Bilag 14B Databehandleraftale Mellem Forsvarsministeriets Materiel- og Indkøbsstyrelse CVR 16287180 Lautrupbjerg 1-5 Danmark (herefter den Dataansvarlige) og [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] (herefter Databehandleren) om...

Bilag 14B
Databehandleraftale

Mellem

Forsvarsministeriets Materiel- og Indkøbsstyrelse

CVR 16287180

Lautrupbjerg 1-5

2750 Ballerup

Danmark

(herefter den Dataansvarlige)

og

[Navn]

CVR [CVR-nummer]

[Adresse]

[Postnummer og by]

[Land]

(herefter Databehandleren)

om behandling af personoplysninger i forbindelse med

Kontrakt om levering, drift og vedligeholdelse af udbudsplatform med tilknyttede ydelser

mellem FMI (den Dataansvarlige) og leverandøren (Databehandleren).

1. Indholdsfortegnelse

1. Indholdsfortegnelse 3

2. Baggrund for Databehandleraftalen 4

3. Den Dataansvarliges forpligtelser og rettigheder 4

4. Databehandleren handler efter instruks 5

5. Fortrolighed 5

6. Fortegnelse 6

7. Behandlingssikkerhed 7

8. Anvendelse af underdatabehandlere 7

9. Overførsel af oplysninger til tredjelande eller internationale organisationer 10

10. Bistand til den dataansvarlige 12

11. Underretning om brud på persondatasikkerheden 13

12. Sletning og tilbagelevering af oplysninger 15

13. Tilsyn og revision 16

14. Parternes aftaler om andre forhold 17

15. Forrang 17

16. Vederlag 18

17. Ikrafttræden, ophør og overdragelse 18

18. Underskrift 19

19. Kontaktpersoner/kontaktpunkter hos den Dataansvarlige og Databehandleren 20

BILAGSFORTEGNELSE

1. Oplysninger om behandling

2. Betingelser for Databehandlerens brug af underdatabehandlere

3. Instruks vedrørende behandling af personoplysninger

4. Parternes regulering af andre forhold

5. Underretning om brud på datasikkerheden

2. Baggrund for Databehandleraftalen

   1. Denne databehandleraftale (Databehandleraftalen) fastsætter de rettigheder og

forpligtelser, som finder anvendelse, når Databehandleren foretager behandling af personoplysninger på vegne af den Dataansvarlige.

Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.

2. Databehandlerens behandling af personoplysninger sker med henblik på opfyldelse af Kontrakt om levering, drift og vedligeholdelse af udbudsplatform med tilknyttede ydelser, som er indgået den [dato] (Hovedaftalen).

3. Til Databehandleraftalen hører 5 (fem) bilag. Bilagene fungerer som en integreret del af Databehandleraftalen.

4. Databehandleraftalen med tilhørende bilag opbevares skriftligt, herunder både elektronisk og fysisk, af begge parter.

5. Databehandleraftalen frigør ikke Databehandleren for forpligtelser, som efter Databeskyttelsesforordningen eller enhver anden lovgivning direkte er pålagt Databehandleren.

3. Den Dataansvarliges forpligtelser og rettigheder

   1. Den Dataansvarlige har over for omverdenen (herunder den registrerede) som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker inden for rammerne af Databeskyttelsesforordningen og databeskyttelsesloven.

2. Den Dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling.

3. Den Dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som Databehandleren instrueres i at foretage.

4. Databehandleren handler efter instruks

   1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt; i så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. artikel 28, stk. 3, litra a).

2. Databehandleren underretter omgående den Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med Databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

3. Databehandleren skal sikre, at enhver fysisk person, der udfører arbejde for Databehandleren eller Databehandlerens eventuelle underdatabehandlere, og som får adgang til personoplysninger omfattet af Databehandleraftalen, kun behandler disse personoplysninger i henhold til den Dataansvarliges instruks, medmindre anden behandling kræves i henhold til EU-retten eller national ret.

5. Fortrolighed

   1. Databehandleren skal holde personoplysninger, som denne behandler på vegne af den Dataansvarlige, fortrolige.

2. Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den Dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.

3. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.

4. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den Dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Databehandleren og de autoriserede personers tavshedspligt/pligt til fortrolighed består uden tidsbegrænsning, og uanset om samarbejdet er ophørt. Databehandleren skal sikre sig dette i forhold til de autoriserede personer, således at en tavshedspligt består f.eks. også efter ophør af et ansættelsesforhold.

5. Databehandleren skal efter anmodning fra den Dataansvarlige kunne påvise, at de relevante medarbejdere, herunder hos eventuelle underdatabehandlere, er underlagt ovennævnte tavshedspligt.

