DATABEHANDLERAFTALE
DATABEHANDLERAFTALE
indgået mellem
Penneo dokumentnøgle: YHH2C-BC5DD-EO1KY-50L6H-ZPP5L-QELFW
Pahm ApS
CVR-nr.: 30561317
Åstvej 10B 7190 Billund
(den ”Dataansvarlige”)
og
Flexfone A/S
CVR-nr.: 34042985
Xxxxxxxxxxx 00
8660 Skanderborg (”Databehandleren”)
(Den Dataansvarlige og Databehandleren kaldes tilsammen ”Parterne” og hver for sig en ”Part”)
BILAG TIL DATABEHANDLERAFTALEN
Bilag 1: Sikkerhedsforanstaltninger
Bilag 2: Dokumentation for overholdelse af forpligtelser
1. BAGGRUND OG FORMÅL
• persondataloven (lov 2000-05-31 nr. 429 med senere xxxxxxxxx)
• databeskyttelsesforordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af
Penneo dokumentnøgle: YHH2C-BC5DD-EO1KY-50L6H-ZPP5L-QELFW
27. april 2016), når denne får virkning samt
• supplerende national lovgivning, som træder i kraft samtidig med/gælder sideløbende med databeskyttelsesforordningen
2. HOVEDYDELSEN
2.2 Personoplysninger
2. 2. 1 Typer af personoplysninger, der behandles i sammenhæng med levering af Hovedydelsen:
a) Almindelige personoplysninger (ikke udtømmende), herunder navn, adresse, mailadresse, telefonnummer etc.
b) Følsomme personoplysninger, herunder racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om hel- bredsmæssige og seksuelle forhold eller seksuelle orientering, genetiske data og biometri- ske data, andre personlige oplysninger, herunder strafbare forhold, væsentlige sociale pro- blemer og andre rent private forhold og CPR-numre, behandler Databehandleren som ud- gangspunkt ikke som en del af Hovedydelsen.
2. 2. 2 Kategorien af registrerede identificerede eller identificerbare fysiske personer omfattet af Databe- handleraftalen:
a) Ansatte hos den Dataansvarlige
b) Slutkunder
3. OMFANG
4. VARIGHED
Penneo dokumentnøgle: YHH2C-BC5DD-EO1KY-50L6H-ZPP5L-QELFW
5. DATABEHANDLERENS FORPLIGTELSER
5.1 Tekniske og organisatoriske sikkerhedsforanstaltninger
5. 1. 1 Databehandleren har ansvaret for at gennemføre fornødne (a) tekniske og (b) organisatoriske for- anstaltninger for at sikre et passende sikkerhedsniveau. Foranstaltningerne skal gennemføres un- der hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågæl- dende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sand- synlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Databehandleren skal bl.a. tage kategorien af personoplysninger beskrevet i punkt 2 i betragtning ved fastlæggelsen af disse foranstaltninger.
5. 1. 2 Databehandleren skal uanset punkt 5.1.1 gennemføre de tekniske og organisatoriske sikkerheds- foranstaltninger, som fremgår af (a) bilag 1 til denne Databehandleraftale samt (b) punkt 2 om levering af Hovedydelserne.
5. 1. 3 Databehandleren garanterer overfor den Dataansvarlige, at Databehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at Databehandlerens behandling af personoplysninger opfylder kravene i den til enhver tid gældende persondataretlige regulering.
5. 1. 4 Parterne er enige om, at de anførte tekniske og organisatoriske sikkerhedskrav anført i bilag 1 er tilstrækkelige på tidspunktet for indgåelsen af denne Databehandleraftale.
5.2 Medarbejderforhold
5. 2. 1 Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandle- ren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
5. 2. 2 Databehandleren skal sikre, at adgangen til personoplysningerne begrænses til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.
5. 2. 3 Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandle- ren, kun behandler disse i overensstemmelse med Instruksen.
5.3 Påvisning af overholdelse
5. 3. 1 Databehandleren stiller efter anmodning alle oplysninger, der er nødvendige for at påvise overhol- delse af kravene i Databehandleraftalen, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige. En sådan anmodning besvares inden rimelig tid.
5. 3. 2 Det nærmere indhold af forpligtelserne under punkt 5.3.1 er beskrevet i bilag 2 til denne Databe- handleraftale.
5.4 Sikkerhedsbrud
5. 4. 1 Databehandleren er forpligtet til uden unødig forsinkelse at underrette den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, æn- dring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataan- svarlige.
Penneo dokumentnøgle: YHH2C-BC5DD-EO1KY-50L6H-ZPP5L-QELFW
5.5 Bistand
5. 5. 1 Databehandleren skal i fornødent og rimeligt omfang bistå ved den Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af personoplysningerne, der er omfattet af denne Databehand- leraftale, herunder ved:
a) besvarelser til registrerede ved udøvelse af disses rettigheder,
b) sikkerhedsbrud
c) konsekvensanalyser, og
d) forudgående høringer fra tilsynsmyndighederne.
