Kontrakt vedr. levering af ComplimentaWork og relaterede services
Kontrakt vedr. levering af ComplimentaWork og relaterede services
herefter ”Kontrakten”
mellem
CompuGroup Medical Denmark A/S
herefter ”Leverandøren”
og
<kundens navn>
<kundens adresse>
<kundens postnr og by>
<CVR-nr: <kundens cvr-nr>
herefter ”Kunden”
(Kontraktens parter kaldes tilsammen Parterne, og hver part for sig kaldes Part)
1 Baggrund
Kontrakten fastlægger de ydelser som Leverandøren skal levere til Kunden og vilkårene herfor, samt at skabe sikkerhed for at Leverandørens samlede ydelser overholder Kontraktens krav.
2 Kontraktens bilag
Kontrakten har følgende bilag:
- Bilag 1 (Løsningsbeskrivelse)
- Bilag 2 (Servicemål)
- Bilag 3 (Sikkerhed)
- Bilag 4 (Databehandleraftale)
3 Leverandørens ydelser
Leverandøren skal levere de i Bilag 1 (Løsningsbeskrivelse) beskrevne Services under overholdelse af de i Kontrakten angivne garantier og de i Bilag 2 (Servicemål) angivne Servicemål og i øvrigt i overensstemmelse med god it-skik.
Leverandøren sikrer en oppetid på 99 % mål over 1 år som beskrevet i Bilag 2 (Servicemål).
4 Rettigheder til programmel, dokumentation mv.
Kunden får en ikke eksklusiv brugsret til Leverandørens programmel.
Leverandøren bevarer alle immaterielle rettigheder til sit programmel samt sin dokumentation, værktøjer og metoder udarbejdet til eller stillet til rådighed for Kunden som grundlag for udførelse eller brug af services under Kontrakten.
5 Overholdelse af Servicemål
6 Sikkerhed
Leverandøren skal iagttage passende sikkerhedsforanstaltninger, der følger af Bilag 1
(Løsningsbeskrivelse) og særligt Bilag 3 (Sikkerhed) og Bilag 4 (Databehandleraftale), samt Kontrakten i øvrigt.
7 Rettigheder til data
Kunden har alle rettigheder til alle data, som Kunden overlader til Leverandøren, og som lagres, behandles og genereres som led i leveringen af Services. Leverandøren må ikke anvende Kundens data til andet end opfyldelse af Kontrakten.
8 Behandling af personoplysninger
Kravene til Leverandørens behandling af personoplysninger og Parternes indbyrdes forhold i relation hertil er reguleret i Bilag 4 (Databehandleraftale).
9 Sikkerhedsrevision
Kundens interne og eksterne revisor har for Kundens regning adgang til at foretage sikkerhedsrevision hos Leverandøren og dennes underleverandører med rimeligt varsel.
Kunden har pligt til at tage hensyn til Leverandørens aktuelle arbejdssituation og indrette gennemførelsen af sikkerhedsrevisionen derefter.
10 Udlevering af data
Leverandøren skal på skrifttig begæring fra Xxxxxx udlevere en kopi af alle eller dele af Kundens data, på et it-læsbart medie.
11 Priser
De priser Kunden skal betale for services fremgår af Bilag 1 (Løsningsbeskrivelse).
Alle priser er angivet i danske kroner ekskl. moms og øvrige afgifter, der tillægges ved fakturering.
Ved nye eller ændrede omsætningsafgifter, skatter, told, bidrag eller lignende offentligt pålagte skatter og afgifter, skal priserne korrigeres med den økonomiske nettokonsekvens for Leverandøren.
Tilkøb af yderligere services betales med virkning fra det tidspunkt, hvor Xxxxxx har adgang hertil.
Priserne reguleres årligt pr. 1. januar med det seneste tidligere års Nettoprisindeks opgjort af Danmarks Statistik.
Leverandøren kan derudover kun regulere priser med et varsel på 3 måneder, med mindre andet fremgår af Kontrakten. Ved sådan regulering kan Xxxxxx opsige kontrakten med 3 måneders varsel uanset tidspunkt for udløb.
12 Betalingsbetingelser samt morarente
Betalingsbetingelserne er 14 dage netto fra modtagelse af faktura.
Ved for sen betaling kan Leverandøren kræve morarente, svarende til rentelovens bestemmelser herom.
