Databehandleraftale
Indhold
Indhold 1
Baggrund for databehandleraftalen 2
Kundens forpligtelser og rettigheder 2
Leverandørens forpligtelser og rettigheder 3
Fortrolighed 4
Behandlingssikkerhed 5
Underretning om brud på persondatasikkerheden 6
Sletning og tilbagelevering af oplysninger 6
Tilsyn og revision 6
Ikrafttræden og ophør 6
Bilag A 7
Oplysninger om behandlingen 7
Bilag B: 8
B.1 Betingelser for leverandørens brug af underdatabehandlere 8
B.2 Godkendte underdatabehandlere 8
Bilag C 12
Baggrund for databehandleraftalen
1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse ved Kundens anvendelse af Leverandørens internetbaserede bogholderisystem, kendt som Xxxxx.xx (herefter ERP-systemet), samt alle tillægsmoduler, integrationer eller services relateret til brugen af ERP-systemet.
2. Som resultat af kundens anvendelse af ERP-systemet foretager Leverandøren behandling af data på vegne af Kunden.
3. Leverandøren og Kunden bekræfter, at de har fuldmagt til at indgå Aftalen.
4. Ved brug af ERP-systemet vil Xxxxxx være ansvarlig for sin Behandling af alle Personoplysninger i ERP- systemet. Leverandøren vil behandle personoplysninger på vegne af Xxxxxx. Nærværende databehandleraftale er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3 i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.
5. Databehandleraftalen og de ”Generelle Forretningsbetingelser” er indbyrdes afhængige og kan ikke opsiges særskilt. Databehandleraftalen kan dog – uden at opsige ”Generelle Forretningsbetingelser” – erstattes af en anden gyldig databehandleraftale.
6. Ved at acceptere nærværende aftale godkender og accepterer Kunden Leverandørens brug af underleverandører, under forudsætning af at disse lever op til kravene i nærværende aftale. Alle underdatabehandlere kan findes i Bilag B.
7. Anvendes en Underdatabehandler, der opbevarer Personoplysninger uden for EU/EØS, giver Kunden Leverandøren autorisation til at sikre et tilstrækkeligt grundlag for overførsel af Personoplysninger til tredjeland på vegne af Kunden, herunder ved anvendelse af EU-Kommissionens Standardkontrakter eller i overensstemmelse med Privacy Shield.
8. Aftalen regulerer Leverandørens behandling af Personoplysninger på vegne af Xxxxxx og beskriver, hvordan Leverandøren skal medvirke til at beskytte privatliv på vegne af Xxxxxx og dennes Registrerede gennem tekniske og organisatoriske foranstaltninger, som er krævet under den gældende databeskyttelseslovgivning, herunder persondataforordningen/databeskyttelsesloven (herefter GDPR) fra den 25. maj 2018.
9. Nærværende Databehandleraftale kan tidligst træde i kræft den 25. maj 2018. Efter denne dato træder Databehandleraftalen i kraft ved underskrivelse.
10. Til denne aftale hører fire bilag. Bilagene fungerer som en integreret del af databehandleraftalen.
a. Bilag A indeholder nærmere oplysninger om behandlingen, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
b. Bilag B indeholder en liste over underdatabehandlere, som Kunden har godkendt.
c. Bilag C indeholder en nærmere instruks om, hvilken behandling leverandøren skal foretage på vegne af Kunden (behandlingens genstand), hvilke sikkerhedsforanstaltninger der som minimum skal iagttages, samt hvordan der føres tilsyn med leverandøren og eventuelle underdatabehandlere.
Kundens forpligtelser og rettigheder
1. Kunden har, ved brug af ERP-systemet, overfor omverdenen ansvaret for, at behandlingen af personoplysninger sker inden for rammerne af databeskyttelsesforordningen og databeskyttelsesloven.
2. Kunden skal på fyldestgørende vis sikre et lovligt grundlag for at behandle og videregive personoplysninger til Leverandøren og dennes underdatabehandlere.
