Databehandleraftale

i henhold til artikel 28, stk. 3, i forordning 2016/679 (databeskyttelsesforordnin- gen) med henblik på databehandlerens behandling af personoplysninger

mellem Kunden

herefter ”den dataansvarlige”

Lindhardt og Ringhof Forlag A/S CVR-nr. 76351910

Xxxxxxxxxxxxx 00

1120 København K Danmark

herefter ”databehandleren”

der hver især er en ”part” og sammen udgør ”parterne”

HAR AFTALT følgende standardkontraktsbestemmelser (Bestemmelserne) med henblik på at overholde databeskyttelsesforordningen og sikre beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsret- tigheder

1. Indhold

2. Præambel 3

3. Den dataansvarliges rettigheder og forpligtelser 4

4. Databehandleren handler efter instruks 4

5. Fortrolighed 4

6. Behandlingssikkerhed 5

7. Anvendelse af underdatabehandlere 6

8. Overførsel til tredjelande eller internationale organisationer 6

9. Bistand til den dataansvarlige 7

10. Underretning om brud på persondatasikkerheden 8

11. Sletning og returnering af oplysninger 9

12. Revision, herunder inspektion 9

13. Parternes aftale om andre forhold 10

14. Ikrafttræden og ophør 10

15. Kontaktpersoner hos den dataansvarlige og databehandleren 11

Bilag A: Oplysninger om behandlingen 12

Bilag B: Underdatabehandlere 15

Bilag C: Instruks vedrørende behandling af personoplysninger 17

Bilag D: Parternes regulering af andre forhold 28

2. Præambel

1. Disse Bestemmelser fastsætter databehandlerens rettigheder og forplig- telser, når denne foretager behandling af personoplysninger på vegne af den dataansvarlige.

2. Disse bestemmelser er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbin- delse med behandling af personoplysninger og om fri udveksling af så- danne oplysninger og om ophævelse af direktiv 95/46/EF (databeskyttel- sesforordningen). Bestemmelserne i nærværende databehandleraftale baserer sig på Datatilsynets standardkontraktbestemmelser.

3. I forbindelse med levering og drift af digitale læremidler via databehand- lerens platform, jf. den til enhver tid gældende skriftlige aftale mellem den dataansvarlige og databehandleren, herunder de(n) ordrebekræftel- se(r), vilkår og betingelser fremsendt af databehandleren samt tilkøb af digitale læremidler (herefter ”Aftalen”), behandler databehandleren per- sonoplysninger på vegne af den dataansvarlige i overensstemmelse med disse Bestemmelser.

4. Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestem- melser i andre aftaler mellem parterne.

5. Der hører fire bilag til disse Bestemmelser, og bilagene udgør en integre- ret del af Bestemmelserne.

6. Bilag A indeholder nærmere oplysninger om behandlingen af personop- lysninger, herunder om behandlingens formål og karakter, typen af per- sonoplysninger, kategorierne af registrerede og varighed af behandlin- gen.

7. Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af underdatabehandlere og en liste af underdatabehandlere, som den dataansvarlige præliminært har godkendt brugen af.

8. Bilag C indeholder den dataansvarliges instruks for så vidt angår databe- handlerens behandling af personoplysninger, en beskrivelse af de sikker- hedsforanstaltninger, som databehandleren som minimum skal gennem- føre, og hvordan der føres tilsyn med databehandleren og eventuelle un- derdatabehandlere.

9. Bilag D indeholder bestemmelser vedrørende andre aktiviteter, som ikke er omfattet af Bestemmelserne.

10. Bestemmelserne med tilhørende bilag skal opbevares skriftligt, herunder elektronisk, af begge parter.

11. Disse Bestemmelser frigør ikke databehandleren fra forpligtelser, som databehandleren er pålagt efter databeskyttelsesforordningen eller en- hver anden lovgivning.

3. Den dataansvarliges rettigheder og forpligtelser

1. Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personop- lysninger sker i overensstemmelse med databeskyttelsesforordningen (se forordningens artikel 24), databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes1 nationale ret og disse Bestemmelser.

2. Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvil- ke(t) formål og med hvilke hjælpemidler, der må ske behandling af per- sonoplysninger.

3. Den dataansvarlige er ansvarlig for, blandt andet, at sikre, at der er et behandlingsgrundlag for behandlingen af personoplysninger, som data- behandleren instrueres i at foretage.

4. Databehandleren handler efter instruks

1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU- ret eller medlemsstaternes nationale ret, som databehandleren er under- lagt. Denne instruks skal være specificeret i bilag A og C. Efterfølgende instruks kan også gives af den dataansvarlige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk, sammen med disse Bestem- melser.

2. Databehandleren underretter omgående den dataansvarlige, hvis en in- struks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes na- tionale ret.

5. Fortrolighed

1. Databehandleren må kun give adgang til personoplysninger, som be- handles på den dataansvarliges vegne, til personer, som er underlagt da- tabehandlerens instruktionsbeføjelser, som har forpligtet sig til fortrolig- hed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang. Listen af personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af denne gennemgang kan adgangen til personoplysninger lukkes, hvis adgangen ikke længere er nødvendig, og personoplysningerne skal herefter ikke længere være tilgængelige for disse personer.

1 Henvisninger til ”medlemsstat” i disse bestemmelse skal forstås som en henvisning til ”EØS medlemsstater”.

2. Databehandleren skal efter anmodning fra den dataansvarlige kunne på- vise, at de pågældende personer, som er underlagt databehandlerens in- struktionsbeføjelser, er underlagt ovennævnte tavshedspligt.

6. Behandlingssikkerhed

1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sand- synlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et passende beskyttelsesniveau.

Den dataansvarlige skal vurdere risiciene for fysiske personers rettighe- der og frihedsrettigheder som behandlingen udgør og gennemføre foran- staltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:

a. Pseudonymisering og kryptering af personoplysninger

b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester

c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse

d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici.

3. Derudover skal databehandleren bistå den dataansvarlige med vedkom- mendes overholdelse af den dataansvarliges forpligtelse efter forordnin- gens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikker- hedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nød- vendig for den dataansvarliges overholdelse af sin forpligtelse efter for- ordningens artikel 32.

Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemfø- res, i bilag C.

7. Anvendelse af underdatabehandlere

1. Databehandleren skal opfylde de betingelser, der er omhandlet i databe- skyttelsesforordningens artikel 28, stk. 2, og stk. 4, for at gøre brug af en anden databehandler (en underdatabehandler).

2. Databehandleren må således ikke gøre brug af en underdatabehandler til opfyldelse af disse Bestemmelser uden forudgående generel skriftlig god- kendelse fra den dataansvarlige.

