Dererdagsdatoindgåetfølgende

1

Dererdagsdatoindgåetfølgende

Databehandleraftale

melem Firmanavn:

Adrese:

Postnummerogby:

XXX.xx.:

Kontakte-mail: (Kunden,herefterbenævntDataansvarlige) og

Belcom Hosting Bredgade20,1sal 6000Kolding Xxx.xx.:31779626

(Leverandøren,herefterbenævntDatabehandler)

1. Generelt

1.1 AftalenvedrørerDatabehandlerensforpligtelsetilatefterlevedesikerhedskrav, som fremgårafRådets forordning (EU)2016/679 af27.april2016 (herefter Databeskytelsesforordningen)

1.2 IAftalen erindarbejdetde kravog reglersom Databeskytelsesforordningen stilertildatabehandleraftaler.

1.3 PrinciperneoganbefalingerneiISAE3000 med senereændringervilpåale relevanteområderfindeanvendelseidetomfangandetikefremgårafAftalen.

1.4 Databehandlerenskalbehandlepersonoplysningerioveren stemmelsemedgod databehandlingskik,xx.xx tilenhvertid gældende reglerog forskrifterfor behandlingafpersonoplysninger.

2. Formål

2.1 Denne aftale er indgået iforbindelse med den Dataansvarliges brug af Databehandlerenstjenestersom lediaftalenom Udvikling,HostingogSu portpå Dataansvarliges løsning(er),som beskrevetiHovedaftalen:”Belcoms foret- ningsbetingelser”.

2.2 Aftalenoghovedaftalenerindbyrdesafhængigeogkanikeopsigessærskilt. Aftalen kan dog erstates afen anden databehandleraftale uden atopsige hovedaftalen.

3. Dataansvarligesretighederogforpligtelser

3.1 DenDataansvarligeeransvarligfordepersonoplysninger,som denDataansvarlige instruererDatabehandlerenom atbehandle.DenDataansvarligegaranterer,at personoplysningerne behandles til ligitime og objektive formål og at databehandlerenikebehandlerflerepersonoplysningerendnødvendigtforat opfyldeformålet.

3.2 Den Dataansvarlige har de retigheder og forpligtelser,som er givet en Dataansvarligimedføraflovgivningen,jf.Aftalenspkt.1.1.Dendataansvarligeskal ligeledessikreatdereretgyldigtretsgrundlagforbehandlingenvedoverførselaf personoplysningertilDatabehandleren.DesudenskaldenDataansvarligesikre,at de registrerede som personoplysningerne vedrører,har fået tilstræ kelige oplysningerom behandlingafderespersonoplysninger.

3.3 DenDataansvarligeerforpligtettilatorientereDatabehandlerenitilfældeaf eventuele skærpede it-sikerhedsregler og it-sikerhedsinstruks og ved ændringeridenDataansvarligesit-sikerhedspolitik.

4. Databehandlerensforpligtelser

4.1 DatabehandlerenbehandlerpersonoplysningerpåvegneafdenDataansvarlige,jf. pkt.6.Databehandlerenhardeforpligtelser,som erpålagtendatabehandleri medføraflovgivningen,jf.Aftalenspkt.1.1og1.2.

4.2 Databehandlerenbehandleralenedeoverladtepersonoplysningerefterinstruks fra den Dataansvarlige,jf.pkt.6 og alene med henblik på opfyldelse af Hovedaftalen.

4.3 Databehandleren skalfra 25.maj2018 løbende føre en fortegnelse over behandlingenafpersonoplysningersamtenfortegnelseoveralesikerhedsbrud.

4.4 Databehandlerenskalsikrepersonoplysningerneviatekniskeogorganisatoriske sikerhedsforanstaltninger,som beskrevetiDatabeskytelsesforordningen,jf. bilag1–Sikerhed.

4.5 UnderhensyntagentilbehandlingensartskalDatabehandleren,såvidtmuligt, bistå den Dataansvarlige med pasende tekniske og organisatoriske foranstaltninger,foropfyldelseafdenDataansvarligesforpligtelsetilatbesvare anmodningerfra registrerede om indsigt iegne oplysninger,udlevering af registreredesoplysninger,retelseogsletningafoplysninger,begrænsningaf behandlingafregistreredesoplysninger,samtdenDataansvarligesforpligtelseri forholdtilunderetningafdenregistreredevedsikerhedsbrud,fra25.maj2018i medførafDatabeskytelsesforordningenskap.Isamtartikel34.Ydelsenleveres påtimebasis.

