FAQ
FAQ
Nye databehandleraftaler til SkoleIntra med itslearning
Version 1 – september 2018
indhold
Hvorfor er der behov for at indgå databehandleraftaler? 3
Hvorfor en særlig databehandleraftale til brug for SkoleIntra 3
Hvem har medvirket til at udforme databehandleraftalen? 3
Hvilke typer af aftaler er omfattet heraf? 4
Medfører databehandleraftalen merudgifter for kommunerne? 4
Hvad er processen for aftaleindgåelse? 4
Bilag–oversigtoverdatabehandleraftalensindholdmedangivelse afeventuelle betalingsforhold
3. Kundens rettigheder og forpligtelser. 6
4. Leverandørens forpligtelser. 7
5. Underleverandør (underdatabehandler). 12
7. Tekniske ogorganisatoriske sikkerhedsforanstaltninger. 13
8. Overførsler til andre lande 13
9. Tavshedspligt og fortrolighed 13
10. Kontroller og erklæringer. 14
12. Sletning af data… 16
13. Misligholdelse og tvister 17
14. Erstatning og forsikring 17
15. Ikrafttræden, varighed og forrang 17
Hvorfor er der behov for at indgå databehandleraftaler?
I den nye databeskyttelsesforordning, der trådte i kraft den 25. maj 2018, er der en række nye eksplicitte forhold, der skal være reguleret i en databehandleraftale. Blandt andet skal der være en beskrivelse af de persondata, der behandles og den behandling af persondata, der finder sted i løsningen. Med udgangspunkt i dette har KOMBIT, med opbakning fra KIT@, i samarbejde med itslearning udformet en databehandleraftale, der kan benyttes i forhold til de eksisterende aftaler, som kommunerne har i forhold til brugen af SkoleIntra
Med en fælles aftale spares der tid i de enkelte kommuner med at få SkoleIntra databehandleraftalen på plads.
Standarddatabehandleraftalen regulerer ikke de krav, som påhviler databehandleren (itslearning) og som intet har med den dataansvarliges (kommunen) forpligtelse at gøre. Dette gælder f.eks. den fortegnelse, som databehandlere er forpligtede til at føre efter databeskyttelsesforordningens artikel 30, stk. 2. Sådanne krav er ikke nødvendige eller hensigtsmæssige at regulere i en databehandleraftale.
Præmisserne for udarbejdelse af standarddatabehandleraftalen har været:
◼ Kommunerne pålægges en række forpligtelser efter lovgivningen, men må udover disse aftaleretligt ikke stilles ringere end tidligere.
◼ Aftalen er baseret på en minimummodel, med fokus på overholdelse af loven uden yderligere krav og dermed uden ekstraomkostninger for kommunerne til sådanne krav
◼ Aftalen tager afsæt i den allerede eksisterende KL/KOMBIT- skabelon for databehandleraftaler mellem kommuner og it-leverandører
◼ Aftalen er blevet til på samme vis, og under de samme forudsætninger, som tilsvarende skabeloner, KOMBIT har været med til at skrive i samarbejde med kommunale leverandører. Eksempelvis KMD, EG, Xxxxxxx, Subit og Xxxxxxx. Det er tilstræbt at skabelonerne ligner hinanden mest muligt. Eventuelle forskelle er forklaret i bilaget til denne FAQ.
◼ At det er en version, der indeholder nuværende og kommende lovgivningskrav til indholdet i en databehandleraftale
◼ At den umiddelbart kan anvendes til kommuners eksisterende aftaler vedrørende SkoleIntra.
Hvorfor en særlig databehandleraftale til brug for SkoleIntra
Databehandleraftalen tager udgangspunkt i KL/KOMBITs skabelon for databehandleraftaler mellem kommuner og deres leverandører. Resultatet kan benyttes på eksisterende aftaler, hvor priser og leveringsvilkår er aftalt på forhånd. Det er vigtigt at understrege, at standarddatabehandleraftalen skal ses som en hjælp til kommunerne. Det står kommunerne frit for at foretage egne forhandlinger med itslearning, så det er altså frivilligt, om man vil benytte den eller ej. Aftalen skal regulere itslearnings og kommunens rettigheder og forpligtelser i forhold til overholdelse af databeskyttelsesforordningen på de eksisterende aftaler. Kommunerne pålægges en række forpligtelser efter lovgivningen, men præmissen er, at kommunerne udover disse ikke skal stilles ringere efter den 25. maj 2018. Der er således udarbejdet en minimumsmodel af databehandleraftalen, der sikrer, at forordningens krav opfyldes samtidig med, at de eksisterende aftaler ikke fordyres med yderligere krav.