6. Fortegnelse

   1. Databehandleren skal føre en fortegnelse over alle kategorier af behandlinger, der foretages på vegne af den Dataansvarlige. Fortegnelsen skal indeholde følgende:

1. Navn på og kontaktoplysninger for Databehandleren, eventuelle underdatabehandlere, den Dataansvarlige, databeskyttelsesrådgiveren samt – hvis det er relevant – Databehandlerens repræsentant
   
   
   

2. Kategorierne af de behandlinger Databehandleren eller eventuelle underdatabehandlere foretager for den Dataansvarlige
   
   
   

3. Eventuelle overførsler af personoplysninger til et tredjeland eller en international organisation, herunder angivelse af dette tredjeland eller denne internationale organisation, samt angivelse af hjemlen for overførslen til tredjelandet eller den internationale organisation
   
   
   

4. En generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger

2. Fortegnelsen skal foreligge skriftligt, herunder elektronisk. Databehandleren skal efter anmodning fra den Dataansvarlige til enhver tid stille fortegnelsen til rådighed for den Dataansvarlige eller tilsynsmyndigheden.

7. Behandlingssikkerhed

   1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til Databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

2. Ovenstående forpligtelse indebærer, at Databehandleren skal foretage en risikovurdering og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger:

1. Pseudonymisering og kryptering af personoplysninger

2. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og –tjenester

3. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse

4. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed

3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i Databehandleraftalens Bilag C. Eventuelle regler, udstedt af justitsministeren i medfør af databeskyttelseslovens § 3, stk. 9, er ligeledes gældende for Databehandleren og dennes underdatabehandlere.

1. Anvendelse af underdatabehandlere

1. UDGÅR

2. UDGÅR

3. UDGÅR

4. UDGÅR

5. Databehandleren må ikke gøre brug af en anden databehandler (underdatabehandler) til opfyldelse af Databehandleraftalen uden forudgående generel eller specifik skriftlig godkendelse fra den Dataansvarlige.

6. I tilfælde af generel skriftlig godkendelse skal Databehandleren underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

7. Den Dataansvarliges nærmere betingelser for Databehandlerens brug af eventuelle underdatabehandlere fremgår af Databehandleraftalens Bilag B.

8. Når Databehandleren har den Dataansvarliges godkendelse til at gøre brug af en underdatabehandler, sørger Databehandleren for at pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne Databehandleraftale, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i Databeskyttelsesforordningen.

Databehandleren er således ansvarlig for – igennem indgåelsen af en underdatabehandleraftale – at pålægge en eventuel underdatabehandler mindst de forpligtelser, som Databehandleren selv er underlagt efter databeskyttelsesreglerne og denne Databehandleraftale med tilhørende bilag.

9. Underdatabehandleraftalen og eventuelle senere ændringer hertil sendes – efter den Dataansvarliges anmodning herom - i kopi til den Dataansvarlige, som herigennem har mulighed for at sikre sig, at der er indgået en gyldig aftale mellem Databehandleren og underdatabehandleren. Eventuelle kommercielle vilkår, eksempelvis priser, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den Dataansvarlige.

10. Databehandleren skal i sin aftale med underdatabehandleren indføje den Dataansvarlige som begunstiget tredjemand i tilfælde af Databehandlerens konkurs, således at den Dataansvarlige kan indtræde i Databehandlerens rettigheder og gøre dem gældende over for underdatabehandleren, f.eks. så den Dataansvarlige kan instruere underdatabehandleren om at foretage sletning eller tilbagelevering af oplysninger.

11. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Ved ophør af en aftale med en underdatabehandler om behandling af personoplysninger omfattet af underdatabehandleraftalen skal Databehandleren give den Dataansvarlige meddelelse herom.

12. Databehandleren er ansvarlig for underdatabehandlerens manglende overholdelse af bestemmelserne i Databehandleraftalen og gældende databeskyttelseslovgivning. Ethvert samtykke fra den Dataansvarlige til Databehandlerens kontraktindgåelse med en underdatabehandler begrænser ikke Databehandlerens forpligtelse til at overholde bestemmelserne i Databehandleraftalen.

9. Overførsel af oplysninger til tredjelande eller internationale organisationer

   1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt; i så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. artikel 28, stk. 3, litra a).

2. For så vidt angår denne Databehandleraftale skal et tredjeland forstås som et land, der ikke er medlem af EU/EØS.

3. Uden den Dataansvarliges instruks eller godkendelse kan Databehandleren – inden for rammerne af Databehandleraftalen - derfor bl.a. ikke;

1. videregive personoplysningerne til en dataansvarlig i et tredjeland eller i en international organisation,

2. overlade behandlingen af personoplysninger til en underdatabehandler i et tredjeland,

3. lade personoplysninger behandle i en anden af Databehandlerens afdelinger, som er placeret i et tredjeland,

4. lade en medarbejder, der fysisk befinder sig i et tredjeland, behandle personoplysningerne.

4. Den Dataansvarliges eventuelle instruks eller godkendelse af, at der foretages overførsel af personoplysninger til et tredjeland, vil fremgå af Databehandleraftalens Bilag C.

5. Såfremt den Dataansvarlige giver samtykke til overførsel til et tredjeland eller en international organisation, påhviler det Databehandleren at sikre, at der foreligger et lovligt overførselsgrundlag, jf. Databeskyttelsesforordningens kapitel V. Databehandleren afholder omkostningerne forbundet med etablering af det fornødne overførselsgrundlag. Overførselsgrundlaget skal forelægges den Dataansvarlige forud for den Dataansvarliges specifikke samtykke til overførslen.