3. Kunden er alene ansvarlig for integriteten, lovligheden og nøjagtigheden af de Personoplysninger, som behandles af Leverandøren.
4. Kunden bør ikke anvende ERP-systemet på en måde, der afviger fra specifikationen i Bilag A.
5. Kunden skal have en opdateret liste over de kategorier af Personoplysninger, som denne behandler, dette gælder særligt i det omfang, sådan Behandling afviger fra de kategorier af Oplysninger, som fremgår af Bilag A.
6. Kunden er ansvarlig for, at der foreligger hjemmel til den behandling, som leverandøren instrueres i at foretage.
Leverandørens forpligtelser og rettigheder
1. Leverandøren må kun behandle personoplysninger efter dokumenteret instruks fra Kunden, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som leverandøren er underlagt; i så fald underretter leverandøren Xxxxxx om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
2. Ved at indgå denne Aftale instruerer Kunden Leverandøren i at behandle Personoplysninger på følgende måder:
d. i overensstemmelse med gældende lovgivning
e. for at opfylde sine forpligtelser i henhold til abonnementsvilkår for ERP-systemet
f. som yderligere specificeret ved Kundens normale brug af ERP-systemet
g. som beskrevet i denne Aftale.
3. Leverandøren underretter omgående Kunden, hvis en instruks efter leverandørens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
4. Leverandøren forbeholder sig ret til at registrere, hvordan Kunden anvender ERP-systemet. Dette er for hele tiden at være i stand til at tilbyde en opdateret og relevant version af ERP-systemet. For mere information henvises til Cookie Politik.
5. Under hensyntagen til den teknologi, der er tilgængelig, og omkostningerne ved implementeringen, samt omfanget, konteksten og formålet med Behandlingen, er Leverandøren forpligtet til at foretage alle rimelige foranstaltninger, herunder tekniske og organisatoriske, for at sikre et tilstrækkeligt sikkerhedsniveau i forhold til den risiko og kategorien af Personoplysninger, der skal beskyttes.
6. Leverandøren skal underrette Xxxxxx uden unødig forsinkelse via kontaktperson oplyst i ERP-systemet, hvis Leverandøren bliver bekendt med sikkerhedsbrist. Endvidere skal Leverandøren så vidt muligt og lovligt underrette Kunden, hvis;
a. En anmodning om indsigt i Personoplysninger modtages direkte fra Registrerede. Leverandøren må først servicere en anmodning fra registrerede, når det er godkendt af Kunden, medmindre Leverandøren er forpligtet til det i medfør af lovgivningen, såsom ved en retskendelse eller lignende.
b. En anmodning om indsigt i Personoplysninger modtages direkte fra statslige myndigheder, herunder politiet.
7. Hvis Kunden kræver information eller assistance omkring sikkerhedsforanstaltninger, dokumentation eller information om, hvordan Leverandøren behandler Personoplysninger generelt, og en sådan anmodning indeholder information, som går ud over, hvad der er nødvendigt ifølge gældende Databeskyttelseslovgivning, må Leverandøren kræve betaling, op til 600 kr. pr. påbegyndt time, for sådanne yderligere services.
8. Leverandøren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af Xxxxxx. Kunden har ansvaret for at fjerne adgange til personoplysninger, hvis autorisationen fratages eller udløber.
9. Leverandøren bistår, under hensyntagen til behandlingens karakter, så vidt muligt Xxxxxx ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af Kundens forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3. Dette indebærer, at leverandøren så vidt muligt skal bistå Kunden i forbindelse med, at Kunden skal sikre overholdelsen af:
• Den registreredes indsigtsret
• Retten til berigtigelse
• Retten til sletning (»retten til at blive glemt«)
• Retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, herunder profilering
• Retten til dataportabilitet.
10. Leverandøren bistår Kunden med at sikre overholdelse af Kundens forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for leverandøren, jf. art 28, stk. 3, litra f.
11. Dette indebærer, at leverandøren under hensyntagen til behandlingens karakter, i et omfang der er rimeligt, skal bistå Kunden i forbindelse med, at Kunden skal sikre overholdelsen af:
a. Forpligtelsen til at anmelde brud på persondatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden unødig forsinkelse og om muligt senest 72 timer efter, at Xxxxxx er blevet bekendt med bruddet, medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
b. Forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.