Bilagsstrukturen i denne skabelon er den samme som ses i KMD, EG, Rambøll, Subit og Xxxxxxx skabelonen. Men denne fremgangsmåde sikres det, at udfyldelsen af databehandleraftalen kan ske så digitalt som muligt.
Hvem har medvirket til at udforme databehandleraftalen?
En arbejdsgruppe med deltagere fra KOMBIT og itslearning har – med afsæt i KL/KOMBITs skabelon for databehandleraftale – udarbejdet en databehandleraftale, der er målrettet eksisterende aftaleforhold. Skabelonen har, i lighed med KMD, EG, Rambøll, Subit og Schultz skabelonerne, været i høring hos en række kommuner, som via KIT@ har ønsket at deltage i den proces.
I forbindelse med udarbejdelse af skabelonen til databehandleraftaler mellem kommuner og deres leverandører har KOMBIT og KL udarbejdet en vejledning til kommunerne i benyttelsen af denne skabelon. Kommunerne kan stadig med fordel læse denne vejledning. Det skal dog bemærkes, at de henvisninger til konkrete aftaleafsnitsnummereringer, der er anført i vejledningen, ikke nødvendigvis er gældende længere, idet enkelte afsnit er udgået, om-nummereret eller omformuleret, da skabelonen som nævnt er tilpasset til en færdig aftale.
Hvilke typer af aftaler er omfattet heraf?
Skabelonen retter sig udelukkende mod brugen af SkoleIntra i kommunernes skoler. Skabelonen kan indgå som en del af det allerede eksisterende aftalegrundlag i forhold til denne brug af SkoleIntra.
Medfører databehandleraftalen merudgifter for kommunerne?
Databehandleraftalen regulerer de opgaver og ansvarsområder, der ifølge den nye databeskyttelsesforordning påhviler henholdsvis den dataansvarlige myndighed (kommunerne) og databehandleren (itslearning). De ydelser, der er dækket af et fast vederlag før forordningens ikrafttræden, vil fortsat være dækket af det aftalte faste vederlag efter maj 2018. Der vil dog som i dag også være ydelser, der ikke er dækket af et fast vederlag. F.eks. kan kommunerne vælge at rekvirere bistand fra itslearning i forbindelse med enkelte af de opgavevaretagelser, der som udgangspunkt påhviler kommunen som dataansvarlig myndighed. I visse tilfælde kan disse ydelser være betalbare. Databehandleraftalerne laver således ikke om på de aftalte vederlag, der gælder i henhold til den enkelte hovedaftale. Visse steder er der dog i databehandleraftalen tydeliggjort, hvad der gælder om betaling.
Derudover er der i nedenstående bilag angivet en oversigt over, hvilke aktiviteter der er reguleret i den nye databehandleraftaler, herunder om der kan være ydelser i forbindelse hermed, der er betalbare.
Hvad er processen for aftaleindgåelse?
itslearning tager kontakt til alle kommuner med henblik på at gennemføre en proces for indgåelse af databehandleraftaler på alle de eksisterende aftaler så smidigt som muligt.
Itslearning fremsender en færdig udfyldt databehandleraftale, hvor alle bilagsoplysninger samt itslearning’s forslag til udarbejdelse af en instruks er indeholdt. Dette er muligt, fordi der er tale om en eksisterende løsning, hvor itslearning i forvejen varetager databehandling for kommunerne, og således er bekendt med den instruks, der påhviler databehandler.
Kommunen bør selv gennemgå disse oplysninger, herunder om instruks fortsat er dækkende, inden aftalen underskrives. Underskrivning af databehandleraftalen kan ske elektronisk.