10. Bistand til den dataansvarlige

    1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i Databeskyttelsesforordningens kapitel III.

Dette indebærer, at Databehandleren, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, så vidt muligt skal bistå den Dataansvarlige i forbindelse med, at den Dataansvarlige skal sikre overholdelsen af:

1. oplysningspligten ved indsamling af personoplysninger hos den registrerede;

2. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede;

3. den registreredes indsigtsret;

4. retten til berigtigelse;

5. retten til sletning (”retten til at blive glemt”);

6. retten til begrænsning af behandling;

7. underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling;

8. retten til dataportabilitet;

9. retten til indsigelse;

10. retten til at gøre indsigelse mod resultatet af automatiske, individuelle afgørelser, herunder profilering.

2. Databehandleren bistår den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser i medfør af Databeskyttelsesforordningens artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, jf. artikel 28, stk. 3, litra f).

Dette indebærer, at Databehandleren, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, så vidt muligt skal bistå den Dataansvarlige i forbindelse med, at den Dataansvarlige skal sikre overholdelsen af:

1. forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen;

2. forpligtelsen til at anmelde brud på persondatasikkerheden til tilsynsmyndigheden uden unødig forsinkelse og om muligt senest 72 timer efter, at den Dataansvarlige er blevet bekendt med bruddet, medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder;

3. forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder;

4. forpligtelsen til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder;

5. forpligtelsen til at høre tilsynsmyndigheden inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den Dataansvarlige for at begrænse risikoen.

3. Databehandleren forpligter sig endvidere til uden unødigt ophold at orientere den Dataansvarlige om:

1. enhver anmodning om videregivelse af personoplysninger omfattet af Databehandleraftalen fra en myndighed, medmindre orienteringen af den Dataansvarlige er eksplicit forbudt ved lov, f.eks. i medfør af regler, der har til formål at sikre fortroligheden af en retshåndhævende myndigheds efterforskning,

2. enhver anmodning fra tilsynsmyndigheden vedrørende behandling af personoplysninger omfattet af Databehandleraftalen,

3. enhver anmodning om indsigt modtaget direkte fra den registrerede eller fra tredjemand, medmindre en sådan handlemåde er blevet godkendt.

11. Underretning om brud på persondatasikkerheden

    1. Databehandleren underretter den Datansvarlige i overensstemmelse med punkt 19.2 uden unødig forsinkelse og senest 6 (seks) timer efter, at Databehandleren er blevet bekendt med, at der er sket brud på persondatasikkerheden hos Databehandleren eller en eventuel underdatabehandler, sådan at den Dataansvarlige har mulighed for at efterleve sin eventuelle forpligtigelse til at anmelde bruddet til tilsynsmyndigheden inden for 72 timer.

2. I overensstemmelse med Databehandleraftalens punkt 10.2, litra b, skal Databehandleren - under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren – sikre, at den Dataansvarlige er i stand til at foretage anmeldelse af bruddet til tilsynsmyndigheden.

Det kan betyde, at Databehandleren bl.a. skal hjælpe med at tilvejebringe nedenstående oplysninger, som efter Databeskyttelsesforordningens artikel 33, stk. 3, skal fremgå af den Dataansvarliges anmeldelse til tilsynsmyndigheden:

1. Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
   
   
   

2. Sandsynlige konsekvenser af bruddet på persondatasikkerheden
   
   
   

3. Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger

Databehandlerens underretning efter punkt 11.1 skal foretages ved brug af den skabelon for underretning, der følger af Bilag E.

3. Hvis bruddet på persondatasikkerheden sker hos en underdatabehandler, skal Databehandleren sikre, at underdatabehandleren giver den samme information som opremset i Bilag E.

4. Databehandleren må ikke hverken offentligt eller til tredjepart viderekommunikere et sikkerhedsbrud uden forudgående skriftlig aftale med den Dataansvarlige om indholdet af en sådan kommunikation, medmindre Databehandleren har en juridisk forpligtelse hertil.

5. Databehandleren skal uden unødig forsinkelse, efter at være blevet opmærksom herpå, skriftligt underrette den Dataansvarlige om enhver manglende overholdelse af Databehandlerens sikkerhedsforpligtelser efter Databehandleraftalen, uanset om dette beror på manglende overholdelse hos Databehandleren eller dennes eventuelle underdatabehandlere.

12. Sletning og tilbagelevering af oplysninger

    1. Ved ophør af tjenesterne vedrørende behandling forpligtes Databehandleren til, efter den Dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den Dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne. Sletning skal ske på en måde, hvor det ikke er muligt at genskabe oplysningerne.

2. På den Dataansvarliges anmodning skal Databehandleren påvise, at sletningen er foregået i overensstemmelse med ovenstående, herunder at oplysningerne ikke kan genskabes.

