Databehandleraftale
§ 1 Parterne |
Denne Databehandleraftale (”Aftalen”) fastlægger Databehandlerens ydelser til den Dataansvarlige samt Parternes indbyrdes pligter og rettigheder. Databehandleraftalen er indgået mellem |
|
Leverandør: |
CPHplus-Regnskab ApS |
|
Registrerings Nr. |
CVR 36028831 |
|
Adresse: |
Xxxxxxxx 00 0000 Xxxxxxxxxx, Xxxxxx |
(“Databehandler”) |
|
og |
|
Kunden: |
[KUNDENS NAVN] |
|
Registrerings Nr. |
[CVR NUMMER] |
|
Adresse: |
[ADRESSE] |
(“Dataansvarlig”) |
|
(Databehandler og Dataansvarlig også benævnt en ”Part” og i fællesskab ”Parterne”) |
|
§ 2 Ikrafttrædelsesdato, uopsigelighed og Overtagelsesdag |
Databehandleraftalen træder i kraft den [DATO]. Databehandleraftalen gælder indtil enten (a) aftale(r)n(e) om levering af Hovedydelserne ophører eller (b) Databehandleraftalen opsiges eller ophæves |
|
§3 Baggrund og formål |
|
|
§ 4 Omfang |
|
|
§ 5 Databehandlerens forpligtelser |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
§6 DEN DATAANSVARLIGES FORPLIGTELSER |
|
|
§7 UNDERDATABEHANDLERE |
|
|
§8 OVERFØRSEL TIL TREDJELANDE OG INTERNATIONALE ORGANISATIONER |
|
|
§9 DATABEHANDLING UDENFOR INSTRUKSEN |
|
|
§10 VEDERLAG OG OMKOSTNINGER |
|
|
§11 ÆNDRING AF INSTRUKSEN |
|
|
§12 MISLIGHOLDELSE |
|
|
§13 ANSVAR OG ANSVARSBEGRÆNSNINGER |
|
|
§14 FORCE MAJEURE |
|
|
§15 FORTROLIGHED |
|
|
§16 OPHØR |
|
|
|
|
|
§17 TVISTLØSNING |
|
|
§18 FORRANG |
|
|
§19 BILAG |
Aftalen inkluderer de Almindelige Betingelser samt følgende bilag: Bilag 1: Hovedydelsen Bilag 2: Tekniske og organisatoriske sikkerhedskrav og garantier Bilag 3: Dokumentation for overholdelse af forpligtelser Bilag 4: Konkret bistand Bilag 5: Den Dataansvarliges forpligtelser Bilag 6: Underdatabehandlere Bilag 7: Overførsel til tredjelande og internationale organisationer |
Nærværende Databehandleraftale med bilag underskrives af Parterne i to originale eksemplarer - ét til hver Part - der hver især skal gælde som en original. |
||||
|
Dato:
|
Dato:
|
|
|
|
_______________________ |
|
_______________________ |
|
|
(Databehandler) |
(Dataansvarlige) |
HOVEDYDELSEN
Hovedydelsen består af følgende:
Regnskabs og bogholderi ydelser til virksomheder
PERSONOPLYSNINGER
Typer af personoplysninger, der behandles i sammenhæng med levering af Hovedydelsen:
Almindelige personoplysninger, herunder enhver form for information om en identificeret eller identificerbar registreret ud over de i litra a) og b) nævnte.
Cpr-numre.
Kategorien af registrerede identificerede eller identificerbare fysiske personer omfattet af Databehandleraftalen:
Kunder
SPECIFIKKE TEKNISKE OG ORGANISATORISKE SIKKERHEDSKRAV:
Der stilles følgende specifikke krav til Databehandlerens fysiske sikkerhed:
Fysisk sikring af databehandlers interne data:
Rummet hvor i følsomme data befinder sig af er sikret fysisk adgang via en dør med tryk kode. Det er kun betroet medarbejdere der har adgang.
Der er opsat alarm system på døre og vinduer
Adgang til rummet kræver adgangskontrol.
Sikring af databehandlers hostede kunder:
Databehandler bruger underdatabehandler som leverandør til hosting af regnskab
Der er indgået databehandler aftale med underdatabehandler
Garantier for indgået underdatabehandler aftaler stilles ikke dårligere end databehandlers egne garantier
Tekniske krav:
Dokumentation af kunder opbevares hos en underdatabehandler hvor der er indgået databehandler aftale. Adgang til dokumentationen er sikret via 2 factor authentication via google authenticator.
Overvågning af systemer forgår hos en underdatabehandler.
Alle Pc’er er krypteret.
Alle Pc’er har adgangskontrol.
Kunders systemer tilgås kun via krypteret tunneller.
Det opdateres både netværksudstyr, pc’er, server og 3ed parts software ugentligt.
Der er fastsat en passwordpolitik.
Antivirus er installeret på alle server og pc’er. Ajourføring og overvågning sker automatisk med alarmering.
Kritiske logs bliver gemt efter interne procedure.
Organisatoriske krav:
Databehandler har gennemgået sine arbejdsgange og implementeret procedurer der sikre de tekniske krav bliver overholdt
Der stilles følgende specifikke krav til Databehandlerens sletning af personoplysninger:
Sletning af data sker på en måde så de ikke kan genskabes
Bortskaffelse af IT-udstyr med sensitive data bliver håndteret af tredje parts udbyder via makulering. Dette forgår under opsyn fra Databehandleren
AFGIVNE GARANTIER FOR DEN FORNØDNE BEHANDLINGSSIKKERHED
Databehandleren har stillet følgende specifikke garantier:
Databehandleren vil honorer sikkerhedskrav i bilag 2 punkt 1.
Databehandleren får udarbejde en erklæring årligt, første gang januar 2021.
