Changelog
Changelog
VERSION | ÆNDRINGER |
1.1 | Ændringer i Bestemmelserne 7.7., 9.2., 10.4. og Bilag C.8. (Tastefejl og opdaterede krydshenvisninger). |
1.2 | Standard udfyldelse af bilag ved Abakion |
1.3 | Ændring i afsnit C.2, 2.c |
1.4 | Ændring i Bilag B |
Standardkontraktsbestemmelser
i henhold til artikel 28, stk. 3, i forordning 2016/679 (databeskyttelsesforordningen) med hen- blik på databehandlerens behandling af personoplysninger
mellem
[LAND]
[POSTNUMMER OG BY]
[ADRESSE]
[CVR-NR]
[NAVN]
herefter ”den dataansvarlige” og
Abakion a/s CVR 25450272
Vibenshuset, Xxxxxxxxx 0
2100 København Ø Danmark
herefter ”databehandleren”
der hver især er en ”part” og sammen udgør ”parterne”
HAR AFTALT følgende standardkontraktsbestemmelser (Bestemmelserne) med henblik på at overholde databeskyttelsesforordningen og sikre beskyttelse af privatlivets fred og fysiske per- soners grundlæggende rettigheder og frihedsrettigheder.
3. Den dataansvarliges rettigheder og forpligtelser 4
4. Databehandleren handler efter instruks 5
7. Anvendelse af underdatabehandlere 6
8. Overførsel til tredjelande eller internationale organisationer 7
9. Bistand til den dataansvarlige 8
10. Underretning om brud på persondatasikkerheden 9
11. Sletning og returnering af oplysninger 9
12. Revision, herunder inspektion 10
13. Parternes aftale om andre forhold 10
15. Kontaktpersoner hos den dataansvarlige og databehandleren 11
Bilag A Oplysninger om behandlingen 12
Bilag B Underdatabehandlere 14
Bilag C Instruks vedrørende behandling af personoplysninger 15
Bilag D Parternes regulering af andre forhold 18
2. Disse bestemmelser er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF.
3. I forbindelse med levering, hosting, support, vedligeholdelse og videreudvikling af Mi- crosoft Dynamic løsning og/eller løsninger med Microsoft Power platformen behand- ler databehandleren personoplysninger på vegne af den dataansvarlige i overens- stemmelse med disse Bestemmelser.
4. Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.
5. Der hører fem bilag til disse Bestemmelser, og bilagene udgør en integreret del af Bestemmelserne.
6. Bilag A indeholder nærmere oplysninger om behandlingen af personoplysninger, her- under om behandlingens formål og karakter, typen af personoplysninger, kategori- erne af registrerede og varighed af behandlingen.
7. Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af un- derdatabehandlere og en liste af underdatabehandlere, som den dataansvarlige har godkendt brugen af.
8. Bilag C indeholder den dataansvarliges instruks for så vidt angår databehandlerens behandling af personoplysninger, en beskrivelse af de sikkerhedsforanstaltninger, som databehandleren som minimum skal gennemføre, og hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere.
9. Bilag D indeholder bestemmelser vedrørende andre aktiviteter, som ikke af omfattet af Bestemmelserne.
10. Bilag E indeholder en oversigt og en kategorisering af persondata i Microsoft Dyna- mics NAV/Business Central og/eller Databehandlerens BI standardløsninger herpå. Bilaget giver en oversigt over, hvor der som standard opbevares persondata. Det på- hviler den dataansvarlige at sikre en komplet fortegnelse, der tager højde for den da- taansvarliges konkrete anvendelse af Microsoft Dynamics NAV/Business Central.
11. Bestemmelserne med tilhørende bilag skal opbevares skriftligt, herunder elektronisk, af begge parter.
12. Disse Bestemmelser frigør ikke databehandleren fra forpligtelser, som databehandle- ren er pålagt efter databeskyttelsesforordningen eller enhver anden lovgivning.
3. Den dataansvarliges rettigheder og forpligtelser
1. Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen (se forordningens artikel
ret og disse Bestemmelser.
2. Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger.
3. Den dataansvarlige er ansvarlig for, blandt andet, at sikre, at der er et behandlings- grundlag for behandlingen af personoplysninger, som databehandleren instrueres i at foretage.
4. Databehandleren handler efter instruks
1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemssta- ternes nationale ret, som databehandleren er underlagt. Denne instruks skal være specificeret i bilag A og C. Efterfølgende instruks kan også gives af den dataansvar- lige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk, sammen med disse Be- stemmelser.
