Standardkontraktsbestemmelser
Standardkontraktsbestemmelser
i henhold til artikel 28, stk. 3, i forordning 2016/679 (databeskyttelsesforordningen) med henblik på databehandlerens behandling af personoplysninger
mellem
Visma Public Technologies A/S CVR 37098922
Xxxx Xxxxx Xxx 0 X, 0000 Xxxxxxxx Xxxxxxx
herefter ”den dataansvarlige” og
Aventia Media AS
Org nummer: 996 662 144
Xxxxxxxxxxxxxx 0
3140 Nøtterøy Norway
herefter ”databehandleren”
der hver især er en ”part” og sammen udgør ”parterne”
HAR AFTALT følgende standardkontraktsbestemmelser (Bestemmelserne) med henblik på at overholde databeskyttelsesforord- ningen og sikre beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder
Parterne er bekendte med, at når der i underdatabehandleraftalen omtales ”den dataansvarlige” skal det forstås som databehandler i forhold til kundernes egne personoplysninger, bortset fra i punkt 3, punkt 6.1-6.3, punkt 9.1-9.2 samt punkt 10.1, 10.2 anden linje samt punkt 10.3, hvor det fortsat skal forstås som ”den dataansvarlige”.
Indhold
3. Den dataansvarliges rettigheder og forpligtelser 3
4. Databehandleren handler efter instruks 3
7. Anvendelse af underdatabehandlere 5
8. Overførsel til tredjelande eller internationale organisationer 5
9. Bistand til den dataansvarlige 6
10. Underretning om brud på persondatasikkerheden 7
11. Sletning og returnering af oplysninger 7
12. Revision, herunder inspektion 8
13. Parternes aftale om andre forhold 8
15. Kontaktpersoner hos den dataansvarlige og databehandleren 9
Bilag A Oplysninger om behandlingen 10
Bilag B Underdatabehandlere 12
Bilag C Instruks vedrørende behandling af personoplysninger 13
Bilag D Parternes regulering af andre forhold 23
Præambel
1. Disse Bestemmelser fastsætter databehandlerens rettigheder og forpligtelser, når denne foretager behandling af person- oplysninger på vegne af den dataansvarlige.
2. Disse bestemmelser er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (databeskyttelses- forordningen).
3. I forbindelse med leveringen af Aventia Streaming behandler databehandleren personoplysninger på vegne af den data- ansvarlige i overensstemmelse med disse Bestemmelser.
4. Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.
5. Der hører fire bilag til disse Bestemmelser, og bilagene udgør en integreret del af Bestemmelserne.
6. Bilag A indeholder nærmere oplysninger om behandlingen af personoplysninger, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
7. Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af underdatabehandlere og en liste af un- derdatabehandlere, som den dataansvarlige har godkendt brugen af.
8. Bilag C indeholder den dataansvarliges instruks for så vidt angår databehandlerens behandling af personoplysninger, en beskrivelse af de sikkerhedsforanstaltninger, som databehandleren som minimum skal gennemføre, og hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere.
9. Bilag D indeholder bestemmelser vedrørende andre aktiviteter, som ikke af omfattet af Bestemmelserne.
10. Bestemmelserne med tilhørende bilag skal opbevares skriftligt, herunder elektronisk, af begge parter.
11. Disse Bestemmelser frigør ikke databehandleren fra forpligtelser, som databehandleren er pålagt efter databeskyttelses- forordningen eller enhver anden lovgivning.
Den dataansvarliges rettigheder og forpligtelser
1. Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databe- skyttelsesforordningen (se forordningens artikel 24), databeskyttelsesbestemmelser i anden EU-ret eller medlemsstater- nes1 nationale ret og disse Bestemmelser.
2. Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger.
3. Den dataansvarlige er ansvarlig for, blandt andet, at sikre, at der er et behandlingsgrundlag for behandlingen af person- oplysninger, som databehandleren instrueres i at foretage.
Databehandleren handler efter instruks
1 Henvisninger til ”medlemsstat” i disse bestemmelse skal forstås som en henvisning til ”EØS medlemsstater”.
1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt. Denne instruks skal være specificeret i bilag A og C. Efterfølgende instruks kan også gives af den dataansvarlige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk, sammen med disse Bestemmelser.
2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
Fortrolighed
1. Databehandleren må kun give adgang til personoplysninger, som behandles på den dataansvarliges vegne, til personer, som er underlagt databehandlerens instruktionsbeføjelser, som har forpligtet sig til fortrolighed eller er underlagt en pas- sende lovbestemt tavshedspligt, og kun i det nødvendige omfang. Listen af personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af denne gennemgang kan adgangen til personoplysninger lukkes, hvis adgangen ikke længere er nødvendig, og personoplysningerne skal herefter ikke længere være tilgængelige for disse personer.
2. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de pågældende personer, som er under- lagt databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt.
Behandlingssikkerhed
1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammen- hæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici.
Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:
a. Pseudonymisering og kryptering af personoplysninger
b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og - tjenester
c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisato- riske foranstaltninger til sikring af behandlingssikkerhed.
2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici.
3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges for- pligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i
henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32.
Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.
Anvendelse af underdatabehandlere
1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2, og stk. 4, for at gøre brug af en anden databehandler (en underdatabehandler).
2. Databehandleren må således ikke gøre brug af en underdatabehandler til opfyldelse af disse Bestemmelser uden forud- gående generel skriftlig godkendelse fra den dataansvarlige.
3. Databehandleren har den dataansvarliges generelle godkendelse til brug af underdatabehandlere. Databehandleren skal skriftligt underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af under- databehandlere med mindst 3 måneders varsel og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer inden brugen af de(n) omhandlede underdatabehandler(e). Længere varsel for underretning i forbin- delse med specifikke behandlingsaktiviteter kan angives i bilag B. Listen over underdatabehandlere, som den dataansvar- lige allerede har godkendt, fremgår af bilag B.