Oversigt over databehandleraftalens indhold med angivelse af eventuelle betalingsforhold
Hovedelementer i databehandler- aftalensafsnit | Afsnit | Skoleintra Hovedaftale | Uddybende eksempler og bemærkninger |
Generelt | 1 | ||
Generel forpligtelse | 1.1 | ÷ | Opdateret iht. Retsgrundlaget fra efter 25. maj 2018. |
Henvisning ny forordning og lov | 1.2 | ÷ | |
Præcisering | 1.3 | ÷ | |
Leverandøren skal behandle personoplysninger i overensstemmelse med god skik. | 1.4 | (X) I det omfang dette ikke er indeholdt i Hovedaftalens faste vederlag, er det særskilt betalbart | Udgået |
Formål | 2 | ||
Henvisning til ”Hovedaftalen” | 2.1 | Ikke relevant | Langt de fleste SkoleIntra aftaler er etableret uden udbud – ved simpel bestilling fra kunden (oprindeligt bestilt hos UNI-C, siden overført (med kundens accept) til itslearning. Der er nu indsat mulighed for at henvise til flere hovedaftaler, hvis kommunen har flere aftaler med Itslearing. Det er stadig muligt at lave én databehandleraftale for hver hovedaftale, som kommunen har med Itslearing. Det er altså helt valgfrit for kommunen, om kommunen vil have én databehandleraftale, der henviser til flere hovedaftaler, eller en databehandleraftale for hver hovedaftale. Det kan navnlig være relevant at henvise til flere hovedaftaler, hvor der er indgået flere aftaler, som relaterer sig til samme løsning. Mange af SkoleIntra-kunderne har blot bestilt SkoleIntra. De generelle betingelser for brug af SkoleIntra, kan findes her: xxxxx://xxxxxxxxxxx.xxx/xxxxxxxxxx/xxxxxxxxx-xxxxxxxxxxx/ |
Kundens rettigheder og forpligtelser | 3 | ||
Kundens rettigheder og forpligtelser 1 | 3.1 | ÷ | |
Kundens rettigheder og forpligtelser 2 | 3.2 | ÷ | |
Henvisning til underbilag 1 for yderligere forpligtelser | 3.3 | ÷ | Der er i udgangspunktet ingen yderligere forpligtelser i Bilag 1. Databehandleraftalen er ikke et underbilag, men et bilag. Det skyldes, at databehandleraftalen indgås som en selvstændig aftale, og ikke som et bilag. Dette vil ikke gøre en forskel på parternes rettigheder eller forpligtelser. Denne ændring ses også i resten af databehandleraftalen. |
Bemærk
Dette skema er en overordnet angivelse af den forståelse parterne har af de betalingsmæssige konsekvenser af bilaget. Der kan muligvis være enkelte afvigelser alt efter definition af kategorier og hovedaftalers konkrete indhold.
Hvilke punkteriaftalenvil være særskilt betalbare forkommunen
÷ betyder, at bestemmelsen i sig selv ikke udløser yderligere betaling.
(X) betyder, at der i visse tilfælde kan være betalbare ydelser. X betyder, at der kan opkræves betaling.
Afsnit | Skoleintra Hovedaftale | Uddybende eksempler og bemærkninger | |
Leverandørens forpligtelser | 4 | ||
Leverandørens forpligtelser, 1 | 4.1 | (X) I det omfang dette ikke er indeholdt i Hovedaftalens faste vederlag, er det særskilt betalbart | |
Leverandørens forpligtelser, 2 | 4.2 | (X) I det omfang dette ikke er indeholdt i Hovedaftalens faste vederlag, er det særskilt betalbart | Her er bestemmelsens ordlyd ændret, så den passer til databeskyttelsesforordningens ordlyd. Aftalen er altså tilpasset, så den svarer til de forpligtelser og rettigheder, som parterne har efter databeskyttelsesforordningen. En tilsvarende ændring fremgår af version 2.0 KL/KOMBITs generelle databehandleraftaleskabelon. |
Leverandøren skal sikre persondata via tekniske og organisatoriske sikkerhedsforanstaltninger. | 4.3 | (X) I det omfang dette ikke er indeholdt i Hovedaftalens faste vederlag, er det særskilt betalbart |
7
Hovedelementer i databehandler- aftalensafsnit | Afsnit | Skoleintra Hovedaftale | Uddybende eksempler og bemærkninger |
Leverandørens forpligtelser (fortsat) | 4 | ||