3. Databehandleren har den dataansvarliges generelle godkendelse til brug af underdatabehandlere. Databehandleren skal skriftligt underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere med mindst 60 dages varsel og derved give den dataansvarlige mulighed for at gøre indsigelse mod så- danne ændringer inden brugen af de(n) omhandlede underdatabehand- ler(e). Længere varsel for underretning i forbindelse med specifikke be- handlingsaktiviteter kan angives i bilag B. Listen over underdatabehand- lere, som den dataansvarlige allerede har godkendt, fremgår af bilag B.

4. Når databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den data- ansvarlige, skal databehandleren, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at be- handlingen overholder kravene i disse Bestemmelser og databeskyttel- sesforordningen.

Databehandleren er derfor ansvarlig for at kræve, at underdatabehandle- ren som minimum overholder databehandlerens forpligtelser efter disse Bestemmelser og databeskyttelsesforordningen.

5. Underdatabehandleraftale(r) og eventuelle senere ændringer hertil sen- des – efter den dataansvarliges anmodning herom – i kopi til den dataan- svarlige, som herigennem har mulighed for at sikre sig, at tilsvarende da- tabeskyttelsesforpligtelser som følger af disse Bestemmelser er pålagt underdatabehandleren. Bestemmelser om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandlerafta- len, skal ikke sendes til den dataansvarlige.

6. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtel- ser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ik- ke de registreredes rettigheder, der følger af databeskyttelsesforordnin- gen, herunder særligt forordningens artikel 79 og 82, over for den data- ansvarlige og databehandleren, herunder underdatabehandleren.

8. Overførsel til tredjelande eller internationale organisationer

1. Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af databehandleren på baggrund af do- kumenteret instruks herom fra den dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.

2. Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som databehandleren ikke er blevet instrueret i at foreta- ge af den dataansvarlige, kræves i henhold til EU-ret eller medlemssta- ternes nationale ret, som databehandleren er underlagt, skal databe- handleren underrette den dataansvarlige om dette retlige krav inden be- handling, medmindre den pågældende ret forbyder en sådan underret- ning af hensyn til vigtige samfundsmæssige interesser.

3. Uden dokumenteret instruks fra den dataansvarlige kan databehandleren således ikke inden for rammerne af disse Bestemmelser:

a. overføre personoplysninger til en dataansvarlig eller databehandler i et tredjeland eller en international organisation

b. overlade behandling af personoplysninger til en underdatabehand- ler i et tredjeland

c. behandle personoplysningerne i et tredjeland

4. Den dataansvarliges instruks vedrørende overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i databe- skyttelsesforordningens kapitel V, som overførslen er baseret på, skal angives i bilag C.

5. Disse Bestemmelser skal ikke forveksles med standardkontraktsbestem- melser som omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og disse Bestemmelser kan ikke udgøre et grundlag for over- førsel af personoplysninger som omhandlet i databeskyttelsesforordnin- gens kapitel V.

9. Bistand til den dataansvarlige

1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og or- ganisatoriske foranstaltninger med opfyldelse af den dataansvarliges for- pligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel III.

Dette indebærer, at databehandleren så vidt muligt skal bistå den data- ansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdel- sen af:

a. oplysningspligten ved indsamling af personoplysninger hos den re- gistrerede

b. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede

c. indsigtsretten

d. retten til berigtigelse

e. retten til sletning (”retten til at blive glemt”)

f. retten til begrænsning af behandling

g. underretningspligten i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling

h. retten til dataportabilitet

i. retten til indsigelse

j. retten til ikke at være genstand for en afgørelse, der alene er base- ret på automatisk behandling, herunder profilering

2. I tillæg til databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til Bestemmelse 6.3., bistår databehandleren endvidere, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgæn- gelige for databehandleren, den dataansvarlige med:

a. den dataansvarliges forpligtelse til uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed, Datatilsynet, medmindre at det er usandsyn- ligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder

b. den dataansvarliges forpligtelse til uden unødig forsinkelse at un- derrette den registrerede om brud på persondatasikkerheden, når bruddet sandsynligvis vil medføre en høj risiko for fysiske perso- ners rettigheder og frihedsrettigheder

c. den dataansvarliges forpligtelse til forud for behandlingen at fore- tage en analyse af de påtænkte behandlingsaktiviteters konse- kvenser for beskyttelse af personoplysninger (en konsekvensana- lyse)

d. den dataansvarliges forpligtelse til at høre den kompetente til- synsmyndighed, Datatilsynet, inden behandling, såfremt en kon- sekvensanalyse vedrørende databeskyttelse viser, at behandlin- gen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.

3. Parterne skal i bilag C angive de fornødne tekniske og organisatoriske foranstaltninger, hvormed databehandleren skal bistå den dataansvarlige samt i hvilket omfang og udstrækning. Det gælder for de forpligtelser, der følger af Bestemmelse 9.1. og 9.2.

10. Underretning om brud på persondatasikkerheden

1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på personda- tasikkerheden.

2. Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 24 timer efter, at denne er blevet bekendt med bruddet, sådan at den dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. data- beskyttelsesforordningens artikel 33.

3. I overensstemmelse med Bestemmelse 9.2.a skal databehandleren bistå den dataansvarlige med at foretage anmeldelse af bruddet til den kom- petente tilsynsmyndighed. Det betyder, at databehandleren skal bistå med at tilvejebringe nedenstående information, som ifølge artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse af bruddet til den kompetente tilsynsmyndighed:

a. karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte regi- strerede samt kategorierne og det omtrentlige antal berørte regi- streringer af personoplysninger

b. de sandsynlige konsekvenser af bruddet på persondatasikkerheden

c. de foranstaltninger, som den dataansvarlige har truffet eller fore- slår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

4. Parterne skal i bilag C angive den information, som databehandleren skal tilvejebringe i forbindelse med sin bistand til den dataansvarlige i dennes forpligtelse til at anmelde brud på persondatasikkerheden til den kompe- tente tilsynsmyndighed.

11. Sletning og returnering af oplysninger

1. Ved ophør af tjenesterne vedrørende behandling af personoplysninger, er databehandleren forpligtet til at slette alle personoplysninger, der er ble- vet behandlet på vegne af den dataansvarlige og bekræfte over for den dataansvarlig, at oplysningerne er slettet, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplys- ningerne.

12. Revision, herunder inspektion

1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af databeskyttelsesforordningens artikel 28 og disse Be- stemmelser, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den data- ansvarlige eller en anden revisor, som er bemyndiget af den dataansvar- lige.

2. Procedurerne for den dataansvarliges revisioner, herunder inspektioner, med databehandleren og underdatabehandlere er nærmere angivet i Bi- lag C.7. og C.8.

3. Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende lovgivningen har adgang til den dataansvarliges eller databe- handlerens faciliteter, eller repræsentanter, der optræder på tilsynsmyn- dighedens vegne, adgang til databehandlerens fysiske faciliteter mod be- hørig legitimation.

13. Parternes aftale om andre forhold

1. Parterne kan aftale andre bestemmelser vedrørende tjenesten vedrøren- de behandling af personoplysninger om f.eks. erstatningsansvar, så læn- ge disse andre bestemmelser ikke direkte eller indirekte strider imod Be- stemmelserne eller forringer den registreredes grundlæggende rettighe- der og frihedsrettigheder, som følger af databeskyttelsesforordningen.

14. Ikrafttræden og ophør

1. Bestemmelserne træder i kraft ved indgåelse af Aftalen og accept af Da- tabehandlerens handelsbetingelser.

2. Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændrin- ger eller uhensigtsmæssigheder i Bestemmelserne giver anledning hertil.

3. Bestemmelserne er gældende, så længe tjenesten vedrørende behandling af personoplysninger varer. I denne periode kan Bestemmelserne ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjene- sten vedrørende behandling af personoplysninger, aftales mellem parter- ne.

4. Hvis levering af tjenesterne vedrørende behandling af personoplysninger ophører, og personoplysningerne er slettet eller returneret til den dataan- svarlige i overensstemmelse med Bestemmelse 11.1 og Bilag C.4, kan Bestemmelserne opsiges med skriftligt varsel af begge parter.

5. Underskrift

Databehandleraftalen er accepteret af Xxxxxx ved indgåelse af Aftalen og accept af Databehandlerens handelsbetingelser.

På vegne af databehandleren

Dato

Navn Xxx Xxxxx Xxxxxxxxx

Stilling Direktør for teknologi og udvikling Telefonnummer x00 00 00 00 00

E-mail Xxxxxxxxxxxxxx@xxxxxxxx.xx

Underskrift

15. Kontaktpersoner hos den dataansvarlige og databehandleren

1. Parterne kan kontakte hinanden via nedenstående kontaktpersoner.

2. Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktpersoner.

Navn Stilling

Telefonnummer E-mail

Xxxx Xxxxx Xxxxxxx

Stilling Digital udviklingschef Telefonnummer x00 0000 0000

E-mail Xxxxxxxxxxxxxx@xxxxxxxx.xx

Bilag A: Oplysninger om behandlingen

A.1. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige

Formålet med behandling af personoplysninger er at give adgang til databehand- lerens digitale læremidler. De digitale læremidler udbydes i en portal på internet- tet, hvortil elever og lærere gives adgang. Forskellige undervisningsforløb kan herefter understøttes/gennemføres vha. en internetbrowser, en app eller andet formidlingsmedie.

Databehandleren behandler personoplysningerne for, at brugerne kan anvende databehandlerens digitale læremidler, herunder besvare opgaver, bedømme op- gaver og foretage egen-evaluering af opgaveløsning, samt at brugerne kan få support, såfremt behovet skulle opstå.

Databehandleren behandler anonymiseret brugerdata til brug for rapportering til den dataansvarlige samt til statistiske formål, med henblik på at analysere bru- gen af de digitale læremidler og for løbende at sikre, at de digitale læremidler skaber optimalt læringsudbytte, er brugervenlige og lette at navigere i.

A.2. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om (karakteren af behandlingen) Databehandleren foretager følgende behandlinger af personoplysninger på vegne af den dataansvarlige:

• Etablering af den dataansvarliges brugeres adgang til de digitale lære- midler ved at elevers/læreres Unilogin-oplysninger overføres fra Styrel- sen for It og Læring (STIL) til databehandleren i forbindelse med login.

• Administration af brugernes adgange til tilknyttede læringsmoduler

• Opbevaring af de personoplysninger, som databehandleren modtager via STIL, og som brugerne potentielt indtaster ved brug af databehandlerens digitale læremidler

• Behandling af anonymiserede forbrugsdata til brug for rapportering til den dataansvarlige, herunder den dataansvarliges institution(er), om an- vendelsen af de digitale læremidler

• Behandling af supporthenvendelser fra brugerne i forbindelse med an- vendelsen af de digitale læremidler.

Ovennævnte aktiviteter indebærer at personoplysningerne bearbejdes som føl- ger:

• indsamling,

• registrering,

• organisering,

• systematisering,

• opbevaring,

• tilpasning eller ændring,

• genfinding,

• søgning,

• brug,

• sletning/tilintetgørelse/anonymisering

A.3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede

Behandlingen omfatter almindelige oplysninger, jf. databeskyttelsesforordnin- gen. Behandlingen tager udgangspunkt i eksport af personoplysninger fra Uni- login (ws17/wsiEKSPORT, lille pakke) og omfatter fornavn(e) og efternavn.

Supplerende oplysninger om elever:

• Studietype (elev/studerende)

• Studienummer

• Elevens niveau (for grundskoleelever)

• Elevens hovedgruppe (klasse)

• Yderligere grupper elever er tilknyttet

• Afdeling, bygning eller værelsesnummer på efterskoler

• ID i det lokale studieadministrative system Supplerende oplysninger om ansatte:

• Ansættelsestype (lærer, tap, pæd eller gæst)

• Initialer

• Stilling

• Afdeling, bygning eller værelsesnummer på efterskoler

• Grupper medarbejderen er tilknyttet

Oplysninger om UNI-login for ansatte og elever/studerende:

• Uni login-brugernavn (bruger-id) Oplysninger om grupper på institutionen:

• Gruppe-id

• Gruppenavn

• Gruppetype

• Niveau

• Spor

• Startdato

• Slutdato

Ved brugen af de digitale læremidler behandles desuden følgende personoplys- ninger af databehandleren:

• Loginoplysninger,

• Pseudonymiseret bruger-id,

• IP-adresse,

• forbrugsdata,

• brugernes anvendelse af databehandlerens digitale læremidler (kliks, tidsforbrug mv.), herunder besvarelse af opgaver, bedømmelse af opga- ver og egen-evaluering af opgaveløsning.

A.4. Behandlingen omfatter følgende kategorier af registrerede

Der behandles oplysninger om følgende kategorier af registrerede:

A) Xxxxxx, herunder studerende.

B) Lærere, herunder pædagoger og andre, der har en undervisningsfunktion.

C) Administrativt personale, herunder personer med tilknytning til en uddannel- sesinstitution.

A.5. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter disse Bestemmelsers ikraft- træden. Behandlingen har følgende varighed

Databehandleren behandler personoplysningerne i den periode, som er relevant for, at databehandleren kan opfylde Aftalen.