12. Ønsker Xxxxxx at gøre brug af sine rettigheder, skal der rettes henvendelse til Leverandøren på e-mail: xxxxxxxxx@xxxxx.xx
For punkterne 9.a-d skal mailen indeholde:
• Konto-ID for den konto, efterspørgslen relaterer sig til
• Xxxxxxx ret der ønskes udnyttet
Xxxxxx skal sendes fra den mail, der står som ”ejer” af kontoen, ellers har Leverandøren ikke hjemmel til at udlevere den ønskede data. Leverandøren er forpligtet til at levere korrekt efterspurgt data inden for 30 dage.
13. Ønsker Xxxxxx at gøre brug af retten til dataportabilitet, punkt 9.e, kan der rettes henvendelse til Leverandørens supportteam på xxxxxxx@xxxxx.xx, telefon 0000 0000, eller over chatten.
Fortrolighed
1. Leverandøren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af Xxxxxx. Ved endt autorisation skal Leverandøren straks fjerne adgangen.
2. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde leverandørens forpligtelser over for Kunden.
3. Leverandøren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af Xxxxxx, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
4. Leverandøren skal efter anmodning fra Kunden kunne påvise, at de relevante medarbejdere er underlagt ovennævnte tavshedspligt.
Behandlingssikkerhed
1. Leverandøren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
2. Ovenstående forpligtelse indebærer, at leverandøren skal foretage en risikovurdering og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger:
a. Pseudonymisering og kryptering af personoplysninger
b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester
c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
3. Leverandøren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C.
Anvendelse af underdatabehandlere
4. Leverandøren må gøre brug af underdatabehandlere. På tidspunktet for indgåelsen af Aftalen anvender Leverandøren de i Bilag B anførte underdatabehandlere. Ved indgåelse af nærværende Databehandleraftale godkender Kunden alle underdatabehandlere listet i Bilag B.
1. Leverandøren skal sikre, at brug af underdatabehandlere sker i overensstemmelse med databeskyttelsesforordningens artikel 28, stk. 2 og 4.
2. Leverandøren er berettiget til at ændre i de i Bilag B anførte underdatabehandlere. I tilfælde af ændringer i underdatabehandlere skal Leverandøren skriftligt underrette Kunden om de planlagte ændringer vedrørende tilføjelse eller erstatning af underdatabehandlere senest 1 plus løbende måned, inden ændringen træder i kraft.
3. Kunden kan nægte brugen af den nye underdatabehandler, hvilket skal meddeles Databehandler senest 2 uger fra afgivelsen af meddelelsen om ændringen. I dette tilfælde betragtes alle aftaler mellem Leverandøren og Kunden som opsagt.
4. Når Leverandøren har Kundens godkendelse til at gøre brug af en underdatabehandler, sørger leverandøren for at pålægge underleverandøren de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraftale, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at underleverandøren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen. Leverandøren er således ansvarlig for – igennem indgåelsen af en underdatabehandleraftale – at pålægge en eventuel underdatabehandler mindst de forpligtelser, som leverandøren selv er underlagt efter databeskyttelsesreglerne og denne databehandleraftale med tilhørende bilag.
5. Underdatabehandleraftalen og eventuelle senere ændringer hertil sendes – efter Xxxxxxx anmodning herom - i kopi til Xxxxxx, som herigennem har mulighed for at sikre sig, at der er indgået en gyldig aftale mellem leverandøren og underleverandøren. Eventuelle kommercielle vilkår, eksempelvis priser, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til Kunden.
6. Hvis en underdatabehandler er etableret uden for, eller Personoplysninger opbevares uden for EU/EØS, giver Kunden Leverandøren autorisation til at sikre et tilstrækkeligt grundlag for overførsel af Personoplysninger til tredjeland på vegne af Kunden, herunder ved anvendelse af EU-Kommissionens Standardkontrakter eller i overensstemmelse med Privacy Shield.
