DATABEHANDLERAFTALE
SKABELON FOR DATABEHANDLERAFTALER MELLEM
- [DANSK KOMMUNE OG RAMBØLL]
DATABEHANDLERAFTALE
Mellem
[XXXX] Kunde [adresse]
[postnr. og by] CVR. nr.: [XXXX]
(herefter ”Kunden”)
og
Rambøll Management Consulting A/X Xxxxxxxxxx Xxxx 00
2300 Kbh S
(herefter ”Leverandøren”)
er der indgået nedenstående databehandleraftale (herefter ”Databehandleraftalen”) om Leverandørens behandling af personoplysninger på vegne af Kunden:
1. Generelt
1.1 Databehandleraftalen vedrører Leverandørens forpligtelse til at efterleve de sikkerhedskrav, som fremgår af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (herefter Databeskyttelsesforordningen).
1.2 I Databehandleraftalen er indarbejdet de krav, som Databeskyttelsesforordningen stiller til databehandleraftaler.
2. Formål
2.1 Leverandøren behandler i medfør af aftale med Xxxxxx [titel og dato eller anden entydig identifikation] (herefter ”Hovedaftalen”) personoplysninger for Kunden, hvor Leverandørens behandlinger og formålet med behandlingerne er beskrevet.
3. Kundens rettigheder og forpligtelser
3.1 Kunden er dataansvarlig for de personoplysninger, som Xxxxxx instruerer Leverandøren om at behandle. Kunden har ansvaret for, at de personoplysninger, som Xxxxxx instruerer Leverandøren om at behandle, må behandles af Leverandøren, herunder at behandlingen er nødvendig og saglig i forhold til Kundens opgavevaretagelse.
3.2 Kunden har de rettigheder og forpligtelser, som er givet en dataansvarlig i medfør af lovgivningen, jf. Databehandleraftalens pkt. 1.1 og 1.2.
3.3 Der kan i Databehandleraftalens underbilag 1 være opremset yderligere forpligtelser, som Kunden skal være opmærksom på.
4. Leverandørens forpligtelser
4.1 Leverandøren er databehandler for de personoplysninger, som Leverandøren behandler på vegne af Kunden, jf. pkt. 6 og Underbilag 1. Leverandøren har som databehandler de forpligtelser, som er pålagt en databehandler i medfør af lovgivningen, jf. Databehandleraftalens pkt. 1.1 og 1.2.
4.2 Leverandøren behandler alene de overladte personoplysninger efter instruks fra Xxxxxx, jf. pkt. 6 og bilag 1, og alene med henblik på opfyldelse af
Hovedaftalen. Leverandøren kan behandle personoplysninger udenfor Kundens Instruks, i tilfælde hvor det kræves af EU-retten eller national ret, som Leverandøren er underlagt. Ved behandling af personoplysninger udenfor den fastsatte Instruks skal Leverandøren underrette Xxxxxx om årsagen hertil. Underretningen skal ske, inden behandlingen foretages, og skal indeholde en henvisning til de retlige krav, der ligger til grund for behandlingen. Underretning skal dog ikke ske, hvis underretning vil være i strid med EU-retten eller den nationale ret.
4.3 Leverandøren skal sikre personoplysningerne via tekniske og organisatoriske sikkerhedsforanstaltninger, som beskrevet i Databeskyttelsesforordningen (fra
25. maj 2018), jf. Underbilag 1 – Sikkerhed.
4.4 Leverandøren skal på opfordring fra Kommunen hjælpe med at opfylde Kommunens forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger fra borgere om indsigt i egne oplysninger, udlevering af borgerens oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af borgerens oplysninger, samt Kommunens forpligtelser i forhold til underretning af den registrerede ved brud på persondatasikkerheden, i medfør af Databeskyttelsesforordningens kap. III samt artikel 34. Medmindre andet fremgår af Hovedaftalen er Leverandørens bistand særskilt betalbar.
4.5 Leverandøren skal i overensstemmelse med Databebekyttelsesforordningen bistå Xxxxxx med at efterleve dennes forpligtelser efter Databeskyttelsesforordningens artikel 32-36. Medmindre andet fremgår af Hovedaftalen er Leverandørens bistand særskilt betalbar.
4.6 Leverandøren garanterer at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske foranstaltninger sådan, at Leverandørens behandling af Kundens personoplysninger opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.
