Databehandleraftale Bilag 11Maj 2018
Bilag 11 Maj 2018 |
Indhold
3. Den Dataansvarliges forpligtelser 3
4. Databehandlerens forpligtelser 3
7. Brug af underdatabehandlere og overførsel af data 6
Bilag A - Kategorier af Persondata og Registrerede 8
Bilag B - Oversigt over aktuelle underdatabehandlere 9
Bilag C – Databehandlerens sikkerhedsprocedurer 10
I forbindelse med parternes Aftale gælder følgende Databehandleraftale fra underskrifttidspunktet, dog tidligst fra 25. maj 2018 mellem Databehandleren, Visma Enterprise A/S og den Dataansvarlige, Kunden, med mindre andet er udtrykkeligt specificeret i andre aftaler mellem parterne.
Formålet med Databehandleraftalen er at regulere hvordan og til hvilket formål, Databehandleren skal be- handle Personoplysninger på vegne af den Dataansvarlige samt at sikre, at den Dataansvarliges Personop- lysninger behandles i henhold til den Dataansvarliges retningslinjer og instrukser samt gældende databe- skyttelseslovgivning.
Kategorier af Registrerede og Personoplysninger, der behandles, fremgår af bilag A.
Personoplysninger, Særlige kategorier af Personoplysninger (følsomme persondata), Behandling af person- oplysninger, den Registrerede, den Dataansvarlige og Databehandler skal have den betydning, som følger af gældende lovgivning om behandling af personoplysninger, herunder Databeskyttelsesforordningen (GDPR).
3. Den Dataansvarliges forpligtelser
Den Dataansvarlige har ansvaret for, at behandlingen af Personoplysninger lever op til kravene i Databe- skyttelsesforordningen og Databeskyttelsesloven.
Den Dataansvarlige, er ved brug af de tjenester som Databehandler stiller til rådighed i henhold til Xxxxxxx, forpligtet til at behandle Personoplysninger i overensstemmelse med bestemmelserne i gældende lovgiv- ning om behandling af personoplysninger.
Den Dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som Databe- handleren instrueres i at foretage.
4. Databehandlerens forpligtelser
Databehandleren behandler udelukkende Personoplysninger på vegne af og på baggrund af instrukser fra den Dataansvarlige.
Databehandling skal ske på følgende måde:
• Alene i overensstemmelse med gældende lovgivning,
• for at opfylde alle forpligtelser i henhold til Xxxxxxx,
• som nærmere angivet gennem den Dataansvarliges almindelige brug af Databehandlerens tjene- ster,
• som angivet i denne Databehandleraftale.
Databehandler underretter omgående den Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med Databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller med- lemsstaternes nationale ret.
Databehandler skal sikre, at Personoplysningerne er underlagt fortrolighed, integritet og tilgængelighed i henhold til gældende lovgivning om behandling af personoplysninger.
Databehandler og dennes medarbejdere skal sikre fortrolighed vedrørende de behandlede Personoplysnin- ger. Denne bestemmelse gælder også efter Aftalens ophør.
Databehandleren sikrer, at de personer, der er autoriseret til at behandle Personoplysninger på vegne af den Dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
Databehandler skal bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, så vidt dette er muligt, for opfyldelse af den Dataansvarliges forpligtelser til at svare på anmodninger fra Regi- strerede og om generel udøvelse af Registreredes rettigheder i henhold til Databeskyttelsesforordningens Kapitel 3 og Artikel 32 til 36.
Databehandler giver, uden unødig forsinkelse, meddelelse til den Dataansvarlige om hændelser som den Dataansvarlige i henhold til lovgivningen er forpligtet til at meddele til Datatilsynet eller Registrerede.
Desuden giver Databehandler i det omfang det er hensigtsmæssigt og lovligt den Dataansvarlige medde- lelse om:
• Anmodninger om videregivelse af Personoplysninger modtaget fra en Registreret.
• Anmodninger om videregivelse af Personoplysninger fra offentlige myndigheder, såsom politiet.
Databehandleren besvarer ikke direkte henvendelser fra Registrerede, medmindre der foreligger samtykke fra den Dataansvarlige. Databehandleren videregiver ikke Personoplysninger til offentlige myndigheder, såsom politiet, medmindre der foreligger lovligt grundlag.
