Aftale om brug af Danmarks Miljøportals Brugeradministration

Aftale om brug af Danmarks Miljøportals Brugeradministration

Denne aftale (herefter Aftalen) indgås mellem parterne:

Danmarks Miljøportal, Fællesoffentligt Partnerskab mellem Miljøministeriet, KL og Danske Regioner, Xxxxxxxxxx 00, 0000 Xxxxxxxxx X, XXX. Nr. 29776938, EAN nr. 5798000871007

Og (indsæt oplysninger)

Navn/Virksomhed/Organisation:

Vej, nr.:

Postnr., by:

CVR nr.:

EAN nr.:

Kontaktperson:

(herefter kaldet Organisationen).

1. Indledning

Danmarks Miljøportal er et fællesoffentligt partnerskab mellem staten (repræsenteret ved Miljøministeriet), kommunerne og regionerne. Partnerskabet er en selvstændig juridisk enhed ejet af parterne med fordelingsnøglen 45% staten, 45% kommunerne og 10% regionerne. Parterne hæfter solidarisk. Danmarks Miljøportals øverste myndighed er bestyrelsen, som består af to repræsentanter for hver af parterne.

2. Danmarks Miljøportals instruktioner

Danmarks Miljøportal har udarbejdet en række instruktioner (vejledninger og adgangspolitikker) til Organisationen om Danmarks Miljøportals brugeradministrationssystem. Organisationens brugeradministratorer skal anvende instruktionerne ved tildeling af adgangsrettigheder (roller) til brugere inden for egen organisation til de databaser, der udstilles på Danmarks Miljøportal.

Vejledninger, adgangspolitikker, der indeholder løsningsforslag på hyppige spørgsmål vedrørende installation m.m., er tilgængelige enten på Danmarks Miljøportals Help Center.

3. Generelle sikkerhedsbestemmelser

Begge parter skal ved administration af brugere og miljøfaglige data o.l. overholde reglerne i gældende lovgivning vedrørende krav til såvel digital som fysisk sikkerhed.

Begge parter skal desuden have etableret egne sikkerhedspolitikker fx i overensstemmelse med ISO 27001 med senere ændringer/versioner eller baseret på andre af parterne valgte principper, som sikrer en tilfredsstillende sikkerhed.

Parterne skal fastlægge nærmere interne bestemmelser om sikkerhedsforanstaltninger til uddybning af disse generelle sikkerhedsbestemmelser. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationer samt kontrol med

autorisationer.

Parterne skal endvidere hver især fastsætte instrukser, der beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af it- udstyr. Desuden skal parterne fastsætte retningslinjer for tilsyn med, at sikkerhedsforanstaltningerne overholdes.

Parterne skal desuden sikre, at data eller filer, som udveksles via løsningen, er beskyttet mod virus mv. ved anvendelse af gængse og opdaterede antivirusprogrammer og lignende foranstaltninger.

Parterne skal til stadighed overholde god it-sikkerhedspolitik, som fastlagt ved sædvane eller gældende standarder.

4. Organisatoriske krav hos Organisationen ved brug af brugeradministrationssystemet

Med henblik på, at sikre en forsvarlig administration af adgangskontrolordninger og autorisationer i forbindelse med Organisationens anvendelse af Danmarks Miljøportals brugeradministrationssystem, skal Organisationen etablere processer for brugeradministration i egen organisation inklusive oprettelse, nedlæggelse, identifikation og autentifikation. Processerne skal tage højde for, at brugeres rettigheder til Danmarks Miljøportal tildeles i overensstemmelse med Danmarks Miljøportals adgangspolitik, samt at de løbende holdes ajour, når brugerens arbejdsopgaver ophører eller ændres, eller når adgangspolitikken revideres.

Organisationen må alene oprette brugere, der har et berettiget formål med at få adgang til de databaser, der er tilkoblet brugeradministrationssystemet.

Organisationen skal instruere sine lokale brugeradministratorer om at overholde Danmarks Miljøportals instruktioner hvad angår brugeradministration.

Organisationen skal opretholde den tekniske sikkerhed i egne systemer, herunder særligt beskyttelse af private nøgler, der anvendes som adgangstoken, samt systemer hvori rettighedsoplysninger administreres samt lagres.

