Databehandleraftale

Databehandleraftale

Mellem

#Klient #Adresse. #Post CVR‐nr. #cvr

Herefter kaldet: Dataansvarlig Og

REVI‐XXXX v/Jesper Xxxx Xxxxxxxxxx 0, 0

0000 Xxxxxxxxx

CVR nr.: 25 27 12 46

Herefter kaldet: Databehandler

er der d.d. indgået følgende databehandleraftale.

Kontakt info Dataansvarlig:

Kontaktperson:

Kontakt mail:

Kontakt telefon:

REVI-GRAY v/Xxxxxx Xxxx

Xxxxxxxxxx 0, 0

0000 Xxxxxxxxx

CVR-nr.: 00 00 00 00

Telefon: 00 00 00 00 Email: xx@xxxxxxxx.xx Web: xxx.xxxxxxxx.xx

Indhold af databehandleraftale

§ 1: Baggrund, formål og definitioner 2

§ 2: Aftalens gyldighed 2

§ 3: Parternes forpligtelser 2

§ 4 Databehandlers brug af underleverandører 4

§ 5 Underretningspligt 4

§ 6 Sletning af data 5

§ 7 Håndtering af data efter aftalens ophør 5

§ 8 Misligholdelse og ansvar 5

§ 9 Accept af databehandleraftale 5

Revisionshistorik 6

§ 1: Baggrund, formål og definitioner

1.1 Denne databehandleraftale (herefter kaldet ”Aftalen”) vedrører udleveret information fra #Klient.

1.2 Formålet med indgåelsen af Aftalen er at sikre, at Dataansvarlig og Databehandler lever op til de krav, der er til it‐sikkerhed og behandling af persondata i gældende lovgivning.

1.3 I denne aftale skal anvendes samme definitioner som beskrevet i Artikel 4 i EU's forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger 2016/679 (i det følgende kaldet Persondataforordningen), eksempelvis:

• "personoplysninger": enhver form for information om en identificeret eller identificerbar fysisk person ("den registrerede"); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere ele‐ menter, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

• "behandling": enhver aktivitet eller række af aktiviteter – med eller uden brug af automa‐ tisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, til‐ pasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formid‐ ling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

§ 2: Aftalens gyldighed

2.1 Aftalen er gældende fra tidspunktet fra Aftalens underskrift.

2.2 Aftalen gælder for både Test‐ og Produktionsmiljø.

2.3 Aftalen gælder indtil 5 år efter #Klient afslutter kunderelationen.

§ 3: Parternes forpligtelser

3.1 #Klient er Dataansvarlig.

3.2 Databehandler handler alene efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til et tredjeland eller en international organisati‐ on, medmindre det kræves i henhold til EU‐ret eller medlemsstaternes nationale ret, som da‐ tabehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om det‐ te retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underret‐ ning af hensyn til vigtige samfundsmæssige interesser..

Databehandleren skal i videst muligt omfang assistere med pseudonymisering og kryptering af data.

3.3 Databehandler forpligter sig til, til enhver tid at overholde samtlige lovgivningsmæssige krav, herunder tillige eventuelle nationale lovgivninger for Databehandler hvis Databehandler er hjemmehørende udenfor Danmark, vedrørende databehandling af personoplysninger samt den Dataansvarliges informationssikkerhedspolitik med tilhørende retningslinjer i forbindelse med den databehandling, som udføres for den Dataansvarlige.

3.4 I henhold til Persondataforordningen skal Databehandleren træffe alle foranstaltninger, som kræves i henhold til artikel 32, herunder de fornødne tekniske og organisatoriske sikkerheds‐ foranstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forrin‐ ges samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lovgivningsmæssige krav.

Databehandleren skal have dokumentation for alle processer i den forbindelse.

3.5 Databehandleren skal sikre, at kun personer, som autoriseres hertil, har adgang til de person‐ oplysninger, der behandles.

Alene de personer, der nødvendigvis skal have adgang til personoplysninger, må have adgang hertil.

Databehandler er forpligtet til at sikre, at enhver fysisk person med adgang til de personoplys‐ ninger, der behandles, har forpligtet sig til fortrolighed eller er underlagt en passende lovbe‐ stemt tavshedspligt og er instrueret i, hvordan persondata kan, må og skal behandles efter gældende lovgivning.

3.6 Databehandleren og dennes autoriserede medarbejdere må foretage databehandling fra mo‐ bile arbejdspladser (arbejdspladser der ikke er på Databehandlerens adresse og befinder sig indenfor EU, f.eks. medarbejderens privatadresse) såfremt databehandlingen sker fra arbejds‐ pladser, som dels rent fysisk befinder sig indenfor EU, dels er underlagt Databehandlers egne sikkerhedsregler.

Arbejdspladserne skal således være sikret med tekniske kontroller, der sikrer at behandlingen af personoplysninger sker i overensstemmelse gældende lovgivning og Dataansvarlig og Data‐ behandlers retningslinjer.

Endvidere skal den enkelte medarbejder hos Databehandleren instrueres i hvordan man med‐ virker til at sikre, at uvedkommende ikke får adgang til personoplysninger.

3.7 Da den Dataansvarlige har pligt til aktivt at sikre, at de krævede sikkerhedsforanstaltninger overholdes hos Databehandleren, skal Databehandler indhente en årlig revisionserklæring fra en uafhængig tredjepart som dokumentation for, at sikkerhedsmæssige foranstaltninger er gennemførte hos Databehandler.