Underretning om brud på persondatasikkerheden
1. Leverandøren underretter uden unødig forsinkelse Kunden efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos leverandøren eller en eventuel underdatabehandler. Leverandørens underretning til Xxxxxx skal om muligt ske senest 36 timer efter, at denne er blevet bekendt med bruddet, sådan at Kunden har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden inden for 72 timer.
2. I overensstemmelse med denne aftales afsnit 10.2., litra b skal leverandøren – under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for denne – bistå Kunden med at foretage anmeldelse af bruddet til tilsynsmyndigheden. Det kan betyde, at leverandøren bl.a. skal hjælpe med at tilvejebringe nedenstående oplysninger, som efter databeskyttelsesforordningens artikel 33, stk. 3 skal fremgå af Kundens anmeldelse til tilsynsmyndigheden:
1. Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
2. Sandsynlige konsekvenser af bruddet på persondatasikkerheden
3. Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden, herunder hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
Sletning og tilbagelevering af oplysninger
3. Ved ophør af tjenesterne vedrørende behandling forpligtes leverandøren til, efter Kundens valg, at slette eller tilbagelevere alle personoplysninger til Kunden samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.
4. Leverandøren forbeholder sig ret til at beholde data i anonymiseret form med henblik på at føre statistik.
Tilsyn og revision
1. Leverandøren stiller alle oplysninger, der er nødvendige for at påvise leverandørens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for Kunden og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af Kunden eller en anden revisor, som er bemyndiget af Kunden.
2. Den nærmere procedure for Kundens tilsyn med leverandøren fremgår af denne aftales Bilag C.
3. Kundens tilsyn med eventuelle underdatabehandlere sker som udgangspunkt gennem leverandøren. Den nærmere procedure herfor fremgår af denne aftales Bilag C.
Ikrafttræden og ophør
1. Denne aftale træder i kraft ved Kundens online godkendelse heraf.
2. Opsigelse af databehandleraftalen kan ske i henhold til de opsigelsesvilkår, inkl. opsigelsesvarsel, som fremgår af ”Generelle Forretningsbetingelser”.
3. Aftalen er gældende, så længe behandlingen består. Uanset ” ”Generelle Forretningsbetingelser” og/eller databehandleraftalens opsigelse, vil databehandleraftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos leverandøren og eventuelle underdatabehandlere.
Bilag A:
Oplysninger om behandlingen
Formålet med leverandørens behandling af personoplysninger på vegne af Kunden er, at Kunden kan anvende ERP-systemet, som ejes og administreres af leverandøren, til at:
• Føre et løbende dobbelt bogholderi i overensstemmelse med ÅRL
• Sende faktura, også abonnementsfaktura, til Kundens kunder
• Afregne MOMS på korrekt vis
• Afgive og håndtere tilbud til Kundens kunder
• Afstemme Kundens bankkonti til konti i Regnskabsprogrammet
• Føre Lager over indkøbte og solgte varer
• Holde overblik over leverandører og løbende balance med disse
• Holde overblik over Kunder og løbende balance med disse
• Xxxxxxx diverse rapporter og insights i Xxxxxxx forretning
• Levere et historisk fakturerings- og betalingsoverblik til Kundens kunder
• Sende rykkere til Kundens kunder
• Eksekvere automatiserede rykkerprocedurer
• Modtage betalinger online fra Kundens kunder
• Integrere til tredjepartssystemer
• Scanne Bilag med henblik på at automatisere bogføring eller dele heraf
• Betalingsinitiering af Kundens modtagne fakturaer.