13 Misligholdelse Leverandørens misligholdelse:
Medmindre andet følger af Kontrakten, gælder dansk rets almindelige regler for Leverandørens misligholdelse og Kundens hertil knyttede misligholdelsesbeføjelser.
Følgende anses for væsentlig misligholdelse og giver Xxxxxx ret til at ophæve Kontrakten:
- Leverandørens konkurs, ophør eller forhold der kan ligestilles hermed.
Leverandøren har sikret sig at Leverandørens underleverandører fortsætter driften af de aftalt services i mindst en måned.
- Kunden gentagne gange berettiget har konstateret betydelige mangler ved opfyldelse af Kontrakten. Dette forudsætter, at Kunden umiddelbart i forbindelse med seneste betydelige mangel har meddelt Leverandøren, at beføjelsen til at ophæve vil blive gjort gældende.
Kundens misligholdelse:
Medmindre andet følger af Kontrakten, gælder dansk rets almindelige regler for Kundens misligholdelse og Leverandørens hertil knyttede misligholdelsesbeføjelser.
Ved Kundens misligholdelse forstås, at Kunden ikke bidrager til Kontraktens opfyldelse som aftalt, enten ved at Kunden ikke foretager betaling til den aftalte tid, eller ved at Kunden ikke bistår Leverandøren som aftalt eller i øvrigt ikke lever op til sine forpligtelser under Kontrakten.
Hvis Xxxxxx misligholder sin betalingsforpligtelse, og ikke senest 10 dage efter modtagelse af rykkerskrivelse har betalt det skyldige beløb, har Leverandøren ret til at lukke for Kundens adgang til de aftalte services. Adgangen etableres først igen, når Xxxxxx har betalt alle skyldige beløb, samt alle Leverandørens omkostninger i forbindelse med genåbning.
14 Leverandørens erstatningsansvar
Leverandøren er ansvarlig efter dansk rets almindelige regler, med de begrænsninger, der følger af kontrakten.
Leverandøren er ikke ansvarlig for indirekte tab og
følgeskader, herunder, men ikke begrænset til, driftstab, tab af goodwill og andre tab som følge af manglende opfyldelse af de i Bilag 2 (Servicemål) angivne Servicemål.
15 Begrænsning af Leverandørens ansvar
Leverandøren er ikke ansvarlig for forsinkelse, fejl og mangler der skyldes følgende forhold (listen er ikke nødvendigvis en udtømmende opregning af forhold, der fritager Leverandøren for ansvar):
- Kundens misligholdelse, uanset om denne er forårsaget af Xxxxxx eller dennes underleverandør
- Mangler ved Kundens eget programmel, herunder tredjeparts programmel
- Force majeure i henhold til punkt 16
- Forhold som Leverandøren i henhold til øvrige dele af Kontrakten ikke har ansvaret for
16 Force majeure
Ingen af Parterne er ansvarlige for manglende overholdelse af deres forpligtelser, når det skyldes forhold, der ligger udenfor Partens kontrol, og som Parten ikke ved Kontraktens underskrift burde have taget i betragtning og ej heller burde have undgået eller overvundet.
17 Opstartsfasen
Inden kundens betalingspligt indtræder, gennemfører Leverandøren og Kunden sammen en ibrugtagningstest. Ved ibrugtagningstesten afprøver Kunden, om Kunden har adgang til de aftalte services og at de aftalte services fungerer som aftalt.
18 Leverandørens bistand ved ophør
Ved opsigelse, ophævelse eller ophør skal Leverandøren på Kundens begæring udlevere alle Kundens data på et it- læsbart medie.
Leverandøren har ingen tilbageholdsret. Udlevering skal således ske uanset årsag til ophør, herunder selvom Xxxxxx måtte være i en påstået eller aktuel misligholdelse.
Leverandørens forpligtelse til fortsat levering af Services er betinget af, at Kunden stiller sikkerhed for betaling,
Leverandøren skal på Kundens begæring yde yderligere relevant assistance i forbindelse med Kontraktens ophør. Leverandørens (og evt. underleverandørers) tidsforbrug i forbindelse hermed godtgøres af Xxxxxx tilden til enhver tid gældende timepris.
19 Fortrolighed
Parterne samt deres personale og underleverandører skal iagttage ubetinget fortrolighed med hensyn til enhver oplysning om den anden Parts forretningshemmeligheder, forretningskoncepter, forretningsforbindelser og andre fortrolige forhold, der kommer til deres kendskab i forbindelsen med etableringen, driften og afviklingen af Kontrakten.