2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbe- stemmelser i anden EU-ret eller medlemsstaternes nationale ret.
5. Fortrolighed
1. Databehandleren må kun give adgang til personoplysninger, som behandles på den dataansvarliges vegne, til personer, som er underlagt databehandlerens instruktions- beføjelser, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbe- stemt tavshedspligt, og kun i det nødvendige omfang. Listen af personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af denne gennemgang kan adgangen til personoplysninger lukkes, hvis adgangen ikke længere er nødven- dig, og personoplysningerne skal herefter ikke længere være tilgængelige for disse personer.
2. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de pågældende personer, som er underlagt databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt.
6. Behandlingssikkerhed
1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databe- handleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsom- kostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers ret- tigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici.
1 Henvisninger til ”medlemsstat” i disse bestemmelser skal forstås som en henvisning til ”EØS medlemsstater”.
Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og friheds- rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:
a. Pseudonymisering og kryptering af personoplysninger
b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og ro- busthed af behandlingssystemer og -tjenester
c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personop- lysninger i tilfælde af en fysisk eller teknisk hændelse
d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effekti- viteten af de tekniske og organisatoriske foranstaltninger til sikring af behand- lingssikkerhed.
Afprøvning og vurdering i overensstemmelse med d. indgår blandt andet i Abakions årlige ISAE-revision.
2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvar- lige – også vurdere risiciene for fysiske personers rettigheder som behandlingen ud- gør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici.
3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes over- holdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren alle- rede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forord- ningens artikel 32.
Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som da- tabehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.
7. Anvendelse af underdatabehandlere
1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesfor- ordningens artikel 28, stk. 2, og stk. 4, for at gøre brug af en anden databehandler (en underdatabehandler).
2. Databehandleren må således ikke gøre brug af en underdatabehandler til opfyldelse af disse Bestemmelser uden generel skriftlig godkendelse fra den dataansvarlige.
3. Databehandleren har den dataansvarliges generelle godkendelse til brug af underda- tabehandlere. Databehandleren skal skriftligt underrette den dataansvarlige om even- tuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehand- lere med mindst 10 dages varsel og derved give den dataansvarlige mulighed for at
Side 6 af 21
gøre indsigelse mod sådanne ændringer inden brugen af de(n) omhandlede under- databehandler(e). Listen over underdatabehandlere, som den dataansvarlige allerede har godkendt, fremgår af bilag B.
4. Når databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, skal databehand- leren, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, pålægge underdatabehandleren de samme databe- skyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen overholder kravene i disse Bestemmelser og databeskyttelsesforordningen.
Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som mi- nimum overholder databehandlerens forpligtelser efter disse Bestemmelser og data- beskyttelsesforordningen.
5. Underdatabehandleraftale(r) og eventuelle senere ændringer hertil sendes – efter den dataansvarliges anmodning herom – i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforpligtelser som følger af disse Bestemmelser er pålagt underdatabehandleren. Bestemmelser om kommer- cielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af underdatabe- handleraftalen, skal ikke sendes til den dataansvarlige.
6. Databehandleren skal i sin aftale med underdatabehandleren indføje den dataansvar- lige som begunstiget tredjemand i tilfælde af databehandlerens konkurs, således at den dataansvarlige kan indtræde i databehandlerens rettigheder og gøre dem gæl- dende over for underdatabehandlere, som f.eks. gør den dataansvarlige i stand til at instruere underdatabehandleren i at slette eller tilbagelevere personoplysningerne.
7. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af under- databehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder, der følger af databeskyttelsesforordningen, herunder særligt forordningens artikel 79 og 82, over for den dataansvarlige og databehandleren, herunder underdatabehandle- ren.
8. Overførsel til tredjelande eller internationale organisationer
1. Enhver overførsel af personoplysninger til tredjelande eller internationale organisati- oner må kun foretages af databehandleren på baggrund af dokumenteret instruks herom fra den dataansvarlige og skal altid ske i overensstemmelse med databeskyt- telsesforordningens kapitel V.
2. Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som databehandleren ikke er blevet instrueret i at foretage af den dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandle- ren er underlagt, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underret- ning af hensyn til vigtige samfundsmæssige interesser.