Databehandleren sletter/anonymiserer oplysningerne senest 6 måneder efter den registrerede ikke længere fremgår af udtræk fra STILs systemer. Dette sker ved sletning i STILs systemer eller hvis den registrerede ikke længere er tilknyt- tet en institution, som der synkroniseres data for. Se supplerende oplysninger i hyperlink under afsnit C.2.4.

Bilag B: Underdatabehandlere

B.1. Godkendte underdatabehandlere

Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af følgende underdatabehandlere for den beskrevne behandlingsaktivitet.

Microsoft Ireland Operations og Amazon Web Services er medtaget i nedenstå- ende, da Lindhardt og Ringhof fører selvstændigt tilsyn med underdatabehandle- ren selvom aftalepartneren er Egmont IT.

Navn	Firmalokation	System	Beskrivelse af behandling
Sentia A/S	Lyskær 3A, DK- 2730 Herlev, Danmark CVR: 10008123	Lindhardt og Ringhofs digitale læremidler	Hosting af digitale læremidler, herunder vedligehold af serve- re, backup, sikkerhed mv. Ho- sting sker i deres hostingcenter i Danmark.
Microsoft Ireland Op- erations, Ltd.	One Microsoft Place South County Business Park Leopardstown Dublin 18, X00 X000, Ireland	Lindhardt og Ringhofs digitale læremidler	Hosting af digitale læremidler, herunder vedligehold af serve- re, backup, sikkerhed mv.
Egmont Ad- ministration A/S (Egmont IT)	Vognmagergade 11, 1148 Køben- havn K CVR: 84853518	Alle digitale læremid- ler	Drift af løsninger på Microsoft Azure og Amazon AWS, herun- der administration af miljøer, overvågning, brugeradministra- tion mv.
Dixa ApS	Xxxxxxxxxxxxx 00X, 0 Xxx., 0000 Xxxxxxxxxx S CVR: 36561009	Kundesupport på alle digitale læremidler	Sagsstyringssystem til håndte- ring af kundehenvendelser. Ophører d.4/10-2024
HubSpot, Inc.	Xxx Xxxxxxxx Xxxxxxx, Xxxxx Xxxxxx, Xxxxxx 0, Xx. Dublin, Ire- land	Kundesupport på alle digitale læremidler	Sagsstyringssystem til håndte- ring af kundehenvendelser. Tages i brug d. 4/10-2024
Aircall Inc.	00 Xxx Xxxxx- Xxxxxxx, 00000 Xxxxx, Xxxxxx	Telefonisystem	Håndtering af telefoni i forbin- delse med kundehenvendelser. Der behandles telefonnummer på brugeren som ringer til sup- port. Tages i brug d. 4/10-2024
Amazon Web Services EMEA SARL	00 Xxxxxx Xxxx X. Xxxxxxx L-1855 Luxembourg	Digitale læremidler på xxxx.xx	Databehandleren hoster digitale læremidler ved brug af AWS’ laaS (infrastructure-as-a- service).

Databehandleren forventer at digitale læremidler på xxxx.xx lukkes ned juli 2024 og databehandlingen herefter

ophører.

B.1.2. Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt bru- gen af ovennævnte underdatabehandlere for den beskrevne behandlingsaktivitet.

B.2. Varsel for godkendelse af underdatabehandlere

B.2.1. Ved iagttagelse af punkt 7.2 i Bestemmelserne oplyser databehandleren den dataansvarlige om planlagt tilføjelse eller erstatning af underdatabehandlere ved fremsendelse af en e-mail med orientering herom og ved offentliggørelse af sådanne ændringer på databehandlerens hjemmeside.

Den dataansvarlige kan gøre indsigelse mod tilføjelse af eller udskiftning af en underdatabehandler, hvis der foreligger en konkret og saglig begrundelse herfor.

Den dataansvarliges eventuelle indsigelse skal meddeles ved skriftlig henvendel- se til databehandleren. Modtager databehandleren ikke en skriftlig indsigelse inden 30 dage efter, at databehandleren har oplyst om en planlagt ændring af de angivne underdatabehandlere, anses ændringerne for godkendt af den dataan- svarlige.

B.2.2. Hvis den dataansvarlige ikke kan acceptere en underdatabehandler, brin- ges de(n) tjeneste(r), for hvilken underdatabehandleren deltager i behandlings- aktiviteter til ophør. Ophør af tjenesterne sker overensstemmelse med 14.4 i disse bestemmelser og de øvrige vilkår i Aftalen.

Bilag C: Instruks vedrørende behandling af personoplysninger

C.1. Behandlingens genstand/instruks

C.1.1 Databehandlerens behandling af personoplysninger på vegne af den data- ansvarlige sker ved, at databehandleren udfører følgende:

Enhver behandling, som er nødvendig for, at databehandleren kan opfylde de forpligtelser, der er fastsat i Aftalen, herunder:

• Behandling af personoplysninger i forbindelse med brug af databehandle- rens digitale læremidler, jf. Bilag A.

• Behandling af brugerhenvendelser via supportsystemer, jf. Bilag A og Bi- lag B.1.

Personoplysningerne behandles af databehandleren for at kunne stille indholdet på de digitale læremidler til rådighed for den enkelte bruger samt løbende at sikre, at de digitale læremidler er brugervenlige og lette at navigere i.

Databehandleren behandler desuden personoplysningerne for, at brugerne kan anvende databehandlerens digitale læremidler, herunder besvare opgaver, be- dømme opgaver og foretage egen-evaluering af opgaveløsning, samt at brugerne kan få support, såfremt behovet skulle opstå.

Databehandleren behandler ligeledes personoplysninger for at kunne dokumen- tere overfor den dataansvarlige, hvor mange gange brugerne har logget sig på databehandlerens digitale læremidler (forbrugsdata).

Personoplysningerne kan endelig blive brugt i forbindelse med support af service og infrastruktur og databehandlerens logning.

C.2. Behandlingssikkerhed

C.2.1. Sikkerhedsniveauet skal afspejle behandlingens karakter, omfang, sam- menhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysi- ske personers rettigheder og frihedsrettigheder. Som følge heraf har den dataan- svarlige og databehandleren begge udarbejdet en risikoanalyse vedrørende da- tabehandlingen og er enige om de foranstaltninger som er beskrevet i det føl- gende.

C.2.2. databehandleren er herefter berettiget og forpligtet til at træffe beslutnin- ger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nødvendige (og aftalte) sikkerhedsniveau.

C.2.3. databehandleren skal dog – under alle omstændigheder og som minimum

– gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige herunder.