Fortroligheden omfatter ikke (i) videregivelse med skriftlig tilladelse fra den beskyttede Part, (ii) videregivelse, der kræves af en offentlig myndighed i henhold til gældende lovgivning og (iii) videregivelse til brug for løsning af en konflikt mellem Parterne.
Ovennævnte oplysninger må Parterne kun opbevare, anvende og formidle som led i opfyldelse af Kontrakten.
20 Underleverandører
Leverandøren kan anvende underleverandør(er).
Anvendes underleverandører, hæfter Leverandøren for sine underleverandørers medvirken på samme måde som for egne forhold.
21 Overdragelse af aftalen
Leverandøren kan frit overføre rettigheder og/eller forpligtelser under aftalen til tredjemand uden forudgående skriftligt samtykke fra Kunden.
Kunden kan overdrage brugsretten til tredjemand i forbindelse med eventuel fusion.
22 Ikrafttræden, varighed og opsigelse
Kontrakten træder i kraft ved Parternes underskrift og løber indtil den opsiges.
Kontrakten kan af begge Parter opsiges med 3 måneders skriftligt varsel til udløbet af et kontraktår.
Kontrakten kan kun ændres ved skriftlig aftale mellem Parterne. Ændringer skal vedlægges Kontrakten.
Leverandøren har ret til at gennemføre ændringer af Services (i) i takt med udvikling af sin forretning, (ii) såfremt dette nødvendiggøres af præceptiv lovgivning, (iii) såfremt Kunden har fremsat ændringsanmodninger eller (iv) det i øvrigt følger af Kontrakten.
23 Fortolkning Forrang:
Ved eventuel indbyrdes modstrid gælder følgende rangordning: (i) Kontrakten har forrang frem for bilagene og
(ii) bilag har forrang frem for underbilag til det konkrete bilag.
Henvisninger:
24 Lovvalg og tvister
Kontrakten er undergivet dansk ret.
Eventuel uenighed om Kontrakten skal først søges løst i mindelighed ved forhandling mellem Parterne.
Bilag 1 – Løsningsbeskrivelse
vedr.
Kontrakt vedr. levering af ComplimentaWork og relaterede services
herefter ”Kontrakten”
mellem
CompuGroup Medical Denmark A/S
herefter ”Leverandøren”
og
<kundens navn>
<kundens adresse>
<kundens postnrog by> CVR-nr: <kundens cvr-nr>
herefter ”Kunden”
(Kontraktens parter kaldes tilsammen Parterne, og hver part for sig kaldes Part)
For aftaler om services indgået før maj 2018 vil priser og services
være beskrevet i samarbejdsaftale/kontrakt, som har været fremsendt tidligere.
Bilag 2 – Servicemål vedr.
Kontrakt vedr. levering af ComplimentaWork og relaterede services
herefter ”Kontrakten”
mellem
CompuGroup Medical Denmark A/S
herefter ”Leverandøren”
og
<kundens navn>
<kundens adresse>
<kundens postnrog by> CVR-nr: <kundens cvr-nr>
herefter ”Kunden”
(Kontraktens parter kaldes tilsammen Parterne, og hver part for sig kaldes Part)
1 Tilgængelighed
De aftalte services er som udgangspunkt tilgængelige døgnet rundt, året rundt, bortset fra planlagt utilgængelighed ved
2 Support
Kunden har adgang til telefonisk support alle hverdage kl. 08.00 - 14.00.
- Forebyggende og korrigerende vedligeholdelse
- Opdatering
Vedligeholdelse og opdatering foretages i servicevinduer, som fortrinsvis placeres på hverdage kl. 17.00 - 08.00.
I tilfælde af at Leverandøren undtagelsesvis har behov for at foretage vedligeholdelse udenfor servicevinduerne, varsles dette pr. e-mail med mindst 5 arbejdsdage.
Er der tale om en akut situation, gives varsel i så god tid, som situationen tillader.
Leverandøren garanterer at de aftalte services er tilgængelige 99% af tiden, fraregnet ovennævnte planlagte utilgængelighed, samt eventuel utilgængelighed som Leverandøren ikke er ansvarlig for.