3. Uden dokumenteret instruks fra den dataansvarlige kan databehandleren således ikke inden for rammerne af disse Bestemmelser:
Side 7 af 21
Side 8 af 21
a. overføre personoplysninger til en dataansvarlig eller databehandler i et tred- jeland eller en international organisation
b. overlade behandling af personoplysninger til en underdatabehandler i et tred- jeland
c. behandle personoplysningerne i et tredjeland
4. Den dataansvarliges instruks vedrørende overførsel af personoplysninger til et tred- jeland, herunder det eventuelle overførselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, skal angives i bilag C.6.
5. Disse Bestemmelser skal ikke forveksles med standardkontraktsbestemmelser som omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og disse Be- stemmelser kan ikke udgøre et grundlag for overførsel af personoplysninger som om- handlet i databeskyttelsesforordningens kapitel V.
9. Bistand til den dataansvarlige
1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltnin- ger med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordnin- gens kapitel III.
Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:
a. oplysningspligten ved indsamling af personoplysninger hos den registre- rede
b. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den regi- strerede
c. indsigtsretten
d. retten til berigtigelse
e. retten til sletning (”retten til at blive glemt”)
f. retten til begrænsning af behandling
g. underretningspligten i forbindelse med berigtigelse eller sletning af person- oplysninger eller begrænsning af behandling
h. retten til dataportabilitet
i. retten til indsigelse
j. retten til ikke at være genstand for en afgørelse, der alene er baseret på au- tomatisk behandling, herunder profilering
2. I tillæg til databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til Bestemmelse 6.3., bistår databehandleren endvidere, under hensyntagen til behand- lingens karakter og de oplysninger, der er tilgængelige for databehandleren, den da- taansvarlige med:
a. den dataansvarliges forpligtelse til uden unødig forsinkelse og om muligt se- nest 72 timer, efter at denne er blevet bekendt med det at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed, Datatilsynet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden in- debærer en risiko for fysiske personers rettigheder eller frihedsrettigheder
b. den dataansvarliges forpligtelse til uden unødig forsinkelse at underrette den registrerede om brud på persondatasikkerheden, når bruddet sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettighe- der
c. den dataansvarliges forpligtelse til forud for behandlingen at foretage en ana- lyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger (en konsekvensanalyse)
d. den dataansvarliges forpligtelse til at høre den kompetente tilsynsmyndig- hed, Datatilsynet, inden behandling, såfremt en konsekvensanalyse vedrø- rende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.
3. Parterne skal i bilag C angive de fornødne tekniske og organisatoriske foranstaltnin- ger, hvormed databehandleren skal bistå den dataansvarlige samt i hvilket omfang og udstrækning. Det gælder for de forpligtelser, der følger af Bestemmelse 9.1. og 9.2.
10. Underretning om brud på persondatasikkerheden
1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
2. Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 36 timer efter, at denne er blevet bekendt med bruddet, sådan at den dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningens artikel 33.
3. I overensstemmelse med Bestemmelse 9.2.a skal databehandleren bistå den data- ansvarlige med at foretage anmeldelse af bruddet til den kompetente tilsynsmyndig- hed. Det betyder, at databehandleren skal bistå med at tilvejebringe nedenstående information, som ifølge artikel 33, stk. 3, skal fremgå af den dataansvarliges anmel- delse af bruddet til den kompetente tilsynsmyndighed:
a. karakteren af bruddet på persondatasikkerheden, herunder, hvis det er mu- ligt, kategorierne og det omtrentlige antal berørte registrerede samt katego- rierne og det omtrentlige antal berørte registreringer af personoplysninger
b. de sandsynlige konsekvenser af bruddet på persondatasikkerheden
c. de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er rele- vant, foranstaltninger for at begrænse dets mulige skadevirkninger.
4. Parterne skal i bilag C angive den information, som databehandleren skal tilvejebringe i forbindelse med sin bistand til den dataansvarlige i dennes forpligtelse til at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed.
11. Sletning og returnering af oplysninger
Side 9 af 21
handleren forpligtet til at tilbagelevere alle personoplysningerne og slette eksiste- rende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne.
12. Revision, herunder inspektion
1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdel- sen af databeskyttelsesforordningens artikel 28 og disse Bestemmelser, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder in- spektioner, der foretages af den dataansvarlige eller en anden revisor, som er be- myndiget af den dataansvarlige.