I det omfang Organisationen har behov for at lade eksterne brugere udføre aktiviteter i databaserne på vegne af Organisationen, er Organisationen ansvarlig for de eksterne brugeres aktiviteter, og Organisationen forpligter sig til særligt at sikre, at disse eksterne brugere følger og overholder de samme retningslinjer, der er gældende for Organisationen.

Organisationen har ansvaret for at holde alle informationer, der er relateret til brugerens identitet (dvs. brugerattributter) og rolletildelinger, opdaterede. Organisationen har herunder ansvar for uden ugrundet ophold, at forhindre adgang til brugerkonti for brugere, der ikke længere arbejder hos - eller på vegne - af Organisationen.

Organisationen skal årligt gennemgå egne adgangspolitikker og instrukser med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i Organisationen og efterlever kravene fra Danmarks Miljøportal angående brugeradministration.

I bilag 2 er vedhæftet en vejledende tjekliste til brug for interne kontrolprocesser.

5. Tekniske standarder

Parterne skal anvende gældende Danmarks Miljøportal standarder.

Såfremt Organisationen anvender den centrale opkobling til Danmarks Miljøportals servere, vil de tekniske krav til kommunikation om udstedelse af adgangstoken og deres autenticitetssikringsniveau automatisk være opfyldt.

6. Danmarks Miljøportals logning

Danmarks Miljøportal logger alle Organisationens brugerdata i brugeradministrationssystemet, herunder personoplysninger og sikkerhedsrelaterede hændelser, afvigelser og brugeraktiviteter.

Danmarks Miljøportal logger ligeledes afviste adgangsforsøg baseret på afviste adgangstoken. En afvisning af et

adgangstoken kan fx skyldes udløbet af et adgangstoken, en forkert signatur, manglende rettigheder osv.

Danmarks Miljøportal registrerer i loggen en unik nøgle til identifikation af brugeren, der anvender et adgangstoken til at tilgå data i de (fag)systemer, der kan tilgås via Danmarks Miljøportal. Det skal muliggøre samstilling af data med Organisationens log af brugerens aktiviteter i Danmarks Miljøportal.

Danmarks Miljøportal opbevarer af efterforskningsmæssige hensyn en transaktionslog i en periode på fem år fra seneste loghændelse(r).

7. Revision

Organisationens udstedelse af adgangstoken og efterlevelse af Danmarks Miljøportals adgangspolitik indgår i Organisationens ordinære it-revision på linje med it-revision af adgangspolitikker, brugerrettighedsstyring og teknisk sikkerhed i interne it-systemer mv. Såfremt en it-revision viser, at Organisationen ikke kan leve op til kravene om sikkerhed og adgangspolitikker, skal dette straks meddeles til Danmarks Miljøportal med en plan for afhjælpning.

8. Servicemål og support

Driften af brugeradministrationssystemet varetages på vegne af Danmarks Miljøportal af en driftsleverandør. Kravet til driftsleverandøren til systemets oppetid er 99,9 % på arbejdsdage i tidsrummet fra 8-17.

Organisationen varetager selv 1st level support direkte til dennes egne brugere. Danmarks Miljøportal tilbyder support i forbindelse med login på arbejdsdage via Danmarks Miljøportals support. Desuden tilbyder Danmarks Miljøportal 2nd level support til Organisationen i relevant omfang.

9. Samarbejde

For parter, som ikke benytter fødereret login, er det påkrævet, at Organisationen minimum udpeger to brugeradministratorer, så Danmarks Miljøportal med stor sandsynlighed kan opnå kontakt med en af Organisationens brugeradministratorer. For brugeradministratorer skal der være opgivet et telefonnummer, således at Danmarks Miljøportals support har mulighed for at kontakte vedkommende.

Kontaktperson fra Danmarks Miljøportal om Danmarks Miljøportals brugeradministration oplyses af Danmarks Miljøportals support via mail xxxxxxx@xxxxxxxxxxxx.xx samt via telefon 0000 0000.

Hver part er forpligtet til at sikre den løbende opdatering af kontaktoplysningerne.

10. Tavshedspligt

Parternes administratorer, herunder dennes medarbejdere og eksterne brugere på vegne af Organisationen, der eventuelt arbejder med personhenførbare eller fortrolige data via Danmarks Miljøportal, er undergivet sædvanlig tavshedspligt.