Leverandøren skal på opfordring fra kunden hjælpe til med at opfylde kundens forpligtelser i forhold til den registreredes rettigheder, herunder ◼ besvarelse af anmodning fra borgerne om indsigt i egne oplysninger ◼ udlevering af borgernes oplysninger ◼ rettelse og sletning af oplysninger ◼ begrænsning af behandling af borgernes oplysninger ◼ kundens forpligtelser i forhold til underretning af den registrerede ved sikkerhedsbrud. | 4.4 | (X) I det omfang, der ikke er organisatorisk eller teknisk mulighed for den dataansvarlige til at opfylde forpligtelsen, skal databehandler bistå vederlagsfrit i det omfang, der er indeholdt bistand som en del af et fast vederlag i Hovedaftalen. | Et eksempel herpå kan være, at en eller flere borgere henvender sig og ønsker oplysning om, hvad kommunen har registreret af oplysninger på dem. I så fald er det kommunens opgave selv at slå op i relevante fagsystemer for at se hvor - og med hvilke data - borgeren er registreret. Såfremt kommunen ønsker, at itslearning skal hjælpe til med at finde disse oplysninger - f.eks. på grund af, at der er mange borgere, der har henvendt sig og kommunen ikke mener at have ressourcer til at sagsbehandle alle disse henvendelser, da kan itslearning tilbyde at hjælpe til hermed. I så fald bestiller kommunen opgaven hos itslearning, og der vil blive opkrævet et vederlag herfor. Tilsvarende gælder, hvis borgeren ønsker at få udleveret oplysningerne, f.eks. i form af et print, eller borgeren anmoder om, at de registrerede oplysninger bliver rettet eller slettet i systemet. Typisk er dette en opgave, som kommunen selv skal varetage. itslearning kan bistå mod et vederlag, hvis kommunen måtte ønske dette. Såfremt kommunen skal underrette en kreds af borgere om, at der har været et sikkerhedsbrud, da varetager kommunen selv denne opgave. Hvis kommunen imidlertid vurderer, at denne underretning bedst kan ske via bistand fra itslearning, da kan en bistandsopgave bestilles hos itslearning, der udfører opgaven mod at opkræve vederlag herfor. |
8
Hovedelementer i databehandler- aftalensafsnit | Afsnit | Skoleintra Hovedaftale | Uddybende eksempler og bemærkninger |
Leverandørens forpligtelser | 4 | ||
Leverandøren skal efterleve dennes forpligtelser i Forordningens artikel 32 - Behandlingssikkerhed - mht. aktiviteter, der kan henføres til databehandleren (gennemførelse af passende tekniske og organisatoriske foranstaltninger internt hos itslearning). | 4.5 | ÷ I det omfang dette ikke er indeholdt i Hovedaftalens faste vederlag, er det særskilt betalbart | |
Leverandøren skal bistå kunden med at efterleve dennes forpligtelser i Forordningens artikel 32 - Behandlingssikkerhed. Aktiviteter, der kan henføres til den dataansvarlige (gennemførelse af passende tekniske og organisatoriske foranstaltninger i kundens egen organisation). | 4.5 | (X) I det omfang, der ikke er organisatorisk eller teknisk mulighed for den dataansvarlige til at opfylde forpligtelsen, skal databehandler bistå vederlagsfrit, dog kun i det omfang denne bistand er indeholdt i vederlaget i Hovedaftalen. | Såfremt en kommune ønsker itslearning’s bistand til at varetage sikkerhedsforanstaltninger hos kommunen selv, vil sådan bistand være særskilt betalbar. Dette kunne eksempelvis dreje sig om logning af kundens medarbejderes adgange til personop- lysninger samt styring af adgange for kundens medarbejdere. I så tilfælde vil sådanne foranstalt- ninger være særskilt betalbare. |
Leverandøren skal efterleve dennes forpligtelser i Forordningens artikel 33 - Underretning af den dataansvarlige om brud på persondatasikkerheden. | 4.5 | ÷ |