4. Når databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, skal databehandleren, gennem en kontrakt eller andet retligt dokument i henhold til EU- retten eller medlemsstaternes nationale ret, pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen overholder kravene i disse Bestemmelser og databeskyttelsesforordningen.
Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder databehandlerens forpligtelser efter disse Bestemmelser og databeskyttelsesforordningen.
5. Underdatabehandleraftale(r) og eventuelle senere ændringer hertil sendes – efter den dataansvarliges anmodning herom
– i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforpligtelser som følger af disse Bestemmelser er pålagt underdatabehandleren. Bestemmelser om kommercielle vilkår, som ikke på- virker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.
6. Databehandleren skal i sin aftale med underdatabehandleren indføje den dataansvarlige som begunstiget tredjemand, således at den dataansvarlige i tilfælde af at databehandleren faktisk eller retligt set er ophørt med at eksistere eller i tilfælde af databehandlerens konkurs, har ret til at opsige underdatabehandleraftalen og instruere underdatabehandleren i at slette eller tilbagelevere personoplysningerne.
7. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes ret- tigheder, der følger af databeskyttelsesforordningen, herunder særligt forordningens artikel 79 og 82, over for den data- ansvarlige og databehandleren, herunder underdatabehandleren.
Overførsel til tredjelande eller internationale organisationer
1. Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af databehand- leren på baggrund af dokumenteret instruks herom fra den dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.
2. Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som databehandleren ikke er blevet instrueret i at foretage af den dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som data- behandleren er underlagt, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
3. Uden dokumenteret instruks fra den dataansvarlige kan databehandleren således ikke inden for rammerne af disse Be- stemmelser:
a. overføre personoplysninger til en dataansvarlig eller databehandler i et tredjeland eller en international organisa- tion
b. overlade behandling af personoplysninger til en underdatabehandler i et tredjeland
c. behandle personoplysningerne i et tredjeland
4. Den dataansvarliges instruks vedrørende overførsel af personoplysninger til et tredjeland, herunder det eventuelle over- førselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, skal angives i bilag C.6.
5. Disse Bestemmelser skal ikke forveksles med standardkontraktsbestemmelser som omhandlet i databeskyttelsesforord- ningens artikel 46, stk. 2, litra c og d, og disse Bestemmelser kan ikke udgøre et grundlag for overførsel af personoplys- ninger som omhandlet i databeskyttelsesforordningens kapitel V.
Bistand til den dataansvarlige
1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel III.
Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvar- lige skal sikre overholdelsen af:
a. oplysningspligten ved indsamling af personoplysninger hos den registrerede
b. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
c. indsigtsretten
d. retten til berigtigelse
e. retten til sletning (”retten til at blive glemt”)
f. retten til begrænsning af behandling
g. underretningspligten i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
h. retten til dataportabilitet
i. retten til indsigelse
j. retten til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profi- lering
2. I tillæg til databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til Bestemmelse 6.3., bistår databehand- leren endvidere, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, den dataansvarlige med:
a. den dataansvarliges forpligtelse til uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed, Datatilsynet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske perso- ners rettigheder eller frihedsrettigheder
b. den dataansvarliges forpligtelse til uden unødig forsinkelse at underrette den registrerede om brud på personda- tasikkerheden, når bruddet sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og friheds- rettigheder
c. den dataansvarliges forpligtelse til forud for behandlingen at foretage en analyse af de påtænkte behandlingsak- tiviteters konsekvenser for beskyttelse af personoplysninger (en konsekvensanalyse)
d. den dataansvarliges forpligtelse til at høre den kompetente tilsynsmyndighed, Datatilsynet, inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.
3. Parterne skal i bilag C angive de fornødne tekniske og organisatoriske foranstaltninger, hvormed databehandleren skal bistå den dataansvarlige samt i hvilket omfang og udstrækning. Det gælder for de forpligtelser, der følger af Bestemmelse
9.1. og 9.2.
Underretning om brud på persondatasikkerheden
1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
2. Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 72 timer efter, at denne er blevet bekendt med bruddet, sådan at den dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningens artikel 33.
3. I overensstemmelse med Bestemmelse 9.2.a skal databehandleren bistå den dataansvarlige med at foretage anmeldelse af bruddet til den kompetente tilsynsmyndighed. Det betyder, at databehandleren skal bistå med at tilvejebringe neden- stående information, som ifølge artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse af bruddet til den kom- petente tilsynsmyndighed:
a. karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
b. de sandsynlige konsekvenser af bruddet på persondatasikkerheden
c. de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på personda- tasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
4. Parterne skal i bilag C angive den information, som databehandleren skal tilvejebringe i forbindelse med sin bistand til den dataansvarlige i dennes forpligtelse til at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndig- hed.
Sletning og returnering af oplysninger
1. Ved ophør af tjenesterne vedrørende behandling af personoplysninger, er databehandleren forpligtet til at tilbagelevere alle personoplysningerne og slette eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret fore- skriver opbevaring af personoplysningerne.
Revision, herunder inspektion
1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af databeskyttelsesforordningens artikel 28 og disse Bestemmelser, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvar- lige.
2. Procedurerne for den dataansvarliges revisioner, herunder inspektioner, med databehandleren og underdatabehandlere er nærmeret angivet i Bilag C.7. og C.8.
3. Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende lovgivningen har adgang til den dataan- svarliges eller databehandlerens faciliteter, eller repræsentanter, der optræder på tilsynsmyndighedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig legitimation.