11. Rettigheder

Aftalen medfører ikke nogen overdragelse af ejendoms- eller ophavsret til Danmarks Miljøportals databaser eller til Brugeradministrationssystemet til Organisationen.

Ansvaret for kvaliteten af brugerdata, der inddateres af Organisationen i Danmarks Miljøportal samt, dokumentation og ajourføring heraf påhviler Organisationen.

Danmarks Miljøportal har ubetinget ret til at behandle og genanvende indberettet data i overensstemmelse med gældende lovgivning.

12. Opfølgning vedrørende brud på sikkerhed

Parterne har pligt til straks at underrette hinanden ved sikkerhedshændelser, som kan påvirke den anden part. Parterne har pligt til uden forsinkelse at medvirke ved afdækning samt afhjælpning af sikkerhedshændelser, fx ved at

gennemgå logs.

Såfremt Danmarks Miljøportal eller Organisationens administratorer eller brugere forårsager sikkerhedsbrud, er begge parter forpligtet til at rette alle fejl og mangler i relation til sikkerhedsbruddet uden ugrundet ophold efter disse er konstateret.

Parterne skal aktivt tage skridt til at sikre, at sikkerhedsbrud ikke kan gentages.

13. Ændringer og opgraderinger

Danmarks Miljøportal opgraderer løbende Danmarks Miljøportals brugeradministrationssystem og/eller ændrer den tekniske eller organisatoriske infrastruktur i Danmarks Miljøportal i hhv. databaserne og/eller fagapplikationerne.

Større ændringer hos en eller begge parter som følge af væsentlige organisatoriske ændringer, der berører brugernes rettigheder, teknologiske opgraderinger, certifikatfornyelser, ændring af Danmarks Miljøportals adgangspolitik eller lignende, skal varsles mindst 90 dage inden ændringer foretages, således at den anden part kan afse ressourcer til at foretage eventuelle nødvendige ændringer.

Hver part er forpligtet til at afholde evt. egne udgifter i forbindelse med ændringer og tilpasninger af eget(egne) system(er) ved ændringer.

Danmarks Miljøportal påtager sig intet ansvar for eventuelle tab, meromkostninger o.l. hos Organisationen som følge af opgraderinger og/eller tekniske og organisatoriske ændringer.

Mindre ændringer kan ske med 30 dages varsel.

Varslinger om ændringer annonceres på Danmarks Miljøportal' s hjemmeside, xxx.xxxxxxxxxxxx.xx.

I det omfang Danmarks Miljøportal vurderer, der er behov for ændring af Aftalens vilkår som følge af tekniske, organisatoriske eller lovgivningsmæssige forhold, vil dette ske ved skriftlig henvendelse direkte til Organisationen, jf. afsnit 17 nedenfor.

14. Misligholdelse og ansvar

Parterne er hver især ansvarlige for overholdelsen af nærværende Aftale. Dansk rets almindelige regler om misligholdelse og misligholdelsesbeføjelser finder anvendelse for Aftalen.

I det omfang Organisationen udøver skade på brugeradministrationssystemet, misbruger brugerdata og som forårsager et tab herved, er Organisationen forpligtet til at holde Danmarks Miljøportal skadesløs for enhver omkostning i forbindelse med det direkte tab, som Danmarks Miljøportal måtte have i forbindelse med udbedring af disse forhold. Erstatning ved direkte tab er begrænset til 5 xxx.xx. Danmarks Miljøportals bestyrelse skal for hver konkret sag vurdere og beslutte hvorvidt, der skal opkræves erstatning.

Der kan ikke kræves erstatning fra nogen af parterne for indirekte tab og følgeskader, såsom driftstab, tabt fortjeneste, rentetab og mistede besparelser. Tab af data anses for indirekte tab, bortset fra tilfælde, hvor dette skyldes Organisationens misbrug af adgangspolitikker og sikkerhedskrav eller anden datahåndtering, hvor dette er omfattet af Aftalen.

Foranstående begrænsninger, gælder kun, såfremt tabet ikke kan henføres til grov uagtsomhed eller forsætlige forhold hos den skadevoldende part.