4.6 DatabehandlerenskalbistådenDataansvarligemedatsikreopfyldelseafden DataansvarligesforpligtelserihenholdtilDatabeskytelsesforordningensartikel 32-36.Dennebistandtagerhensyntilbehandlingensartogdeoplysninger,derer tilrådighedforDatabehandleren.

4.7 Databehandlerengarantererfra25.maj2018atleveretilstræ keligekspertise, pålidelighed og resourcer til at implementere pasende tekniske og organisatoriskeforanstaltningersådan,atDatabehandlerensbehandlingafden Dataansvarliges personoplysninger opfylder kravene i Databeskytelsesforordningen og sikrer beskytelse af den registreredes retigheder.

4.8 Personoplysninger,deropbevares/hostesiDatabehandlerenssystemer,hostesi egetdatacenteriDanmark.Som su plementhertiligerderenbackup-løsning i EU(Underdatabehandler).

5. Underdatabehandler

5.1 VedUnderdatabehandlerforståsenunderleverandør,tilhvem Databehandleren haroverladtheleelerdeleafdenbehandling,som Databehandlerenforetagerpå vegneafdenDataansvarlige.

5.2 Databehandleren skalopfylde betingelserne iDatabeskytelsesforordningen xxxxxxx00,stk.2og4om brugafUnderdatabehandler.

5.3 Databehandleren må ike uden udtrykelig skriftlig godkendelse fra kunden anvendeandreUnderdatabehandlere,herunderforetageudskiftningafdise,tilat behandle de personoplysninger,som den Dataansvarlige har overladt til DatabehandlerenimedførafHovedaftalen.

5.4 DenDataansvarligegiverhermedDatabehandlerenengenerelskriftligtiladelse tilatindgåaftalermedUnderdatabehandlere.Databehandlerenskalunderete denDataansvarligeom aleændringervedrørendetilføjelseelerudskiftningaf Underdatabehandlere.Den Dataansvarlige kan gøre rimelige og relevante indsigelsermodsådanneændringer. HvisDatabehandleren fortsatønskerat brugeenUnderdatabehandlersom denDataansvarligehargjortindsigelserimod, harparternere tilatopsigeaftalenogevt.hovedaftalenmeddenanførtevarseli Belcomsforetningsbetingelser(Hovedaftalen).Iløbetafdenneperiodemåden Dataansvarlige ike kræve,atDatabehandleren ike brugerden pågældende Underdatabehandler.

5.5 HvisDatabehandleren overladerbehandlingen afpersonoplysninger,som den Dataansvarlige er dataansvarlig for, til Underdatabehandlere, skal Databehandleren indgå en skriftlig (Under)databehandleraftale med Underdatabehandleren.

5.6 Underdatabehandleraftalen,jf.pkt.5.5,skalpålæ geUnderdatabehandlerende samme databeskytelsesforpligtelser,som Databehandleren erpålagt efter Aftalen,herunder,atUnderdatabehandlerenfra25.maj2018garantereratkunne levere tilstræ kelig ekspertise, pålidelighed og resourcer til at kunne implementeredepasendetekniskeogorganisatoriskeforanstaltningersåledes, at Underdatabehandlerens behandling opfylderkravene iDatabeskytelses- forordningenogsikrerbeskytelseafdenregistreredesretigheder.

5.7 NårDatabehandleren overladerbehandlingen afpersonoplysninger,som den dataansvarlige er dataansvarlig for, til Underdatabehandlere, har Databehandleren over for den Dataansvarlige ansvaret for Underdatabehandlernesoverholdelseafdisesforpligtelser,jf.pkt.5.6.

5.8 Databehandleren skalindgå databehandleraftalermed Underdatabehandlere indenforEU/EØS.Hvis derindgås aftale med Underdatabehandlere udenfor EU/EØSskaldatabehandlerenindgåstandardaftalerihenholdtilKommisionens beslutning2010/87/EUaf5.februar2010om overførselafpersonoplysningertil Underdatabehandlere,dereretableretitredjelandeelerihenhold tilEU/US PrivacyShield.

5.9 Den Dataansvarligegiverherved Databehandleren en generelfuldmagttilat indgåstandardkontraktermedUnderdatabehandlereudenforEU/EØS.

5.10 Den Dataansvarlige kan til enhver tid forlange dokumentation fra Databehandlerenforeksistensenogindholdetafunderdatabehandleraftalerfor de Underdatabehandlere,som Databehandleren anvenderiforbindelse med opfyldelsenafsineforpligtelseroverfordenDataansvarlige.

