Databehandleraftale
Databehandleraftale
Aftale om databehandling mellem Centre for Undervisningsmidler (CFU Danmark), i det følgende benævnt ”Databehandleren”, og de institutioner, som anvender CFU’s tjenesteydelser, i det følgende benævnt ”Den Dataansvarlige”.
1 Databehandleraftalens omfang og formål
Nærværende Databehandleraftale vedrører Databehandlerens behandling af person- oplysninger i forbindelse med de ydelser, som Databehandleren varetager i kraft af Da- tabehandlerens lovbestemte forpligtelse hertil i lov om centre for undervisningsmidler, jf. lovbekendtgørelse nr. 879 af 08/08/2011, og som Den Dataansvarlige gør brug af.
Disse ydelser omfatter, men er ikke begrænset til:
• Udlån af læremidler til inspiration og information for undervisere
• Udlån af læremidler til brug i undervisning
• Formidling af viden om læremidler
• Faglig, didaktisk vejledning med pædagogiske fagkonsulenter
• Fagfaglige og pædagogiske kurser og temadage.
• At yde bistand til lærere ved fremstilling af undervisningsmidler til eget brug.
• At yde pædagogisk og teknisk rådgivning og vejledning til undervisningsinstitutio- nernes brug af elektronisk net.
Databehandleraftalens formål er at sikre overholdelse af den til enhver tid gældende persondatalovgivning i Danmark, herunder sikre passende beskyttelse af privatlivets fred. Databehandleraftalen vedrører specifikt Databehandlerens forpligtelse til at ef- terleve de sikkerhedskrav, som fremgår af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (herefter Databeskyttelsesforordningen).
2 Personoplysninger omfattet af databehandleraftalen og formål
Databehandleraftalen omfatter følgende typer af personoplysninger:
• Stamoplysninger via UNI-Login services WS17 og WS22 i form af brugernavn, pass- words, institutionsoplysninger, brugertype og gruppetilknytning
• Udlån af analoge og digitale materialer og lignende bestillinger (fx bestillinger af bi- ografbilletter) i Databehandlerens udlånstjenester. Disse oplysninger behandles kun i det omfang, at den Dataansvarlige gør brug af Databehandlerens udlånstjenester.
• Data, som brugerne selv indtaster i Databehandlerens løsninger, fx egne noter, pro- jekt- og forløbsbeskrivelser, opgaver, feedback til elever, m.v. Disse oplysninger be- handles kun i det omfang, at den Dataansvarlige gør brug af disse løsninger, og kun i det omfang, at brugerne selv indtaster data.
• I forbindelse med visse af Databehandlerens løsninger indtaster brugerne endvi- dere yderligere e-mail samt telefonnummer, men det vil fremgå i den konkrete løs- ning. Disse oplysninger behandles kun i det omfang, at den Dataansvarlige gør brug af disse løsninger, og kun i det omfang, at brugerne selv indtaster data.
• I forbindelse med Databehandlerens løsninger vedr. kursusafvikling indgår der lige- ledes oplysninger om e-mail, telefonnummer og kursustilmeldinger. Disse oplysnin- ger behandles kun i det omfang, at den Dataansvarlige gør brug af Databehandle- rens kursusydelse.
• I forbindelse med Databehandlerens løsning vedr. materialeudlån i Dantek indgår CPR-nummer med henblik på entydig identifikation af lånere. Denne oplysning be- handles alene i det omfang, at den Dataansvarlige gør brug af Xxxxxx.
Der behandles oplysninger om de personer, som benytter Databehandlerens digitale ydelser, samt kursister, som tilmelder sig Databehandlerens kurser og temadage.
Formålet med behandlingen af personoplysninger er overordnet set, at Databehandle- ren kan udbyde og administrere de ydelser, som er nævnt under afsnit 1, og som følger af lov om centre for undervisningsmidler, jf. lovbekendtgørelse nr. 879 af 08/08/2011.