Behandlingen omfatter følgende typer af personoplysninger om de registrerede: Behandlingen omfatter følgende kategorier af registrerede:
• Kundens slutbrugere
• Kundens ansatte
• Kundens tilknyttede bogholder eller revisor
• Kundens Leverandører samt dennes evt. ansatte
• Xxxxxxx Xxxxxx samt dennes evt. ansatte
Behandlingen omfatter følgende kategorier af personoplysninger:
• Navn
• Titel
• Adresse
• Telefonnummer
• CPR-nummer (Anvendes ved brug af: PBS-integrationen)
• Betalingsoplysninger på faktura
• Betalingsoplysninger via online funktion. Behandlingen bør ikke omfatte Følsomme Personoplysninger:
Kunden vil under sit arbejde med Leverandørens software få mulighed for at skrive kommentarer på faktura til kunder og på bilag modtaget fra leverandører. Bemærkninger, der falder inden for kategorierne nedenfor, er at betragte som Følsomme Personoplysninger og bør ikke behandles i et ERP-system. Leverandøren opfordrer til, at Kunden finder et journalsystem eller lignende, der er velegnet til håndtering af sådanne data. Dette indebærer, at eventuelle kunder skal behandles under et pseudonym i ERP-systemet, eks. deres patientnummer i journalsystemet.
• Politisk, filosofisk eller religiøs overbevisning
• Fagforeningsmæssige tilhørsforhold
• Race eller etnisk oprindelse
• Helbredsoplysninger.
Sundhedsvirksomheder med patienter tilknyttet
Bilag B:
B.1 Betingelser for leverandørens brug af underdatabehandlere:
Leverandørens Software er afhængig af en række underleverandører for at kunne operere. Sådanne ”underdatabehandlere” er tredjepartsleverandører i og uden for EU/EØS. Leverandørens underleverandører er oplistet i den til enhver tid opdaterede liste over underdatabehandlere. Leverandøren skal sikre sig, at dennes Underdatabehandlere skal overholde tilsvarende forpligtelser og krav, som er beskrevet i Aftalen. Al brug af Underdatabehandlere er endvidere underlagt Leverandørens Generelle Forretningsbetingelser.
B.2 Godkendte underdatabehandlere
Kunden har ved databehandleraftalens ikrafttræden godkendt anvendelsen af følgende underdatabehandlere:
Leverandør | Persondata-kategorier | Funktion |
Amazon Web Services, Inc. 000 Xxxxx Xxx Xxxxx Xxxxxxx XX 00000-0000, XX. | Behandlingen omfatter følgende kategorier af registrerede: • Kundens slutbrugere • Kundens ansatte • Kundens tilknyttede bogholder eller revisor • Kundens Leverandører samt dennes evt. ansatte • Xxxxxxx Xxxxxx samt dennes evt. ansatte Behandlingen omfatter følgende kategorier af personoplysninger: • Navn • Titel • Adresse • Telefonnummer • CPR-nummer (Anvendes ved brug af: PBS- integrationen • Betalingsoplysninger på faktura | Hosting |
Postmark WildBit, LLC | Behandlingen omfatter følgende kategorier af registrerede: • Kundens slutbrugere | Afsendelse af transaktionelle e-mails |
000Xxxxxxxxx Xxxxxx Xxxxxxxxxxxx, XX 000000 | • Kundens ansatte • Kundens tilknyttede bogholder eller revisor • Kundens Leverandører, samt dennes evt. ansatte • Xxxxxxx Xxxxxx samt dennes evt. ansatte Behandlingen omfatter følgende kategorier af personoplysninger: • Navn • Titel • Adresse • Telefonnummer • CPR-nummer (Anvendes ved brug af: PBS- integrationen) | |
Sproom Visma e-conomic A/S XXX.xx. 29403473 Xxxxxxxxxxxx 00000 Xxxxxxxxx K | Behandlingen omfatter følgende kategorier af registrerede: • Kundens Leverandører samt dennes evt. ansatte • Xxxxxxx Xxxxxx samt dennes evt. ansatte Behandlingen omfatter følgende kategorier af personoplysninger: • Navn • Titel • Adresse • Betalingsoplysninger på faktura | EAN-fakturering |