C.2.4. Databehandleren har vurderet, at de konkrete behandlingsaktiviteter medfører et lavt risikoniveau for de registrerede. Dog medfører det forhold, at behandlingen også vedrører almindelige persondata på børn, at databehandleren vælger at betragte risikoniveauet som “medium”. Databehandleren implemente- rer derfor et sikkerhedsniveau der modsvarer en risikovurdering på niveauet

”medium” jf. European Network and Information Security Agency’s (ENISA) “Handbook on Security of Personal Data Processing”.

XXXXX’x bruttokatalog over anbefalede foranstaltninger til imødegåelse af et risikoniveau på ”LOW” (grøn) og ”MEDIUM” (gul) er angivet nedenfor:

Kat

MEASURE CATEGO- RY

MEASURE IDENTIFIER

MEASURE DESCRIPTION

KRAV TIL PSEUDONYMISERING OG KRYPTERING AF PERSONOPLYSNINGER:

Network/Communication security	O.1	Whenever access is performed through the Internet, communication should be encrypted through cryptographic protocols (TLS/SSL).
Network/Communication security	O.2	Wireless access to the IT system should be allowed only for specific users and processes. It should be protected by encryption mechanisms.
Network/Communication security	O.3	Remote access to the IT system should in general be avoided. In cases where this is absolutely necessary, it should be performed only under the control and monitoring of a specific person from the organization (e.g. IT administrator/security officer) through pre-defined devices.
Network/Communication security	O.4	Traffic to and from the IT system should be monitored and controlled through Firewalls and Intrusion Detection Systems.

KRAV VEDRØRENDE EVNEN TIL AT SIKRE VEDVARENDE FORTROLIGHED, INTE- GRITET, TILGÆNGELIGHED OG ROBUSTHED AF BEHANDLINGSSYSTEMER OG – TJENESTER

Security policy and procedures for the protection of per- sonal data	A.5	The organization should document a separate dedicated security policy with regard to the processing of personal data. The policy should be approved by management and communicated to all employees and relevant external parties
Roles and responsibi- lities	B.1	Roles and responsibilities related to the processing of personal data should be clearly defined and allocated in accordance with the security policy.
Roles and responsibi- lities	B.2	During internal re-organizations or terminations and change of employ- ment, revocation of rights and responsibilities with respective hand over procedures should be clearly defined.
Roles and responsibi- lities	B.3	Clear appointment of persons in charge of specific security tasks should be performed, including the appointment of a security officer.
Access control policy	C.1	Specific access control rights should be allocated to each role (involved in the processing of personal data) following the need to know principle.
Access control policy	C.2	An access control policy should be detailed and documented. The organiza- tion should determine in this document the appropriate access control rules, access rights and restrictions for specific user roles towards the pro- cesses and procedures related to personal data.
Access control policy	C.3	Segregation of access control roles (e.g. access request, access authoriza- tion, access administration) should be clearly defined and documented.
Resource/asset management	D.1	The organization should have a register of the IT resources used for the processing of personal data (hardware, software, and network). The register could include at least the following information: IT resource, type (e.g. server, workstation), location (physical or electronic). A specific person should be assigned the task of maintaining and updating the register (e.g. IT officer).
Resource/asset management	D.2	IT resources should be reviewed and updated on regular basis.
Resource/asset management	D.3	Roles having access to certain resources should be defined and document- ed.
Change management	E.1	The organization should make sure that all changes to the IT system are registered and monitored by a specific person (e.g. IT or security officer). Regular monitoring of this process should take place.

Change management	E.2	Software development should be performed in a special environment that is not connected to the IT system used for the processing of personal data. When testing is needed, dummy data should be used (not real data). In cases that this is not possible, specific procedures should be in place for the protection of personal data used in testing.
Change management	E.3	A detailed and documented change policy should be in place. It should include: a process for introducing changes, the roles/users that have change rights, timelines for introducing changes. The change policy should be regularly updated.
Confidentiality of personnel	I.1	The organization should ensure that all employees understand their respon- sibilities and obligations related to the processing of personal data. Roles and responsibilities should be clearly communicated during the pre- employment and/or induction process.
Confidentiality of personnel	I.2	Prior to up taking their duties employees should be asked to review and agree on the security policy of the organization and sign respective confi- dentiality and non-disclosure agreements.
Training	J.1	The organization should ensure that all employees are adequately informed about the security controls of the IT system that relate to their everyday work. Employees involved in the processing of personal data should also be properly informed about relevant data protection requirements and legal obligations through regular awareness campaigns.
Training	J.2	The organization should have structured and regular training programmes for staff, including specific programmers for the induction (to data protec- tion matters) of newcomers.
Access control and authentication	K.1	An access control system applicable to all users accessing the IT system should be implemented. The system should allow creating, approving, reviewing and deleting user accounts.
Access control and authentication	K.2	The use of common user accounts should be avoided. In cases where this is necessary, it should be ensured that all users of the common account have the same roles and responsibilities.
Access control and authentication	K.3	An authentication mechanism should be in place, allowing access to the IT system (based on the access control policy and system). As a minimum a username/password combination should be used. Passwords should re- spect a certain (configurable) level of complexity.
Access control and authentication	K.4	The access control system should have the ability to detect and not allow the usage of passwords that don’t respect a certain (configurable) complexi- ty
Access control and authentication	K.5	A specific password policy should be defined and documented. The policy should include at least password length, complexity, validity period, as well as number of acceptable unsuccessful login attempts.
Access control and authentication	K.6	User passwords must be stored in a “hashed” form.
Application lifecycle security	R.1	During the development lifecycle best practises, state of the art and well acknowledged secure development practices, frameworks or standards should be followed.
Application lifecycle security	R.2	Specific security requirements should be defined during the early stages of the development lifecycle.
Application lifecycle security	R.3	Specific technologies and techniques designed for supporting privacy and data protection (also referred to as Privacy Enhancing Technologies (PETs)) should be adopted in analogy to the security requirements.

Application lifecycle security

R.4

Secure coding standards and practises should be followed.

Application lifecycle security

R.5

During the development, testing and validation against the implementation of the initial security requirements should be performed.

Application lifecycle security

R.6

Vulnerability assessment, application and infrastructure penetration testing should be performed by a trusted third party prior to the operational adop- tion. The application shall not be adopted unless the required level of secu- rity is achieved.

Application lifecycle security

R.7

Periodic penetration testing should be carried out.

Application lifecycle security

R.8

Information about technical vulnerabilities of information systems being used should be obtained.

Application lifecycle security

R.9

Software patches should be tested and evaluated before they are installed in an operational environment.