5. Underleverandør (underdatabehandler)
5.1 Ved underdatabehandler forstås en underleverandør, til hvem Leverandøren har overladt hele eller dele af den behandling, som Leverandøren foretager på vegne af Kunden.
5.2 Leverandøren må ikke uden godkendelse fra Kommunen anvende andre underdatabehandlere end dem, der er angivet i Underbilag 2, herunder
foretage udskiftning af disse, til at behandle de personoplysninger, som Kommunen har overladt til Leverandøren i medfør af Hovedaftalen. Udskiftning af underdatabehandlere kan ske med 3 måneders varsel. Kunden anses for havende godkendt en tilføjelse eller udskiftning af en underdatabehandler, der ikke forøger den samlede persondatamæssige risiko, medmindre der senest 1 måned før udskiftningen foreligger en konkret saglig indsigelse.
5.3 Hvis Leverandøren overlader behandlingen af personoplysninger, som Kunden er dataansvarlig for, til underdatabehandlere, skal Leverandøren indgå en skriftlig (under)databehandleraftale med underdatabehandleren.
5.4 Underdatabehandleraftalen, jf. pkt. 5.3, skal pålægge underdatabehandleren de samme databeskyttelsesforpligtelser, som Leverandøren er pålagt efter Databehandleraftalen, herunder, at underdatabehandleren garanterer at kunne levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at kunne implementere de passende tekniske og organisatoriske foranstaltninger således, at underdatabehandlerens behandling opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.
5.5 Når Leverandøren overlader behandlingen af personoplysninger, som Kunden er dataansvarlig for, til underdatabehandlere, har Leverandøren over for Kunden ansvaret for underdatabehandlernes overholdelse af disses forpligtelser, jf. pkt. 5.3.
5.6 Kunden kan til enhver tid forlange dokumentation fra Leverandøren for eksistensen og indholdet af underdatabehandleraftaler for de underdatabehandlere, som Leverandøren anvender i forbindelse med opfyldelsen af sine forpligtelser over for Kunden.
5.7 Al kommunikation med evt. underdatabehandlere skal ske gennem Leverandøren.
6. Instrukser
6.1 Leverandørens behandling af personoplysninger på vegne af Kunden sker udelukkende efter dokumenteret instruks, jf. Underbilag 1.
6.2 Leverandøren giver omgående besked til Kunden, hvis en instruks efter Leverandørens vurdering er i strid med lovgivningen, jf. pkt. 1.2.
7. Tekniske og organisatoriske sikkerhedsforanstaltninger
7.1 Leverandøren skal, jf. Underbilag 1, træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysninger:
(i) tilintetgøres, mistes, ændres eller forringes,
(ii) kommer til uvedkommendes kendskab eller misbruges, eller
(iii) i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.1
7.2 Leverandøren skal, jf. Underbilag 1, iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende sikkerhedsniveau.
7.3 Leverandøren er forpligtet til straks at underrette Xxxxxx om ethvert sikkerhedsbrud uanset, om dette sker hos Leverandøren eller hos en underdatabehandler.
8. Overførsler til andre lande
8.1 Leverandørens overførsel af personoplysninger til lande, der ikke er medlem af EU (tredjelande), f.eks. via en cloudløsning eller en underdatabehandler, skal ske i overensstemmelse med Xxxxxxx instruks herfor, jf. Underbilag 3.
9. Tavshedspligt og fortrolighed
9.1 Leverandøren skal sikre, at alle, der behandler oplysninger omfattet af Databehandleraftalen, herunder ansatte, tredjeparter (f.eks. en reparatør) og underdatabehandlere, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
10. Kontroller og erklæringer
10.1 Leverandøren er forpligtet til at give Kunden nødvendige oplysninger til, at Kunden kan sikre sig, at Leverandøren overholder de krav, der følger af denne Aftale. Leverandørens forpligtelse i henhold til dette punkt 10.1 er vederlagsfri i det omfang det følger af Hovedaftalens eller Databehandleraftalens bestemmelser, at disse oplysninger leveres uden yderligere vederlag.
10.2 Kunden, en repræsentant for Xxxxxx eller dennes revision (såvel intern som ekstern) har adgang til at foretage inspektioner og revision i rimeligt omfang hos Leverandøren, med henblik på at konstatere, at Leverandøren overholder de krav, der følger af denne Aftale. Leverandørens forpligtelse bistand i
henhold til dette punkt 10.2 er vederlagsfri, i det omfang det følger af Hovedaftalens eller Databehandleraftalens bestemmelser, at Leverandøren medvirker uden yderligere vederlag i forbindelse med inspektion og revision.