3. UDGÅR

4. Den Dataansvarlige har ret til på et hvilket som helst tidspunkt med et skriftligt varsel på 20 (tyve) arbejdsdage at få udleveret alle de data og informationer, som er en del af nærværende Databehandleraftale. De pågældende data og informationer skal udleveres efter den Dataansvarliges rimelige anvisninger. Databehandleren skal stille alle relevante og nødvendige værktøjer til at foretage dataudtræk til rådighed for den Dataansvarlige. Udlevering af data i henhold til nærværende punkt er vederlagsfrit for den Dataansvarlige, herunder skal Databehandleren gøre alle værktøjere være frit tilgængelige for den Dataansvarlige.

5. Ved Databehandleraftalens ophør, er den Dataansvarlige berettiget til at få tilbageleveret alle de data og informationer, som Databehandleraftalen omfatter, uanset årsagen til aftalens ophør. Tilbagelevering af data til den Dataansvarlige er vederlagsfri for den Dataansvarlige.

6. Udlevering og tilbagelevering af data og informationer skal ske til den Dataansvarlige og/eller til en af den Dataansvarlige udpeget tredjemand.

7. Databehandleren skal efter den Dataansvarliges skriftlige anvisning slette data eller informationer af enhver art, der er kommet i Databehandlerens besiddelse i medfør af Databehandleraftalen. Hvis den Dataansvarlige anmoder herom, har Databehandleren pligt til at opbevare en backup kopi af sådanne data og informationer i op til 3 (tre) måneder efter Databehandleraftalens ophør. Hvis Databehandleren inden udløbet af denne periode vil slette data, skal den Dataansvarlige forinden skriftligt orienteres herom og gives et rimeligt varsel til enten selv at få etableret en backup eller anmode Databehandleren om fortsat at opbevare disse data i en længere periode, dog ikke udover den angivne periode på 3 (tre) måneder.

13. Tilsyn og revision

    1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise Databehandlerens overholdelse af Databeskyttelsesforordningens artikel 28 og Databehandleraftalen, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige.

2. Den nærmere procedure for den Dataansvarliges tilsyn med Databehandleren fremgår af Bilag C.

3. Den Dataansvarliges tilsyn med eventuelle underdatabehandlere sker som udgangspunkt gennem Databehandleren. Den nærmere procedure herfor fremgår af Bilag C.

4. Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til den Dataansvarliges og Databehandlerens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til Databehandlerens fysiske faciliteter mod behørig legitimation.

5. Databehandleren skal uden unødig forsinkelse, efter at være blevet opmærksom herpå, skriftligt underrette den Dataansvarlige om enhver henvendelse rettet til Databehandleren eller dennes eventuelle underdatabehandlere fra en myndighed om videregivelse af personoplysninger omfattet af Databehandleraftalen, medmindre orientering af den Dataansvarlige er forbudt i henhold til EU-retten eller medlemsstaternes nationale lovgivning, som Databehandleren er underlagt.

14. Parternes aftaler om andre forhold

1. En eventuel (særlig) regulering af konsekvenserne af parternes misligholdelse af Databehandleraftalen og erstatningsansvar i forbindelse hermed vil fremgå af Hovedaftalen eller af Databehandleraftalens Bilag D.

2. En eventuel regulering af andre forhold mellem parterne, herunder lovvalg og værneting, vil fremgå af Hovedaftalen eller af Databehandleraftalens Bilag D.

15. Forrang

1. I tilfælde af uoverensstemmelse mellem bestemmelserne i Databehandleraftalen og bestemmelserne i Hovedaftalen eller andre skriftlige eller mundtlige aftaler indgået mellem parterne, skal bestemmelserne i Databehandleraftalen have forrang, medmindre strengere krav til behandlingssikkerheden er fastsat i Hovedaftalen, Hovedaftalens øvrige bilag eller anden aftale mellem parterne.

16. Vederlag

    1. Medmindre andet følger af Hovedaftalen, eller er udtrykkeligt reguleret i Bilag D, medfører Databehandlerens forpligtelser i henhold til Databehandleraftalen ikke krav på særskilt betaling til Databehandleren. Databehandlerens udgifter vedrørende Databehandlerens underdatabehandlere er den Dataansvarlige uvedkommende.

17. Ikrafttræden, ophør og overdragelse

    1. Databehandleraftalen træder i kraft ved begge parters underskrift heraf.

2. Databehandleren må ikke overdrage sine rettigheder og forpligtelser i henhold til Databehandleraftalen uden den Dataansvarliges forudgående skriftlige samtykke.

3. Den Dataansvarlige er berettiget til med et varsel på 30 (tredive) dage at ændre i Databehandleraftalen uden forudgående accept fra Databehandleren, såfremt dette skyldes ændringer i gældende databeskyttelsesret eller tilhørende praksis. Databehandleren skal ved sådanne ændringer uden ugrundet ophold sikre, at eventuelle underdatabehandlere tillige forpligtes af ændringerne.

4. Den Dataansvarlige er til enhver tid berettiget til med et varsel på 30 (tredive) dage at ændre i Bilag A og Bilag C uden forudgående accept fra Databehandleren ved fremsendelse af nyt bilag til Databehandleren. Alle ændringer skal dog ske inden for de udbudsretlige rammer. Databehandleren skal ved sådanne ændringer uden ugrundet ophold sikre, at eventuelle underdatabehandlere tillige forpligtes af ændringerne.