3.8 I tilfælde af, at den Dataansvarlige og/eller relevante offentlige myndigheder, herunder men ikke udelukkende Datatilsynet, ønsker at foretage en fysisk inspektion af de tekniske og orga‐ nisatoriske sikkerhedsforanstaltninger, som Databehandler skal iagttage, forpligter Databe‐ handleren sig til – med et rimeligt varsel – at stille tid og ressourcer til rådighed herfor med ak‐ tiviteter for 1 person i op til 2 arbejdsdage pr. år.

3.9 Databehandleren er, under hensyntagen til behandlingens karakter, forpligtet til ved hjælp af passende tekniske og organisatoriske foranstaltninger, at bistå den Dataansvarlige med opfyl‐ delse af den Dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af de regi‐ streredes rettigheder efter gældende lovgivning, herunder tillige som fastlagt i Persondatafor‐ ordningens kapitel III.

3.10 Databehandleren skal til enhver tid og på anmodning fra den Dataansvarlige give den Dataan‐ svarlige, eller en af den Dataansvarlige bemyndiget, tilstrækkelige oplysninger til, at denne kan påse, at Databehandlerens forpligtelser efter denne aftale og i øvrigt efter gældende lovgiv‐ ning, herunder men ikke udelukkende de ovenfor nævnte tekniske og organisatoriske sikker‐ hedsforanstaltninger, er truffet og iagttaget.

Endvidere skal Databehandleren kunne dokumentere, at identificerede sårbarheder bliver imødegået ud fra en risikobaseret vurdering.

3.11 Databehandleren må ikke behandle personoplysninger udenfor EU uden den Dataansvarliges udtrykkelige samtykke.

§ 4 Databehandlers brug af underleverandører

4.1 Såfremt Databehandleren samarbejder med eller ønsker at samarbejde med en underleveran‐ dør, skal skriftlig godkendelse heraf indhentes fra den Dataansvarlige.

4.2 Det er Databehandlerens ansvar at sikre sig, at underleverandøren lever op til de samme krav, den Dataansvarlige har stillet til Databehandler, herunder krav om audit og kontrol.

Hvis denne anden databehandler ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren ansvarlig overfor den Dataansvarlige for opfyldelsen af denne anden data‐ behandlers forpligtelser.

4.3 Ved ønske om indgåelse af aftale med ny underleverandør / skift af eksisterende underleve‐ randør skal den Dataansvarlige adviseres herom minimum 1 måned før.

§ 5 Underretningspligt

5.1 Databehandleren er forpligtet til straks at underrette den Dataansvarlige ved kendskab til en‐ hver afvigelse i forhold til denne aftales indhold, f.eks.:

• Ved enhver fravigelse fra givne instrukser.

• Ved enhver mistanke om brud på fortroligheden.

• Ved enhver mistanke om misbrug, fortabelse og forringelse af data.

• Ved ethvert brud på persondatasikkerheden.

5.2 Underretning af den Dataansvarlige sker straks og inden 24 timer efter konstateringen ved afsendelse af e‐mail indeholdende beskrivelse af forløbet, formodet årsag og korrigerende for‐ anstaltninger (udførte samt planlagte) til den Dataansvarliges mail, samt efterfølgende telefo‐ nisk henvendelse til den Dataansvarliges persondataansvarlige på telefon.

§ 6 Sletning af data

6.1 Databehandler forpligter sig til at slette personoplysninger, når disse ikke længere er relevante for databehandlingen, medmindre EU‐retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne.

§ 7 Håndtering af data efter aftalens ophør

7.1 Databehandleren forpligter sig, at sikre at personoplysninger efter den dataansvarliges valg slettes eller tilbageleveres, når databehandlingen jf. aftale med den Dataansvarlige skal ophø‐ re.

7.2 Det påhviler den Dataansvarlige at oplyse Databehandleren om det tidspunkt, hvor databe‐ handlingen skal ophøre.

7.3 Sletning må dog ikke ske, før Databehandleren har oplyst den Dataansvarlige om den påtænk‐ te fremgangsmåde for sletning og indhentet særskilt bekræftelse fra den Dataansvarlige på, at sletning skal gennemføres på den oplyste dato og på den angivne måde.

Såfremt den Dataansvarlige ikke finder slettemetoden tilstrækkelig effektiv, skal den Dataan‐ svarlige meddele Databehandleren hvilken slettemetode, der anses for tilstrækkelig effektiv.

7.4 Ved anmodning fra den Dataansvarlige, skal Databehandleren fremsende en skriftlig erklæring på, at data er slettet som aftalt, inklusiv en beskrivelse af den anvendte metode.

§ 8 Misligholdelse og ansvar

8.1 Hvis Databehandler ikke overholder aftalegrundlaget, kan aftalen opsiges med øjeblikkelig virkning.

8.2 Databehandler er forpligtet til i enhver henseende at skadesløs holde den Dataansvarlige for enhver omkostning, der måtte opstå som følge af Databehandlers manglende efterlevelse af denne aftale, Persondataloven, Persondataforordningen eller anden gældende lovgivning.

§ 9 Accept af databehandleraftale

Den / Den /

Dataansvarlig Databehandler

REVI‐GRAY

Revisionshistorik

Version	Note	Dato	Redigeret af
V0.1	Første udkast	3. januar 2019	Xxxxxx Xxxx
V0.2	Rettet indholdsfortegnelse	7. marts 2019	Xxxxxx Xxxx