10.3 Medmindre andet fremgår af Hovedaftalen, eller parterne særskilt aftaler udarbejdelse af anden revisorerklæring, skal Leverandøren alene udarbejde og fremsende revisionserklæringer som anført i Underbilag 1. Udarbejdelsen af revisonserklæringer som anført i Underbilag 1 sker vederlagsfrit.
11. Ændringer i Databehandleraftalen
11.1 Kunden kan til enhver tid, med et forudgående varsel på mindst 30 dage, foretage ændringer i Databehandleraftalen og instruksen, jf. Underbilag 1. Ændringsprocessen og omkostningerne kan aftales skriftligt mellem Kunden og Leverandøren i Hovedaftalen, men med mindre andet er aftalt skal Leverandøren skadesløsholdes for ændringer der kræves af Kunden . Leverandøren skal ved sådanne ændringer uden ugrundet ophold sikre, at underdatabehandlerne tillige forpligtes af ændringerne.
11.2 I det omfang ændringer i lovgivningen, jf. pkt 1.1 og 1.2, eller tilhørende praksis, giver anledning til dette, er hver part med et varsel på 90 dage berettiget til at foretage ændringer i Databehandleraftalen, I det omfang ændringer i lovgivningen er dækket af et fast vederlag i medfør af Hovedaftalen, modtager Leverandøren ikke særskilt betaling herfor.
12. Sletning af data
12.1 Kunden træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af personoplysningerne efter, at behandlingen af personoplysningerne er ophørt i medfør af Hovedaftalen.
12.2 Kunden skal senest 30 dage inden Hovedaftalens ophør skriftligt meddele Leverandøren, hvorvidt alle personoplysningerne skal slettes eller tilbageleveres til Kunden. I det tilfælde, hvor personoplysningerne tilbageleveres til Kunden, skal Leverandøren ligeledes slette eventuelle kopier. Leverandøren skal sikre, at eventuelle underdatabehandlere ligeledes efterlever Kundens meddelelse.
13. Misligholdelse og tvistigheder
13.1 Misligholdelse og tvistigheder er reguleret i Hovedaftalen.
14. Erstatning og forsikring
14.1 Erstatnings- og forsikringsspørgsmål er reguleret i Hovedaftalen.
15. Ikrafttræden og varighed
15.1 Databehandleraftalen indgås ved begge parters underskrift og løber indtil Leverandøren ikke længere behandler personoplysninger på vegne af Kunden.
15.2 Hvis der er uoverensstemmelse mellem Hovedaftalen og Databehandleraftalen, skal Databehandleraftalen have forrang.
16. Formkrav
16.1 Databehandleraftalen skal foreligge skriftligt, herunder elektronisk, hos Kunden og Leverandøren.
For Kunden For Leverandøren Dato Dato
Bilag:
Underbilag 1 –Behandling og sikkerhedsforanstaltninger Underbilag 2 – Oplysninger om underdatabehandlere
Underbilag 3 – Anvendte underdatabehandlere med særlige vilkår.
UNDERBILAG 1 – INSTRUKS OM BEHANDLING AF OPLYSNINGER, TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER I FORBINDELSE HERMED SAMT ØVRIGE FORHOLD.
Dette Underbilag er en integreret del af Databehandleraftalen.
1. Instruks
Instruks | Kommunen instruerer hermed Leverandøren om at foretage behandling af Kommunens oplysninger til brug for levering af [Kort beskrivelse af leverance], jf. Hovedaftale [Reference til hovedaftale]. |
Behandlingens formål
Formålet med databehandling en | [Her beskrives formålet med behandlingen. Formålet er tilpasset den konkrete ydelse, som kommunen køber.] |
Behandling af personoplysninger, samt generel beskrivelse af behandlingen
Leverandøren foretager alene behandling inden for rammerne af formålet, som er beskrevet ovenfor.
Leverandørens behandling består i hovedtræk af følgende:
[Her beskrives behandlingen i grundtræk]
Alle personoplysninger slettes fra Systemet i overensstemmelse med retningslinjerne under punkt 7.