Intercom Inc. 00 0xx Xx., 0xx Xxxxx Xxx Xxxxxxxxx Xx 00000, XXX | Behandlingen omfatter følgende kategorier af registrerede: • Kundens slutbrugere Behandlingen omfatter følgende kategorier af personoplysninger: • Navn • Titel • Adresse • Telefonnummer | Support og kommunikation |
XXXXXXXXXXX.XX ApS XXX.xx. 30004671 C.F. Richs Vej 00 X, xx 0000 Xxxxxxxxxxxxx | Behandlingen omfatter følgende kategorier af personoplysninger: • Navn • Titel • Adresse | Udarbejdelse af årsregnskaber |
Bilagscan/Broadway Broadway 33 ApS CVR-nummer 37035785 Adresse Xxxxxxxx 00 X, 0. sal. Postnummer og by 1260 København K | Behandlingen omfatter følgende kategorier af registrerede: • Kundens Leverandører samt dennes evt. ansatte • Xxxxxxx Xxxxxx samt dennes evt. ansatte Behandlingen omfatter følgende kategorier af personoplysninger: • Navn • Titel • Adresse • Telefonnummer • CPR nummer (Anvendes ved brug af: PBS- integrationen • Betalingsoplysninger på faktura | Anvendes til scanning af bilag samt til autokontering |
Google Suites Google Inc 0000 Xxxxxxxxxxxx Xxxx Xxxxxxxx Xxxx, XX 00000 Xxxxxx Xxxxxx Federal Tax ID: 77- 0493581 | Behandlingen omfatter følgende kategorier af personoplysninger: • Navn • Titel • Adresse • E-mail Betalingsoplysninger på faktura | E-mail kommunikation |
FIRMAFON ApS CVR-nummer: 33363850 Xxxxxxxxxxxxx 00 0000 Xxxxxxxxx Ø | Behandlingen omfatter følgende kategorier af personoplysninger: • Navn • Telefonnummer | Support |
Zapier Inc. 000 Xxxxxx Xx #00000 Xxx Xxxxxxxxx XX 00000-0000 | Behandlingen omfatter følgende kategorier af personoplysninger: • Navn • Titel • Adresse • Telefonnummer • CPR-nummer (Anvendes ved brug af: PBS- integrationen | Integrationer |
CVRAPI ONLINE GATEWAY ApS XXX.xx: 36421231 Xxxxxx 000 0000 Xxxxx | CVR-opslag |
Stripe, Inc. 000 Xxxxx Xxxxxx, Xxxxx 000 Xxx Xxxxxxxxx, XX 00000 | Behandlingen omfatter følgende kategorier af personoplysninger: • Navn • Telefonnummer • Adresse | Betalingsmetode |
Paylike ApS XXX.xx. 36683279 P.O. Xxxxxxxxx Vej 14 Skejby 8200 Aarhus N | Behandlingen omfatter følgende kategorier af personoplysninger: • Navn • Telefonnummer • Adresse | Betalingsmetode |
YOURPAY ApS XXX.xx: 35243267Thisted- gade 10 Høje Taastrup 2630 Taastrup | Behandlingen omfatter følgende kategorier af personoplysninger: • Navn • Telefonnummer | Betalingsmetode |
MobilePay Denmark A/S XXX.xx. 38292188 Holmens Kanal 2 – 12 1060 København K | Behandlingen omfatter følgende kategorier af personoplysninger: • Navn • Telefonnummer | Betalingsmetode |
Bilag C:
Instruks vedrørende behandling af personoplysninger
For Persondata, som Kunden anvender ERP-systemet til at behandle, gælder denne Databehandleraftales bestemmelser. For hvad angår Leverandørens behandling af personoplysninger relateret til kunde-/leverandørforholdet mellem Kunden og Databehandler, henvises der til vores Generelle Forretningsbetingelser.
Leverandøren har tavshedspligt om alle informationer, der måtte komme i hænde om Kunden, og er ikke berettiget til at videregive sådanne informationer til tredjemand, medmindre sådan information er offentlig tilgængelig, eller hvor Leverandøren har fået informationen fra en tredjepart uden for fortrolighed, eller hvor Leverandøren er forpligtet til at videregive informationen ifølge lovgivning eller efter pålæg fra en myndighed eller domstol.