Leverandøren skal bistå kunden med at efterleve dennes forpligtelser i Forordningens artikel 33 - Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden. | 4.5 | (X) I det omfang, der ikke er organisatorisk eller teknisk mulighed for den dataansvarlige til at opfylde forpligtelsen, skal databehandler bistå vederlagsfrit, dog kun i det omfang denne bistand er indeholdt i vederlaget i Hovedaftalen. | Kommunens dialog med tilsynsmyndighederne (Datatilsynet) er en opgave, som påhviler dataansvarlig og som kommunen derfor typisk selv varetager. I det omfang kommunen til brug for denne dialog efterspørger oplysninger, som kommunen selv er i stand til at tilvejebringe, men som kommunen mener, at itslearning med fordel kan bistå med at fremskaffe, kan kommunen bestille sådanne oplysninger hos itslearning. Afhængig af omfanget heraf kan en sådan opgaveløsning fra itslearning’s side være betalbar. |
Hovedelementer i databehandler- aftalensafsnit | Afsnit | Skoleintra Hovedaftale | Uddybende eksempler og bemærkninger |
Leverandørens forpligtelser (fortsat) | 4 | ||
Leverandørenskalbiståkundenmedatefterleve dennesforpligtelseri Forordningensartikel 34– Underretning om brud på persondatasikkerheden til den registrerede. | 4.5 | (X) I det omfang, der ikke er organisatorisk eller teknisk mulighed for den dataansvarlige til at opfylde forpligtelsen, skal databehandler bistå vederlagsfrit, dog kun i det omfang denne bistand er indeholdt i vederlaget i Hovedaftalen. | I visse tilfælde vil det være sådan, at kommunen skal underrette en kreds af borgere om, at der har været et sikkerhedsbrud. Det typiske er, at kommunen selv varetager denne opgave.Hvis kommunen imidlertidvurderer, at denne underretning bedst kan ske via bistand fra itslearning, da kan en sådan bistandsopgave bestilles hos itslearning, derudføreropgaven mod atopkræve vederlag herfor. Skyldes sikkerhedsbruddet en fejl begået af itslearning og kommunen derfor mener, at kunne rejse krav mod itslearning, skal dette ske i henhold til de misligholdelsesbeføjelser, der måtte gælde i Hovedaftalen (f.eks. ved påberåbelse af mangler eller misligholdelse over for itslearning). |
Leverandøren skal bistå kunden med at efterleve dennes forpligtelser i Forordningens artikel 35 – Udarbejdelse afkonsekvensanalysevedrørende databeskyttelse. | 4.5 | (X) I det omfang, der ikke er organisatorisk eller teknisk mulighed for den dataansvarlige til at opfylde forpligtelsen, skal databehandler bistå vederlagsfrit, dog kun i det omfang denne bistand er indeholdt i vederlaget i Hovedaftalen. | En konsekvensanalyse består i en vurdering af de risici, der er i forbindelse med behandling af personoplysninger. En konsekvensanalyse skal foretages inden visse typer af behandling af personoplysninger. Det er den dataansvarlige, der skal foretage denne analyse. Hvis itslearning’s bistand ønskes i forbindelse hermed, vil dette typisk være at betragte som en konsulentydelse, som itslearning kan opkræve vederlag foratmedvirke til. |
Afsnit | Skoleintra Hovedaftale | Uddybende eksempler | |
Leverandørens forpligtelser | 4 | ||
Krav til leverandørens ekspertise | 4.6 | ÷ | |
Overholde bestemmelser i andet EU-medlemsland | 4.7 | ÷ | |
Underleverandør (underdatabehandler) | 5 | ||
Definition underdatabehandler | 5.1 | ÷ | |
Leverandørens rettigheder og forpligtelser over for denne, 1 | 5.2 | ÷ | |
Leverandørens rettigheder og forpligtelser over for denne, 2 | 5.3 | ÷ | |
Underdatabehandlerens forpligtelser | 5.4 | ÷ | |
Leverandøren har ansvaret for underleverandøren | 5.5 | ÷ | |
Kommunen kan forlange dokumentation | 5.6 | ÷ | |
Instrukser | 6 | ||
Behandling sker efter instruks | 6.1 | ÷ | |
Leverandøren giver besked til kunden om ulovlig instruks | 6.2 | ÷ |
Afsnit | Skoleintra Hovedaftale | Uddybende eksempler og bemærkninger | |
Tekniskeogorganisatoriske sikkerhedsforanstaltninger | 7 | ||
Leverandøren træffer fornødne tekniske og organisatoriske sikkerhedsforanstaltninger | 7.1 | (X) I det omfang dette ikke er indeholdt i Hovedaftalens faste vederlag, er det særskilt betalbart | |