5.1 Alkommunikationmelem denDataansvarligeogUnderdatabehandlerenskervia Databehandleren.

6. Instrukser

6.1 Databehandlerens behandling af personoplysninger på vegne af den dataansvarligeskerudelu kendeefterdenDataansvarligesinstruks.

6.2 Databehandlerengiverfra25.maj2018omgåendebeskedtildenDataansvarlige hviseninstruksefterDatabehandlerensvurderingeristridmedlovgivningen,jf. pkt.1.1og1.2.

7. Tekniskeogorganisatoriskesikerhedsforanstaltninger

7.1 Databehandleren skal fra 25. maj 2018, jf. bilag 1, iværksæ te ale sikerhedsforanstaltninger,derkrævesforatsikreetpasendesikerhedsniveau.

7.2 Databehandleren skal mindst én gang årligt gennemgå sine interne sikerhedsforskrifterogretningslinjerforbehandlingenafpersonoplysningermed henblikpåatsikre,atdefornødnesikerhedsforanstaltningertilstadigheder iagtaget,jf.pkt.7.1samtbilag1.

7.3 Databehandlerensamtdennesansateerunderlagtforbudmodatskafesig oplysninger af enhver art,som ike harbetydning forudførelsen af den pågældendesopgaver.

7.4 Databehandlerenharpligttilatinstrueredeansate,derharadgangtilelerpå andenmådevaretagerbehandlingafdendataansvarligespersonoplysninger,om Databehandlerensforpligtelser,herunderbestemmelserneom tavshedspligtog fortrolighed,jf.pkt9.

7.5 Leverandørenerforpligtettilstraksindenfornormalarbejdstidatundereteden Dataansvarligeom ethvertsikerhedsbrud.

7.6 Databehandlerenmåikehverkenofentligtelertiltredjeparterkommunikere om sikerhedsbrud,jf.pkt7.5,udenforudgåendeskriftligaftalemedkundenom indholdetafensådankommunikation,medmindreDatabehandlerenharenretlig forpligtelsetilsådankommunikation.

8. Overførslertilandrelande

8.1 Databehandlerensoverførselafpersonoplysningertilande,derikeermedlem af EU(tredjelande),f.eks.viaencloudløsningelerenUnderdatabehandler,skalskei overenstemmelsemedDataansvarligesinstruks./acept,jf.pkt5.

8.2 Ved overførseltiltredjelande er Datbehandleren og den Dataansvarlige i fæ leskabansvarligefor,atderforeligeretgyldigtoverførselsgrundlag.

9. Tavshedspligtogfortrolighed‌

9.1 Databehandlerener-underogefterophør-pålagtfuldtavshedspligtomkring ale oplysninger,denne bliver bekendt med gennem samarbejdet.Aftalen indebærer,at tavshedspligtsbestemmelserne istrafelovens § 152-152f,jf. strafelovens§152a,finderanvendelse.

9.2 Databehandleren skalsikre,atale,derbehandleroplysningeromfatetaf Belcomsforetningsbetingelser(Hovedaftalen),herunderansate,tredjeparter (f.eks.enreparatør)ogUnderdatabehandlere,forpligtersigtilfortrolighedelerer underlagtenpasendelovbestem tavshedspligt.

10. Kontrolerogerklæringer

10.1 Databehandleren er forpligtet til uden ugrundet ophold at give den Dataansvarligenødvendigeoplysningertil,atdenDataansvarligetilenhvertidkan sikresig,atDatabehandlerenoverholderdekrav,derfølgerafdenneAftale.

1.ÆndringeriAftalen

1.1 Dendataansvarligekantilenhvertid,medetforudgåendevarselpåmindst90 dage,foretageændringeriAftalenoginstruksen.Ændringsprocesenog omkostningerneaftalesskriftligtmelem dendataansvarligeogdatabehandleren. Databehandlerenskalvedsådanneændringerudenugrundetopholdsikre,at underdatabehandlernetiligeforpligtesafændringerne.

1.2 Idetomfangændringerilovgivningen,jf.pkt1.1og1.2,elertilhørendepraksis, giveranledningtildete,erdatabehandlerenmedetvarselpå90dageogudenat detemedførerkravom betalingfradendataansvarlige,beretige tilatforetage ændringeriAftalen.

12. Sletningafdata

12.1 Dendataansvarligetræ ferbeslutningom,hvorvidtderskalskesletningeler tilbagelevering af personoplysningerne efter, at behandlingen af personoplysningerneerophørt.

12.2 Ved ophør af abonnement er Databehandleren forpligtet til, på den dataansvarliges skriftlige anmodning, at slete eler returnere ale personoplysningertilden dataansvarlige samttilatslete ale eksisterende kopier,medmindreopbevaringafpersonoplysningererfastsatvedEU-reteler nationalret.