Som led i Databehandlerens demonstrering overfor den Dataansvarlige af overholdelse af sine forpligtelser efter §5 punkt 3 i Databehandleraftalen skal nedenstående punkter udføres og overholdes.
GENEREL DOKUMENTATION TIL DEN DATAANSVARLIGE
Databehandleren er på skriftlig anmodning forpligtet til at fremsende følgende generelle dokumentation til den Dataansvarlige:
En erklæring fra Databehandlerens ledelse om, at Databehandleren under sin behandling af personoplysninger på den Dataansvarliges vegne løbende sikrer overholdelse af sine forpligtelser efter denne Databehandleraftale.
En beskrivelse af de praktiske tiltag, herunder såvel tekniske som organisatoriske, som Databehandleren har gennemført for at sikre overholdelse af sine forpligtelser efter Databehandleraftalen. Beskrivelsen kan bl.a. omfatte en fremstilling af etablerede og implementerede ledelsessystemer for informationssikkerhed og for behandling af personoplysninger samt beskrivelsen af andre iværksatte tiltag. Databehandleren er som led heri også forpligtet til at deltage i opfølgende møder med den Dataansvarlige herom.
En beskrivelse af hvilke kontrolforanstaltninger Databehandleren har iværksat og gennemført til måling og kontrol af virkningen af det etablerede ledelsessystem for informationssikkerhed og for behandling af personoplysninger samt resultatmålinger herfra.
Den generelle dokumentation skal udleveres senest fem arbejdsdage efter, at den Dataansvarlige har fremsat sin skriftlige anmodning overfor Databehandleren, med mindre andet aftales konkret. Databehandlerens udarbejdelse af dokumentation sker for Databehandlerens egen regning.
ERKLÆRING
Databehandleren skal årligt og uden særskilt vederlag foranledige udarbejdelse af en erklæring omhandlende Databehandlerens informationssikkerhedsniveau, og hvilke foranstaltninger Databehandleren har truffet.
Erklæringen skal indeholde den udpegede tredjemands anmærkninger.
Erklæringen skal udarbejdes af en kompetent tredjepart, som skal være underlagt sædvanlig fortrolighedsforpligtelse.
Erklæringen kan rekvireres af dataansvarlige.
Databehandleren skal, på skriftlig anmodning og mod særskilt betaling af vederlag, foranledige udarbejdelse og udlevering af yderligere erklæring/revisionserklæring om forhold, som nærmere aftales.
FYSISK MØDE HOS DATABEHANDLER
Databehandler skal på skriftlig anmodning deltage i et fysisk møde hos Databehandler eller den Dataansvarlige, hvorpå Databehandler nærmere skal kunne redegøre for overholdelsen, samt hvordan overholdelsen sikres. Anmodning om møde skal ske med mindst 14 dages varsel.
Dataansvarlig afholder alle udgifter foranlediget af dette møde.
AUDIT
Databehandleren skal på skriftlig anmodning bidrage til og give adgang til audit.
Audit skal foretages af en uafhængig tredjepart valgt af den Dataansvarlige og godkendt af Databehandleren. Databehandleren kan ikke afvise en foreslået tredjepart uden rimelig begrundelse. Den uafhængige tredjepart skal tiltræde en sædvanlig fortrolighedserklæring overfor Databehandleren. Anmodning om audit skal ske med mindst 14 dages varsel.
Databehandleren har krav på betaling efter medgået tid og forbrugte materialer for bistand i medfør af dette punkt 4, med mindre andet følger af bilag 4 eller § 10 punkt 2 i Databehandleraftalen.
Dataansvarlig afholder alle udgifter foranlediget af denne audit.
ØVRIGT
Overstående punkter skal ikke anses for udtømmende, og Databehandleren er derfor forpligtet til at foretage sådanne yderligere handlinger og tiltag, som er nødvendige for demonstration af Databehandlerens forpligtelse efter §4 i Databehandleraftalen.
Databehandleren er ikke forpligtet til at følge en anmodning fra den Dataansvarlige i henhold til dette bilag 3 hvis anmodningen strider mod den persondataretlige regulering. Databehandleren skal underrette den Dataansvarlige i det omfang, det er Databehandlerens vurdering, at dette er tilfældet.
Dataansvarlig afholder alle udgifter foranlediget af denne handling.
BISTAND
Se Driftaftale indgået mellem Databehandler og Dataansvarlig
FORPLIGTELSER
Den Dataansvarlige har følgende forpligtelser
at sikre sig, at personoplysningerne er ajourførte
at sikre sig, at Instruksen er lovlig set i forhold til den til enhver tid gældende persondataretlige regulering
at Instruksen er hensigtsmæssig set i forhold til denne Databehandleraftale og Hovedydelsen
GENERELT
Databehandleren underretter den dataansvarlige ved ændring af underdatabehandler for den datasvarlige.
Den Dataansvarlige meddeler med Databehandleraftalen sin forudgående generelle skriftlige godkendelse til, at Databehandleren kan gøre brug af en Underdatabehandler.
Den Dataansvarlige har mulighed for at gøre indsigelser gældende mod en sådan Underdatabehandler i det omfang, der er en rimelig grund hertil.
Liste over underdatabehandler forefindes på databehandlers hjemmeside.
GENERELT
Personoplysninger kan ikke underkastes behandling af Databehandleren eller en Underdatabehandler i et land uden for den Europæiske Union eller EØS (et ”Tredjeland”), eller en international organisation, medmindre den Dataansvarlige giver konkret tilladelse hertil.
Databehandleren skal underrette den Dataansvarlige om overførslen, inden den finder sted.
CPHplus-Regnskab ApS
Databehandleraftale, version 1.5 (30. maj 2019)