DATABEHANDLERAFTALE Mellem [Forbund] [adresse] CVR. nr.: [XXXX] (herefter ”Forbundet”) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter ”Leverandøren”)
DATABEHANDLERAFTALE
Mellem
[Forbund]
[adresse]
CVR. nr.: [XXXX]
(herefter ”Forbundet”)
og
[Leverandørens navn]
[adresse]
[postnr. og by]
CVR. nr.: [XXXX]
(herefter ”Leverandøren”)
er der indgået nedenstående databehandleraftale (herefter ”Aftalen”) om Leverandørens behandling af personoplysninger på vegne af Forbundet.
Databehandleraftalen knytter sig til parternes hovedaftale om levering af it-ydelser til Forbundet, Hovedaftalen af xxx (herefter Hovedaftalen).
Aftalen vedrører Leverandørens forpligtelse som databehandler for Forbundet, herunder forpligtelsen til at efterleve de sikkerhedskrav, som persondataforordningen og lovgivningen i øvrigt stiller.
Leverandøren leverer it-løsninger til Forbundet i medfør af Hovedaftalen af [dato] med Forbundet og leverandøren behandler i den forbindelse personoplysninger for Forbundet.
Leverandøren skal behandle personoplysninger i overensstemmelse med til enhver tid gældende regler og forskrifter for behandling af personoplysninger. Forbundet orienterer leverandøren om Forbundets eventuelle interne it-instrukser, sikkerhedspolitik m.v.
Forbundets rettigheder og forpligtelser
Forbundet er dataansvarlig for de personoplysninger, som Forbundet i medfør af Hovedaftalen har instrueret Leverandøren om at behandle.
Forbundet er således omfattet af gældende regler i forordning og lovgivning for dataansvarlige.
Leverandørens forpligtelser
Leverandøren er databehandler for de personoplysninger, som Leverandøren behandler på vegne af Forbundet. Leverandøren har som databehandler de forpligtelser, som er pålagt en databehandler i medfør af de til enhver tid gældende regler om behandling af personoplysninger.
Leverandøren behandler alene de overladte personoplysninger efter instruks fra Forbundet og alene med henblik på opfyldelse af Hovedaftalen.
Leverandøren skal føre en fortegnelse over dennes behandling af personoplysninger. Leverandøren skal orientere Forbundet om ethvert forekommende sikkerhedsbrud.
Leverandøren skal på opfordring fra Forbundet hjælpe med at opfylde Forbundets forpligtelser i forhold til gældende regler.
Leverandøren garanterer at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger, sådan at Leverandørens behandling af Forbundets personoplysninger opfylder gældende regler og sikrer beskyttelse af oplysningerne og den registreredes rettigheder.
Underleverandør (underdatabehandler)
Ved underdatabehandler forstås en underleverandør, til hvem databehandleren har overladt hele eller dele af den behandling, som databehandleren foretager for Forbundet.
Leverandøren må ikke uden udtrykkelig skriftlig godkendelse fra Forbundet anvende underdatabehandlere.
Hvis Forbundet tillader, at Leverandøren overlader behandlingen af personoplysninger til underdatabehandlere, skal Leverandøren indgå en skriftlig databehandleraftale med underdatabehandleren. Aftalen skal pålægge underdatabehandleren de samme forpligtelser, som Leverandøren selv er omfattet af. Leverandøren har over for Forbundet ansvaret for underdatabehandlerens overholdelse af disses forpligtelser, og Forbundet har ret til at se aftalen med underleverandøren.
Instrukser
Leverandørens behandling af personoplysninger sker på baggrund af Forbundets instruks, jf. parternes hovedaftale. Det er Leverandørens ansvar at sikre, at eventuelle underdatabehandlere gøres bekendt med Forbundets instruks.
Leverandøren er instrueret i alene at behandle personoplysninger med det formål at varetage de i Hovedaftalen fastsatte databehandlingsopgaver.
Leverandøren giver besked til Forbundet, hvis en instruks efter Leverandørens vurdering er i strid med gældende regler.
Leverandøren skal assistere Forbundet med at overholde de forpligtelser, der påhviler Forbundet efter gældende regler, f.eks. den registreredes ret til indsigt, berigtigelse eller sletning.
Tekniske og organisatoriske sikkerhedsforanstaltninger
Leverandøren skal iværksætte de foranstaltninger, der kræves for at sikre et passende sikkerhedsniveau.
Leverandøren skal mindst en gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandlingen for at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed er iagttaget.
Leverandøren har pligt til at instruere sine ansatte om Leverandørens forpligtelser, herunder om tavshedspligt og fortrolighed.
Leverandøren er forpligtet til straks at underrette Forbundet om ethvert sikkerhedsbrud, uanset om dette sker hos Leverandøren eller hos en eventuel underdatabehandler.
Leverandøren må ikke hverken offentligt eller til tredjeparter kommunikere om sikkerhedsbrud.
Tavshedspligt og fortrolighed
Leverandøren er pålagt fuld tavshedspligt vedrørende alle oplysninger, som leverandøren bliver bekendt med gennem det aftalte hverv. Denne tavshedspligt gælder også efter aftalens ophør.
Leverandøren skal sikre, at ansatte og eventuelle underdatabehandlere er omfattet af tavshedspligten.
Kontroller og erklæringer
Leverandøren skal medvirke til, at Forbundet kan sikre sig, at Leverandøren overholder de krav, der følger af denne Aftale.
Forbundet eller Forbundets revision (såvel intern som ekstern) har adgang til at foretage inspektioner og revision hos Leverandøren med henblik på at konstatere, at Leverandøren overholder gældende regler samt de krav, der følger af denne Aftale.
Leverandøren skal én gang årligt over for Forbundet dokumentere, at gældende regler og nærværende aftale efterleves. Dette skal ske gennem IT-revision efter anerkendte standarder.
Såfremt Forbundet eller relevante offentlige myndigheder ønsker at foretage inspektion hos Leverandøren, skal Leverandøren og eventuelle underleverandører stille tid og ressourcer til rådighed herfor uden omkostninger for Forbundet.
Overførsler til andre lande
Leverandørens overførsel af personoplysninger til tredjelande skal ske i overensstemmelse med gældende regler herom og kan kun ske med Forbundets accept.
Ændringer i aftalen
Forbundet er med et varsel på 30 dage og uden at dette medfører krav om betaling fra Leverandøren berettiget til at foretage ændringer i aftalen, hvis ændringer i gældende persondataregler eller praksis giver anledning til dette.
Ophør af Hovedaftalen
Databehandleraftalen løber indtil ophør af parternes hovedaftale.
Ved ophør skal Leverandøren yde de fornødne overgangsydelser til Forbundet. Leverandøren er herunder forpligtet til loyalt og hurtigst muligt at medvirke til, at databehandlingen overgår til en anden leverandør eller tilbageføres til Forbundet.
Forbundet træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af personoplysningerne. Leverandøren skal sikre, at eventuelle underdatabehandlere ligeledes efterlever Forbundets beslutning.
Leverandøren og eventuel underdatabehandler skal slette eventuelle kopier af de behandlede personoplysninger.
Leverandøren kan ikke betinge sin efterlevelse af Forbundets instrukser af honorering af udestående mellemværender, og Leverandøren har ingen tilbageholdsret i personoplysningerne.
For Forbundet For Leverandøren
Dato Dato
_________________________ _________________________