Personoplysninger bruges kun til at levere de ovennævnte ydelser til Den Dataansvar- lige, herunder formål i forbindelse med levering af sådanne ydelser. Databehandleren bruger ikke personoplysninger eller udleder oplysninger derfra til reklamemæssige el- ler lignende kommercielle formål uden at indhente samtykke fra de registrerede.
3 Behandling af personoplysninger
Databehandleren foretager følgende behandlinger af personoplysninger:
• Indsamling
• Registrering
• Opbevaring
• Læsning
• Ændring
• Søgning
• Videregivelse i forbindelse med fakturering
• Sletning
Databehandleren skal føre en fortegnelse over alle kategorier af behandlinger, der fo- retages. Fortegnelsen skal indeholde følgende:
• Navn på og kontaktoplysninger for databehandleren, eventuelle underleverandø- rer, samt eventuel databeskyttelsesrådgiver (DPO).
• Kategorierne af de behandlinger, databehandleren eller eventuelle underleveran- dører foretager for Den Dataansvarlige.
• Eventuelle overførsler af personoplysninger til et tredjeland eller en international organisation, herunder angivelse af dette tredjeland eller denne internationale or- ganisation, samt angivelse af hjemmelen for overførslen til tredjelandet eller den internationale organisation.
• En generel beskrivelse af databehandlerens tekniske og organisatoriske sikkerheds- foranstaltninger, som skal sikre beskyttelsen af personoplysningerne, der behand- les.
Fortegnelsen skal foreligge skriftligt, herunder elektronisk. Databehandleren skal efter anmodning fra Den Dataansvarlige til enhver tid stille fortegnelsen til rådighed for Den Dataansvarlige eller Datatilsynet.
Databehandleren er endvidere forpligtet til at oplyse med præcise adresseangivelser, hvor Den Dataansvarliges personoplysninger opbevares, såfremt Den Dataansvarlige fremsætter anmodning herom.
3.1 Juridisk ramme for behandlingen
Databehandleren skal behandle personoplysningerne i overensstemmelse med den til enhver tid gældende lovgivning eller anden regulering om personoplysninger eller be- stemmelser fastsat i henhold til lov eller anden regulering.
Såfremt Databehandleren skønner, at en instruktion fra Den Dataansvarlige er i strid med førnævnte lovgivning, skal Databehandleren omgående orientere Den Dataan- svarlige herom.
Databehandleren skal som del af databehandleraftalen assistere Den Dataansvarlige med at overholde de forpligtelser, der påhviler Den Dataansvarlige efter den til enhver tid gældende persondatalovgivning, hvor databehandlerens assistance er forudsat og/eller nødvendig for, at den Dataansvarlige kan overholde disse forpligtelser. Dette indbefatter, men er ikke begrænset til, Databeskyttelsesforordningens artikel 32-36 fra og med den 25. maj 2018.
Databehandleren må ikke behandle personoplysningerne til andre formål end de i af- snit 2 angivne, med mindre databehandleren er forpligtet hertil efter EU-retten eller lovgivningen i en EU-medlemsstat. I givet fald skal databehandleren underrette Den Dataansvarlige om denne juridiske forpligtelse, forinden behandlingen påbegyndes. Dette gælder dog ikke, såfremt pågældende lovgivning på baggrund af væsentlige of- fentlige interesser forbyder en sådan underretning.
4 Håndtering af henvendelser fra og orienteringer til myndighe- der og de registrerede
Databehandleren skal deltage i eventuelle drøftelser med Datatilsynet og indarbejde eventuelle anbefalinger og/eller påbud mv. fra tilsynet vedrørende behandling af per- sonoplysninger.
Databehandleren skal straks orientere Den Dataansvarlige, såfremt Datatilsynet retter henvendelse til databehandleren vedrørende behandling af personoplysninger omfat- tet af Databehandleraftalen.
Databehandleren forpligter sig endvidere til uden unødigt ophold at orientere Den Da- taansvarlige om enhver anmodning om videregivelse af personoplysninger omfattet af Databehandleraftalen fra en myndighed, medmindre orienteringen af Den Dataansvar- lige er eksplicit forbudt ved lov, f.eks. i medfør af regler, der har til formål at sikre for- troligheden af en retshåndhævende myndigheds efterforskning.