Databehandleren har ikke ejerskab til, eller kontrol med, hvorvidt og hvordan den Dataansvarlige vælger at benytte sig af eventuel tredjeparts integrationer via Databehandlers API, via direkte databasekobling eller lignende. Ansvaret for sådanne integrationer med tredjepart påhviler udelukkende Dataansvarlig.
Databehandler skal indføre systematiske, organisatoriske og tekniske foranstaltninger til sikring af et pas- sende sikkerhedsniveau, under hensyntagen til teknologien og omkostningerne til indførelse i forhold til de risici som behandlingen indebærer, samt arten af de Personoplysninger der skal beskyttes.
Databehandler er forpligtet til at sikre et højt sikkerhedsniveau i sine produkter og tjenester. Databehand- ler yder dette sikkerhedsniveau gennem organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger i henhold til kravene til informationssikkerhedsforanstaltninger, som fremgår af Databeskyttelsesforordnin- gens Artikel 32.
Desuden har de interne rammer for beskyttelse af personoplysninger, som er udarbejdet af Visma-koncer- nen, til formål at sikre fortroligheden, integriteten, sikkerheden og tilgængeligheden af Personoplysninger. Følgende foranstaltninger har særlig betydning i denne forbindelse:
• Klassificering af Personoplysninger for at sikre iværksættelse af sikkerhedsforanstaltninger sva- rende til risikovurderinger.
• Vurdering af brug af kryptering og anonymisering som risikobegrænsende foranstaltninger.
• Begrænsning af tilgang til Personoplysninger til dem, som har brug for adgang til opfyldelse af for- pligtelser i henhold til Aftalen.
• Kontrolsystemer, der registrerer, genopretter, forebygger og rapporterer brud i forbindelse med behandling af Personoplysninger.
• Sikkerhedsprocedurer som angivet i Bilag C.
Hvis den Dataansvarlige anmoder om oplysninger om sikkerhedsforanstaltninger, dokumentation eller an- dre former for oplysninger omkring hvordan, Databehandler behandler Personoplysninger, og sådanne overskrider de standardoplysninger som Databehandler har stillet til rådighed for opfyldelse af gældende lovgivning om behandling af personoplysninger som Databehandler, og dette medfører ekstra arbejde for Databehandler, er Databehandler berettiget til at opkræve den Dataansvarlige betaling for sådanne ekstra arbejder.
Databehandler underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos Databehandleren eller en eventuel underdatabe- handler.
Den Dataansvarlige kan foretage kontrol for at påse, at Databehandler overholder denne Aftale, op til en
(1) gang om året.
Hvis det er et lovkrav gældende for den Dataansvarlige, kan den Dataansvarlige anmode om hyppigere kon- trol.
For at anmode om at foretage en kontrol skal den Dataansvarlige fremsende en detaljeret kontroloversigt mindst fire (4) uger forud for den foreslåede kontroldato til Databehandler med beskrivelse af det foreslå- ede omfang, varighed og starttidspunkt for kontrollen.
Hvis tredjeparter skal foretage kontrollen, skal det som hovedregel aftales mellem Parterne. Hvis behand- ling sker i et “multi-tenant” miljø eller lignende, giver den Dataansvarlige Databehandler ret til at be- stemme, af sikkerhedsmæssige årsager, at kontrollerne skal foretages af en neutral tredjepartskontrollant efter Databehandlers valg.
Hvis det anmodede kontrolomfang er behandlet i ISAE, ISO eller lignende sikkerhedsrapport, varetaget af en kvalificeret tredjepartskontrollant inden for de sidste 12 måneder, og Databehandler bekræfter, at der ikke er foretaget nogle væsentlige ændringer i de kontrollerede foranstaltninger, bekræfter den Dataan- svarlige, at sådanne resultater accepteres i stedet for at anmode om en ny kontrol af de foranstaltninger, der er omfattet af rapporten.
I alle tilfælde skal kontroller foretages inden for normal arbejdstid på det pågældende sted, i medfør af Da- tabehandlers politikker, og må ikke på urimelig måde gribe forstyrrende ind i Databehandlers forretnings- drift.
