1 er Xxxxxx berettiget til med et varsel på 30 dage at ændre i Databehandleraftalen uden forudgående accept fra Leverandøren, såfremt dette skyldes ændringer i gældende databeskyttelsesret eller tilhørende praksis. Leverandøren skal ved sådanne ændringer uden ugrundet ophold sikre, at eventuelle underleverandører tillige forpligtes af ændringerne.

4. Parterne aftaler processen for Leverandørens implementering af Kundens ændringer i medfør af pkt. 15.2 og pkt. 15.3.

16Vederlag

1. Medmindre andet følger af Hovedkontrakten, medfører Leverandørens forpligtelser i henhold til Databehandleraftalen – herunder implementeringen af ændringer i medfør af pkt. 15.2 og 15.3 – ikke krav på særskilt betaling til Leverandøren. Leverandørens udgifter vedrørende Leverandørens underleverandører er Kunden uvedkommende.

17Underskrift

1. Databehandleraftalen underskrives i to originale eksempler, hvoraf parterne hver modtager et eksemplar.

For Kunden (dataansvarlig) For Leverandøren (databehandler)

Sted _________________________ Sted _________________________

Dato _________________________ Dato _________________________

_____________________________ ______________________________

Navn [med blokbogstaver] Navn [med blokbogstaver]

_____________________________ ______________________________

Underskrift Underskrift

Bilag 1 - Instruks

Bilag 2 - Underleverandører (underdatabehandlere)

Bilag 3 - Kontaktpersoner

Bilag 4 - Kontrol og revision

Bilag 5 - Underretning om sikkerhedsbrud

Bilag 1 - Instruks

Dette bilag udgør Kundens instruks til Leverandøren i forbindelse med Leverandørens databehandling for Kunden i forbindelse med Rammekontrakt af [dato] om vedligeholdelse og videreudvikling af løsningen VandData (”Hovedkontrakten”).

1. Behandlingen af personoplysninger

1. Formål og karakteren af behandlingen

Den digitale selvbetjeningsløsning VandData anvendes af vand- og spildevandsselskaber til indberetning af data vedrørende virksomhedsdrift samt af kommuner til indberetning i henhold til stoploven. VandData giver selskaber og kommuner et overblik over indberettede data år for år og mulighed for at trække data ud af løsningen. Kunden anvender data fra VandData til blandt andet at fastsætte prislofter og effektiviseringskrav for drikke- og spildevandsselskaberne.

Leverandørens behandling af personoplysninger på vegne af Kunden omfatter indsamling, registrering, systematisering, opbevaring, ændring, søgning, brug, videregivelse, sammenstilling, offentliggørelse og sletning af personoplysninger til brug for vedligeholdelse og videreudvikling af VandData.

2. Kategorier af registrerede personer

• Medarbejdere hos vand- og spildevandselskaber

• Medarbejdere hos kommuner

• Medarbejdere hos andre myndigheder

• Revisorer, advokater og eksterne konsulenter for vand- og spildevandselskaber eller kommuner

• Medarbejdere hos Kunden

3. Typen af personoplysninger

• Almindelige personoplysninger (navn, e-mailadresse, telefonnummer, aktivitetslog).

4. Geografisk placering af personoplysninger

• [Leverandøren angiver her lande/adresse, hvorfra Leverandøren foretager behandlingen, herunder hvor Leverandørens servere er placeret. Såfremt der anvendes underleverandører, jf. Bilag 2, skal underleverandørernes navn og geografiske placering desuden anføres.]

5. Opbevaring af personoplysninger og sletning

• Personoplysningerne opbevares hos Leverandøren, indtil Kunden anmoder om at få oplysningerne slettet eller tilbageleveret.

• Leverandørens behandling af personoplysninger på vegne af Kunden kan påbegyndes efter Databehandleraftalens ikrafttræden. Behandlingen er tidsbegrænset og varer, indtil Hovedkontrakten ophører.

2. Sikkerhed

Der henvises til Hovedkontraktens punkt 14 samt bilag 15.