Leverandøren holder passende sikkerhedsniveau | 7.2 | (X) I det omfang dette ikke er indeholdt i Hovedaftalens faste vederlag, er det særskilt betalbart | |
Leverandøren underretter kunden om sikkerhedsbrud | 7.3 | ÷ | |
Overførsler til andre lande | 8 | ||
Overførsel til andre lande sker ud fra kundens instruks | 8.1 | ÷ | Norge, der har status som EØS-land er tilføjet i forhold til standardskabelon, da en del af databehandlingen sker i Norge. itslearning må kun overføre kommunens personoplysninger med kommunens godkendelse. I bilag 1, punkt 3.2 er der givet plads til, at eventuelle tredjelandsoverførsler suppleres med oplysning om, hvilket overførselsgrundlag, der anvendes for at lette kommunens dokumentationsforpligtelse. itslearning angiver det tydeligt i det udfyldte bilag 1, punkt 3.2, hvis der overføres personoplysninger til tredjelande. |
Leverandøransvar vedr. persondata overført til andet EU-land | 8.2 | ÷ | |
Tavshedspligt og fortrolighed | 9 | ||
Leverandøren sikrer fortrolighed og tavshedspligt | 9.1 | ÷ |
Afsnit | Skoleintra Hovedaftale | Uddybende eksempler | |
Kontroller og erklæringer | 10 | ||
Leverandøren er forpligtiget til at udlevere oplysninger, så kunden kan sikre sig, at leverandøren overholder aftalen. | 10.1 | X | Såfremt, der er behov for yderligere dokumentation, f.eks. i form af rapporter, indhentning af uvildige konsulentoplysninger eller andre opgaver, der medfører et ressourceforbrug ud over det, der er aftalt med kommunen i den konkrete Hovedaftale, kan dette være betalbart. itslearning udarbejder en gang årligt revisionsrapport, jf. pkt. 10.3. |
Kunden har adgang til inspektioner og revision | 10.2 | (X) | Audit er særskilt betalbart, medmindre andet er aftalt i Hovedaftalen. |
Leverandøren fremsender årlig vederlagsfri | 10.3 | ÷ |
Afsnit | Skoleintra Hovedaftale | Uddybende eksempler | |
Ændringer i aftalen | 11 | ||
Kundens mulighed for ændring i instruksen med et vist varsel og mod betaling. | 11.1 | X | Et eksempel herpå vil være, at kommunen introducerer ændringer i den allerede aftalte instruks. I så fald aftales pris, udførelse og tid i henhold til ændringsbestemmelsen i Hovedaftalen. |
Ændringer i lovgivningen eller tilhørende praksis kan medføre ændringer i aftalen. | 11.2 | (X) Ændringer, som ikke er indeholdt i Hovedaftalens faste vederlag er særskilt betalbare. Ændringer, der går udover, hvad itslearning tilbyder sine øvrige kunder, som tilpasning til ny lovgivning, er særskilt betalbare. | Det typiske er, at det er reguleret i Hovedaftalen hvorvidt lovvedligeholdelse og de aktiviteter, der følger heraf, er særskilt betalbare. Aftalen ændres inden for den anførte frist og lovændringer implementeres inden for rimelig tid. itslearning foretager ændringer i aftalen ens overfor alle kunder. Da itslearning tilpasser løsninger og aftaler til ny lovgivning sideløbende for samtlige kunder. Såfremt enkelte kunder ønsker tilføjelser til denne standardtilpasning ny lovgivning, vil dette være særskilt betalbart. Hvis der f.eks. kommer yderligere krav til behandlingssikkerhed i ny lovgivning, vil itslearning implementere disse krav teknisk og aftalemæssigt ens for samtlige kunder. Ønsker en kunde derudover yderligere skærpelse af behandlingssikkerheden, da kundens egen forståelse af sikkerhedskravene i den nye lovgivning går videre end de øvrige kunders, da vil indførelse af sådanne sikkerhedskrav være særskilt betalbare. Et eksempel herpå kunne være, at itslearning efter en ændring af lovgivning eller praksis vælger at følge nye retningslinjer om sletning fra Datatilsynet (f.eks. en opdateret version af Datatilsynets IT-sikkerhedstekst ST-3). En enkelt kommune stiller dog krav om sletning efter en specifik standard (f.eks. NIST 800-88), som går udover, hvad Datatilsynet kræver. Opgradering til denne standard vil