Parternes aftale om andre forhold
1. Parterne kan aftale andre bestemmelser vedrørende tjenesten vedrørende behandling af personoplysninger om f.eks. erstatningsansvar, så længe disse andre bestemmelser ikke direkte eller indirekte strider imod Bestemmelserne eller forringer den registreredes grundlæggende rettigheder og frihedsrettigheder, som følger af databeskyttelsesforordningen.
Ikrafttræden og ophør
1. Bestemmelserne træder i kraft på datoen for begge parters underskrift heraf.
2. Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i Bestemmel- serne giver anledning hertil.
3. Bestemmelserne er gældende, så længe tjenesten vedrørende behandling af personoplysninger varer. I denne periode kan Bestemmelserne ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjenesten vedrørende be- handling af personoplysninger, aftales mellem parterne.
4. Hvis levering af tjenesterne vedrørende behandling af personoplysninger ophører, og personoplysningerne er slettet eller returneret til den dataansvarlige i overensstemmelse med Bestemmelse 11.1 og Bilag C.4, kan Bestemmelserne opsiges med skriftlig varsel af begge parter.
5. Underskrift
På vegne af den dataansvarlige
Xxxx Xxxxx Xxxxxxxxx Xxxxxxxx
Stilling Managing Director Underskrift
På vegne af databehandleren
Navn Xxxxxxxx Xxxxxx
Stilling CTO
Telefonnummer x00 000 00 000
Underskrift
Kontaktpersoner hos den dataansvarlige og databehandleren
1. Parterne kan kontakte hinanden via nedenstående kontaktpersoner.
2. Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktpersoner.
Stilling Team Data Privacy
E-mail Dataprivacy@firstagenda,com
Navn Xxxxxxxx Xxxxxx
Stilling CTO
Telefonnummer x00 000 00 000
Bilag A Oplysninger om behandlingen
A.1. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige
Tjeneste for streamingplatform og direkte afholdelse af møder. Behandlingen har følgende formål:
• Sikre, at streamede møder gøres tilgængelige for offentligheden.
• Opbevare optagelser af de streamede møder og give offentligheden adgang til disse.
A.2. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om (karakteren af behandlingen)
• For ansatte tilknyttet den dataansvarlige, som får adgang til administrationsløsningen, kan der – hvis den dataansvar- lige/bruger selv udfylder alle felter – gemmes navn, e-mail og telefonnummer. Dette er minimumsinformation, der kræves for, at databehandleren kan give adgang. Oplysningerne bruges primært til login, men kan – hvis den dataansvarlige selv opsætter det – også bruges til at sende e-mails med information om kommende sendinger samt vejledning om, hvad der bør kontrolleres inden start. Når en brugerkonto slettes, vil alle oplysninger om personen også blive slettet fra databe- handlerens database(r).
• For almindelige brugere/seere gemmes ingen oplysninger, medmindre brugeren selv ønsker at modtage nyhedsbreve om kommende sendinger. I så fald skal e-mailadressen oplyses. Der gemmes også IP-adresser, men disse knyttes ikke til en identitet og bruges udelukkende til statistiske formål.
A.3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede
• Tilstedeværelse (som følge af tilstedeværelsen på videoen)
• Navn
• Adresse
• telefonnummer
• brugernavn
• IP-adresse
• videoklip (stemme og billede af personer)
A.4. Behandlingen omfatter følgende kategorier af registrerede
• Ansatte
Ansatte hos den dataansvarlige, der skal have administratorrettigheder, eller andre ansatte, der ønsker adgang til nyhedsbreve.
• Politikere/Brugere
Brugere, som den dataansvarlige har givet adgang til løsningen.
• Administratorer
Eventuelt eksterne, som den dataansvarlige har givet adgang, f.eks. en videoproducent.
Seere (IP-adresser bruges til at vise statistik
A.5. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter disse Be- stemmelsers ikrafttræden. Behandlingen har følgende varighed
Behandlingen er ikke tidsbegrænset og fortsætter indtil aftalens ophør.
Ved ophør (af aftalen eller en behandling) skal personoplysninger tilbageleveres og slettes i overensstemmelse med databehand- leraftalens punkt 12 og instruktionerne i Bilag C.
Bilag B Underdatabehandlere
B.1. Godkendte underdatabehandlere
Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af følgende underdatabehandlere
NAVN | CVR | ADRESSE | BESKRIVELSE AF BEHANDLING |
Positive Group France Sarbacane | FR65 509568598 | 3 Avenue Xxxxxxx Xxxxx P.A. des Quatre Vents 59510 Hem - FRANCE | Kundevarsler og automatiske e-poster, for eksempel ved bruk av «Glemt passord»- skjemaet i løsningen. |
BunnyWay, informacijske stor- itve d.o.o. | SI99251558 | Dunajska cesta 165 1000 Ljubljana Slovenia | CDN distribusjon av video og lyd Kun lyd og bilde pakker overført til denne leverandøren |
Valgfrie underleverandører for enkelte moduler, som skal aktiveres af den dataansvarlige:
Selskap Adresse | CVR | ADRESSE | BESKRIVELSE AF BEHANDLING |
XxxxxxXxxx.xx ApS | 27364276 | Xxxxxxxxxxxxx 00 0000 Xxxxxx X, Xxxxxxx | Utsendelse av SMS |
Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af ovennævnte underdatabehandlere for den be- skrevne behandlingsaktivitet. Databehandleren må ikke – uden den dataansvarliges skriftlige godkendelse – gøre brug af en un- derdatabehandler til en anden behandlingsaktivitet end den beskrevne og aftalte eller gøre brug af en anden underdatabehandler til denne behandlingsaktivitet.