Behandlingens genstand/instruks
Leverandørens behandling af personoplysninger på vegne af Kunden kan ske ved, at leverandøren udfører følgende:
• Support
o Support bliver ydet til alle brugere af Leverandørens software. Xxx xxxxxxxx 0 kanaler til dette; mail, telefon, og chat.
• Generel brugerstatistik
o Der føres løbende statistik over brugere på Leverandørens software. Dette er med henblik på at kunne identificere mulige forbedringer, nye nyttige features eller identificere Kunder med en virksomhed, der kan have gavn af eksisterende features.
o Brancheindeks og konjunkturbarometre. Denne behandling sker 100% i anonymiseret form.
• Scanning
o Leverandørens software scanner alle de bilag, Xxxxxx måtte uploade. Dette med henblik på at automatisere hele eller dele af de manuelle bogføringsprocesser, så som indtastning af data. Scanneren udfylder automatisk datafelter. Ønskes denne funktion ikke, kan den fravælges.
o Er funktionen ikke fravalgt, vil Xxxxxxx ændringer til scannerens forslag blive registeret med henblik på at træne og forbedre scanneren.
• Hosting
o Leverandørens software bliver leveret som onlineløsning ved brug af forskellige hosting-løsninger. Der kan benyttes flere forskellige datacentre for at højne brugeroplevelsen.
• Backup
o Leverandøren tager backup af brugerdata for at kunne genskabe data, såfremt at der måtte opstå nedbrud.
Behandlingssikkerhed
Datasikkerhed er den forretningsrisiko, der er prioriteret højest i Xxxxx. Vi arbejder seriøst og professionelt med Datasikkerhed og tager udgangspunkt i internationalt anerkendte sikkerhedsstandarder. Vi har implementeret sikkerhedsforanstaltninger, der skal sikre databeskyttelse for såvel kundeoplysninger, personoplysninger og andre fortrolige oplysninger. Vi gennemfører regelmæssigt interne opfølgninger i forhold til tilstrækkeligheden og efterlevelsen af politikker og foranstaltninger.
Sikkerhedsniveauet afspejler:
Leverandøren forventer, at Kunden benytter ERP-systemet i overensstemmelse med, hvad der er beskrevet i Bilag A. Dermed forventer Leverandøren, at Kunden ikke opbevarer Følsomme Personoplysninger i ERP-systemet.
Sikkerhedsniveauet afspejler dette.
Leverandøren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne.
Leverandøren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltninger, som er aftalt med Kunden (på baggrund af den risikovurdering Kunden har foretaget):
Leverandøren tager jævnligt backup af data som foranstaltning for fysiske nedbrud eller tekniske hændelser, der måtte påvirke driften. Disse backups er fordelt på forskellige datacentre for at undgå, at fysiske nedbrud vil have permanente konsekvenser for softwarens drift.
Leverandøren har opsat foranstaltninger for medarbejdere, der kan tilgå Kundens data. Der er opsat forskellige niveau af adgange, og opnås der adgang, bliver dette logget, og disse logs revideret ugentligt. Der foretages revurdering om adgangsniveau for alle Leverandørens medarbejdere mindst hver tredje måned.
Leverandøren forbeholder sig retten til at logge al aktivitet i systemet med henblik på generel monitorering og vedligehold af systemet. Logs benyttes til at verificere oppetid af systemet samt håndtere uventede fejl med mere. I vores log-data kan der forekomme personhenførbare datapunkter, som kan peges tilbage på Kunden.
Opbevaringsperiode/sletterutine
Vi gemmer dine regnskabsdata i henhold til bekendtgørelsen om "Opbevaring af regnskabsmateriale" i Bogføringsloven. Det vil sige, at med mindre Kunden giver instruks herom, vil data blive opbevaret i 5 år, hvorefter de slettes.
Der er som minimum altid en backupserver af al data, med 3 måneders historik. Databehandler gemmer data automatisk og tager back-up hvert døgn. Hvis du også ønsker at have dine data offline, kan du til hver en tid eksportere dine data til din computer. Vi tager naturligvis fortsat online back-up.