Typer af personoplysninger, samt kategorier af registrerede
Kategorier af registrerede | Databehandlingen vil omfatte personoplysninger om følgende personkategori(er): [Her nummereres de forskellige kategorier af personer der behandles data om] 1. [Personkategori 1 – f.eks. medarbejdere] 2. [Personkategori 2 – f.eks. kunder] 3. […] |
Typer af personoplysnin ger | Databehandlingen vil omfatte følgende typer af personoplysninger: [Herunder afkrydses de typer af oplysninger der behandles, og numrene på de relevante personkategorier angives.] | |
Almindelige | ☐ Almindelige personoplysninger | Personkategori(er) Nr: [1;2;3] |
Følsomme | ☐ Følsomme personoplysninger, herunder: | Nr. [1;2;3] |
☐ Racemæssig eller etnisk baggrund ☐ Politisk, religiøs eller filosofisk overbevisning ☐ Genetiske data ☐ Biometriske data, hvor det behandles med det formål entydigt at identificere en fysisk person ☐ Fagforeningsmæssige tilhørsforhold ☐ Helbredsforhold ☐ Seksuelle forhold eller seksuel orientering | ||
Rent private forhold | ☐ Andre oplysninger om rent private forhold, herunder: | |
Nr. [1;2;3] | ||
☐ Oplysninger om straffedomme og/eller lovovertrædelser ☐ Væsentlige sociale problemer ☒ Andre rent private forhold, som ikke er omfattet af kategorien ”følsomme oplysninger”. Det er oplysning om barnets udvikling samt følelsesmæssige og sociale relationer registreret som tekst i forbindelse med pædagoger og andre fagpersoners drøftelse af barnet eller den unges udvikling og trivsel. Der vil ligeledes kunne forekomme | ||
oplysninger om barnet/den unges familieforhold, herunder oplysninger om barnets/den unges forældre. | ||
CPR | ☐ Oplysninger omfattet af særlovgivning, herunder: | Nr. [1;2;3] |
☐ CPR-nummer | ||
Andet | ☐ Oplysninger omfattet af særlovgivning, herunder: | Nr. [1;2;3] |
☐ [Andet. Anfør her] |
Instruks om tilbagelevering og sletning
Tilbagelevering af personoplysninger . | Ved Databehandleraftalens ophør skal Databehandler efter anmodning fra Dataansvarlige med et passende varsel tilbagelevere (herunder give Dataansvarlige mulighed for selv online at hente sine data ud af it-systemet) eller slette personoplysninger, som Databehandler behandler for Dataansvarlige, medmindre der træffes anden særskilt aftale. |
Sletning af backupper | Back-up af personoplysninger skal slettes på det tidligst mulige tidspunkt efter ophør af Kontrakten under hensyntagen til Databehandlerens backup-cyklus, dog senest 3 måneder efter instruksen om sletning er modtaget, med mindre der træffes anden særskilt aftale. |
2. Tekniske og organisatoriske sikkerhedsforanstaltninger
2.1 Indledning
Indledning | Dette bilag indeholder en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som Leverandøren i medfør af Databehandleraftalen har ansvar for at gennemføre, overholde og sikre overholdelse af hos dennes underdatabehandlere, som er angivet i bilag 2. |
2.2 Sikkerhedskrav
Beskrivelse | Leverandøren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til de aftalte behandlinger, jf. Instruks (bilag 3), og som dermed opfylder Databeskyttelsesforordningens artikel 32. Foranstaltningerne fastlægges ud fra overvejelser om: 1. Hvad der kan lade sig gøre rent teknisk 2. Implementeringsomkostningerne 3. Den pågældende behandlings karakter, omfang, sammenhæng og formål, jf. Instruksen (bilag 3) 4. Konsekvenserne for borgerne ved et sikkerhedsbrud 5. Den risiko, der er forbundet med behandlingerne, herunder risikoen for: a. tilintetgørelse af oplysningerne b. tab af oplysningerne c. ændring af oplysningerne d. uautoriseret videregivelse af oplysningerne e. uautoriseret adgang til oplysningerne |
2.3 Autorisation og adgangskontrol
Medarbejderes adgang til personoplysnin ger begrænses. | Adgangen til personoplysningerne er begrænset til de medarbejdere, som har et arbejdsbetinget behov for at kunne behandle personoplysninger for at kunne opfylde Leverandørens forpligtelser over for Kommunen. Kun de personer, der af projektlederen er autoriseret hertil, må have adgang til personoplysningerne. Der føres en liste over autoriserede medarbejdere, med angivelse af, hvilken type adgang autorisationen dækker. Listen over autoriserede medarbejdere opdateres løbende. Ved projektets afslutning lukkes medarbejdernes adgang. |