Bilag C Instruks vedrørende behandling af personoplysninger
C.1. Behandlingens genstand/instruks
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende:
generel drift, herunder hosting, visning, organisering, modtagelse, videresendelse, strukturering, tilpasning, implementering, søgning, processering, lagring, gendannelse, sletning, begrænsning, vedligeholdelse, logning, support, fejlfinding og andre it-ydelser forbundet med databehandlerens løsning og/eller service til den dataansvarlige i henhold til den mellem parterne indgåede aftale
C.2. Behandlingssikkerhed
Sikkerhedsniveauet skal afspejle:
behandlingen omfatter alene en behandling af personoplysninger omfattet af databeskyttelsesfor- ordningens artikel 6, hvorfor der skal etableres et generelt sikkerhedsniveau, passede til den vur- derede risiko og konsekvens for de registrerede.
Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nødvendige (og aftalte) sikkerhedsniveau.
Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige:
Fysisk sikring og sikkerhetsmål
Aventias behandling av informasjon skal være i samsvar med regulatoriske, interne og avtaleretts- lige krav til informasjonssikkerhet. Personopplysninger og annen beskyttelsesverdig informasjon skal sikres på en betryggende måte gjennom fysiske, tekniske og organisatoriske tiltak.
Konfidensialitet
Personopplysninger og annen beskyttelsesverdig informasjon som behandles i Aventia skal være beskyttet mot uautorisert tilgang.
Personopplysninger behandles konfidensielt og kan bare deles med andre medarbeidere i den grad det er tjenstlige behov.
Personopplysninger om egne arbeidstakere kan kun behandles av den som har tjenstlig behov.
Integritet
Informasjon som Aventia har ansvaret for blir bare produsert og endret av ansatte, eller av eksterne som har fullmakt til dette.
Informasjon skal ikke endres utilsiktet.
Tilgjengelighet
Informasjonssystemet er tilgjengelig for autoriserte brukere ved behov.
Robusthet
Virksomheten og informasjonssystemet er motstandsdyktig og robust.
Når uønskede fysiske eller tekniske hendelser inntreffer, bidrar beredskapstiltak til å begrense ska- den og at Aventia raskt kommer tilbake til normal drift. Dette inkluderer å gjenopprette tilgjengelighet og tilgang til personopplysninger i rett tid.
Sikkerhetsstrategi
Informasjonssikkerhetsarbeidet skal:
• være forankret i linjen og utføres systematisk
• gjennomføres for å nå målene for informasjonssikkerhet
• være risikobasert og følge anerkjente standarder
• følge prinsippene for læring og kontinuerlig forbedring Det innebærer at:
• risikovurderinger gjennomføres systematisk, periodisk og ved vesentlige endringer i oppgaver eller omgivelsene
• tiltak for å redusere risiko er basert på risikovurderinger og ledelsens føringer for risi- kohåndtering og akseptabel risiko
• hendelser som ut fra risiko kan påvirke informasjonssikkerhetsmålene negativt, mel-
des og følges på en systematisk måte
• ledelsen systematisk styrer og følger opp informasjonssikkerhetsarbeidet
• ledelsen systematisk følger opp måloppnåelse, etterlevelse, kompetanse og kultur. For å lykkes med dette skal alle ansatte:
• ha et bevisst forhold til virksomhetens sikkerhetsmål og målenes viktighet
• vite hvilke typer av informasjon de behandler og hvilke krav som stilles til deres egen informasjonsbehandling og bruk av IKT
• etterleve krav, retningslinjer, prosedyrer, rutiner m.v. som gjelder for dem og det ar- beidet de utfører.
Strategiene implementeres gjennom ledelsesforankrede sikkerhetsvalg.
Sikkerhetsvalg
Systemteknisk sikkerhet – nødvendig sikkerhetsnivå
Avhengig av det aktuelle system og informasjonen som behandles, vil de ulike aspektene ved sik- kerhet (konfidensialitet, integritet, tilgjengelighet og robusthet) ha ulik betydning. Følgende katego- risering benyttes for beskyttelsesbehov:
• Høy – gis bare system og informasjon med virksomhetskritisk beskyttelsesbehov
• Middels – gis system og informasjon med beskyttelsesbehov
• Lav (lave krav til sikkerhet) – kan gjelde alle system og informasjon med lite eller ingen beskyttelsesbehov.
Ulike delsystem kan ha ulike beskyttelsesbehov.
Tekniske sikkerhetstiltak
• Tiltak som forhindrer at arbeidstakere uaktsomt eller med forsett skal kunne skade infor- masjonssystemet eller informasjon som her er lagret.
• Tiltak som sørger for å gi tilgang til informasjonssystemet for de brukere som er autorisert, og som forhindrer at uvedkommende gis tilgang til informasjon.
• Det er etablert sikkerhetslogging som gjør at sikkerhetsbrudd kan avdekkes.
• Tiltak for å forhindre at skadelig programvare kommer inn i virksomhetens informasjons- system.
• Jevnlig sikkerhetskopiering av lagringsmedium.
• Tapt informasjon skal kunne gjøres tilgjengelig igjen senest innen tre virkedager. I den grad tap av informasjon skyldes brann eller annen alvorlig skade skal informasjonen kunne
Side 14 af 23
gjøres tilgjengelig senest innen to uker. For informasjonssystemet gjelder at alvorlig sys- temfeil (for eksempel svikt i vitale komponenter) ikke skal føre til driftsstans mer enn 72 timer.
• Telefonsystem tillates ikke å ha en driftsstans som overstiger 24 timer for driftsfeil. Ved
alvorlige systemfeil skal feilretting startes uten ugrunnet opphold.
Beskrivelse om vår sikkerhetsarkitektur
Aventia Media gjennomfører en omfattende sikkerhetsarkitektur for å beskytte sitt informasjonssys- tem mot uautorisert tilgang, skade eller misbruk. Denne arkitekturen innebærer etablering av to soner: en sikker sone og en intern sone. Sikker sone er lokalisert i Oslo, Norge mens Intern Sone er lokalisert i Vestfold, Norge.