2. Procedurerne for den dataansvarliges revisioner, herunder inspektioner, med databe- handleren og underdatabehandlere er nærmere angivet i Bilag C.7.
3. Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende lov- givningen har adgang til den dataansvarliges eller databehandlerens faciliteter, eller repræsentanter, der optræder på tilsynsmyndighedens vegne, adgang til databehand- lerens fysiske faciliteter mod behørig legitimation.
13. Parternes aftale om andre forhold
1. Parterne kan aftale andre bestemmelser vedrørende tjenesten vedrørende behand- ling af personoplysninger om f.eks. erstatningsansvar, så længe disse andre bestem- melser ikke direkte eller indirekte strider imod Bestemmelserne eller forringer den re- gistreredes grundlæggende rettigheder og frihedsrettigheder, som følger af databe- skyttelsesforordningen. Sådanne bestemmelser indgår i Abakions Generelle vilkår, som en del af det samlede aftalegrundlag.
14. Ikrafttræden og ophør
1. Bestemmelserne træder i kraft på datoen for begge parters underskrift heraf.
2. Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i Bestemmelserne giver anledning hertil.
3. Bestemmelserne er gældende, så længe tjenesten vedrørende behandling af person- oplysninger varer. I denne periode kan Bestemmelserne ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjenesten vedrørende behandling af personoplysninger, aftales mellem parterne.
4. Hvis levering af tjenesterne vedrørende behandling af personoplysninger ophører, og personoplysningerne er slettet eller returneret til den dataansvarlige i overensstem- melse med Bestemmelse 11.1 og Bilag C.4, kan Bestemmelserne opsiges med skrift- ligt varsel af begge parter.
5. Underskrift
På vegne af den dataansvarlige Navn [NAVN]
Stilling [STILLING] Telefonnummer [TELEFONNUMMER] E-mail [E-MAIL]
Underskrift
På vegne af databehandleren
Navn Xxxxxxx Xxxxxx Gram
Stilling CEO
Telefonnummer 00000000
E-mail xxx@xxxxxxx.xxx Underskrift
15. Kontaktpersoner hos den dataansvarlige og databehandleren
1. Parterne kan kontakte hinanden via nedenstående kontaktpersoner.
2. Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktpersoner.
Navn [NAVN]
Stilling [STILLING] Telefonnummer [TELEFONNUMMER] E-mail [E-MAIL]
Navn Xxxxxxx Xxxxxx Gram
Stilling CEO
Telefonnummer 00000000
A.1. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige
Formålet er at levere, supportere, vedligeholde og videreudvikle den dataansvarliges Microsoft Dynamic løsning og/eller løsninger med Microsoft Power platformen.
A.2. Databehandlerens behandling af personoplysninger på vegne af den data- ansvarlige drejer sig primært om (karakteren af behandlingen)
1. At databehandleren supporterer og vedligeholder løsningerne for den dataansvarlige. Dette omfatter behandling af personoplysninger i forbindelse med:
• Vedligeholdelse og udvikling, herunder konfigurering af løsningen
• Udvikling af analyser, rapporter og dashboard
2. Behandling af personoplysninger kan desuden finde sted i forbindelse med:
• Rådgivning og sparring om databehandling og benyttelse af løsningen
• Service og support på anvendelse og drift af løsningen
A.3. Behandlingen omfatter følgende typer af personoplysninger om de regi- strerede
Typer af personoplysninger, der behandles i sammenhæng med levering af tjenesten, afhæn- ger af Dataansvarliges sagsområder og kan være:
a) Almindelige personoplysninger, herunder navn, adresser, telefonnumre og e-mail- adresser.
b) Korrespondance og dokumenter indeholdende andre personlige oplysninger fra fx bogføringstekster eller bogføringsbilag
c) Cpr-numre.
Der henvises til bilag E Datafortegnelse, der giver en oversigt og en kategorisering af person- data i Microsoft Dynamics NAV/Business Central. Dokumentet giver en oversigt over, hvor der som standard opbevares persondata, og er ikke nødvendigvis fyldestgørende. Det påhviler den dataansvarlige at sikre en komplet fortegnelse, der tager højde for den dataansvarliges konkrete anvendelse af Microsoft Dynamics NAV/Business Central.
Såfremt Databehandlerens løsninger med Power platformen, herunder PowerBI standardløs- ninger, benyttes, så er samme oversigt og kategorisering gældende, idet løsningerne udstiller og benytter data fra Microsoft Dynamics NAV/Business Central.