Databehandleren skal straks assistere Den Dataansvarlige med håndtering af enhver henvendelse fra en registreret person, som der behandles oplysninger om, herunder anmodning om indsigt, berigtigelse, blokering eller sletning, hvis de relevante person- oplysninger behandles af databehandleren.
Databehandleren skal på opfordring fra Den Dataansvarlige hjælpe med at opfylde Den Dataansvarliges forpligtelser i forhold til den registreredes rettigheder, herunder be- svarelse af anmodninger fra de registrerede om indsigt i egne oplysninger, udlevering af de registreredes oplysninger, rettelse og sletning af oplysninger, begrænsning af be- handling af de registreredes oplysninger, samt Den Dataansvarliges forpligtelser i for- hold til underretning af den registrerede ved sikkerhedsbrud, fra 25. maj 2018 i medfør af Databeskyttelsesforordningens kap. III samt artikel 34.
5 Informationssikkerhed og databeskyttelse
Databehandleren garanterer fra 25. maj 2018 at levere tilstrækkelig ekspertise, pålide- lighed og ressourcer til at implementere passende tekniske og organisatoriske sikker- hedsforanstaltninger sådan, at Databehandlerens behandling af personoplysninger op- fylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registrere- des rettigheder.
Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforan- staltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med den til enhver tid gældende lovgivning.
Databehandleren skal fra 25. maj 2018 iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende sikkerhedsniveau.
Databehandleren skal én gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandlingen af personoplysninger med henblik på at sikre, at de for- nødne sikkerhedsforanstaltninger til stadighed er iagttaget.
5.1 Adgang til personoplysninger
Databehandleren har begrænset adgangen til personoplysninger i de systemer, som understøtter Databehandlerens ydelser som nævnt i Afsnit 1, til kun de relevante medarbejdere og denne adgangsbegrænsning er endvidere dokumenteret for hvert system. Databehandleren kontrollerer sine medarbejderes adgange til systemerne som minimum halvårligt. Alle handlinger i Databehandlerens systemer, hvori der indgår personoplysninger, logges. Uden for Databehandlerens adresser kan syste- mer, hvori personoplysninger behandles, kun tilgås af Databehandlerens medarbej- dere via multifaktorvalidering og krypteret forbindelse. Overførsel af personoplys- ninger sker med brug af kryptering.
5.2 Kontrol med informationssikkerhed og databeskyttelse
Databehandleren skal på Den Dataansvarliges anmodning give Den Dataansvarlige til- strækkelige informationer til, at denne kan påse, at Databehandleren overholder de krav, der følger af denne Databehandleraftale.
Den Dataansvarlige, en repræsentant for Den Dataansvarlige eller dennes revision (så- vel intern som ekstern) har adgang til at foretage inspektioner og revision hos Databe- handleren med henblik på at konstatere, at Databehandleren overholder de krav, der følger af denne Databehandleraftale.
5.3 Informationssikkerhedsbrud og brud på persondatasikkerheden
I tilfælde af informationssikkerhedsbrud og brud på persondatasikkerheden, skal data- behandleren straks orientere Den Dataansvarlige herom. Databehandleren skal heref- ter uden unødigt ophold, dog senest 24 timer efter informationssikkerhedsbruddet, rapportere til Den Dataansvarlige.
Rapporteringen skal som minimum indeholde:
• En beskrivelse af sikkerhedsbruddet, herunder, hvis det er muligt, det estimerede antal berørte personer
• En beskrivelse af planlagte og iværksatte foranstaltninger til at håndtere sikker- hedsbruddet
• Et kontaktpunkt, hvor yderligere oplysninger kan indhentes.
Databehandleren er forpligtet til at føre en fortegnelse over informationssikkerheds- brud og brud på persondatasikkerheden. Samt forpligtiget til ikke at kommunikere om sikkerhedsbrud, hverken offentligt eller til tredjeparter, medmindre der er en retlig forpligtelse herfor.