5. Databehandleren eller dennes eventuelle underdatabehandlere er ikke berettiget til at betinge efterlevelse af Databehandleraftalen, herunder den Dataansvarliges instruks, af den Dataansvarliges betaling af udestående fakturaer mv., og Databehandleren eller dennes eventuelle underdatabehandlere har ingen tilbageholdsret i personoplysningerne.

6. Opsigelse af Databehandleraftalen kan ske i henhold til de opsigelsesvilkår, inkl. opsigelsesvarsel, som fremgår af Hovedaftalen.

7. Databehandleraftalen er uanset punkt 17.6 gældende, så længe behandlingen af personoplysninger består. Uanset Hovedaftalens og/eller Databehandleraftalens opsigelse, vil Databehandleraftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos Databehandleren og eventuelle underdatabehandlere.

8. Databehandleraftalens bestemmelser om fortrolighed (punkt 5.), misligholdelse og erstatning (punkt 14.1) vil fortsat være gældende uanset Databehandleraftalens ophør.

18. Underskrifter

På vegne af den Dataansvarlige

Navn:	[Angiv navn]
Stilling:	[Angiv stilling]
Dato:	[Angiv dato]
Underskrift:	[Anfør underskrift]

På vegne af Databehandleren

Navn:	[Angiv navn]
Stilling:	[Angiv stilling]
Dato:	[Angiv dato]
Underskrift:	[Anfør underskrift]

19. Kontaktpersoner/kontaktpunkter hos den Dataansvarlige og Databehandleren

    1. Parterne kan kontakte hinanden via nedenstående kontaktpersoner/kontaktpunkter:

2. Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktpersonen/kontaktpunktet.

Navn:	[Angiv navn]		Navn:	[Angiv navn]
Stilling:	[Angiv stilling]		Stilling:	[Angiv stilling]
Telefonnummer:	[Angiv telefonnum­mer]		Telefonnummer:	[Angiv telefonnum­mer]
E-mail:	[Angiv e-mail]		E-mail:	[Angiv e-mail]
Funktionspostkasse:	[Angiv funktionspostkasse]		Funktionspostkasse:	[Angiv funktionspostkasse]

Bilag A - Oplysninger om behandling

A.1.Formålet med Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige er:

At den Dataansvarlige kan anvende Løsningen til at indsamle og behandle oplysninger, som er en del af tilbudsgiveres indsendte materiale i forbindelse med markedsundersøgelser og udbudsprocedurer.

A.2.Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige drejer sig primært om (karakteren af behandlingen):

At Databehandleren på vegne af den Dataansvarlige foretager følgende behandlinger af personoplysninger ved tilrådighedsstillelse af Løsningen: Indsamling, registrering, organisering, systematisering, opbevaring, tilpasning, ændring, genfinding, søgning, videregivelse ved transmission og formidling.

A.3.Behandlingen omfatter følgende typer af personoplysninger om de registrerede:

Følgende typer af personoplysninger vil blive behandlet af Databehandleren:

• Almindelige oplysninger

  • Navn

  • Adresse

  • E-mail

  • Telefonnummer

  • CV

Herudover kan der behandles de øvrige typer af personoplysninger, som måtte være indeholdt i brugergenereret indhold. Brugergenereret indhold kan indeholde alle typer af personoplysninger.

A.4.Behandlingen omfatter følgende kategorier af registrerede:

• Kontaktpersoner

• Samarbejdsparter

• Kunder

• Konsulenter

• Medarbejdere

• Tilbudsgivere

• Leverandører

A.5.Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige kan påbegyndes efter Databehandleraftalens ikrafttræden. Behandlingen har følgende varighed:

Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige kan påbegyndes efter Databehandleraftalens ikrafttræden.

Behandlingen er ikke tidsbegrænset og varer, indtil aftalen opsiges eller ophæves af en af parterne.

Bilag B – Betingelser for Databehandlerens brug af underdatabehandlere og liste over godkendte underdatabehandlere

1. Betingelser for Databehandlerens brug af eventuelle underdatabehandlere

Databehandleren har den Dataansvarliges generelle godkendelse til at gøre brug af underdatabehandlere. Databehandleren skal dog underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. En sådan underretning skal være den Dataansvarlige i hænde minimum 9 (ni) måneder, før anvendelsen eller ændringen skal træde i kraft. Såfremt den Dataansvarlige har indsigelser mod ændringerne, skal den Dataansvarlige give meddelelse herom til Databehandleren inden 6 (seks) måneder efter modtagelsen af underretningen. Den Dataansvarlige kan alene gøre indsigelse, såfremt den Dataansvarlige har rimelige, konkrete årsager hertil.