I den sikre sonen plasseres Aventia Medias mest sensitive data og kritiske systemer, inkludert kun- dedata, personlig identifiserbar informasjon (PII) og bedriftshemmeligheter. Dette omfatter databa- ser, filservere, applikasjonsservere og annen kritisk infrastruktur som krever høy grad av sikkerhet.
For å styrke sikkerheten har vi implementert en rekke tiltak i den sikre sonen, som brannmur med intrusjonsdeteksjonssystemer (IDS), kryptering og tilgangskontroller. Disse tiltakene bidrar til å mi- nimere risikoen for uautorisert tilgang eller angrep som kan true integriteten eller konfidensialiteten til Aventia Medias data.
Det er etableret en logisk forbindelse mellom de to sonene for å tillate nødvendig kommunikasjon og datautveksling for organisasjonens daglige operasjoner. Imidlertid blir det implementert tilfreds- stillende beskyttelse for å sikre at dataene forblir trygge under overføringen mellom sonene. Dette inkluderer bruken av sikre protokoller, kryptering og autentiseringstiltak for å beskytte dataene selv under overføring.
Denne sikkerhetsarkitekturen gir Aventia Media en balansert tilnærming til å beskytte sitt informa- sjonssystem. Ved å plassere de mest sensitive dataene og systemene i en dedikert sikker sone, samtidig som nødvendig kommunikasjon med den interne sonen tillates, oppnår Aventia Media til- strekkelig sikkerhet for å ivareta integriteten og konfidensialiteten til sine data og systemer.
Organisatoriske tiltak
• Rutiner for håndtering av tilgang til virksomhetens informasjonssystem. I dette ligger kon- troll av passord, rettigheter, applikasjoner mv. Vanskelighetsgraden for passord skal hånd- teres av systemet og ligge på et høyt nivå. <Passordråd finnes her: xxxxx://xxxx- xxxx.xx/xxxxxxx/ >
• Rutiner med hensyn til ansattes håndtering av transportable lagringsmedium, slik som bærbare datamaskiner, for å unngå at informasjon havner på avveier.
• Rutiner for låsing av lokalene, håndtering av gjester og bruk av alarm utenom arbeidstid.
• Prosedyrer for plassering og sikring av komponenter, lagringsmedium, dokumenter eller øvrige bestanddeler som er vitale for virksomhetens drift.
Side 15 af 23
Fysiske tiltak
• Aventias lokaler sikres mot blant annet innbrudd, brann, vannskade mv.
• Forhindre at uvedkommende gis tilgang til lokaler hvor beskyttelsesverdig informasjon oppbevares.
• Maskinpark, lagringsmedium og sentrale nettverkskomponenter er fysisk sikret, slik at uvedkommende ikke kan bringe dette med seg ut av etatens lokaler.
• Bærbare enheter som er ment å bringes utenfor virksomhetens lokaler skal sikres med kryptering.
• System for destruksjon av sensitive opplysninger. Det finnes egen deponeringskasse som
er tilstrekkelig beskyttet slik at ikke dokumenter kan fjernes etter deponering. Likeledes finnes det et tilfredsstillende system for håndtering av elektroniske lagringsmedium.
Aventias spesifikke applikasjoner
For virksomhetens spesifikke applikasjoner, det vil si applikasjoner som utvikles spesielt for Aventia, gjelder følgende:
• Ansvaret for håndtering av sikkerhetsbehov i Aventias spesifikke applikasjoner ligger hos systemeieren. Utøvende ansvar kan delegeres til prosjektleder eller andre navn- gitte personer.
• All programvare skal utvikles på bakgrunn av detaljerte kravspesifikasjoner der også krav til innebygd personvern, personvern som standardinnstilling og sikkerhet inngår (se Datatilsynets veileder for programvareutvikling med innebygd personvern og sjekklister xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxx-xx-xxxxxxx/xxxxxxxxx/xxxxxxxxxxxxx- vikling-med-innebygd-personvern/ )
• Innebygd personvern, personvern som standardinnstilling og teknisk sikkerhetsnivå skal verifiseres i alle prosjektets faser ved utvikling.
• Før programvaren/systemer settes i produksjon, skal teknisk sikkerhetsnivå, innebygd
personvern og personvern som standardinnstilling verifiseres. Ved feil eller mangler skal retting av eventuelle feil/mangler gjennomføres før systemet settes i produksjon. Rettelser av feil og mangler skal verifiseres.
• Før programmer eller systemer settes i produksjon skal rutiner for drift, proaktiv over-
våkning og beredskap være iverksatt.
• Verifikasjon av sikkerhet og personvern gjennom test skal utføres av andre personer enn de som har vært med på å utvikle systemet eller personer som drifter systemer. Sikkerhetsansvarlig har ansvaret for selve gjennomføringen av testen og formidler resultatene tilbake til prosjektet.
Bruk av databehandlere og underleverandører
Aventias bruk av databehandlere og leverandører skal reguleres i kontrakter, hvor også bestem- melser om informasjonssikkerhet inngår. Alle avtaler hvor en ekstern virksomhet påtar seg oppdrag for Aventia som også omfatter informasjonssikkerhet, skal baseres på avtaler som minst samsvarer med kravene som er gitt i personvernforordningen artikkel 28 og 29.
Xxxxxxxxx kan ikke engasjere nye leverandører uten at dette avklares med CEO/CTO. Eksterne virksomheter eller personer kan ikke gis tilgang til virksomhetens informasjonssystem med mindre dette skjer som ledd i en godkjent avtale.