Bilag 2 - Underleverandører (underdatabehandlere)

1. Betingelser for leverandørens brug af eventuelle underleverandører

Leverandøren må alene gøre brug af underleverandører efter forudgående specifik skriftlig godkendelse fra Kunden. Kundens godkendelse af konkrete underleverandører ved Databehandleraftalens indgåelse er anført nedenfor.

2. Godkendte underleverandører

Kunden har ved Databehandleraftalens ikrafttræden godkendt anvendelsen af følgende underleverandører:

Navn	CVR-nr.	Adresse	Beskrivelse af behandlingen hos underleverandøren
[Navn]	[CVR-nr.]	[Adresse]	[Overordnet beskrivelse af behandlingen]
[Navn]	[CVR-nr.]	[Adresse]	[Overordnet beskrivelse af behandlingen]
[Navn]	[CVR-nr.]	[Adresse]	[Overordnet beskrivelse af behandlingen]
[Navn]	[CVR-nr.]	[Adresse]	[Overordnet beskrivelse af behandlingen]

Bilag 3 - Kontaktpersoner

For Kunden:

Navn: Xxxxxx X. Xxxxxx	Tlf.: x00 0000 0000
Titel: Specialkonsulent (Persondataansvarlig)	Dir. tlf.: x00 0000 0000
Adresse: Konkurrence- og Forbrugerstyrelsen, Xxxx Xxxxxxxxx Vej 35	Mobil: x00 0000 0000
Postnr./by: 2500 Valby	E-mail: xxxx@xxxx.xx E-mail skal sendes med kopi til: xxx@xxxx.xx, xxx@xxxx.xx og xxx@xxxx.xx

Leverandørens meddelelser og underretninger til Kunden vedrørende Databehandleraftalen kan alene gives ved fremsendelse af e-mail til ovenstående e-mailadresser.

For Leverandøren:

Navn:	Tlf.:
Titel:	Dir. tlf.:
Adresse:	Mobil:
Postnr./by:	E-mail:

Kundens meddelelser og underretninger til Leverandøren vedrørende Databehandleraftalen kan alene gives ved fremsendelse af e-mail til ovenstående e-mailadresse(r).

Bilag 4 - Kontrol og revision

Parterne har aftalt, at følgende revisionsstandard skal anvendes i forhold til Leverandørens og eventuelle underleverandørers dokumentation af overholdelse af kravene til sikkerhedsforanstaltninger fastsat i Databehandleraftalen:

[Der kan fx være tale om ISAE 3000 type X, ISAE 3402, ISRS 4400 etc.]

Parterne har aftalt, at den årlige revisionserklæring skal foreligge […].

Bilag 5 - Underretning om sikkerhedsbrud

I tilfælde af sikkerhedsbrud skal følgende underretningsprocedure anvendes:

Leverandøren skal uden unødig forsinkelse efter at være blevet opmærksom herpå skriftligt underrette Xxxxxx om enhver mistanke om eller konstatering af brud på persondatasikkerheden.

Leverandørens underretning skal indeholde:

1. Titlen: ”Brud på persondatasikkerheden”.

2. Dato og tidspunkt for bruddet.

3. Hændelsesforløbet.

4. Årsagen til bruddet.

5. Hvilken type persondata, som er berørt.

6. Hvilke sandsynlige konsekvenser bruddet har for de berørte personer.

7. Hvilke afhjælpende foranstaltninger, der er truffet, eller som leverandøren foreslår truffet for at begrænse bruddets mulige skadevirkninger.

Underretningen skal ske til følgende medarbejdere hos Kunden:

Navn: Xxxxxx X. Xxxxxx	Tlf.: x00 0000 0000
Titel: Specialkonsulent (Persondataansvarlig)	Dir. tlf.: x00 0000 0000
Adresse: Konkurrence- og Forbrugerstyrelsen, Xxxx Xxxxxxxxx Vej 35	Mobil: x00 0000 0000
Postnr./by: 2500 Valby	E-mail: xxxx@xxxx.xx E-mail skal sendes med kopi til: xxx@xxxx.xx, xxx@xxxx.xx og xxx@xxxx.xx

Hvis bruddet på persondatasikkerheden sker hos en underleverandør, skal Leverandøren sikre, at underleverandøren giver den samme information som ovenfor.