Databehandleraftale
Den forsikrede (den ”Dataansvarlige”), som fremgår af den til enhver tid gældende [RiskPoint cyberforsik- ringspolice]
og
RiskPoint A/S (”Databehandleren”)
(hver for sig kaldet en "Part" og samlet "Parterne")
1. De behandlede personoplysninger
1.1 Denne databehandleraftale (”Databehandleraftale”) inklusive bilag er indgået i forbindelse med Par- ternes indgåelse af [RiskPoints cyberforsikringspolice og tilhørende gældende forsikringsbetingel- ser]. Databehandleraftalen finder først anvendelse, hvis den Dataansvarlige måtte være udsat for en skade/cyberhændelse, der medfører, at Databehandleren skal levere beredskabstjenester til den Dataansvarlige.
1.2 Databehandleren behandler de typer af personoplysninger, som fremgår af denne Databehandler- aftales bilag 1, på vegne af den Dataansvarlige. Personoplysningerne angår de kategorier af perso- ner, der er oplistet i bilag 1.
1.3 Databehandleren kan påbegynde behandling af personoplysninger på vegne af den Dataansvarlige efter Databehandleraftalens ikrafttræden. Behandlingen har den varighed, som er nærmere specifi- ceret under instruksen i Databehandleraftalens bilag 1.
1.4 Databehandleraftalen og [RiskPoints cyberforsikringspolice og tilhørende gældende forsikringsbe- tingelser] er indbyrdes afhængige og kan ikke opsiges særskilt. Databehandleraftalen kan dog – uden at [RiskPoints cyberforsikringspolice og tilhørende gældende forsikringsbetingelser] opsiges – erstattes af en anden gyldig databehandleraftale.
2. Databehandlerens forpligtelser
2.1 Databehandleren må alene behandle de personoplysninger, som den Dataansvarlige har overført, i overensstemmelse med den Dataansvarliges dokumenterede instrukser, jf. Databehandleraftalens pkt. 1.1 og bilag 1, og er i øvrigt forpligtet til at overholde den til enhver tid gældende databeskyttel- seslovgivning.
Databehandleren underretter omgående den Dataansvarlige, hvis en instruks efter Databehandle- rens mening er i strid med databeskyttelseslovgivningen i EU-retten eller en medlemsstats lovgiv- ning.
2.2 Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforord- ningens artikel 32, herunder tekniske og organisatoriske sikkerhedsforanstaltninger. Dette omfatter foranstaltninger mod, at de i pkt. 1.1 anførte personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i
København Danmark ∙ Aarhus Danmark ∙ Shanghai Kina ∙ New York USA
T x00 00 00 00 00 ∙ E xxxx@xxxxxxxxx.xxx ∙ Advokatpartnerselskab ∙ CVR-nr. 38538071 ∙ xxx.xxxxxxxxx.xxx
øvrigt behandles i strid med databeskyttelseslovgivningen. Disse foranstaltninger er nærmere be- skrevet i bilag 1.
2.3 Databehandleren skal sikre, at de medarbejdere, der er involveret i at behandle personoplysnin- gerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
2.4 Databehandleren skal på den Dataansvarliges anmodning redegøre for og/eller dokumentere, at Databehandleren opfylder kravene i databeskyttelseslovgivningen, herunder skal Databehandleren stille oplysninger, der er nødvendige for at påvise Databehandlerens overholdelse af databeskyttel- sesforordningens artikel 28 og Databehandleraftalen, til rådighed for den Dataansvarlige i form af audit, jf. Databehandleraftalens bilag 1.
2.5 Databehandleren bistår ved hjælp af passende tekniske og organisatoriske foranstaltninger under hensyntagen til behandlingens karakter så vidt muligt den Dataansvarlige med opfyldelse af dennes forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder efter databe- skyttelsesforordningens kapitel 3.
2.6 Databehandleren eller en anden databehandler (underdatabehandler) sender anmodninger og ind- sigelser fra registrerede mv. til den Dataansvarlige med henblik på den Dataansvarliges videre be- handling. Databehandleren skal efter anmodning fra den Dataansvarlige bistå den Dataansvarlige med besvarelse af anmodningen og/eller indsigelsen.
2.7 Databehandleren er forpligtet til at give den Dataansvarlige meddelelse om driftsforstyrrelser, mis- tanke om brud på databeskyttelseslovgivningen eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for at underrette den Dataansvarlige om et sikkerhedsbrud er 24 timer fra det tidspunkt, hvor Databehandleren får kendskab til et sikker- hedsbrud. Databehandleren skal efter anmodning fra den Dataansvarlige bistå den Dataansvarlige i forhold til afklaring af sikkerhedsbruddet, herunder i forbindelse med eventuel underretning af Da- tatilsynet og/eller registrerede personer.
2.8 Databehandleren bistår ud over det ovenfor anførte den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser efter databeskyttelsesforordningens artikel 32-36. Denne bi- stand vil ske under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren.
3. Overførsel af underdatabehandlere eller tredjeparter
3.1 Databehandleren skal opfylde betingelserne i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler), dvs. ikke uden skriftlig godken- delse fra den Dataansvarlige.
Den Dataansvarlige giver hermed Databehandleren en generel godkendelse til at indgå aftaler med underdatabehandlere. Databehandleren underretter den Dataansvarlige som ændringer vedrørende tilføjelse eller erstatning af underdatabehandlere seneste 1 måned før anvendelsen eller ændringen skal træde i kraft. Den Dataansvarlige kan gøre rimelige og relevante indsigelser imod sådanne ændringer, hvilket skal ske inden 14 dage efter modtagelsen af underretningen. Hvis
3.2 Når den Dataansvarlige har godkendt, at Databehandleren kan gøre brug af en underdatabehandler, sørger Databehandleren for – gennem en kontrakt – at pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i Databehandleraftalen (”back-to-back”-vilkår).