13.Tvistigheder

13.1 TvistighederfremgåriHovedaftalen:BelcomsForetningsbetingelser.

14.Ansvarogerstatning

14.1 Xxxxxx og erstatningspørgsmålfremgår ihovedaftalen:Belcoms Foret- ningsbetingelser.

15.Ikraftrædenogvarighed

15.1 Databehandleraftalenindgåsvedbe gepartersunderskriftogløberindtilophør.

15.2 Ved opsigelse af hovedaftalen,ophører denne Databehandleraftale også. Databehandleren forbliverundergivetde forpligtelser,derfremgårafdenne Databehandleraftale,sålængeDatabehandlerenbehandlerpersonoplysningerpå vegneafdenDataansvarlige.

16. Formkrav

16.1 Aftalenskalforeligeskriftligt,herunderelektronisk,hosDatabehandlerenog denDataansvarlige.

ForDataansvarlig ForDatabehandler

Dato / - Dato / -

Kunden Belcom HostingApS

Bilag:

Bilag1–Sikerhed

Databehandleraftale:version1.1

Bilag1–Sikerhed

1. Indledning

Dette bilag indeholder en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som Databehandleren i medfør af Aftalen har ansvar for at gennemføre, overholde og sikre overholdelse af hos dennes Underdatabehandlere.

2. Sikerhedskrav

Leverandørengennemførertekniskeogorganisatoriskesikerhedsforanstaltningerder opfylderkraveneiDatabeskytelsesforordningensartikel32.

Generelesikerhedsforanstaltninger Deafden Dataansvarligesløsning(er)hostetafBelcom ligerpåcentrale,sikrede servere,hvordataogdatalinjerersikreogkrypterede.Datakankuntilgåsafkunden,og detskerviasikreogkrypterededatalinjer.

AnsateiBelcom harsåledesikeadgangtilPersondatapåkundensløsning.Eneste undtagelseerserveradministratoroghoved-a plikationsadministrator(User1).

Disessærligeadgangogbeskytelseheraferbeskrevetnedenforunderautorisationer ogadgangskontrol.

AleansateiBelcom ervia(tilægtil)ansæ telseskontraktgjortbekendtmedde skærpedekravtilbehandlingafpersonoplysninger,derfølgerafarbejdetmeddataog løsningerforBelcomskunder.

Belcomsservereerbeligendepåsærskiltlokation.Selveserverummeterenklima-og brandbeskytet”bygningibygningen”.Adganghertilskermedbrikogkode.Autoriseret adganghertiludløserSMStildriftslederogdriftsteam,ogderskerfotodokumentation af,hvem dererirummet(konstantfotovervågningafdørentilrummetindefra).Forsøg på uautoriseretadgang udløseralarm tilDansikring/Verisure samtdriftvagten hos Belcom.

ServerummeterforsynetmedCTSkontrolsystem,eltavle,treserverskabemedfysiske diske(konfigureretsom virtueleserveremedredundans),kommunikationscontrolere, tofirewals(1redundant),treUPS,treklimaanlæg,vandalarmer(gulv,kølekondensog tag)samtbrandalarm og-sikringmedInergenbrandslukningsanløg.Desudenerder egennødstrømsgeneratorpåadresen.AlesystemerogsensorerovervågesafCTS,og overvågningsdatalo gesdirektesamtpåserver(medbackup).

Autorisationogadgangskontrol

Belcom,Databehandlerenharansvaretforadministrationafadgangtila plikationog serveriløsninger,som hostesafBelcom.Ansvaretforbrugeradministrationogadgang tildataia plikationenligerhosdenDataansvarlige.

Deterkundriftsleder/driftsteam hosBelcom,derharserveradgangogadgangsom hoved-a plikationsadministrator.Vednedbrudelerkritisksu portkanudviklings-eler su portmedarbejderhos Belcom tildeles éngangsadgang som hoveda plikations- administrator.

Deterikemuligtatlo geindia plikationenudenbrugafpasword.Derskerlogningaf aleloginogloginforsøg.Vedgentagne,systematiskeforsøgpåuatoriseretadgangfra enIP-adresekandenblokeres.

In datamaterialesom indeholderpersonoplysninger

Belcom harikeadgangtilin datamateriale.

U datamaterialesom indeholderpersonoplysninger

Belcom harikeadgangtilu datamateriale.

Eksternekommunikationsforbindelser

Derbenytessikrelinjer(SH2)tilkommuikationtilogfraservere.