være særskilt betalbar. Et andet eksempel kunne være, at der kommer en ny bekendtgørelse (eller anden administrativ retsakt), der ligner den nuværende sikkerhedsbekendtgørelse. I denne nye bekendtgørelse er der skærpede krav til tavshedspligten for medarbejdere. itslearning indskærper tavshedspligten overfor itslearning’s medarbejdere i overensstemmelse med den nye bekendtgørelse. itslearning har dermed implementeret de skærpede krav ens for alle kunder. En enkelt kommune ønsker dog at gå videre, og betinger sig en underskrevet tavshedserklæring fra visse medarbejdere hos itslearning, hvor medarbejderne forpligter sig til fortrolighed direkte overfor kommunen. Hvis itslearning accepterer et sådant særkrav, vil dette være særskilt betalbart. |
Sletning af data | 12 | ||
Kommunen beslutter sletning af data efter ophør. | 12.1 | (X) I det omfang dette ikke er indeholdt i Hovedaftalens faste vederlag, er det særskilt betalbart | Det vil typisk være reguleret i Hovedaftalen, hvorvidt sletning af data efter ophør er særskilt betalbart. |
Kommunen meddeler sletning eller tilbagelevering af data. | 12.2 | (X) I det omfang dette ikke er indeholdt i Hovedaftalens faste vederlag, er det særskilt betalbart | Det vil typisk være reguleret i Hovedaftalen, hvorvidt sletning af data efter ophør samt eventuelle opfølgende aktiviteter i forbindelse hermed er særskilt betalbart. |
Afsnit | Skoleintra Hovedaftale | Uddybende eksempler | |
Misligholdelse og tvister | 13 | ||
Misligholdelse og tvister | 13.1 | Ikke relevant | |
Erstatning og forsikring | 14 | ||
Erstatning og forsikring | 14.1 | Ikke relevant | |
Ikrafttræden, varighed og forrang | 15 | ||
Ikrafttræden og varighed | 15.1 | Ikke relevant | Denne bestemmelse kan eksempelvis være relevant, hvor kommunens data ikke er blevet slettet eller tilbageført ved Hovedaftalens ophør; f.eks. fordi det ikke har været muligt for kommunen at finde en ny leverandør i tide, eller der har været migreringsvanskeligheder. Her er det en fordel, at der er sikret overholdelse af databeskyttelsesforordningen, uden at skulle bruge ressourcer derpå. Databehandleraftalen løber så længe itslearning behandler personoplysninger på vegne af kommunen. Dette skal sikre overholdelse af databeskyttelsesforordningen for begge parter. Det skal sikres, at parterne ikke kan komme til at stå uden en databehandleraftale, når itslearning stadig behandler personoplysninger på vegne af kommunen. |
Forrang | 15.2 | Ikke relevant | Denne bestemmelse kan ikke give kommunen betalingsforpligtelser, hvor kommunen havde ret til vederlagsfri ydelser i hovedaftalen. Dette skyldes, at betalingsforpligtelserne i databehandleraftalen kun er relevante, i det omfang dette ikke er indeholdt i Hovedaftalens faste vederlag. Databehandleraftalen har her fået forrang. Dette skal sikre, at bestemmelser i hovedaftaler, som måtte være databeskyttelsesforordningen ikke medfører overtrædelse af denne. |
Formkrav | 16 | ||
Formkrav | 16.1 | Ikke relevant | |
Bilag | |||
Bilag 1 | 1.3 | Spørgsmål ift. afkrydsning: ”Under ForældreIntra er der en bjælke, som hedder Kontaktbog, hvor forældre kan skrive til skolen, hvis eksempelvis barnet er syg. Kan der komme til at stå andet end almindelige oplysninger herunder? Forældre kan vel også komme med oplysninger om barnets helbredsforhold? ” Svar: ” Vi kan ikke forhindre at man skriver personfølsomme data i beskeder, men anbefalingen er at man undlader det. I det konkrete tilfælde anbefaler vi, at man blot skriver at barnet er sygt, og ikke hvad det fejler. Hvis skolen/kommunen ønsker det, kan man foretage en ændring, som sikrer, at forældrene skal bruge en 2-faktor autentifikation med NemID ved indlogning til ForeældreIntra. | |
Bilag 2 | 2 | itslearning anvender ikke underdatabehandlere med særlige vilkår. |