6. UNDERDATABEHANDLERE OG SAMARBEJDSPARTNERE
6.1 Den Dataansvarlige giver Databehandleren samtykke til anvendelse af underdatabehandlere og samarbejdspartnere inden for EU, forudsat, at de i Aftalen stillede betingelser for dette er opfyldt. Den Dataansvarlige kan altid se Databehandlerens underdatabehandlere og samarbejdspartnere på xxx.xxxxxxxxxx.xxxxxxxx.xx.
6.5 Den Dataansvarlige accepterer ved indgåelsen af nærværende Aftale, at Databehandleren er be- rettiget til at skifte underdatabehandler/samarbejdspartner, forudsat, at a) en eventuel ny underda- tabehandler/samarbejdspartner overholder tilsvarende betingelser, som stilles i nærværende punkt 6 til den nuværende underdatabehandler/samarbejdspartner, og at b) Databehandleren informerer den Dataansvarlige om en eventuel anden underdatabehandlers/samarbejdspartners påbegyn- delse af behandling af personoplysninger, som den Dataansvarlige er dataansvarlig for. Der vil til enhver tid være en opdateret liste over underdatabehandlere/samarbejdspartnere tilgængelig på xxx.xxxxxxxxxx.xxxxxxxx.xx.
6.6 Den Dataansvarlige accepterer, at Databehandleren anvender standardsoftware til at behandle persondata på vegne af den Dataansvarlige. Den Dataansvarlige kan altid se Databehandlerens anvendelse af standardsoftware på xxx.xxxxxxxxxx.xxxxxxxx.xx
7. DATABEHANDLING UDEN FOR INSTRUKSEN
Penneo dokumentnøgle: YHH2C-BC5DD-EO1KY-50L6H-ZPP5L-QELFW
8. FORCE MAJEURE
9. VEDERLAG OG OMKOSTNINGER
10. OPHØR
10.1 Opsigelse og ophævelse
10. 1. 1 Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse og ophævelse i aftale(r)n(e) om levering af Hovedydelserne.
10.2 Virkning af ophør
Penneo dokumentnøgle: YHH2C-BC5DD-EO1KY-50L6H-ZPP5L-QELFW
10. 2. 1 Databehandlerens bemyndigelse til at behandle personoplysninger på vegne af den Dataansvar- lige bortfalder ved Databehandleraftalens ophør, uanset årsag.
10. 2. 2 Databehandleren er forpligtet af denne Aftale, så længe Databehandleren behandler personoplys- ninger på vegne af den Dataansvarlige. Såfremt Databehandleren ophører med at levere services til den Dataansvarlige, skal den Dataansvarlige snarest muligt, og senest 14 dage efter ophøret, oplyse Databehandleren skriftligt, hvorledes Databehandleren skal forholde sig til de behandlede personoplysninger. 30 dage efter ophøret af Databehandleraftalen er Databehandleren berettiget til at slette alle personoplysninger, som er blevet behandlet på vegne af den Dataansvarlige.
11. FORRANG
BILAG 1 SIKKERHEDSFORANSTALTNINGER
1. SPECIFIKKE FYSISKE OG TEKNISKE SIKKERHEDSFORANSTALTNINGER:
1.1 Der stilles følgende specifikke krav til Databehandlerens fysiske sikkerhed:
e) I forhold til adgangskontrol bruger Databehandleren ID-kort, og al adgang til lokaler kan ude- lukkende ske igennem autoriseret login.
f) Alle gæster bliver indmeldt ved deres ankomst og er ledsaget under besøg.
g) Vores lokationer er sikret med alarmering, hvis uvedkommende opholder sig i vores bygnin- ger.
Penneo dokumentnøgle: YHH2C-BC5DD-EO1KY-50L6H-ZPP5L-QELFW
h) De datacentre, databehandleren benytter, er ”state of the art” og placeret i Danmark. Data- behandlerens datacenterleverandør er ansvarlig for de fysiske rammer, som f.eks. strøm, køling, brandslukning og adgangskontrol. Databehandleren fører kontrol med, at datacen- terleverandører til en hver tid efterlever de gældende sikkerhedsregler på området.
1.2 Der stilles følgende specifikke krav til Databehandlerens tekniske sikkerhed:
i) Databehandleren anbefaler altid, at data fra den Dataansvarlige til Databehandleren sendes som krypteret data.
j) Databehandleren benytter Next Generation firewalls, der begrænser angreb mod kundernes miljøer, og DDoS-beskyttelse, der begrænser den påvirkning, som eventuelle angreb måtte have på serverne. Avanceret netværksinspektion opfanger mønstre og angrebsforsøg fra kendte, ondsindede ip-adresser.
k) Vi overvåger vores infrastruktur og relevante services døgnet rundt med tilknyttet vagtord- ning. Alle afvigelser registreres i vores sagssystem.
l) Vi logger alle adgange til management- og kundemiljøer, så vi hurtigt kan se unormalitet og handle derefter. Vores centrale logplatform sikrer, at vi hurtigt kan korrelere logs fra mange kilder.
m) Vi udfører backup af alle vitale systemer flere gang dagligt. Backupdata spejles altid mellem to fysisk uafhængige lokationer, så der altid er en tilgængelig kopi i tilfælde af et kritisk ned- brud.
n) Der foreligger beredskabsplaner, som fastlægger vores procedurer, rutiner og roller i tilfælde af kritiske nedbrud. Medarbejdere trænes i beredskabet jævnligt.
o) For at sikre os bedst muligt udfører vi regelmæssigt penetrationstests mod kritiske kompo- nenter i vores infrastruktur. Tests udføres for at se, hvordan vores systemer regerer på eks- terne trusler.