Side 16 af 23
Instruksjon av medarbeidere
Her er de viktigste reglene om IKT-sikkerhet som vi skal forholde oss til i det daglige. Mer detal- jerte regler finner du i andre rutiner i internkontrollen.
Klassifisering av informasjon
Vi bruker her tre beskyttelsesnivå for informasjonen – åpen, intern og kritisk med hensyn til konfi- densialitet.
• Åpen informasjon er informasjon uten beskyttelsesbehov, slik som publikasjoner, doku- menter som er vurdert som offentlige (forhåndsvurdert av arkiv, gitt innsyn i eller publi- sert) og presentasjoner vi har holdt.
• Kritisk informasjon er alle dokument med et høyt beskyttelsesnivå mht. konfidensialitet. Dette inkluderer:
o Sensitive personopplysninger (med unntak for det lite beskyttelsesverdige)
o Opplysninger om personlige forhold hvor lekkasje kan få alvorlige konsekvenser for enkeltpersoner - som ved en arbeidslivskonflikt
o Opplysninger om forhold hvor lekkasje kan få alvorlige konsekvenser for eks- terne virksomheter eller Aventia Media (og hvor forholdet ikke skal være offent- lig kjent)
o Opplysninger av betydning for andre virksomheters informasjonssikkerhet
o Opplysninger av betydning for Aventia Medias informasjonssikkerhet
• Intern informasjon er all annen informasjon. Dette inkluderer:
o Alle dokumenter på filområder som ikke er vurdert mht. offentlighet
o Alle dokumenter som er vurdert som ikke-offentlige (men ikke kritiske)
o Alle dokument om interne forhold i Aventia Media
o E-postkommunikasjon internt og eksternt
o Notater og skriblerier (inklusive post-IT, saksomslag etc.)
E-post
Kritisk informasjon skal ikke sendes på e-post.
• Dersom det er mottatt e-post med kritisk informasjon skal e-posten legges inn i saksbe- handlingssystemet. Opprinnelig melding (og eventuelle kopier av denne) skal slettes.
• Sjekk at mottakeradressene er korrekte før e-poster sendes.
• Vedlegg og lenker skal ikke åpnes dersom du ikke stoler på innholdet. Husk at e-poster konstruert for phishing kan se ut til å komme fra en kollega.
• Xxxxxxxx har selv ansvar for å opprette egen mappe som er tydelig merket «privat», for lagring av privat e-post.
Internett
Aventia Media identifiseres ved all bruk av internett fra våre systemer. Ta hensyn til dette. Internett skal brukes for virksomhetsrelaterte formål, slik som i forbindelse med e-post og surfing.
Sikkerhet på eget kontor
Dokumenter som inneholder kritisk informasjon skal ikke ligge åpent tilgjengelig for uvedkom- mende.
Lagringsmedium (for eksempel minnepinner) med intern informasjon skal ikke ligge åpent tilgjeng- elig.
Når man forlater kontoret i løpet av arbeidsdagen skal maskinen låses umiddelbart (Windowstas- ten + L).
Ditt personlige passord til Aventia Media skal ikke skrives ned eller oppgis til andre. Bruk et eget passord til din brukerkonto i Aventia Media, og ikke det samme passordet som du bruker på tje- nester utenfor Aventia Media (for eksempel på privat e-post eller sosiale medier). Passordråd fin- nes her: xxxxx://xxxxxxxx.xx/xxxxxxx/
Passord skal skiftes straks bruker er kjent med, eller har mistanke om at andre har skaffet seg kunnskap om passordet.
Kontordøren skal låses når kontoret ikke benyttes (ferie, kurs, når man går for dagen).
Side 17 af 23
Lagring og sikkerhetskopiering
Saksbehandling skal foregå i saksbehandlingssystemet. Her er det varig sikring av integritet og tilgjengelighet (sikkerhetskopiering).
Andre dokumenter skal som hovedregel lagres på hjemmeområder og fellesområder. Filer som er lagret der blir automatisk sikkerhetskopiert flere ganger daglig.
Xxxxxxxx har selv ansvar for å opprette egen mappe som er tydelig merket «privat», for lagring av personlige dokumenter.
Utskrift, kopiering og makulering
Dokumenter må ikke bli liggende på kopimaskin/skriver.
Dokumenter eller notater skal ikke kastes i vanlig søppelkasse. Bruk låst kontainer for sikkerhets- makulering til alle andre dokumenter enn publikasjoner.
CD-er, minnepinner etc. skal leveres til sikkerhetsansvarlig. CD-er som sidestilles med publikasjo- ner kan kastes.
Rutiner ved besøk og servicepersonell
Alle besøkende skal hentes av den det er avtalt møte med.
Besøkende skal som en hovedregel følges. Tiltrodde besøkende som kan ferdes på egen hånd, skal utstyres med besøkskort som bæres synlig (som servicepersonell i enkelte tilfeller). Se egen rutine for dette.
Ved arrangement med mange besøkende skal arrangementsansvarlig følge egen rutine for sikker gjennomføring.
Fjerntilgang over internett
For tilgang til Aventia sine interne nettverk og systemer må den ansatte benytte Aventia VPN, ta kontakt med IT ansvarlig for tilgang.
Side 18 af 23
Bruk av mobiltelefoner og nettbrett
Aventia Media gir de ansatte mulighet for tilgang til e-post og kalender på mobiltelefon og nett- brett. Dette gjelder også på enheter som eies av den ansatte.
Mobiltelefoner og nettbrett skal ikke på annen måte kobles til Aventia Medias informasjonssystem eller den ansattes arbeidsstasjon (for eksempel for synkronisering av e-post/kalender, oppdate- ring av programvare over internett, nedlasting av musikk). Ved eventuell lading av mobiltelefon via PC, skal den ansatte sperre for filoverføring, enten ved bruk av USB-strømpe eller ved å velge
«kun lading» på mobiltelefonen.