6 Aftaler med en anden databehandler
I tilfælde af brug af andre databehandlere, fx underleverandører, skal Databehandle- ren udarbejde en skriftlig underdatabehandleraftale med den anden databehandler (herefter underdatabehandleren).
Underdatabehandleraftalen skal pålægge underdatabehandleren de samme databe- skyttelsesforpligtelser, som Databehandleren er pålagt efter denne Databehandleraf- tale, herunder, at underdatabehandleren fra 25. maj 2018 garanterer at kunne levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at kunne implementere de pas- sende tekniske og organisatoriske foranstaltninger således, at underdatabehandlerens behandling opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.
Når Databehandleren overlader behandlingen af personoplysninger, som Den Dataan- svarlige er dataansvarlig for, til underdatabehandlere, har Databehandleren over for Den Dataansvarlige ansvar for underdatabehandlernes overholdelse af disse forpligtel- ser.
Den Dataansvarlige kan til enhver tid forlange dokumentation fra Databehandleren for eksistensen og indholdet af underdatabehandleraftaler for de underdatabehandlere, som Databehandleren anvender i forbindelse med opfyldelse af de formål, som er an- givet i afsnit 2, samt dokumentation for underdatabehandleres efterlevelse af under- databehandleraftalerne.
Databehandleren anvender pr. marts 2018 følgende underdatabehandlere:
- For den didaktiske tjeneste SøgSmart: Dream Design ApS (placeret i Holland)
- For kursusadministrationssystemet Cube: Delta Design ApS (placeret i Dan- mark)
- For udlånsadministrationssystemet Dantek: Systematic A/S (placeret i Xxx- xxxx)
For øvrige tjenester, som Databehandleren stiller til rådighed, anvendes ikke underda- tabehandlere.
Databehandleren opdaterer løbende denne liste. Den Dataansvarlige kan til enhver tid forlange en opdateret liste over underdatabehandlere fra Databehandleren.
Eventuel kommunikation via den Dataansvarlige og Databehandlerens underdatabe- handlere skal ske via Databehandleren.
7 Overførsel af oplysninger
Databehandleren overfører ikke personoplysninger til lande uden for det Europæiske Økonomiske Samarbejdsområde.
8 Tavshedspligt
Databehandleren skal holde personoplysningerne fortrolige, og er således alene beret- tiget til at anvende personoplysningerne som led i opfyldelsen af de formål som nævnt under afsnit 2.
Databehandleren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af Den Dataansvarliges personoplysninger, om Databe- handlerens forpligtelser, herunder at personoplysninger skal behandles fortroligt.
Databehandleren skal fra 25. maj 2018 sikre, at alle, der behandler oplysninger omfat- tet af Databehandleraftalen, herunder ansatte, tredjeparter (f.eks. en reparatør) og underdatabehandlere, forpligter sig til fortrolighed eller er underlagt en passende lov- bestemt tavshedspligt. Tavshedspligten er også gældende efter kontraktens ophævelse.
9 Sletning af data og varighed af databehandleraftalen
Databehandleraftalen gælder så længe, som databehandleren behandler Den Dataan- svarliges oplysninger.
Den Dataansvarlige træffer beslutning om, hvorvidt der skal ske sletning eller tilbagele- vering af personoplysningerne efter, at behandlingen af personoplysningerne er op- hørt. I det tilfælde, hvor personoplysningerne tilbageleveres til Den Dataansvarlige,
skal Databehandleren ligeledes slette eventuelle kopier. Databehandleren skal sikre, at eventuelle underdatabehandlere ligeledes efterlever Den Dataansvarliges beslutning.
Databehandleren skal fremsende dokumentation for, at den påkrævede sletning er fo- retaget.
10 Tiltrædelse
Ovenstående tiltrædes hermed med virkning fra Databehandleraftalens underskrift:
, den (Sted) (Dato) på vegne af (underskrivers navn) (Institutionsnavn) For Den Dataansvarlige | København, den 25. marts 2019 Xxxxx Xxxxx på vegne af formandskabet for CFU Danmark For Databehandleren |