A.4. Behandlingen omfatter følgende kategorier af registrerede
Kategorien af registrerede identificerede eller identificerbare fysiske personer omfattet af Da- tabehandleraftalen afhænger af Dataansvarliges sagsområder og kan være:
a) Ansatte
b) Klienter/kunder
c) Parter og modparter
A.5. Databehandlerens behandling af personoplysninger på vegne af den data- ansvarlige kan påbegyndes efter disse Bestemmelsers ikrafttræden. Behand- lingen har følgende varighed
Databehandleraftalen gælder indtil Samarbejdet mellem parterne ophører.
B.1. Godkendte underdatabehandlere
Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af følgende un- derdatabehandlere
NAVN | CVR | ADRESSE | BESKRIVELSE AF BEHANDLING |
Microsoft Ireland Ltd | Xxx Xxxxxxxxx Xxxxx, Xxxxx Xxxxxx Xxxxxxxx Xxxx, Xxxxxxxxxxxx, Xxxxxx, X00 X000, Xxxxxx. | Hosting af Azure-servere, Po- werBI, Power platformen i øvrigt samt mail via Exchange Online. Underdatabehandleraftale er navngivet Microsoft Products and Services Data Protection Addendum (DPA), og gældende version kan til enhver tid findes på Microsofts hjemmeside ved søgning derpå eller på adres- sen: xxxxx://xxx.xxxxx- xxxx.xxx/xxxxxxxxx/xxxx/xxxx/Xx- crosoft-Products-and-Services- Data-Protection-Addendum-DPA | |
Continia Software A/S | 32658083 | Xxxxxxxxxxxx 00, 0000 Xxxxxxxxxxx, Xxxxxxx. | Drift af bilagsløsningerne Docu- ment Capture og Expense Ma- nagement. Kommer kun i spil som underdatabehandler, så- fremt et eller flere af disse pro- dukter anvendes. |
Global Mediator ApS | 29785465 | Xxxxxxxxx 00, 0000 Xxxxxxx, Xxxxxxx. | Levering af software engineering ydelser ifm. Microsoft Dynamics (NAV/Business Central). Abakion anvender faste udvik- lingsressourcer fra Global Medi- ator Aps Ukrainske team. Disse kompetencer anvendes ifm. pro- duktudvikling og ved kundens forudgående accept ifm. kon- krete kundeopgaver. |
Enavate Inc. | 0000 X Xxxxxxxxx Xxxx, Xxxxx 000 Xxxxx, XX 00000 XXX | Levering af software engineering ydelser ifm. Microsoft Dynamics (NAV/Business Central). Abakion anvender faste udvik- lingsressourcer fra Enavate Inc. ukrainske team. Disse kompe- tencer anvendes ifm. produktud- vikling og ved kundens forudgå- ende accept ifm. konkrete kun- deopgaver. |
NAVN | CVR | ADRESSE | BESKRIVELSE AF BEHANDLING |
Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af ovennævnte underdatabehandlere for den beskrevne behandlingsaktivitet. Databehandleren må ikke – uden den dataansvarliges skriftlige godkendelse – gøre brug af en underdatabehandler til en anden behandlingsaktivitet end den beskrevne og aftalte eller gøre brug af en anden under- databehandler til denne behandlingsaktivitet.
B.2. Varsel for godkendelse af underdatabehandlere
Varsel for godkendelse af evt. yderligere underdatabehandlere er 10 hverdage.
Bilag C Instruks vedrørende behandling af personoplysninger
C.1. Behandlingens genstand/instruks
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende:
Support, vedligehold, videreudvikling af Microsoft Dynamics løsning og Microsoft Power plat- form.
C.2. Behandlingssikkerhed
Behandlingen kan omfatte en større mængde personoplysninger omfattet af Databeskyttel- sesforordningens artikel 9 om ’Særlige kategorier af person” afhængig af Dataansvarliges sagsområder. Parterne er enige om at etablerer mellem sikkerhedsniveau:
Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nød- vendige (og aftalte) sikkerhedsniveau.
Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre føl- gende foranstaltninger, som er aftalt med den dataansvarlige:
1. Der stilles følgende specifikke krav til Databehandlerens fysiske sikkerhed:
a) Databehandler har ikke fysiske servere, men behandler alene via cloud services eller på serveradgange stillet til rådighed af den Dataansvarlige.
b) Databehandlers lokaler er aflåste og der er ikke almindelige adgang til terminaler, hvor medarbejdere arbejder.