2. Godkendte underdatabehandlere

Den Dataansvarlige har ved Databehandleraftalens ikrafttræden godkendt anvendelsen af følgende underdatabehandlere:

Navn	CVR-nr.	Adresse	Beskrivelse af behandling	Underdatabehandleraftale af dato vedhæftet
[Navn]	[CVR-nr.]	[Adresse]	[Overordnet beskrivelse af behandlingen hos underdatabehandleren]	[Dato for underdatabehandleraftalen]
[Navn]	[CVR-nr.]	[Adresse]	[Overordnet beskrivelse af behandlingen hos underdatabehandleren]	[Dato for underdatabehandleraftalen]
[Navn]	[CVR-nr.]	[Adresse]	[Overordnet beskrivelse af behandlingen hos underdatabehandleren]	[Dato for underdatabehandleraftalen]
[Navn]	[CVR-nr.]	[Adresse]	[Overordnet beskrivelse af behandlingen hos underdatabehandleren]	[Dato for underdatabehandleraftalen]

Såfremt Databehandleren ønsker at gøre brug af andre underdatabehandlere, skal Databehandleren underrette den Dataansvarlige herom i overensstemmelse med punkt B.1. ovenfor.

Bilag C – Instruks vedrørende behandling af personoplysninger

1. Behandlingens genstand/instruks

Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige sker ved, at Databehandleren drifter, vedligheholder og supporterer Løsningen til brug for understøttelse af den Dataansvarliges virksomhed.

2. Behandlingssikkerhed

Sikkerhedsniveauet er fastsat ud fra en vurdering af, at der er en lav risiko forbundet med den konkrete behandling af personoplysninger omfattet af Databehandleraftalen, jf. den af af den Dataansvarlige gennemførte risikovurdering.

Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne.

Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den Dataansvarlige (på baggrund af den risikovurdering, den Dataansvarlige har foretaget):