KRAV VEDRØRENDE EVNEN TIL RETTIDIGT AT GENOPRETTE TILGÆNGELIGHEDEN AF OG ADGANGEN TIL PERSONOPLYSNINGER I TILFÆLDE AF EN FYSISK ELLER TEKNISK HÆNDELSE

Business continuity	H.1	The organization should establish the main procedures and controls to be followed in order to ensure the required level of continuity and availability of the IT system processing personal data (in the event of an inci- dent/personal data breach).
Business continuity	H.2	A BCP should be detailed and documented (following the general security policy). It should include clear actions and assignment of roles.
Business continuity	H.3	A level of guaranteed service quality should be defined in the BCP for the core business processes that provide for personal data security.
Back-ups	P.1	Backup and data restore procedures should be defined, documented and clearly linked to roles and responsibilities.
Back-ups	P.2	Backups should be given an appropriate level of physical and environmental protection consistent with the standards applied on the originating data.
Back-ups	P.3	Execution of backups should be monitored to ensure completeness.
Back-ups	P.4	Full backups should be carried out regularly.
Back-ups	P.5	Backup media should be regularly tested to ensure that they can be relied upon for emergency use.
Back-ups	P.6	Scheduled incremental backups should be carried out at least on a daily basis.
Back-ups	P.7	Copies of the backup should be securely stored in different locations.
Back-ups	P.8	In case a third party service for back up storage is used, the copy must be encrypted before being transmitted from the data controller.

KRAV VEDRØRENDE PROCEDURER FOR REGELMÆSSIG AFPRØVNING, VURDE- RING OG EVALUERING AF EFFEKTIVITETEN AF DE TEKNISKE OG ORGANISATORI- SKE FORANSTALTNINGER TIL SIKRING AF BEHANDLINGSSIKKERHEDEN

Security policy and procedures for the protection of per- sonal data	A.1	The organization should document its policy with regards to personal data processing as part of its information security policy.
Security policy and procedures for the protection of per- sonal data	A.2	The security policy should be reviewed and revised, if necessary, on an annual basis.
Security policy and procedures for the protection of per- sonal data	A.3	The organization should document a separate dedicated security policy with regard to the processing of personal data. The policy should be approved by management and communicated to all employees and relevant external parties
Security policy and procedures for the protection of per- sonal data	A.4	The organization should document a separate dedicated security policy with regard to the processing of personal data. The policy should be approved by management and communicated to all employees and relevant external parties
Security policy and procedures for the protection of per- sonal data	A.5	The organization should document a separate dedicated security policy with regard to the processing of personal data. The policy should be approved by management and communicated to all employees and relevant external parties
Roles and responsibi- lities	B.1	Roles and responsibilities related to the processing of personal data should be clearly defined and allocated in accordance with the security policy.
Roles and responsibi- lities	B.2	During internal re-organizations or terminations and change of employ- ment, revocation of rights and responsibilities with respective hand over procedures should be clearly defined.
Roles and responsibi- lities	B.3	Clear appointment of persons in charge of specific security tasks should be performed, including the appointment of a security officer.

KRAV VEDRØRENDE ADGANG TIL OPLYSNINGERNE VIA INTERNETTET

Access control and authentication	K.1	An access control system applicable to all users accessing the IT system should be implemented. The system should allow creating, approving, reviewing and deleting user accounts.
Access control and authentication	K.2	The use of common user accounts should be avoided. In cases where this is necessary, it should be ensured that all users of the common account have the same roles and responsibilities.
Access control and authentication	K.3	An authentication mechanism should be in place, allowing access to the IT system (based on the access control policy and system). As a minimum a username/password combination should be used. Passwords should re- spect a certain (configurable) level of complexity.
Access control and authentication	K.4	The access control system should have the ability to detect and not allow the usage of passwords that don’t respect a certain (configurable) complexi- ty
Access control and authentication	K.5	A specific password policy should be defined and documented. The policy should include at least password length, complexity, validity period, as well as number of acceptable unsuccessful login attempts.
Access control and authentication	K.6	User passwords must be stored in a “hashed” form.

KRAV VEDRØRENDE BESKYTTELSE AF OPLYSNINGER UNDER TRANSMISSION

Network/Communication security

O.1

Whenever access is performed through the Internet, communication should be encrypted through cryptographic protocols (TLS/SSL).

Network/Communication security

O.2

Wireless access to the IT system should be allowed only for specific users and processes. It should be protected by encryption mechanisms.

Network/Communication security

O.3

Remote access to the IT system should in general be avoided. In cases where this is absolutely necessary, it should be performed only under the control and monitoring of a specific person from the organization (e.g. IT administrator/security officer) through pre-defined devices.

Network/Communication security

O.4

Traffic to and from the IT system should be monitored and controlled through Firewalls and Intrusion Detection Systems.

KRAV VEDRØRENDE FYSISK SIKRING AF LOKALITETER, HVOR DER BEHANDLES OPLYSNINGER

Physical security	T.1	The physical perimeter of the IT system infrastructure should not be acces- sible by non-authorized personnel.
Physical security	T.2	Clear identification, through appropriate means e.g. ID Badges, for all per- sonnel and visitors accessing the premises of the organization should be established, as appropriate.
Physical security	T.3	Secure zones should be defined and be protected by appropriate entry controls. A physical log book or electronic audit trail of all access should be securely maintained and monitored
Physical security	T.4	Intruder detection systems should be installed in all security zones.
Physical security	T.5	Physical barriers should, where applicable, be built to prevent unauthorized physical access.
Physical security	T.6	Vacant secure areas should be physically locked and periodically reviewed
Physical security	T.7	An automatic fire suppression system, closed control dedicated air condi- tioning system and uninterruptible power supply (UPS) should be imple- mented at the server room
Physical security	T.8	External party support service personnel should be granted restricted ac- cess to secure areas.

KRAVENE VEDRØRENDE ANVENDELSE AF HJEMME-/FJERNARBEJDSPLADSER

Workstation security	N.1	Users should not be able to deactivate or bypass security settings.
Workstation security	N.2	Anti-virus applications and detection signatures should be configured on a weekly basis.
Workstation security	N.3	Users should not have privileges to install or deactivate unauthorized soft- ware applications.
Workstation security	N.4	The system should have session time- outs when the user has not been active for a certain time period.
Workstation security	N.5	Critical security updates released by the operating system developer should be installed regularly.
Workstation security	N.6	Anti-virus applications and detection signatures should be configured on a daily basis.
Mobile/Portable devices	Q.1	Mobile and portable device management procedures should be defined and documented establishing clear rules for their proper use.
Mobile/Portable devices	Q.2	Mobile devices that are allowed to access the information system should be pre-registered and pre-authorized.
Mobile/Portable devices	Q.3	Mobile devices should be subject to the same levels of access control pro- cedures (to the data processing system) as other terminal equipment.
Mobile/Portable devices	Q.4	Specific roles and responsibilities regarding mobile and portable device management should be clearly defined.
Mobile/Portable devices	Q.5	The organization should be able to remotely erase personal data (related to its processing operation) on a mobile device that has been compromised.
Mobile/Portable devices	Q.6	Mobile devices should support separation of private and business use of the device through secure software containers.
Mobile/Portable devices	Q.7	Mobile devices should be physically protected against theft when not in use.