15. Ophævelse

Såfremt en part væsentligt misligholder sine forpligtelser, og ikke ophører hermed senest 10 dage efter skriftligt at være anmodet herom, kan den anden part skriftligt og uden varsel hæve Aftalen.

I tilfælde af alvorlige sikkerhedsbrud skal Danmarks Miljøportal træffe nødvendige foranstaltninger, fx ved straks at

lukke for Organisationens adgangstoken samt eventuelt politianmelde væsentlige sikkerhedsbrud.

16. Overdragelse

Organisationen er ikke berettiget til at overdrage eller på anden måde overføre rettigheder og forpligtelser i henhold til Aftalen til tredjemand, uden skriftlig tilladelse fra Danmarks Miljøportal.

Danmarks Miljøportal kan overdrage rettigheder og forpligtelser til en anden organisation eller til tredjepart.

17. Lovvalg og tvister

Aftalen er undergivet dansk ret, og hvor ikke andet er anført gælder dansk rets almindelige regler i parternes indbyrdes forhold.

Såfremt der opstår en uoverensstemmelse mellem parterne i forbindelse med Aftalen, skal parterne med en positiv, samarbejdende og ansvarlig holdning søge at løse tvisten, evt. ved inddragelse af mediation.

Kan tvisten herefter fortsat ikke løses, er hver af parterne berettiget til at kræve tvisten løst endeligt ved de almindelige domstole.

18. Ikrafttræden, varighed og opdateringer

Aftalen er gældende ved begge parters underskrifter. Aftalen kan opsiges af begge parter med 6 måneders varsel.

Organisationen tilslutter sig hermed Aftalen med Danmarks Miljøportal med henblik på at få adgang til databaserne via Danmarks Miljøportals brugeradministrationssystem. Aftalen erstatter eventuelle tidligere aftaler indgået mellem parterne om adgang til Danmarks Miljøportals databaser via brugeradministrationssystemet.

Aftalen kan opdateres af Danmarks Miljøportal i nødvendigt omfang, forudsat at sådanne opdateringer er godkendt af Danmarks Miljøportals bestyrelse. Sådanne opdateringer skal anses for gældende, når Organisationen har modtaget skriftlig meddelelse herom. Dog skal opdateringer, som må anses for at påføre Organisationen øgede forpligtelser, først anses for gældende 90 dage efter, at Organisationen har modtaget skriftlig meddelelse om opdateringen.

19. Brugeroplysninger

Danmarks Miljøportal forbeholder sig ret til at benytte brugeroplysninger, når formålet er at informere brugerne om forhold, der vedrører Danmarks Miljøportal i forhold til deres brug af fagsystemerne. Brugeroplysningerne videregives ikke til tredjepart.

Bilag 1 til delaftale 1: Instruks fra Organisationen til Danmarks Miljøportal vedrørende behandling af persondata i relation til brugeradministration

Danmarks Miljøportal handler alene efter instruks fra den dataansvarlige Organisation (brugerorganisation) vedrørende behandlingen af personoplysninger om Organisationens medarbejdere i forbindelse med brugeradministration.

Behandlingen sker alene med henblik på, at Organisationens medarbejdere kan få tildelt adgang til databaser på Danmarks Miljøportal. For øvrig behandling af personoplysninger i Danmarks Miljøportal har parterne et delt dataansvar, jf. Delaftale 2.

Danmarks Miljøportal skal i forhold til den ovenfor nævnte behandling træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen om behandling af

personoplysninger. Danmarks Miljøportal skal på den dataansvarliges anmodning give den dataansvarlige tilstrækkelige

oplysninger til, at denne kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet.

I relation til den ovenfor nævnte behandling gælder i øvrigt følgende vilkår, jf. Databeskyttelsesforordningens artikel

28:

Generelle krav

• Genstanden for behandlingen: behandling af data om Organisationens medarbejdere til brug for administration af brugerrettigheder på Danmarks Miljøportal

• Varigheden af behandlingen: I Aftalens løbetid

• Behandlingens karakter: Se ovenfor

• Typen af personoplysninger: Navn, e-mail, certifikat, tildelte roller og lignende oplysninger

• Kategorier af registrerede: Brugere af Danmarks Miljøportals brugeradministrationssystem

Instruks

Danmarks Miljøportal må kun behandle personoplysningerne på baggrund af dokumentet instruks fra Organisationen (den dataansvarlige). Instruksen går generelt ud på, at Danmarks Miljøportal alene må behandle oplysninger om Organisationens medarbejdere i forbindelse med brugeradministration, herunder at Organisationens medarbejdere kan få tildelt adgang til databaser på Danmarks Miljøportal. Organisationen kan herudover give Danmarks Miljøportal en supplerende, individuel

instruks.