Mister man mobiltelefonen sin eller på annen måte mistenker at andre har tilgang til informasjon på mobilen (som SMS-er), skal man straks si ifra til sikkerhetsansvarlig. Dette gjelder også hvis man mistenker at brukernavn og passord er kommet på avveier, eller at man bare ønsker å være på den sikre siden.
Kommunikasjon og deling av filer eksternt Akseptabel bruk
• Aventia Medias krypterte VPN-løsning
• Kryptert minnepenn benyttes for all intern informasjon
• Ukryptert minnepenn kan benyttes til åpen informasjon
• Bruk av mobiltelefon som trådløs sone.
Uakseptabel bruk
• Sending eller lagring av Aventia Medias informasjon på ikke-godkjente systemer (for ek- sempel privat e-post, skytjenester eller eksterne chatteløsninger)
• Lagring av kritisk informasjon på minnepenn, selv om den er kryptert For særskilte behov, ta kontakt med sikkerhetsansvarlig.
Taushetsplikt
Det er egne regler for taushetsplikt, og den ansatte signerer taushetsplikterklæringen ved oppstart av ansettelsesforholdet.
Husk at vi også skal ta hensyn til taushetsplikten internt, både ved bruk av fagsystem og i dialo- gen mellom kollegaer. Det skal ikke søkes tilgang til taushetsbelagt informasjon i våre systemer uten at det foreligger tjenstlig behov.
Vær varsom i dialogen med eksterne, inklusive familie og tidligere kollegaer.
Logging og sikkerhetskrav for behandling av personopplysninger
1. Sikring av logging i relevante miljøer: Det skal etableres logging i alle systemmiljøer der behandling av personopplysninger finner sted.
2. Innhold i logger: Logger skal som et minimum inneholde følgende informasjon:
o Tidspunkt for tilgang
o IP-adresse ved tilgang
o Brukernavn
o Registrering av handlinger utført under tilgangen
3. Risikobasert omfang av logging: Omfang og detaljnivå for sikkerhetslogger skal fast- settes basert på en risikovurdering utført av databehandleren eller underdatabehandle- ren.
4. Lagringskapasitet: Det skal sikres tilstrekkelig lagringskapasitet for å oppbevare sikker- hetslogger i den påkrevde perioden.
5. Regelmessig kontroll: Det skal gjennomføres jevnlige stikkprøvekontroller for å sikre at loggene inneholder forventet informasjon og oppfyller gjeldende krav.
6. Avveiing av slettingsfrister: Oppbevaringsperioden for sikkerhetslogger skal balanse- res mellom behovet for å analysere potensielle cyberangrep, støtte etterforskning, og hensynet til beskyttelse av enkeltpersoners rettigheter og friheter.
7. Beskyttelse mot sletting og manipulasjon: Alle opplysninger om brukeraktivitet som samles inn i logger, skal sikres mot uautorisert sletting og manipulasjon.
Denne tilnærmingen sikrer en balansert og risikobasert håndtering av loggdata, samtidig som kra- vene til datasikkerhet og etterlevelse av gjeldende regelverk ivaretas.
C.3 Bistand til den dataansvarlige
Databehandleren skal så vidt muligt – inden for det nedenstående omfang og udstrækning – bistå den dataansvarlige i overensstemmelse med Bestemmelse 9.1 og 9.2 ved at gennemføre følgende tekniske og organisatoriske foranstaltninger:
Registreredes rettigheder, jf. pkt. 9.1.
• Databehandleren skal bistå med at iagttage de registreredes rettigheder ved bl.a. at kunne give indsigt i, slette, begrænse og berigtige oplysninger, og sørge for at dette også sker hos underdatabehandlerne.
• Databehandleren skal bistå med at opfylde de registreredes rettigheder uden unødig for-
sinkelse
• Databehandleren skal have udarbejdet en procedure for, hvordan de behandler anmod- ninger fra en registreret om deres rettigheder.
Xxxx og hændelser, jf. pkt. 9.2. Informationer som skal sendes:
• Fakta om det konstaterede brud (tid, sted, årsag)
• Hvornår bruddet startede, hvornår det blev opdaget og hvornår bruddet er standset
• Karakteren af bruddet på persondatasikkerheden, herunder om der er sket brud på fortro- lighed, integritet og tilgængelighed
Side 19 af 23
• Kategorierne og det omtrentlige antal berørte registrerede, hvis det er muligt
• Kategorierne af personoplysninger, hvis det er muligt.
• Navn og kontaktoplysninger til kontaktpunkt, hvor yderligere oplysninger kan indhentes
• Beskrivelse af de sandsynlige konsekvenser af bruddet
• Beskrivelse af foranstaltninger der er truffet, eller foreslås truffet som led i håndteringen af bruddet og dets mulige skadevirkninger
C.4 Opbevaringsperiode/sletterutine
Personoplysninger opbevares i perioden for parternes aftale om databehandlerens levering af da- tabehandlerens løsning(er) og/eller service(s) til den dataansvarlige, eller i henhold til særskilt skrift- lig aftale, hvorefter de slettes hos databehandleren.
Ved ophør skal databehandleren således enten slette eller tilbagelevere personoplysningerne i overensstemmelse med bestemmelse 11.1, medmindre den dataansvarlige – efter underskriften af disse bestemmelser – har ændret den dataansvarlige oprindelige valg. Sådanne ændringer skal være dokumenteret og opbevares skriftligt, herunder elektronisk, i tilknytning til bestemmelserne.