KRAV VEDRØRENDE LOGNING

Logging and monito- ring	L.1	Log files should be activated for each system/application used for the pro- cessing of personal data. They should include all types of access to data (view, modification, deletion).
Logging and monito- ring	L.2	Log files should be timestamped and adequately protected against tamper- ing and unauthorized access. Clocks should be synchronised to a single reference time source
Logging and monito- ring	L.3	Actions of the system administrators and system operators, including addi- tion/deletion/change of user rights should be logged.
Logging and monito- ring	L.4	There should be no possibility of deletion or modification of log files con- tent. Access to the log files should also be logged in addition to monitoring for detecting unusual activity.
Logging and monito- ring	L.5	A monitoring system should process the log files and produce reports on the status of the system and notify for potential alerts.

DATABEHANDLERENS FORANSTALTNINGER UDENFOR DATATILSYNETS KATEGO- RIER:

Data processors	F.1	Formal guidelines and procedures covering the processing of personal data by data processors (contractors/outsourcing) should be defined, document- ed and agreed between the data controller and the data processor prior to the commencement of the processing activities. These guidelines and pro- cedures should mandatorily establish the same level of personal data secu- rity as mandated in the organization’s security policy.
Data processors	F.2	Upon finding out of a personal data breach, the data processor shall notify the controller without undue delay.
Data processors	F.3	Formal requirements and obligations should be formally agreed between the data controller and the data processor. The data processor should pro- vide sufficient documented evidence of compliance.
Data processors	F.4	The data controller’s organization should regularly audit the compliance of the data processor to the agreed level of requirements and obligations.
Incidents handling / Personal data breaches	G.1	An incident response plan with detailed procedures should be defined to ensure effective and orderly response to incidents pertaining personal data.
Incidents handling / Personal data breaches	G.2	Personal data breaches should be reported immediately to the manage- ment. Notification procedures for the reporting of the breaches to compe- tent authorities and data subjects should be in place, following art. 33 and 34 GDPR.
Incidents handling / Personal data breaches	G.3	The incidents’ response plan should be documented, including a list of possible mitigation actions and clear assignment of roles.

Databehandleren afvender en kategorisering af foranstaltninger som er anbefalet af ENISA1 i databehandlerens styring af Governance, Risk management og Compli- ance (GRC) aktiviteterne. Ovenfor er ENISA’s anbefalede foranstaltninger til risiko- niveau ”LOW” og ”MEDIUM”, mappet til kategorisering af foranstaltninger, jf. bilag

C.2 i Datatilsynets skabelon til databehandleraftale. En given ENISA foranstaltning kan vFre gentaget, da den kan vFre relevant for flere af Datatilsynets kategorier og der er også foranstaltninger, som ikke kan mappes til Datatilsynets kategorier.

Databehandleren har implementeret de ovenfor nævnte foranstaltninger, med enkelte undtagelser for specifikke ældre produkter. Databehandleren har rede- gjort for undtagelserne her:

xxxxx://xxx.xxxxxx.xx/xx-xxxxxxxxxxxxxxxxxxxxxxxxxx

Databehandlerens sikkerhedsforanstaltninger er ikke begrænset til det, der er fastsat i ovenstående beskrivelse og skal om nødvendigt, tilpasses løbende med henblik på at sikre et passende sikkerhedsniveau i forhold til risikoen.

Databehandleren orienterer den dataansvarlige hvis sikkerhedsforanstaltninger ændres væsentligt.

C.3 Bistand til den dataansvarlige

C.3.1. Databehandleren skal så vidt muligt – inden for nedenstående omfang og udstrækning – bistå den dataansvarlige i overensstemmelse med Bestemmelse

9.1 og 9.2 ved at gennemføre følgende tekniske og organisatoriske foranstalt- ninger:

Begæring vedrørende registreredes rettigheder, jf. Bestemmelse 9.3

Databehandleren skal uden unødig forsinkelse, efter at være blevet opmærksom herpå, skriftligt underrette den dataansvarlige om enhver anmodning rettet til databehandleren eller dennes underdatabehandlere fra en registreret om udøvel- se af dennes rettigheder i henhold til gældende databeskyttelsesret.

Databehandleren er ikke berettiget til at besvare anmodninger fra en registreret vedrørende udøvelse af dennes rettigheder i henhold til gældende databeskyttel- sesret. Databehandleren skal i stedet på anmodning fra den dataansvarlige hjæl- pe med at opfylde den dataansvarliges forpligtelser i forhold til de registreredes rettigheder i henhold til gældende data-beskyttelsesret.

Databehandlerens information om brud på persondatasikkerhed til den dataansvarlige, jf. Bestemmelse 9.3 og 10.4

Det påhviler databehandleren at underrette den dataansvarlige uden unødig for- sinkelse efter at være blevet bekendt med et brud på persondatasikkerheden. Underretningen vil om muligt indeholde følgende oplysninger:

• Dato og tidspunkt for bruddet

• Dato og tidspunkt for bruddets konstatering

• Er bruddet ophørt igen – og hvornår?

• Sammenlagt varighed af bruddet

• Beskrivelse af hændelsen

• Årsagen til bruddet

• Hvilke typer personoplysninger, der er berørt – og hvor mange

• Hvilke registrerede, der er berørt – og hvor mange

• Hvilke sandsynlige konsekvenser, bruddet har for de berørte personer

• Hvilke afhjælpende foranstaltninger, der er truffet fra databehandlerens side og databehandlerens underdatabehandleres side

• Om underretningen er endelig eller om den dataansvarlige kan forvente supplerende oplysninger og i så fald tidshorisonten herfor

• Oplysninger om, hvor den dataansvarlige kan indhente yderligere oplys- ninger

• Evt. andre oplysninger, som er nødvendige for, at den dataansvarlige kan

overholde sin forpligtelse til at anmelde bruddet på persondatasikkerhe- den til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordnin- gens art. 33

C.4 Opbevaringsperiode/sletterutine

C.4.1 Ved ophør af tjenesten vedrørende behandling af personoplysninger, skal databehandleren senest 60 dage efter ophør af aftalen, slette alle de behandlede personoplysninger i overensstemmelse med Bestemmelse 11 & A.5., medmindre den dataansvarlige – efter underskriften af disse Bestemmelser – har ændret sit oprindelige valg. Sådanne ændringer skal være dokumenteret og opbevares skriftligt, herunder elektronisk, i tilknytning til Bestemmelserne.