2.4 Kontrol med afviste adgangsforsøg
Fejlslagne login | Programmerne anvender ”tarpittting” og ”greylisting” ved fejlslagne loginforsøg, og advarer automatisk via mail til de driftsansvarlige, hvis forsøgene overstiger en fastsat grænse. |
2.5 Generelle sikkerhedsforanstaltninger
Konkrete organisatoriske, administrative og it-mæssige foranstaltninger | For at undgå at oplysninger ikke hændeligt eller ulovligt tilintetgøres, fortabes, forringes, kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med de til enhver tid gældende regler og forskrifter for behandling af personoplysninger iværksætter og opretholder Leverandøren en række organisatoriske, administrative og it-mæssige foranstaltninger. Leverandøren skal mindst en gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandlingen af personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed er iagttaget. De tekniske og organisatoriske sikkerhedsforanstaltninger for systemerne SurveyXact og Rambøll Results er til enhver tid beskrevet i den årlige revisionserklæring Leverandøren indhenter årligt for egen regning en erklæring fra en uafhængig ekspert vedrørende sikkerheden for udvalgte systemer (herunder SurveyXact og Rambøll Results, som rummer Hjernen&Hjertet) hos Leverandøren. Erklæringen udarbejdes på grundlag af en relevant anerkendt standard (pt. ISAE 3000- erklæring) for sådanne erklæringer. Erklæringen kan af Kommunen rekvireres en gang årligt. Den til enhver tid nyeste erklæring stilles til rådighed for kunden til download. Erklæringen er generel. Der udarbejdes således ikke individuelle erklæringer til hver af Leverandørens kunder eller for kundetilpassede behandlinger. Leverandøren kan benytte andre tilsvarende erklæringer og/eller eksperter i fremtiden. Kommunen kan ligeledes bede om en kopi af passende revisionserklæring fra Leverandørens eventuelle underdatabehandlere. Såfremt en selvstændig revisionserklæring vedrørende en underdatabehandler er unødvendig, eksempelvis fordi den ydelse, underdatabehandleren leverer, er af begrænset omfang eller ikke frembyder selvstændige problemstillinger, fordi underdatabehandler kun behandler data i Leverandørens egne systemer, kan |
Leverandøren opfylde kravet i denne bestemmelse med en erklæring som Leverandøren selv udarbejder. Erklæringen vil bestå i en redegørelse for underdatabehandlerens rolle og en overordnet redegørelse for sikkerheden i relation til underdatabehandlers virke samt en indeståelse for, at underdatabehandler er underlagt og opfylder de samme krav, som der stilles til Leverandøren efter denne Databehandleraftale.
2.6 Instruktion af medarbejdere
Projektlederen instruerer de relevante medarbejdere om databehandlingens formål og arbejdsgange samt sikrer, at medarbejderne er orienteret om deres tavshedspligt.
Leverandøren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af Kommunens personoplysninger, om Leverandørens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed.
2.7 Adgangsstyring og administration af brugeradgang
Adgang til Rambølls netværk og systemer | Kun medarbejdere, som har behov for det og er ledelsesgodkendt, vil være oprettet som brugere med adgang til Rambølls netværk og systemer. Ved ophør af en medarbejders ansættelsesforhold spærres eller nedlægges medarbejderens brugeradgange straks. |
Medarbejdern es adgang til personoplysni nger er begrænset | Kun de personer, der af projektlederen er autoriseret hertil, har adgang til personoplysningerne. Der føres en liste over autoriserede medarbejdere med angivelse af, hvilken type adgang autorisationen dækker. Listen over autoriserede medarbejdere opdateres løbende. Ved projektets afslutning lukkes medarbejdernes adgang. |
2.8 Fysisk sikring
Fysisk adgangskontrol | Lokalerne er beskyttet af fysiske adgangskontroller, som begrænser risikoen for uautoriseret adgang. |
Sikre områder | Driftsafvikling af de systemer, som anvendes til databehandlingen, foregår fra lokaler, som er beskyttet mod skader forårsaget af fysiske forhold som f.eks. brand, vandskade, strømafbrydelse, tyveri eller hærværk. |