C.5 Lokalitet for behandling
Behandling af de af Bestemmelserne omfattede personoplysninger kan ikke uden den dataansvar- liges forudgående skriftlige godkendelse ske på andre lokaliteter end de, som følger af nærværende databehandleraftale og de adresser som fremgår af anvendte underdatabehandlere, samt under- databehandlere i yderligere led, som nærmere beskrevet i gældende bilag B.
C.6 Instruks vedrørende overførsel af personoplysninger til tredjelande
Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler, medmindre en sådan overførsel sker til en af de autoriseret underdatabehandlere nævnt i bilag B. Overførselsgrundlag anvendes i henhold til Databeskyttelsesforordningens Kapitel V om overførsler af personoplysnin- ger til tredjelande eller internationale organisationer. De specifikke overførselsgrundlag følger af gældende bilag B.
Side 20 af 23
C.7 Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behandlin- gen af personoplysninger, som er overladt til databehandleren
Databehandleren skal årligt for egen regning indhente en revisionserklæring/inspektionsrapport fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesfor- ordningen, databeskyttelsesbestemmelser i anden EU-RET eller medlemsstaternes nationale ret og disse bestemmelser.
der er enighed mellem parterne om, at følgende typer af revisionserklæringer/inspektionsrapport kan anvendes i overensstemmelse med disse bestemmelser:
• ISAE3000
• ISAE3402
• ISO27001
• ISO27701
• SOC2
• eller lignende revision erklæring og/eller certificering
revisionserklæringen/ inspektionsrapporter fremsendes uden unødig forsinkelse til den dataan- svarlige til orientering. den dataansvarlige kan anfægte rammerne for og/eller metoden i [erklærin- gen/rapporten] og kan i sådanne tilfælde anmode om en ny revisionserklæring/ inspektionsrapport under andre rammer og/eller under anvendelse af anden metode.
baseret på resultaterne af erklæringen/rapporten, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databe- skyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-RET eller medlemsstaternes nationale ret og disse bestemmelser.
den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at fore- tage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren fore- tager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. sådanne inspektioner kan gennemføres, når den dataan- svarlige finder det nødvendigt.”
den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den da- taansvarlige selv. databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.
C.8 Procedurer for revisioner, herunder inspektioner, med behandling af personoplysninger, som er overladt til underdatabehandlere
databehandleren skal for egen regning indhente en revisionserklæring/inspektionsrapport fra en uafhængig tredjepart vedrørende underdatabehandlerens overholdelse af databeskyttelsesforord- ningen, databeskyttelsesbestemmelser i anden EU-RET eller medlemsstaternes nationale ret og disse bestemmelser.
der er enighed mellem parterne om, at følgende typer af revisionserklæringer/inspektionsrapporter kan anvendes i overensstemmelse med disse bestemmelser:
• ISAE3000
• ISAE3402
• ISO27001
• ISO27701
Side 21 af 23
• SOC2
• eller lignende revision erklæring og/eller certificering
revisionserklæringen/inspektionsrapport fremsendes uden unødig forsinkelse til den dataansvarlige til orientering. den dataansvarlige kan anfægte rammerne for og/eller metoden i erklæringen/rap- porten og kan i sådanne tilfælde anmode om en ny revisionserklæring/inspektionsrapport under andre rammer og/eller under anvendelse af anden metode.
Baseret på resultaterne af erklæringen/rapporten, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyt- telsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes natio- nale ret og disse Bestemmelser.
Databehandleren eller en repræsentant for databehandleren har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren fore- tager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når databehandle- ren (eller den dataansvarlige) finder det nødvendigt.
Dokumentation for sådanne inspektioner fremsendes uden unødig forsinkelse til den dataansvarlige til orientering. Den dataansvarlige kan anfægte rammerne for og/eller metoden af inspektionen og kan i sådanne tilfælde anmode om gennemførelsen af en ny inspektion under andre rammer og/eller under anvendelse af anden metode.”
Den dataansvarlige kan – hvis det findes nødvendigt – vælge at initiere og deltage på en fysisk inspektion hos underdatabehandleren. Dette kan blive aktuelt, hvis den dataansvarlige vurderer, at databehandlerens inspektion hos underdatabehandleren ikke har givet den dataansvarlige tilstræk- kelig sikkerhed for, at behandlingen hos underdatabehandleren sker I overensstemmelse med da- tabeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
Den dataansvarliges eventuelle deltagelse i en inspektion hos underdatabehandleren ændrer ikke ved, at databehandleren også herefter har det fulde ansvar for underdatabehandlerens overhol- delse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller med- lemsstaternes nationale ret og disse Bestemmelser.
Databehandlerens og underdatabehandlerens eventuelle udgifter i forbindelse med en fysisk in- spektion af underdatabehandlerens lokaliteter er den dataansvarlige uvedkommende – uanset om den dataansvarlige har initieret og deltaget i en sådan inspektion.
Side 22 af 23
Bilag D Parternes regulering af andre forhold
Side 23 af 23
SIGNATURES ALLEKIRJOITUKSET UNDERSKRIFTER SIGNATURER UNDERSKRIFTER
This documents contains 23 pages before this page Tämä asiakirja sisältää 23 sivua ennen tätä sivua Detta dokument innehåller 23 sidor före denna sida Dokumentet inneholder 23 sider før denne siden Dette dokument indeholder 23 sider før denne side
authority to sign | asemavaltuutus | ställningsfullmakt | autoritet til å signere | myndighed til at underskrive |
representative | nimenkirjoitusoikeus | firmateckningsrätt | representant | repræsentant |
custodial | huoltaja/edunvalvoja | förvaltare | foresatte/verge | frihedsberøvende |
Electronically signed / Sähköisesti allekirjoitettu / Elektroniskt signerats / Elektronisk signert / Elektronisk underskrevet