C.5 Lokalitet for behandlingen

C.5.1. Behandling af de af Bestemmelserne omfattede personoplysninger kan ikke uden den data-ansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end følgende:

Navn	Datalokation	Overførsels-grundlag
Sentia A/S	EU	N/A
Microsoft Ireland Operations, Ltd. (Azure West Europe Region)	EU/EØS.	N/A
Egmont Admin- istration A/S (Egmont IT)	EU/EØS	N/A
Dixa ApS	EU/EØS UK	EU Kommissionens til- strækkelighedsafgørelse
HubSpot, Inc.	EU/EØS USA	EU Kommissionens til- strækkelighedsafgørelse; DPF
Aircall Inc.	EU/EØS USA	EU Kommissionens til- strækkelighedsafgørelse; DPF
Amazon Web Services EMEA SARL	EU/EØS	N/A

C.6. Instruks vedrørende overførsel af personoplysninger til tredjelande

C.6.1. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler.

C.6.2. Den dataansvarlige giver ved indgåelsen af denne aftale skriftlig instruks til databehandleren i at overføre personoplysninger til tredjelande i forbindelse med tilføjelser af underdatabehandlere i det omfang, dette er nødvendigt for leveringen af tjenesterne.

Ved overførsel af personoplysninger til tredjelande er databehandleren ansvarlig for, at der foreligger et gyldigt overførselsgrundlag.

Gyldigt overførselsgrundlag for overførslerne er navnlig:

1. En afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henholdt da- tabeskyttelsesforordningens artikel 45 eller

2. EU-Kommissionens standardkontraktbestemmelser i henhold til databe- skyttelsesforordningens artikel 46, når databehandleren samtidig vurde- rer – og i nødvendigt omfang implementerer supplerende foranstaltninger med henblik på at sikre – den pågældende overførelses lovlighed

C.6.3. Databehandleren skal underrette den Dataansvarlige om enhver henven- delse, som Databehandleren eller dennes underdatabehandlere modtager fra en myndighed i et tredjeland om videregivelse af personoplysninger omfattet af disse Bestemmelser.

Såfremt Databehandleren, direkte eller indirekte, modtager en anmodning om at udlevere oplysninger omfattet af disse Bestemmelser, herunder personoplysnin- ger, til en modtager, der geografisk er placeret uden for EU/EØS, er Databe- handleren til enhver tid forpligtet til at modsætte sig en sådan anmodning om udlevering, så vidt det er muligt for Databehandleren i henhold til EU-ret eller medlemsstaternes nationale ret.

Databehandleren skal, eventuelt i fællesskab med den pågældende underdata- behandler, udtømme enhver mulighed for at påklage anmodninger om videregi- velse af personoplysninger omfattet af disse Bestemmelser, hvis der er tale om generelle anmodninger eller anmodninger, der ikke er i overensstemmelse med EU-retten, herunder databeskyttelsesforordningen, samt øvrig national lovgiv- ning, som supplerer databeskyttelsesforordningen.

Databehandleren skal, i det omfang det er muligt, give den Dataansvarlige mu- lighed for at indtræde i klage- og retssager, med henblik på at give den Dataan- svarlige mulighed for at varetage sine egne interesser.

C.7. Procedurer for den dataansvarliges revisioner, herunder inspektio- ner, med behandlingen af personoplysninger, som er overladt til databe- handleren

C.7.1. Databehandleren skal årligt foranledige, at der udarbejdes en revisionser- klæring i overensstemmelse med anerkendt standard (pt. FSR ISAE3000 GDPR) herfor vedrørende databehandlerens overholdelse af Databeskyttelsesforordnin- gen.

C.7.2.Revisionserklæringen enten fremsendes eller offentliggøres på hjemmeside uden vederlag og unødig forsinkelse til den dataansvarlige til orientering. Så-

fremt den dataansvarlige måtte ønske andre eller supplerende revisionserklæ- ringer aftales særskilt procedure og vederlag herfor.

C.7.3. Den dataansvarlige eller en repræsentant for den dataansvarlige har her- udover adgang til at foretage inspektioner, herunder fysiske inspektioner af loka- liteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådan- ne inspektioner gennemføres efter nærmere aftale, såfremt den dataansvarlige finder det nødvendigt.

C.7.4. Omkostninger i forbindelse med en inspektion som nævnt i C.7.3 afholdes af den dataansvarlige. Databehandleren er forpligtet til at afsætte de nødvendige interne ressourcer, der er nødvendig for, at inspektionen kan gennemføres.

C.7.5. Foretager Datatilsynet tilsyn med databehandleren på eget initiativ afhol- des alle udgifter i forbindelse hermed af databehandleren.

C.8 Procedurer for revisioner, herunder inspektioner, med behandling af personoplysninger, som er overladt til underdatabehandlere

C.8.1. Databehandleren skal årligt gennemføre et tilsyn vedrørende underdata- behandlerens overholdelse af Databeskyttelsesforordningen. Databehandleren tilrettelægger tilsynet på baggrund af databehandlerens risikoanalyse af den enkelte underdatabehandlers konkrete databehandlingsaktiviteter.

C.8.2. Databehandlerens tilsynsaktiviteter dokumenteres og kan på anfordring fra den dataansvarlige stilles til dennes rådighed. Den dataansvarlige er beretti- get til at anfægte rammerne for og/eller metoden i tilsynet, og kan i sådanne tilfælde - med angivelse af den konkrete årsag til, at det oprindelige tilsyn anses for utilstrækkeligt - anmode om et nyt tilsyn.

C.8.3. Baseret på resultatet af tilsynet er den dataansvarlige berettiget til at an- mode om en gennemførelse af yderligere (kontrol)foranstaltninger som er nød- vendige for at sikre overholdelsen af Databeskyttelsesforordningen, databeskyt- telsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.

C.8.4. Den dataansvarlige kan anfægte rammerne og/eller metoden for den gen- nemførte inspektion, såfremt den dataansvarlige kan påvise, at inspektionen har været utilstrækkelig. I sådanne tilfælde skal en eventuel fornyet inspektion gen- nemføres efter overenskomst med databehandlerens om blandt andet ram- mer/metode samt fordeling af vederlag/omkostningsdækning for inspektionen.

Bilag D: Parternes regulering af andre forhold

D.1. Databehandleren skal identificere – og kortlægge – underdatabehandlere, som behandler personoplysninger på vegne af databehandleren samt disses underdatabe- handlere. Denne kortlægning skal ikke omfatte underdatabehandlere, som databe- handleren – ud fra tekniske, organisatoriske og kontraktuelle foranstaltninger – kan sandsynliggøre ikke behandler den dataansvarliges personoplysninger.

***

Document Metadata

Table of Contents

Databehandleraftale

Document Metadata