2. Der stilles følgende specifikke krav til Databehandlerens tekniske sikkerhed:
a) Alle medarbejdermaskiner er krypterede med bitlocker.
b) Alle medarbejdermaskiner gennemtvinges sikkerhedsopdateringer og antivirus.
c) Alle medarbejderes adgangskoder er opsat med MFA (Multifactor Authentication).
d) Passwords for så vidt de fastsættes af databehandleren skal konstrueres i overens- stemmelse med god praksis og skal være personlige og fortrolige.
e) Data skal være krypteret under transmission og under opbevaring.
3. Der stilles følgende specifikke krav til Databehandlerens organisatoriske sikkerhed:
a) Der vedligeholdes en IT-sikkerhedspolitik.
hvad de må behandle.
c) Alle medarbejdere, der foretager databehandling, undervises i indholdet i nærvæ- rende aftale.
d) Medarbejdere hos databehandleren, der er beskæftiget med behandling af personop-
lysninger under databehandleraftalen, er underlagt kontraktuel tavshedspligt om den dataansvarliges information og data, og data må ikke videregives til uvedkommende eller anvendes til uvedkommende formål. Tavshedspligten skal også være gældende efter ansættelsesforholdets ophør.
4. Der stilles følgende specifikke krav til Databehandlerens sletning af personoplysninger:
a) Databehandler ændrer kun data ud fra specifik instruks fra Dataansvarlig eller i over- ensstemmelse med denne Databehandleraftale i forbindelse med aftaleophør.
C.3 Bistand til den dataansvarlige
Databehandleren skal så vidt muligt – inden for det nedenstående omfang og udstrækning – bistå den dataansvarlige i overensstemmelse med Bestemmelse 9.1 og 9.2 ved at gennemføre følgende tekniske og organisatoriske foranstaltninger:
Databehandleren skal, uden unødigt ophold efter modtagelse, skriftligt meddele den dataan- svarlige om enhver anmodning om udøvelse af de registreredes rettigheder i medfør af Kapitel III i databeskyttelsesforordningen, som databehandleren har modtaget direkte fra de registre- rede eller tredjeparter.
Databehandleren skal på den dataansvarlige anmodning bistå med at fremfinde, udlevere og/eller slette oplysninger, som er nødvendige for, at den dataansvarlige kan sikre overhol- delse af reglerne om de registreredes rettigheder i medfør af Kapitel III i databeskyttelsesfor- ordningen.
Databehandleren skal assistere den dataansvarlige med at opfylde øvrige forpligtelser, som påhviler den dataansvarlige i henhold til databeskyttelsesforordningen og databeskyttelses- regler i EU-ret og medlemsstaternes nationale ret.
C.4 Opbevaringsperiode/sletterutine
Ved ophør af tjenesten vedrørende behandling af personoplysninger, skal databehandleren enten slette eller tilbagelevere personoplysningerne i overensstemmelse med bestemmelse 11.1, medmindre den dataansvarlige – efter underskriften af disse bestemmelser – har ændret den dataansvarlige oprindelige valg. Sådanne ændringer skal være dokumenteret og opbeva- res skriftligt, herunder elektronisk, i tilknytning til bestemmelserne.
C.5 Lokalitet for behandling
Behandling af de af Bestemmelserne omfattede personoplysninger kan ikke uden den data- ansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end følgende:
Ydelserne leveres som udgangspunkt fra følgende lokaliteter, idet levering fra andre lokaliteter i EU kan indgå forudsat kravene i nærværende aftale overholdes:
• Abakion AS, Vibenshuset, Xxxxxxxxx 0, 0000 Xxxxxxxxx Ø
• Abakion AS, Xx Xxxxxxxxxxxxx 00, 0000 Xxxxxx
Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler.
C.7 Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til databehandleren
Databehandleren skal foranledige udarbejdelse af en revisionserklæring omhandlende Data- behandlerens informationssikkerhedsniveau, og hvilke foranstaltninger Databehandleren har truffet.
Revisionserklæringen skal udarbejdes af en kompetent tredjepart, som skal være underlagt sædvanlig fortrolighedsforpligtelse.
Parterne er enige om, at revisionserklæring ISAE3402 kan anvendes i overensstemmelse med disse Bestemmelser. Revisionserklæringen udarbejdes med rimeligt mellemrum efter Databehandlerens skøn og kan fremsendes til den Dataansvarlige efter anmodning.