Krav	ISO 27001 reference
Leverandøren skal fastlægge et sæt politikker for informationssikkerhed i relation til opfyldelse af Hovedaftalen, som skal gennemgås med planlagte mellemrum og om nødvendigt årligt.	A.5.1.1
Leverandøren skal sikre, at rettigheder og ansvar tilpasses og/eller tilbagekaldes i overensstemmelse med klart definerede procedurer i forbindelse med interne reorganisationer, ansættelsesændringer og opsigelser.	A.6.1.1
Leverandøren skal udpege personer med ansvar for specifikke sikkerhedsopgaver, herunder udpege en sikkerhedsansvarlig.	A.6.1.1
Leverandøren skal sikre, at Leverandørens medarbejdere kun har adgang til de personoplysninger, som de specifikt er autoriseret til at benytte i relation til opfyldelse af Hovedaftalen og den til enhver tid gældende risikovurdering.	A.9.1.2
Leverandøren skal identificere de informationsaktiver (hardware, software, og netværk), der anvendes til opfyldelse af Hovedaftalen, og udarbejde og vedligeholde en oversigt over disse informationsaktiver med planlagte mellemrum og om nødvendigt årligt.	A.8.1.1
Leverandøren skal anvende dokumenterede driftsprocedurer, herunder ændringsprocedurer, i it-systemer der anvendes i forbindelse med opfyldelse af Hovedaftalen. Leverandøren skal endvidere regelmæssigt overvåge disse procedurer.	A.12.1.1
Leverandøren skal adskille udviklings-, test- og driftsmiljøer i relation til opfyldelse af Hovedaftalen for at nedsætte risikoen for uautoriseret adgang til eller ændringer af driftsmiljøet, hvori der behandles personoplysninger. Såfremt der ikke må testes på personoplysninger, skal dette fremgå specifikt af databehandleraftalen.	A.12.1.4
Leverandøren skal fastlægge internt ledelsesansvar og procedurer for at sikre hurtig, effektiv og planmæssig håndtering, herunder af passende ledelseskanaler, af informationssikkerhedsbrud (herunder brud på persondatasikkerhed) relateret til opfyldelse af Hovedaftalen, så hurtigt som muligt.	A.16.1.2
Leverandøren skal sikre, at alle medarbejdere og samarbejdsparter opretholder informationssikkerhed i overensstemmelse med organisationens fastlagte politikker og procedurer.	A.7.2.1
Leverandøren skal sikre, at Leverandørens medarbejdere er tilstrækkeligt informeret om sikkerhedsforanstaltninger i de dele af it-systemet, der er relevante for deres jobfunktion, og omfattet af Hovedaftalen.	A.7.2.2
Leverandøren skal fastlægge, dokumentere og vedligeholde en politik for adgangsstyring i relation til kontraktens opfyldelse i overensstemmelse med den til enhver tid gældende persondatamæssige risikovurdering.	A.9.1.1
Leverandøren skal minimere brugen af fælleskonti i relation til Hovedaftalen. Såfremt brugen af fælleskonti er nødvendig, skal Leverandøren sikre, at alle brugere af en given fælleskonto er autoriseret til at benytte de oplysninger, fælleskontoen giver adgang til.	A.9.4.4
Leverandøren skal sikre, i de tilfælde hvor applikationen ikke er beskyttet af forsvarets netværk (FIIN), at der implementeres en adgangskontrolmekanisme, der giver adgang til it-systemet. Der skal i den forbindelse som minimum anvendes en kombination med brugernavn/adgangskode.	A.9.4.3
Leverandøren skal definere og dokumentere en adgangskodepolitik. Adgangskodepolitikken skal som minimum indeholde oplysning om adgangskoders længde, kompleksitet, gyldighedsperiode samt antal acceptable mislykkede loginforsøg.	A.9.1.1
Leverandøren skal sikre, at logning udføres, opbevares og gennemgås regelmæssigt. Logning skal omfatte registrering af brugeraktivitet, adgang til data (læse, ændre og slette), undtagelser, fejl og informationssikkerhedshændelser i relation til opfyldelsen af Hovedaftalen.	A.12.4.1
Leverandøren skal beskytte logningsfaciliteter og logoplysninger i relation til Hovedaftalen mod manipulation og uautoriseret adgang.	A.12.4.2
Leverandøren skal sikre, at urene i alle relevante informationsbehandlingssystemer, der anvendes i relation til Hovedaftalen, er synkroniseret til en enkelt referencetidskilde.	A.12.4.4
Leverandøren skal i relation til Hovedaftalens opfyldelse sikre, at databaseservere og applikationsservere konfigureres, således at de kører ved hjælp af en separat konto med minimale operativsystemprivilegier for at fungere korrekt.	A.12.5.1
Leverandøren skal sikre, at brugere ikke har adgang til at ændre i eksisterende sikkerhedsinstallationer, medmindre dette er aftalt i Hovedaftalen.	A.12.2.1
Leverandøren skal sikre, at anti-virus applikationer konfigureres med fast interval.	A.12.2.1
Leverandøren skal sikre, at systemet har sessions time-outs, når brugeren har været inaktiv i en nærmere fastlagt periode.	N/A
Leverandøren skal sikre, at kritiske sikkerhedsopdateringer udgivet af operativsystemudvikleren installeres regelmæssigt.	A.12.5.1
Leverandøren sikrer, at fjernadgang til den pågældende it-service er beskyttet af kryptering.	A.13.1.1
Leverandøren skal sikre, at der i overensstemmelse med dokumenterede procedurer udføres backup af information, programmel og system-images, der anvendes i relation til Hovedaftalen.	A12.3.1
Leverandøren skal sikre, at backup gives et passende niveau af fysisk beskyttelse, der er i overensstemmelse med det niveau, der anvendes på de originale data.	N/A
Leverandøren skal sikre, at der tages en inkrementel backup en gang dagligt, og at denne kontrolleres.	N/A
Leverandøren skal implementere en politik og understøttende sikkerhedsforanstaltninger til styring af de risici, der opstår ved anvendelse af mobilt udstyr i forbindelse med opfyldelse af den Hovedaftalen.	A.6.2.1
Leverandøren skal sikre, at mobilt udstyr, der giver adgang til it-systemet i relation til opfyldelsen af den Hovedaftalen, er forhåndsregistreret og forhåndsgodkendt.	A.6.2.1
Leverandøren skal sikre, at mobilt udstyr, der anvendes i relation til opfyldelse af Hovedaftalen er underlagt samme niveau af adgangskontrolprocedurer (til systemer, hvori der behandles personoplysninger) som andre arbejdsstationer m.v., der anvendes i relation til opfyldelse af Hovedaftalen.	A.6.2.1
Leverandøren skal fastlægge og anvende regler i overensstemmelse med best practice for udvikling af programmel, som Leverandøren anvender til opfyldelse af Hovedaftalen.	A.14.2.1
Leverandøren skal sikre, at sikkerhedsrelaterede krav indgår i kravene til nye informationssystemer eller forbedringer af eksisterende informationssystemer, som Leverandøren anvender i relation til opfyldelse af Hovedaftalen.	A.14.1.1
Leverandøren skal sikre, at standarder for sikker kodning følges i forbindelse med opfyldelse af Hovedaftalen.	A.14.2.1
Leverandøren skal etablere godkendelsestestprogrammer og relaterede kriterier for nye informationssystemer, opgraderinger og nye versioner af programmel, som Leverandøren anvender i relation til opfyldelse af Hovedaftalen.	A.14.2.9
Leverandøren skal bortskaffe medier, der har været anvendt til opfyldelse af Hovedaftalen, når der ikke længere er brug for dem, på forsvarlig vis og i overensstemmelse med formelle procedurer.	A.8.3.2
Leverandøren skal beskytte fysiske områder i relation til opfyldelse af Hovedaftalen med passende adgangskontrol for at sikre, at kun autoriseret personale kan få adgang.	A.11.1.2

3. Opbevaringsperiode/sletterutine

Personoplysningerne opbevares hos Databehandleren, indtil den Dataansvarlige anmoder om at få oplysningerne slettet eller tilbageleveret, eller der sker aflevering til Rigsarkivet efter arkivlovens bestemmelser.

4. Lokalitet for behandling

Behandling af de i Databehandleraftalen omfattede personoplysninger kan ikke uden den Dataansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end de følgende:

[Her skal angives den adresse, hvorfra Databehandleren foretager behandlingen, herunder hvor Databehandlerens eventuelle servere er placeret. Såfremt der anvendes underdatabehandlere, skal underdatabehandlernes geografiske placering desuden anføres med angivelse af underleverandørernes navne.