Den Dataansvarlige afholder alle omkostninger i forbindelse med den Dataansvarliges anmodede kontrol- ler.
Ligeledes fakturerer Databehandler den Dataansvarlige for bistand, som overstiger den standardydelse, som Databehandler eller Visma-koncernen stiller til rådighed for opfyldelse af gældende lovgivning om be- handling af personoplysninger.
7. Brug af underdatabehandlere og overførsel af data
Som en del af leveringen af tjenester til den Dataansvarlige har Databehandleren den Dataansvarliges gene- relle tilladelse til at gøre brug af underdatabehandlere. Disse underdatabehandlere kan være andre selska- ber i Visma-koncernen eller eksterne tredjepartsleverandører.
Databehandler skal sikre, at underdatabehandlere pålægges de samme forpligtelser som fastsat i denne Databehandleraftale. Enhver brug af underdatabehandlere er underlagt Visma-koncernens Privacy State- ment.
Den Dataansvarlige har ret til at anmode om at få et overblik over underdatabehandlere, der aktuelt gøres brug af, med adgang til personoplysninger som angivet i Bilag B. Desuden har den Dataansvarlige ret til at anmode om at få fuldt overblik og mere detaljerede oplysninger om disse underdatabehandlere.
Den Dataansvarlige skal på forhånd underrettes om eventuel udskiftning af underdatabehandlere, som be- handler Personoplysninger. Den Dataansvarlige kan gøre indsigelse mod ændringerne, såfremt den Dataan- svarlige har rimelige og konkrete årsager hertil.
Databehandleren må ikke lade behandling af Personoplysninger foregå udenfor EU/EØS uden den Dataan- svarliges samtykke.
Såfremt den Dataansvarlige giver samtykke til, at Databehandleren foretager behandling af Personoplysnin- ger udenfor EU/EØS, fremgår dette af bilag B. Databehandleren skal sikre et korrekt juridisk grundlag for overførsel af Personoplysninger uden for EU/EØS på vegne af den Dataansvarlige, herunder ved indgåelse af EU-kommissionens Standardkontrakt eller overførsel af Personoplysninger i henhold til Privacy Shield.
Denne Databehandleraftale er gældende så længe Databehandler behandler Personoplysninger på vegne af den Dataansvarlige i henhold til Aftalen. Databehandleraftalen ophører automatisk ved opsigelse af Afta- len.
Ved denne Aftales ophør sletter, returnerer eller opbevarer Databehandler, de på vegne af den Dataansvar- lige behandlede Personoplysninger efter aftale med den Dataansvarlige.
Medmindre andet er skriftligt aftalt, tager omkostninger til sådanne foranstaltninger udgangspunkt i:
• Timepris for den tid Databehandler har brugt, og
• Sværhedsgraden af den anmodede behandling.
Databehandleren kan tilbageholde Personoplysninger efter opsigelse af Aftalen, i det omfang det er påkræ- vet ved lov, som er underlagt samme tekniske og organisatoriske sikkerhedsforanstaltninger, som fremgår af denne Databehandleraftale.
Ændringer til dette bilag skal udfærdiges i et nyt tillæg til Aftalen og underskrives af begge Parter for at være gyldige.
Hvis nogen bestemmelse i denne Databehandleraftale bliver ugyldig, påvirker dette ikke gyldigheden af de øvrige bestemmelser. Parterne skal erstatte den ugyldige bestemmelse med en lovlig bestemmelse, der af- spejler formålet med den ugyldige bestemmelse.
Ansvaret for brud på bestemmelserne i denne Databehandleraftale reguleres af ansvarsbestemmelserne i den mellem Parterne indgåede Aftale. Dette gælder også for eventuelle brud begået af Databehandlers un- derdatabehandlere.