Tilgængeligheden opgøres per år, på følgende måde:
(Åbningstid – (Planlagt nedetid + Nedbrud)) * 100
%Tilgængelighed =
Åbningstid – Planlagt Nedetid
Hvor:
- ”Åbningstid” er den tid som servicen burde være tilgængelig (24 timer gange antal dage i måneden)
- Planlagt nedetid er planlagt utilgængelighed
- Nedbrud er uplanlagt utilgængelighed
Udenfor den normale supporttid, kan henvendelse ske via e- mail eller til supportafdelingens telefonsvarer.
Henvendelser kan foretages på dansk eller engelsk.
Leverandøren har ret til at henvise supportspørgsmål til e- mail.
Henvendelser prioriteres efter følgende princip:
Prioritet 1 - Flere kunder har ikke adgang til aftalte services Prioritet 2 - Én Kunde har ikke adgang til aftalte services Prioritet 3 - Services kan anvendes, men med gener Prioritet 4 - Ubetydelige gener
Svartiden for henvendelser vil normalt være indenfor 24 timer.
3 Backup
Leverandøren tager periodisk backup af Kundens data.
Backupkopier opbevares sikkert på sekundær lokation.
Leverandøren tester periodisk at backupkopier kan anvendes til retablering af Kundens data.
Backupprocedurerne tilrettelægges således, at de forstyrrer Kundens adgang til de aftalte services mindst muligt.
Genskabelse af ældre versioner af Kundens data, på basis af backupkopier, kan ikke forventes muligt.
11.2020 ver. 1.2
Bilag 3 – Sikkerhed vedr.
Kontrakt vedr. levering af ComplimentaWork og relaterede services
herefter ”Kontrakten”
mellem
CompuGroup Medical Denmark A/S
herefter ”Leverandøren”
og
<kundens navn>
<kundens adresse>
<kundens postnrog by> CVR-nr: <kundens cvr-nr>
herefter ”Kunden”
(Kontraktens parter kaldes tilsammen Parterne, og hver part for sig kaldes Part)
1 Adgang
Adgang til de aftalte services kan kun ske ved brug af den af Leverandøren tilvejebragte adgangskontrol.
Adgangskontrollen består af to elementer:
a) et personligt bruger-id
b) et personligt kodeord
Leverandøren vedligeholder og tildeler brugerprofilerne med brugernavn og kodeord.
2 Fortrolighed
Leverandørens medarbejdere har underskrevet fortrolighedserklæringer, hvorefter de har forpligtet sig til at behandle oplysninger vedrørende Kundens forhold, herunder personoplysninger, fortroligt.
Leverandøren sikrer, at kun medarbejdere der er autoriseret til det, har adgang til Kundens data.
3 Kontrol med afviste adgangsforsøg
Leverandøren fører kontrol med afviste forsøg på adgang og iværksætter om nødvendigt foranstaltninger til sikring mod uautoriseret adgang.
4 Logning
Leverandøren sikrer, at alle sikkerhedshændelser logges og at loggen periodisk gennemgås, til sikring af at forsøg på uautoriseret adgang opdages og at der om nødvendigt iværksættes foranstaltninger til sikring mod yderligere forsøg på uautoriseret adgang, samt udbedring af eventuelle skader som følge af uautoriseret adgang.
5 Transmission af personoplysninger over Internet eller andre eksterne netværk
Al datatransmission ved anvendelse af de aftalte services sker med anvendelse af kryptering (http-s).
6 Beredskab
Leverandøren anvender dubleret datacenter (primært og sekundært datacenter) og backupkopi af data opbevares i sekundært datacenter.
Ved hændelser, der medfører uacceptabel utilgængelighed, etableres normal drift i det sekundære datacenter.
Bilag 4 – Databehandleraftale vedr.
Kontrakt vedr. levering af ComplimentaWork og relaterede services
herefter ”Kontrakten”
mellem
CompuGroup Medical Denmark A/S
herefter ”Leverandøren”
og
<kundens navn>
<kundens adresse>
<kundens postnr og by> CVR-nr: <kundens cvr-nr>
herefter ”Kunden”
(Kontraktens parter kaldes tilsammen Parterne, og hver part for sig kaldes Part)
1 Baggrund for databehandleraftalen
1. Denne databehandleraftale (herefter kaldet Aftalen) fastsætter de rettigheder og forpligtelser, som finder anvendelse, når Databehandleren foretager behandling af personoplysninger på vegne af den Dataansvarlige.
2. Aftalen er udformet med henblik på Parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i
forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.