Databehandleren kan, på skriftlig anmodning fra den dataansvarlige og mod særskilt betaling af vederlag, foranledige udarbejdelse og udlevering af yderligere revisionserklæringer om forhold, som nærmere aftales.
Persondata i Microsoft Dynamics NAV/Business Central.
Såfremt Databehandlerens løsninger med Power platformen, herunder PowerBI standardløs- ninger, benyttes, så er samme oversigt og kategorisering gældende, idet løsningerne udstiller og benytter data fra Microsoft Dynamics NAV/Business Central.
Formål
Formålet med dette bilag er at give en oversigt og en kategorisering af persondata i Microsoft Dynamics NAV/Business Central. Dokumentet giver kun en oversigt over, hvor der som stan- dard opbevares af persondata, og er ikke nødvendigvis fyldestgørende. Det påhviler den da- taansvarlige at sikre en komplet fortegnelse, der tager højde for den dataansvarliges konkrete anvendelse af Microsoft Dynamics NAV/Business Central.
Udover data i programmets datamodel, bør den dataansvarlige forholde sig særligt til be- handling af dokumenter, e-mails og bogføringstekster, da disse ofte kan indeholde både al- mindelige og følsomme persondata.
Kategorisering af data
Persondata kategoriseres som enten persondata eller følsomme persondata, jævnfør Datatil- synets definitioner for dette.
Som persondata defineres enhver form for information om en identificeret eller identificerbar fysisk person.
Som følsomme data defineres oplysninger om racemæssig eller etnisk baggrund, politisk, re- ligiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, oplysninger om hel- bredsforhold, seksuelle forhold, oplysninger om strafbare forhold og væsentlige sociale pro- blemer.
Kundetabellen
Såfremt man har private kunder, eller registrerer kontaktpersoner på virksomhedskunder, vil der være persondata i kundetabellen, i følgende felter:
• Nummer
• Navn
• Navn 2
• Adresse
• Adresse 2
• Postnr.
• By
• Land
• Telefon
• Billede
• Kontaktperson
Der gemmes som udgangspunkt ikke følsomme oplysninger i kundetabellen.
Leverandørtabellen
Såfremt man har private leverandører, eller registrerer kontaktpersoner på virksomhedsleve- randører, vil der være persondata i leverandørtabellen, i følgende felter:
• Nummer
• Navn
• Navn 2
• Adresse
• Adresse 2
• Postnr.
• By
• Land
• Telefon
• Billede
• Kontaktperson
Der gemmes som udgangspunkt ikke følsomme oplysninger i leverandørtabellen.
Kontakttabellen
Denne centrale tabel indeholder oplysninger om både klienter, sager, parter og medarbejdere med mere. Tabellen vil med meget stor sandsynlighed indeholde persondata i følgende felter:
• Nummer
• Navn
• Navn 2
• Adresse
• Adresse 2
• Postnr.
• By
• Land
• Telefon
• Billede
• Kontaktperson
• CPR-nummer.
Som udgangspunkt gemmes ikke følsomme oplysninger i kontakttabellen.
Medarbejdertabellen
Denne tabel indeholder altid persondata. Der gemmes som udgangspunkt persondata i føl- gende felter:
• Nummer
• Initialer
• Navn
• Navn 2
• Adresse
• Postnr.
• By
• Land
• Telefon
• Billede
• CPR-nummer
Der gemmes ikke som udgangspunkt følsomme oplysninger, men den dataansvarlige bør gen- nemgå om man registrerer følsomme oplysninger i øvrige feltet i denne tabel.
Ressourcetabellen
Denne tabel indeholder altid persondata. Der gemmes som udgangspunkt persondata i føl- gende felter:
• Nummer
• Initialer
• Navn
• Navn 2
• Adresse
• Adresse 2
• Postnr.
• By
• Land
• Telefon
• Billede
Der gemmes som udgangspunkt ikke følsomme oplysninger i denne tabel.
Tabeller med varierende indhold
Som dataansvarlig skal man være særlig opmærksom på brugen af nedenstående tabeller, da de ofte kan indeholde både almindelige og følsomme persondata.
• Profilskemasvar
• Mailgruppetilknytning
• Branchekodetilknytning
• Kontaktbemærkninger
• Kontaktposter