2.9 Eksterne kommunikationsforbindelser
Firewall | Rambøll benytter firewalls til beskyttelse af systemer og netværk. |
Netværksautentifi xxxxxx | Xxxxxxx benytter 802.1x på netværket, hvilket betyder, at kun godkendte maskiner med installeret certifikat får adgang. |
Informationsoverf ørsel | Hvis der sker kommunikation mellem brugere og systemer over åbne netværk krypteres kommunikationen. |
2.10 Logning
Beskyttelse mod malware | Rambøll benytter et markedsledende antivirus-produkt til beskyttelse mod skadelig software på alle Windows-baserede pc’er og servere. |
Sikkerhedskopieri ng | Der bliver med flere gange dagligt foretaget sikkerhedskopiering af konfigurationsfiler og data. Periodisk sker der test af, at data kan genskabes fra sikkerhedskopier. |
Logning | Der foretages logning af alle relevant hændelser i Systemet. Logningen har fokus på brugernes handlinger, opståede fejl samt informationer, der kan bruges til at diagnosticere problemer eller besvare spørgsmål fra kunder. Der føres desuden en detaljeret persondatalog over hvilke personer, der har set andre personers personoplysninger samt hvilke personoplysninger. |
2.11 Katastrofeplan
Informationssikker hedskontinuitet | Der er etableret en overordnet katastrofeplan for den situation, at systemerne bliver utilgængeligt i en periode, hvorefter disaster recovery er nødvendigt. Katastrofeplanen gennemgås mindst 1 gang årligt og godkendes af ledelsen. |
2.12 Meddelelse og redegørelse i forbindelse med brud på datasikkerheden
Krav til den første meddelelse (72 timer) | I tilfælde af sikkerhedsbrud skal Leverandøren uden unødig forsinkelse, og senest 48 timer efter at denne er blevet bekendt med bruddet, give Kommunen meddelelse herom med angivelse af: ❖ Karakteren af bruddet på persondatasikkerheden, ❖ Kategorierne og det omtrentlige antal berørte registrerede hvis det er muligt ❖ Kategorierne og det omtrentlige antal berørte registreringer af personoplysninger ❖ Navn og kontaktoplysninger til kontaktpunkt, hvor yderligere oplysninger kan indhentes ❖ Beskrivelse af de sandsynlige konsekvenser af bruddet. ❖ Beskrivelse af foranstaltninger der er truffet, eller foreslås truffet som led i håndteringen af bruddet og dets mulige skadevirkninger. Hvis det ikke er muligt at levere oplysningerne ovenfor samlet, kan de i stedet leveres trinvist. |
Logning af brud | Leverandøren skal føre log over sikkerhedsbrud. Loggen skal som minimum indeholde informationer om: • De faktiske omstændigheder ved bruddet • Bruddets virkninger • De afhjælpende foranstaltninger der er truffet Leverandøren er forpligtet til at bidrage aktivt til, at Kommunen modtager tilstrækkelige informationer til, at Kommunen kan håndtere en eventuel informationsforpligtelse til de registrerede og Datatilsynet. |
3. Øvrige forhold
3.1 Gældende lovgivning
Leverandørens behandling af personoplysninger er underlagt persondatalovgivningen i Danmark. Såfremt den persondataretlige regulering for andre lande end Danmark vil være gældende for behandlingen, påhviler det Kunden at oplyse Leverandøren herom samt hvilke yderligere foranstaltninger, dette måtte medføre. Eventulle omkostninger, som Leverandøren måtte blive påført som følge heraf, skal afholdes af Kunden.
3.2 Test
Kunden giver Leverandøren ret til at behandle alle relevante personoplysninger i det omfang det er nødvendigt for, at Leverandøren kan opfylde de i Hovedaftalen fastsatte forpligtelser og andre relaterede opgaver, herunder i nødvendigt omfang test i forbindelse med udvikling og vedligeholdelse inden for persondatarettens rammer.
UNDERBILAG 2 – ANVENDTE UNDERDATABEHANDLERE
1 ANVENDTE UNDERDATABEHANDLERE
1.1 Til brug for Leverandørens behandling af personoplysninger på vegne af Kunden anvendes følgende Underdatabehandlere
[indsæt navn og adresse]
UNDERBILAG 3 – ANVENDTE UNDERDATABEHANDLERE MED SÆRLIGE VILKÅR
Til brug for Leverandørens behandling af personoplysninger på vegne af Kunden anvendes følgende Underdatabehandlere med nedenstående særlige vilkår:
[indsæt navn og adresse] [indsæt vilkår]