3. Databehandlerens behandling af personoplysninger sker med henblik på opfyldelse af Parternes ”hovedaftale”: ’Kontrakt vedr. levering af ComplimentaWork og relaterede services’
4. Aftalen og ”hovedaftalen” er indbyrdes afhængige, og kan ikke opsiges særskilt. Aftalen kan dog – uden at opsige ”hovedaftalen” – erstattes af en anden gyldig databehandleraftale.
5. Aftalen har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne, herunder i ”hovedaftalen”.
6. Til Aftalen hører tre bilag. Bilagene fungerer som en integreret del af Aftalen.
7. Aftalens Bilag A indeholder nærmere oplysninger om behandlingen, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
8. Aftalens Bilag B indeholder den Dataansvarliges betingelser for, at Databehandleren kan gøre brug af eventuelle underdatabehandlere, samt en liste over de eventuelle underdatabehandlere, som den Dataansvarlige har godkendt.
9. Aftalens Bilag C indeholder en nærmere instruks om, hvilken behandling Databehandleren skal foretage på vegne af den Dataansvarlige (behandlingens genstand), hvilke sikkerhedsforanstaltninger, der som minimum skal iagttages, samt hvordan der føres tilsyn med Databehandleren og eventuelle underdatabehandlere.
11.2020 ver.1.2
10. Aftalen med tilhørende bilag opbevares skriftligt, herunder elektronisk af begge parter.
11. Aftalen frigør ikke Databehandleren for forpligtelser, som efter databeskyttelsesforordningen eller enhver anden lovgivning direkte er pålagt Databehandleren.
2 Den dataansvarliges forpligtelser og rettigheder
1. Den Dataansvarlige har overfor omverdenen (herunder den registrerede) som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven.
2. Den Dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling.
3. Den Dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som Databehandleren instrueres i at foretage.
3 Databehandleren handler efter instruks
1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt; i så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
2. Databehandleren underretter omgående den Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
4 Fortrolighed
1. Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den Dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.
2. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde Databehandlerens forpligtelser overfor den Dataansvarlige.
3. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den Dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
4. Databehandleren skal efter anmodning fra den Dataansvarlige kunne påvise, at de relevante medarbejdere er underlagt ovennævnte tavshedspligt.
5 Behandlingssikkerhed
1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
2. Ovenstående forpligtelse indebærer, at Databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger:
a. Pseudonymisering og kryptering af personoplysninger
b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester
c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed
3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C.
4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den Dataansvarliges eller Databehandlerens efterfølgende krav om etablering af yderligere sikkerhedsforanstaltninger vil fremgå af Parternes ”hovedaftale”.
6 Anvendelse af underdatabehandlere
1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden Databehandler (underdatabehandler).
2. Databehandleren må således ikke gøre brug af en anden Databehandler (underdatabehandler) til opfyldelse af Aftalen uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige.
3. I tilfælde af generel skriftlig godkendelse skal Databehandleren underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
4. Den Dataansvarliges nærmere betingelser for Databehandlerens brug af eventuelle underdatabehandlere fremgår af denne aftales Bilag B.
5. Den Dataansvarliges eventuelle godkendelse af specifikke underdatabehandlere er anført i denne aftales Bilag B.
6. Når Databehandleren har den Dataansvarliges godkendelse til at gøre brug af en underdatabehandler, sørger Databehandleren for at pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne Aftale, gennem en kontrakt eller andet retligt dokument i henhold til EU- retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen.
Databehandleren er således ansvarlig for, igennem indgåelsen af en underdatabehandleraftale, at pålægge en eventuel underdatabehandler mindst de forpligtelser, som Databehandleren selv er underlagt efter databeskyttelsesreglerne og Aftalen med tilhørende bilag.
7. Underdatabehandleraftalen og eventuelle senere ændringer hertil sendes, efter den Dataansvarliges anmodning herom, i kopi til den Dataansvarlige, som herigennem har mulighed for at sikre sig, at der er indgået en gyldig aftale mellem Databehandleren og underdatabehandleren. Eventuelle kommercielle vilkår, eksempelvis priser, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den Dataansvarlige.
8. Databehandleren skal i sin aftale med underdatabehandleren indføje den Dataansvarlige som begunstiget tredjemand i tilfælde af Databehandlerens konkurs, således at den Dataansvarlige kan indtræde i Databehandlerens rettigheder og gøre dem gældende over for underdatabehandleren, f.eks. så den Dataansvarlige kan instruere underdatabehandleren om at foretage sletning eller tilbagelevering af oplysninger.
9. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.
7 Overførsel af oplysninger til tredjelande eller internationale organisationer
1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt; i så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
2. Uden den Dataansvarliges instruks eller godkendelse kan Databehandleren – indenfor rammerne af Aftalen - derfor bl.a. ikke;
a. videregive personoplysningerne til en dataansvarlig i et tredjeland eller i en international organisation,
b. overlade behandlingen af personoplysninger til en underdatabehandler i et tredjeland,
c. lade oplysningerne behandle i en anden af Databehandlerens afdelinger, som er placeret i et tredjeland.
3. Den Dataansvarliges eventuelle instruks eller godkendelse af, at der foretages overførsel af personoplysninger til et tredjeland, vil fremgå af denne aftales Bilag C.
8 Bistand til den Dataansvarlige
1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.
Dette indebærer, at Databehandleren så vidt muligt skal bistå den Dataansvarlige i forbindelse med, at den Dataansvarlige skal sikre overholdelsen af:
a. oplysningspligten ved indsamling af personoplysninger hos den registrerede
b. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
c. den registreredes indsigtsret
d. retten til berigtigelse
e. retten til sletning (»retten til at blive glemt«)
f. retten til begrænsning af behandling
g. underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
h. retten til dataportabilitet
i. retten til indsigelse
j. retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, herunder profilering
2. Databehandleren bistår den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensyntagen til
behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, jf. art 28, stk. 3, litra f.
Dette indebærer, at Databehandleren under hensyntagen til behandlingens karakter skal bistå den Dataansvarlige i forbindelse med, at den Dataansvarlige skal sikre overholdelsen af:
a. forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen
b. forpligtelsen til at anmelde brud på persondatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden unødig forsinkelse og om muligt senest 36 timer, efter at den Dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
c. forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder
d. forpligtelsen til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder
e. forpligtelsen til at høre tilsynsmyndigheden (Datatilsynet) inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den Dataansvarlige for at begrænse risikoen
3. Parternes eventuelle regulering/aftale om vederlæggelse eller lignende i forbindelse med Databehandlerens bistand til den Dataansvarlige vil fremgå af parternes ”hovedaftale”.
9 Underretning om brud på persondatasikkerheden
1. Databehandleren underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos Databehandleren eller en eventuel underdatabehandler.
Databehandlerens underretning til den Dataansvarlige skal om muligt ske senest 36 efter at denne er blevet bekendt med bruddet, sådan at den Dataansvarlige har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden indenfor 72 timer.
2. I overensstemmelse med denne aftales afsnit 10.2., litra b, skal Databehandleren - under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for denne – bistå den Dataansvarlige med at foretage anmeldelse af bruddet til tilsynsmyndigheden.
Det kan betyde, at Databehandleren bl.a. skal hjælpe med at tilvejebringe nedenstående oplysninger, som efter databeskyttelsesforordningens artikel 33, stk. 3, skal fremgå af den Dataansvarliges anmeldelse til tilsynsmyndigheden:
a. Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
b. Sandsynlige konsekvenser af bruddet på persondatasikkerheden
c. Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden, herunder hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger
10 Sletning og tilbagelevering af oplysninger
1. Ved ophør af tjenesterne vedrørende behandling forpligtes Databehandleren til, efter den Dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den Dataansvarlige, samt at
slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.
11 Tilsyn og revision
1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise Databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og Aftalen, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige.
2. Den nærmere procedure for den Dataansvarliges tilsyn med Databehandleren fremgår af denne aftales Bilag C.
3. Den Dataansvarliges tilsyn med eventuelle underdatabehandlere sker som udgangspunkt gennem Databehandleren. Den nærmere procedure herfor fremgår af denne aftales Bilag C.
4. Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til den Dataansvarliges og Databehandlerens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til Databehandlerens fysiske faciliteter mod behørig legitimation.
12 Ikrafttræden og ophør
1. Aftalen træder i kraft ved begge Parters underskrift heraf.
2. Aftalen kan af begge Parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i aftalen giver anledning hertil.
3. Parternes eventuelle regulering/aftale om vederlæggelse, betingelser eller lignende i forbindelse med ændringer af Aftalen vil fremgå af parternes ”hovedaftale”.
4. Opsigelse af Aftalen kan ske i henhold til de opsigelsesvilkår, inkl. opsigelsesvarsel, som fremgår af ”hovedaftalen”.