Bilag A - Kategorier af Persondata og Registrerede
1. Kategorier af Registrerede og Persondata, der er underlagt behandling, i henhold til nærværende Aftale
a. Kategorier af registrerede
I. Kundens slutbrugere
II. Kundens medarbejdere
III. Kundens kontaktpersoner
b. Kategorier af personoplysninger
IV. Kontaktoplysninger, som navn, adresse, mail, telefon
V. CPR-nr.
VI. Stillingskategori, oplysninger om løn, arbejdstid, fravær, pension, skat, bankkonto
VII. Evt. øvrige personoplysninger der er nødvendige for, at den Dataansvarlige kan ad- ministrere ansættelsesforholdet.
c. Behandlingsaktiviteter
Databehandleren varetager via it-systemer håndteringen af den Dataansvarliges lønadmini- stration, udarbejdelse af lønsedler, opbevaring og lagring af personoplysninger om den Da- taansvarlige og den Dataansvarliges medarbejdere, rapportering og overførsel af informa- tion til den Dataansvarlige, pengeinstitutter, pensionsselskaber, evt. pligtige rapporteringer i arbejdsgiverforeninger, offentlige styrelser (SKAT, statistik m.m.).
Herudover forestår Databehandleren drift, test, vedligeholdelse, udvikling samt fejlretning af systemer og applikationer.
2. Typer af følsomme persondata, der er underlagt behandling, i henhold til Aftalen
Den Dataansvarlige skal give Databehandler meddelelse om, og angive nedenfor, eventuelle typer føl- somme persondata i henhold til gældende lovgivning om behandling af personoplysninger.
Databehandler skal på vegne af den Dataansvarlige behandle oplysninger om: | Ja | Nej |
Race eller etnisk, eller politisk, filosofisk eller religiøs overbevisning, | x | |
At en person er mistænkt, sigtet eller dømt for en forbrydelse | x | |
Helbredsoplysninger | x | |
Seksuel orientering | x | |
Medlemskab af fagforening | x | |
Genetiske eller biometriske data | X | |
Bilag B - Oversigt over aktuelle underdatabehandlere
Databehandlerens aktuelle underdatabehandlere der kan få adgang til den Dataansvarliges Personoplysnin- ger omfatter ved underskrivelse af denne Aftale:
Navn | Sted/land | Juridisk overdragelsesmeka- nisme, hvis underdatabe- handleren har adgang til per- sonoplysninger fra lande uden for EU | Bistår Databehandleren med |
Nets Denmark A/S Lautrupbjerg 10 2750 Ballerup CVR-nr. 20016175 | Danmark | Ikke relevant | Datalagring Lønkørsler |
Atea A/S Lautrupvang 6 2750 Ballerup CVR-nr. 25511484 | Danmark | Ikke relevant | Datalagring |
Solipsis b.v. Marktplein 2 5306 BA Xxxxxx Xxxxxxx | Xxxxxxx | Ikke relevant | Datalagring, ved brug af funk- tionen ”Fremtidig lønseddel” |
NetNordic Communications A/S Lyskær 1 2730 Herlev CVR-nr. 29797056 | Danmark | Ikke relevant | Datalagring, telefonsamtaler |
OnlineCity ApS Xxxxxxxxxxxxx 00 0000 Xxxxxx C CVR-nr. 27364276 | Danmark | Ikke relevant | Udsendelse af sms i forbin- delse med log-on |
Cim Mobilty ApS Fælledvej 17 7600 Struer CVR-nr. 27913334 | Danmark | Ikke relevant | Udsendelse af sms i forbin- delse med log-on |
Xxxxxxxx A/S Xxx Xxxxxx Xxxxx Allé 4, 4. 2100 København Ø CVR-nr. 26079209 | Danmark | Ikke relevant | Infrastruktur |
Visma ITC AS Karenlyst alle 56 0277 Oslo, Norge | Norge | Ikke relevant | Infrastruktur |
Visma Labs XXX Xxxxxx xxxx 00 Xxxx XX 0000, Letland Xxx.xx. 40103863798 | Letland | Ikke relevant | Udvikling, fejlretning |
Bilag C – Databehandlerens sikkerhedsprocedurer
Sikkerhedsprocedurer
Informationssikkerheden I Visma Enterprise er baseret på standarden ISO/IEC 27001: 2013 Informations- teknologi – Sikkerhedsteknikker.