1.3 Der stilles følgende specifikke krav til Databehandlerens sletning af personoplysninger:
p) Der henvises her til Aftalens punkt 11 vedrørende forrang.
Penneo dokumentnøgle: YHH2C-BC5DD-EO1KY-50L6H-ZPP5L-QELFW
q) Databehandleren sletter alle personoplysninger, så snart Databehandleren ikke længere har brug for dem for at kunne levere Hovedydelsen.
BILAG 2
DOKUMENTATION FOR OVERHOL- DELSE AF FORPLIGTELSER
Som led i Databehandlerens demonstrering over for den Dataansvarlige af overholdelse af sine forpligtelser efter punkt 5 i Databehandleraftalen skal nedenstående punkter udføres og overholdes.
1. GENEREL DOKUMENTATION TIL DEN DATAANSVARLIGE
1.1 Databehandleren lægger følgende generelle dokumentation til den Dataansvarlige tilgængelig på xxx.xxxxxxxxxx.xxxxxxxx.xx:
Penneo dokumentnøgle: YHH2C-BC5DD-EO1KY-50L6H-ZPP5L-QELFW
a) En erklæring fra Databehandlerens ledelse om, at Databehandleren under sin behandling af personoplysninger på den Dataansvarliges vegne løbende sikrer overholdelse af sine for- pligtelser efter denne Databehandleraftale. Findes på xxx.xxxxxxxxxx.xxxxxxxx.xx under ’Materialer’ og under fanen ’Juridisk’.
b) En beskrivelse af de praktiske tiltag, herunder såvel tekniske som organisatoriske, som Da- tabehandleren har gennemført for at sikre overholdelse af sine forpligtelser efter Databe- handleraftalen. Beskrivelsen kan bl.a. omfatte en fremstilling af etablerede og implemente- rede ledelsessystemer for informationssikkerhed og for behandling af personoplysninger samt beskrivelsen af andre iværksatte tiltag. Findes på xxx.xxxxxxxxxx.xxxxxxxx.xx under ’Materialer’ og under fanen ’Juridisk’.
c) En beskrivelse af hvilke kontrolforanstaltninger Databehandleren har iværksat og gennem- ført til måling og kontrol af virkningen af det etablerede ledelsessystem for informationssik- kerhed og for behandling af personoplysninger. Findes på xxx.xxxxxxxxxx.xxxxxxxx.xx under ’Materialer’ og under fanen ’Juridisk’.
Underskrifterne i dette dokument er juridisk bindende. Dokumentet er underskrevet via Penneo™ sikker digital underskrift.
Underskrivernes identiteter er blevet registereret, og informationerne er listet herunder.
Penneo dokumentnøgle: YHH2C-BC5DD-EO1KY-50L6H-ZPP5L-QELFW
“Med min underskrift bekræfter jeg indholdet og alle datoer i dette dokument.”
Xxxx Xxxxxxx | Xxx Xxx |
Direktør | Forhandler |
På vegne af: Flexfone A/S | På vegne af: Pahm ApS |
Serienummer: PID:9208-2002-2-057931671471 | Serienummer: CVR:30561317-RID:76941881 |
IP: 91.133.63.185 | IP: 46.32.38.14 |
2018-04-16 06:53:30Z | 2018-04-16 10:54:50Z |
Dette dokument er underskrevet digitalt via Xxxxxx.xxx. Signeringsbeviserne i dokumentet er sikret og valideret ved anvendelse af den matematiske hashværdi af det originale dokument. Dokumentet er låst for ændringer og tidsstemplet med et certifikat fra en betroet tredjepart. Alle kryptografiske signeringsbeviser er indlejret i denne PDF, i tilfælde af de skal anvendes til validering i fremtiden.
Sådan kan du sikre, at dokumentet er originalt
Dette dokument er beskyttet med et Adobe CDS certifikat. Når du åbner dokumentet
i Adobe Reader, kan du se, at dokumentet er certificeret af Penneo e-signature ser- vice <xxxxxx@xxxxxx.xxx>. Dette er din garanti for, at indholdet af dokumentet er uændret.
Du har mulighed for at efterprøve de kryptografiske signeringsbeviser indle- jret i dokumentet ved at anvende Penneos validator på følgende websted: xxxxx://xxxxxx.xxx/xxxxxxxx