5. Aftalen er gældende, så længe behandlingen består. Uanset ”hovedaftalens” og/eller Aftalens opsigelse, vil Aftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos Databehandleren og eventuelle underdatabehandlere.
Bilag A Oplysninger om behandlingen
Formålet med Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige er at den Dataansvarlige kan anvende ComplimentaWork og relaterede services, beskrevet i Hovedaftalens Bilag 1 (Løsningsbeskrivelse), til at indsamle og behandle oplysninger om den Dataansvarliges klienter.
Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige drejer sig primært om at Databehandleren stiller ComplimentaWork og relaterede services, beskrevet i Hovedaftalens Bilag 1 (Løsningsbeskrivelse), til rådighed for den Dataansvarlige og herigennem opbevarer personoplysninger om den Dataansvarliges klienter på it-udstyr som Databehandleren eller Databehandlerens underleverandør(er) har rådighed over.
Behandlingen omfatter følgende typer af personoplysninger om de registrerede:
• Almindelige oplysninger – Alle almindelige personoplysninger og øvrige oplysninger som ikke er personfølsomme oplysninger
• Følsomme oplysninger – helbredsoplysninger og nationalitet (for at kunne validere cpr.)
Behandlingen omfatter følgende kategorier af registrerede:
• Personer, som er eller har været klient hos den Dataansvarlige.
Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige kan påbegyndes Aftalens ikrafttræden. Behandlingen har følgende varighed:
• Behandlingen er ikke tidsbegrænset og varer indtil aftalen opsiges eller ophæves af en af Parterne.
Bilag B Betingelser for Databehandlerens brug af underdatabehandlere og liste over godkendte underdatabehandlere
B.1 Betingelser for Databehandlerens brug af eventuelle underdatabehandlere
Databehandleren har den Dataansvarliges generelle godkendelse til at gøre brug af underdatabehandlere. Databehandleren skal dog underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
En sådan underretning skal være den dataansvarlige i hænde minimum 4 uger før anvendelsen eller ændringen skal træde i kraft.
Såfremt den Dataansvarlige har indsigelser mod ændringerne, skal den Dataansvarlige give meddelelse herom til Databehandleren uden ugrundet ophold og senest 10 arbejdsdage efter modtagelsen af underretningen.
B.2 Godkendte underdatabehandlere
Den Dataansvarlige har ved Aftalens ikrafttræden godkendt anvendelsen af følgende underdatabehandlere:
Navn | CVR-nr | Adresse | Beskrivelse af behandling |
KMD | 26911745 | Lautrupparken 40-42, 2750 Ballerup | VANS EDI konverteringer ml. dataformater |
Reepay (Recuro) | 32097901 | Xxxxxxxxx 00, 0000 Xxxxxxxxx S | Betalingstransaktioner vedr. træningsmedlemsskaber i fysioterapiklinikker |
FL2R | 33068948 | Xxxxxxxxxx 00, 0000 Xxxxxxx | Drift, vedligehold og udvikling |
LINK Mobility A/S | 30077520 | Ørestads Boulevard 000, 0., 0000 Xxxxxxxxx S | SMS service |
Den Dataansvarlige har ved Aftalens ikrafttræden specifikt godkendt anvendelsen af ovennævnte underdatabehandlere til netop den behandling, som er beskrevet ud for parten. Databehandleren kan ikke – uden den Dataansvarliges specifikke og skriftlige godkendelse – anvende den enkelte underdatabehandler til en anden behandling and aftalt eller lade en anden underdatabehandler foretage den beskrevne behandling.
Bilag C Instruks vedrørende behandling af personoplysninger
C.1 Behandlingens genstand/ instruks
Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige sker ved, at Databehandleren stiller ComplimentaWork og relaterede services, beskrevet i Hovedaftalens Bilag 1 (Løsningsbeskrivelse), til rådighed for den Dataansvarlige.
Databehandleren udfører tillige de nødvendige it-tekniske driftsmæssige opgaver til sikring af den aftalte kvalitet i leveringen af de aftalte services, herunder behandlingssikkerhed.
Den Dataansvarlige har ansvaret for og gennemfører den forretningsmæssige anvendelse af de aftalte services, herunder registrering og bearbejdning af personoplysninger.
Sikkerhedsniveauet skal afspejle at der er tale om behandling af en stor mængde personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et sikkerhedsniveau som modsvarer dette.
Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne.
Databehandleren skal dog i alle tilfælde, og som minimum, gennemføre foranstaltningerne i punkt C.2.1 – C2.5, som er aftalt med den Dataansvarlige (på baggrund af den risikovurdering den Dataansvarlige har foretaget):
C.2.1 Interne sikkerhedsforskrifter
Databehandleren skal fastsætte interne sikkerhedsforskrifter, der sikrer, at Databehandlerens ansatte kun har adgang til personoplysninger, som er nødvendige for den ansattes udførelse af sine arbejdsopgaver.
Såfremt Databehandlerens ansatte anvender hjemmearbejdsplads, skal Databehandleren indestå for, at ovenstående interne sikkerhedsforanstaltninger også overholdes på hjemmearbejdspladsen.
C.2.2 Autorisation og adgangskontrol
Kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles, og brugere må ikke autoriseres til anvendelser, de ikke har behov for i forhold til deres jobfunktion. Der må dog autoriseres personer, for hvem adgang til oplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver.
Der skal være login- og adgangskodeprocedure, og der skal føres log med navns nævnelse over, hvem der har haft adgang til hvilke persondata og på hvilket tidspunkt. Databehandleren skal til enhver tid kunne fremvise en sådan log på Dataansvarliges foranledning.
C.2.3 Transmission af personoplysninger over internettet
Databehandleren skal sikre, at der træffes fornødne sikkerhedsforanstaltninger ved transmission af personoplysninger over internettet.
C.2.4 Logning
Databehandleren skal sikre, at der foretages logning af sikkerhedshændelser.
Den Dataansvarlige kan til enhver tid foretage ændringer i denne generelle databehandlerinstruks med et forudgående varsel på mindst 30 dage. Databehandleren skal ved sådanne ændringer straks sikre, at Underdatabehandleren forpligtes af den ændrede databehandlerinstruks.
C.3 Opbevaringsperiode/sletterutine
C.4 Lokalitet for behandling
Behandling af de i aftalen omfattede personoplysninger kan ikke uden den Dataansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end de følgende:
• Complimenta Aps, Xxxxxx 0, 0000 Xxxxxxxx
• Hos de i bilag B, punkt B.2 nævnte underleverandører
C.5 Instruks eller godkendelse vedrørende overførsel af personoplysninger til tredjelande Databehandleren må ikke indenfor rammerne af Aftalen overføre personoplysninger til tredjelande.
C.6 Nærmere procedurer for den dataansvarliges tilsyn med den behandling, som foretages hos databehandleren
Den dataansvarlige eller en repræsentant for den Dataansvarlige har adgang til at føre varslet tilsyn, herunder fysisk tilsyn, hos Databehandleren, når der efter den Dataansvarliges vurdering opstår et behov herfor.
Den Dataansvarliges eventuelle udgifter i forbindelse med et fysisk tilsyn afholdes af den Dataansvarlige selv. Databehandleren er forpligtet til at afsætte de ressourcer, der er nødvendig for, at den dataansvarlige kan gennemføre sit tilsyn. Databehandleren er berettiget til at kræve vederlag for den medgåede tid og eventuelle materialer i forbindelse med tilsynet.
Databehandleren eller en repræsentant for Databehandleren har adgang til at føre tilsyn, herunder fysisk tilsyn, hos underdatabehandleren, når der efter Databehandlerens eller den Dataansvarliges vurdering opstår et behov herfor. Dokumentation for de afholdte tilsyn sendes snarest muligt til orientering hos den Dataansvarlige.
Den Dataansvarlige kan, hvis det findes nødvendigt, initiere og deltage på en fysisk inspektion hos underdatabehandleren. F.eks. såfremt den Dataansvarlige vurderer, at Databehandlerens tilsyn med underdatabehandleren ikke har givet den Dataansvarlige tilstrækkelig sikkerhed for, at behandlingen hos underdatabehandleren sker i overensstemmelse med Aftalen.
Den Dataansvarliges eventuelle deltagelse i et tilsyn hos underdatabehandleren ændrer ikke ved, at Databehandleren også herefter har det fulde ansvar for underdatabehandlerens overholdelse af databeskyttelseslovgivningen og Aftalen.
Databehandleren er berettiget til at kræve vederlag for den medgåede tid og eventuelle materialer i forbindelse med tilsyn initieret af den Dataansvarlige.