Standarden indeholder Statement of Applicability (SOA), som er en del af Visma Enterprises Information Security Management System (ISMS). SOA udgør politikker, procedurer, processer, organisatoriske beslut- ningsprocesser og aktiviteter inden for følgende informationssikkerhedskontrolområder i Visma Enterprise:
• Organisering af informationssikkerhed
• Personalesikkerhed
• Styring af aktiver
• Adgangstyring
• Kryptografi
• Fysisk sikring og miljøsikring
• Driftssikkerhed
• Kommunikationssikkerhed
• Anskaffelse, udvikling og vedligeholdelse af systemer
• Leverandørforhold
• Styring af informationssikkerhedsbrud
• Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring
• Compliance.
Informationssikkerhed
Visma Enterprise har implementeret politikker, kontroller og processer, som dækker de neden for beskrevne informationssikkerhedsområder:
• Fortrolighed
Sikre at uautoriserede personer ikke kan få adgang til data, som kan misbruges til skade for Visma Enterprise kunder, forretningsforbindelser og ansatte.
• Integritet
Sikre at systemer indeholder akkurat og komplet information.
• Tilgængelighed
Sikre at relevant information og relevante systemer er tilgængelige og stabile.
Styring af informationssikkerhed
Styring af informationssikkerhed i Visma Enterprise er baseret på ISO 27005 Informationsteknologi - Sikker- hedsteknikker - Risikostyring af informationssikkerhed.
Informationssikkerhed, Organisation
Visma Enterprise har etableret et ledelsesrammeværk til initiering og styring af implementering samt drift af informationssikkerhed.
Juridisk ansvarlige for informationssikkerhed
Board of Directors
Overordnet ansvarlige for informantionssikkerheds- niveau
Executive Committe
Øverste myndighed inden for informationssikkerhed
Information Security Board
Dagligt ansvarlig for at forberede, supportere, vedligeholde og overvåge informationssikkerhed
Information Security
Operativt ansvarlig for at vedligholde informationssikkerhed i produkter, tjenester og processer
Operational Units
Personalesikkerhed
Visma Enterprise har sikret at medarbejdere og aftaleparter har forstået deres ansvar og er kompetente til at varetage deres roller.
Asset management
Visma Enterprise har identificeret organisatoriske aktiver og defineret passende beskyttelse.
Adgangsstyring
Visma Enterprise har via godkendelses- og autorisationsprocesser sikret, at det kun er muligt at opnå en arbejdsrelateret adgang til informations- og informationsbehandlings-faciliteter.
Kryptografi
Visma Enterprise har sikret en korrekt og effektiv brug af kryptografi for at beskytte fortrolighed, autentici- teten og integriteten af information.
Fysisk sikring og miljøsikring
Visma Enterprise forhindrer uautoriseret fysisk adgang, skade og forstyrrelse i virksomhedens informatio- ner og databehandlingslokationer.
Driftsikkerhed
Visma Enterprise har sikret korrekt og sikker drift gennem dokumenterede procedurer og processer.
Kommunikationssikkerhed
Visma Enterprise har sikret beskyttelse af information på netværk og databehandlingslokationer.
Anskaffelse, udvikling og vedligeholdelse af systemer
Al ekstern erhvervelse eller forbedring/fornyelse af informationssystemer, tjenester og komponenter i Visma Enterprise, er centralt evalueret og godkendt for at sikre compliance.
Politikker til udvikling og vedligeholdelse af services er etableret og anvendes til udviklingen i organisatio- nen.
Leverandørforhold
Visma Enterprise har sikret beskyttelse af virksomhedens aktiver, der er tilgængelige for leverandører, her- under regelmæssig overvågning og revision af leverandørleverancer.
Styring af informationssikkerhedsbrud
Visma Enterprise har en konsekvent og effektiv tilgang til styring af informationssikkerhedshændelser, her- under kommunikation om sikkerhedshændelser og svagheder.
Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring
Visma Enterprise sikrer kontinuitet og rettidig genopretning af forretningskritiske processer og systemer i tilfælde af en kritisk situation og sikrer, at kritiske processer virker på et hensigtsmæssigt niveau.
Compliance
Visma Enterprise har implementeret procedurer for at undgå brud på juridiske, lovmæssige eller kontrakt- lige forpligtelser i forbindelse med informationssikkerhed og eventuelle sikkerhedskrav.