• [Angiv på hvilken adresse, behandlingen finder sted] [Angiv, hvilken databehandler eller underdatabehandler, der anvender adressen]

• [Angiv på hvilken adresse, behandlingen finder sted] [Angiv, hvilken databehandler eller underdatabehandler, der anvender adressen]]

5. Instruks eller godkendelse vedrørende overførsel af personoplysninger til tredjelande eller internationale organisationer

Hvis den Dataansvarlige ikke i dette punkt eller ved en efterfølgende skriftlig meddelelse har angivet en instruks eller godkendelse vedrørende overførsel af personoplysninger til et tredjeland, må Databehandleren ikke inden for rammerne af Databehandleraftalen foretage en sådan overførsel.

6. Nærmere procedurer for den Dataansvarliges tilsyn

Databehandleren (og enhver eventuel underdatabehandler) skal én gang årligt dokumentere overholdelse af kravene til sikkerhedsforanstaltninger fastsat i Databehandleraftalen. Efter nærmere aftale med den Dataansvarlige kan en sådan erklæring tilpasses til de konkrete relevante standardprocedurer for Databehandleren, ligesom dokumentationen kan afgives efter anden passende standard. Hvis den Dataansvarlige har brug for at sikre sig, at også andre krav er overholdt, kan erklæringen suppleres alt afhængig af den Dataansvarliges individuelle behov.

Databehandleren (og enhver eventuel underdatabehandler) skal endvidere, på den Dataansvarliges konkrete anmodning, indhente en revisionserklæring fra en uafhængig tredjepart angående Databehandleren og dennes eventuelle underdatabehandleres overholdelse af kravene til sikkerhedsforanstaltninger fastsat i Databehandleraftalen. Den Dataansvarlige kan anmode herom én gang om året. Erklæringen indhentes for Databehandlerens regning. Der er mellem parterne enighed om, at der kan anvendes følgende typer af revisionserklæringer: ISAE 3000 eller enhver anden lignende standard med sikkerhed om beskrivelse af kontroller rettet mod databeskyttelse og behandling af personoplysninger.

Efter nærmere aftale med den Dataansvarlige kan erklæringen tilpasses til de konkrete relevante standardprocedurer for Databehandleren, ligesom erklæringen kan afgives efter anden passende standard.

Den Dataansvarlige, eller en uafhængig revisor bemyndiget af den Dataansvarlige, har endvidere ret til at foretage inspektioner af Databehandlerens fysiske faciliteter, hvor der behandles personoplysninger, samt modtage de nødvendige informationer til udførelsen af undersøgelsen af, hvorvidt Databehandleren har truffet de sikkerhedsforanstaltninger, der følger af Databehandleraftalen samt gældende databeskyttelsesret. Det kan eksempelvis være tilfældet, hvis en konkret omstændighed, f.eks. et sikkerhedsbrud, giver anledning til tvivl om beskyttelsen af personoplysningerne hos Databehandleren. Den Dataansvarlige indhenter erklæring om fortrolighed fra den uafhængige revisor.

Den dataansvarlige er berettiget til at videregive informationer modtaget i henhold til bestemmelserne i nærværende punkt C.6. til Datatilsynet, efter anmodning herom fra Datatilsynet. Samtlige omkostninger i relation til tilsyn påhviler Databehandleren.

Bilag D – Parternes regulering af andre forhold

1. Vederlag

Databehandleraftalens punkt 16 gælder.

2. Erstatningspligt

Reguleringen af parternes erstatningsansvar følger den regulering, der er indeholdt i Hovedaftalen.

Bilag E – Underretning om brud på datasikkerheden

I tilfælde af brud på datasikkerhed skal følgende information indgives til den Dataansvarlige:

Dato og tid:	Brud på persondatasikkerheden blev konstateret den [dato], klokken [klokkeslæt].
Omstændighederne ved bruddet på datasikkerheden:	Bruddet skyldes [omstændighederne ved bruddet på datasikkerheden].
Karakteren/arten af bruddet:	På nuværende tidspunkt bemærkes det, at [Indsæt information om karakteren/arten af bruddet. Såfremt det er muligt at fastslå følgende: 1) Kategorier og det omtrentlige antal registrerede impliceret; 2) Kategorier og det omtrentlige antal persondataoplysninger impliceret.]
Andre oplysninger:	På nuværende tidspunkt bemærkes det, at [Angiv andre oplysninger om bruddet på datasikkerheden, der kan være brugbare for den Dataansvarliges vurdering af indvirkningen af bruddet].
Handlinger truffet:	Af hensyn til at begrænse omfanget af og konsekvenserne ved bruddet, har vi indtil videre [foranstaltninger truffet af [Databehandlerens navn] for at imødegå bruddet på persondatasikkerheden, herunder foranstaltninger truffet for at begrænse eventuelle skadevirkninger].
Kontaktperson hos Databehandleren:	[Kontaktoplysninger, herunder information på Databehandlerens eventuelle DPO].

Oplysningerne skal sendes til den Dataansvarliges kontaktperson som angivet i Databehandleraftalens punkt 19..

Version 1.1