3.3 Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehand- leren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underdatabehandlerens forplig- telser.
3.4 Databehandleren eller underdatabehandlerne må ikke overlade eller videregive den Dataansvarliges personoplysninger til tredjelande eller internationale organisationer udenfor EU/EØS.
3.5 Ved Databehandleraftalens indgåelse anvender Databehandleren de underdatabehandlere, der er oplistet i bilag 1.
4. Ansvar
4.1 Parternes ansvar under Databehandleraftalen følger af databeskyttelsesforordningen.
4.2 Parternes erstatningspligt under Databehandleraftalen følger af databeskyttelsesforordningen.
5. Ikrafttrædelse og ophør
5.1 Som fastsat i pkt. 1.1 træder Databehandleraftalen i kraft, hvis den Dataansvarlige måtte være udsat for en skade/cyberhændelse, der medfører, at Databehandleren skal levere beredskabstjenester til den Dataansvarlige. Hvis den Dataansvarlige ikke anmelder en skade/cyberhændelse til Databe- handleren, vil Databehandleraftalen således være inaktiv, men forsat potentielt gældende indtil [Ris- kPoints cyberforsikringspolice og tilhørende gældende forsikringsbetingelser] opsiges af den Data- ansvarlige eller Databehandleren.
6. Lovvalg og værneting
6.1 Denne Databehandleraftales lovvalg og værneting for ethvert krav og enhver tvist, der udspringer af eller på anden måde er forbundet med denne Databehandleraftale fremgår af [RiskPoints cyberfor- sikringspolice og tilhørende gældende forsikringsbetingelser].
Bilag 1 til Databehandleraftalen
1. Kategorier af registrerede personer:
Alle kategorier af registrerede personer, der måtte være omfattet af den pågældende skade/cyberhæn- delse, herunder den Dataansvarliges medarbejdere, kunder, samarbejdspartnere, mv.
2. Typer af personoplysninger:
Alle kategorier af typer af personoplysninger personer, der måtte være omfattet af den pågældende skade/cyberhændelse, herunder potentielt: Almindelige oplysninger, CPR-nr., strafbare forhold og særlige kategorier af oplysninger (fx helbredsoplysninger, fagforeningsmæssigt tilhørsforhold, genetiske data, bio- metriske data, politisk overbevisning, etc.).
3. Instruks
Ydelse
Databehandleren må behandle personoplysninger vedrørende de registrerede personer i overensstemmelse med formålet om varetagelse af Databehandlerens forpligtelser efter [RiskPoints cyberforsikringspolice og tilhørende gældende forsikringsbetingelser], ved at levere beredskabstjenester via de benyttede underdata- behandlere, hvorved kontakt med personoplysninger kan forekomme, herunder omfattende: Support, over- tagelse af IT miljøer, fjernstyring af IT miljøer, udførelse af projekter efter særskilt aftale, dokumentation, samt andre opgaver på anmodning af den Dataansvarlige, som kræver adgang til den Dataansvarliges systemer eller behandling af personoplysninger på vegne af den Dataansvarlige.
Sikkerhed
I overensstemmelsen er med databeskyttelsesforordningen artikel 32 er Databehandleren forpligtet til at im- plementere passende tekniske og organisatoriske sikkerhedsforanstaltninger. Databehandleren er derfor be- rettiget og forpligtet til at træffe nærmere beslutninger om, hvilke tekniske og organisatoriske sikkerhedsfor- anstaltninger der skal anvendes for at skabe det nødvendige (og forudsatte) sikkerhedsniveau omkring per- sonoplysningerne.
Lokalitet for behandling
Behandling af de personoplysninger, der er omfattet af Databehandleraftalen, kan ikke uden den Dataansvar- liges forudgående skriftlige godkendelse ske på andre lokaliteter end Databehandlerens adresse og under- databehandlernes adresser som oplistet nedenfor. Personoplysninger vil dog på intet tidspunkt blive gemt eller arkiveret hos Databehandleren eller underdatabehandlere.
Opbevaringsperiode and sletterutine
Personoplysninger vil som udgangspunkt ikke blive opbevaret hos databehandleren og/eller underdatabe- handleren. Personoplysningerne vil dog uanset dette blive slette på den dataansvarlige anmodning eller når underdatabehandlerens beredskabstjenester er afsluttet.
Godkendte underdatabehandlere
Den Dataansvarlige har ved Databehandleraftalens ikrafttræden godkendt anvendelsen af følgende under- databehandlere:
Navn | CVR-nr. | Adresse | Beskrivelse af behandling |
IT Relation A/S | 27001092 | Dalgas Plads 7B, 1. 2. 7400 Herning | Leverandør af beredskabstjenester under [Risk- Points cyberforsikringspolice og tilhørende gæl- dende forsikringsbetingelser] |
Tilsyn med Databehandler og underdatabehandlere
Databehandleren vil en gang årligt, for egen regning, udarbejde en erklæring angående overholdelse af Da- tabehandleraftalen. Erklæringen kan fremsendes ved forespørgsel. Underdatabehandleren, der er leveran- dør af beredskabstjenester under [RiskPoints cyberforsikringspolice og tilhørende gældende forsikringsbetin- gelser], leverer hvert år en ISAE 3402-erklæring, der kan fremsendes ved henvendelse til xxxx.xxxxxxxx@xxx- xxxxxx.xx.