• Danmarks Miljøportal skal underrette den dataansvarlige, hvis en instruks efter dennes vurdering er i strid med EU-retten eller national lovgivning.

• Danmarks Miljøportal må dog herudover behandle personoplysninger udenfor instruks, hvis påkrævet i henhold til EU-retten eller national lovgivning, som databehandleren er underlagt. I så fald skal databehandleren som udgangspunkt underrette Organisationen.

• Personer hos Danmarks Miljøportal, der er autoriseret til at behandle personoplysningerne, skal forpligte sig til fortrolighed eller være underlagt lovbestemt tavshedspligt.

Den dataansvarliges forpligtelser

• Organisationen skal sikre og har ansvaret for at have hjemmel til behandling af de pågældende personoplysninger og har ansvaret udadtil overfor den registrerede.

Behandlingssikkerhed

• Danmarks Miljøportal skal etablere/iværksætte passende sikkerhedsforanstaltninger med henblik på at beskytte personoplysningerne som nærmere beskrevet i selve Aftalen.

Brug af underdatabehandlere

• Danmarks Miljøportal skal ved brug af underdatabehandlere enten have en forudgående godkendelse fra den dataansvarlige.

• Danmarks Miljøportal skal ved brug af underdatabehandlere indgå en separat databehandleraftale mellem databehandleren og underdatabehandleren, som pålægger de samme databeskyttelsesforpligtelser, som dem der er fastsat i denne aftale.

Kontroller og erklæringer

• Danmarks Miljøportal skal stille alle de oplysninger til rådighed for Organisationen, som er nødvendige for at påvise overholdelse af denne aftale og de til enhver tid gældende persondataretlige regler, for så vidt angår de

personoplysninger Danmarks Miljøportal behandler på vegne af den

Organisationen.

• Danmarks Miljøportal skal give mulighed for og bidrage til revisioner, herunder inspektioner, der foretages af Organisationen eller en anden revisor, som er bemyndiget af Organisationen.

Bistandsforpligtelser

• Danmarks Miljøportal skal - under hensyn til behandlingens karakter og de oplysninger der er tilgængelige for Danmarks Miljøportal - bistå Organisationen med at sikre dennes overholdelse af forpligtelserne som anført i artikel 32-36 i Databeskyttelsesforordningen om

o Sikkerhedsforanstaltninger

o Anmeldelse ved sikkerhedsbrud

o Underretning om brud til den registrerede

o Gennemførelse af konsekvensanalyser og eventuel forudgående høring af databeskyttelsesmyndigheden.

• Danmarks Miljøportal skal – ved hjælp af passende tekniske og organisatoriske foranstaltninger - bistå Organisationen med at opfylde dennes forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder, herunder om indsigt, berigtigelse, begrænsning, sletning, indsigelse og dataportabilitet.

Overførsel til tredjelande

• Danmarks Miljøportal må ikke forårsage eller tillade, at personoplysninger overføres til lande udenfor EU/EØS, medmindre en sådan overførsel er forudsat i instruksen eller Organisationen har givet sit forudgående skriftlige samtykke hertil.

Varighed og ophør

• Danmarks Miljøportal skal på Organisationens anmodning og efter Organisationens valg slette eller tilbagelevere alle personoplysninger til Organisationen, samt slette eksisterende kopier medmindre EU-retten eller national lovgivning foreskriver opbevaring af personoplysningerne.

Det præciseres for god ordens skyld, at ovenstående vilkår alene gælder for Danmarks Miljøportals behandling af oplysninger om Organisationens medarbejdere i relation til brugeradministration – og ikke for behandling af oplysninger i Danmarks Miljøportal, som parterne har et fælles dataansvar for.

Danmarks Miljøportal.

PARTERNES UNDERSKRIFTER FOR BEGGE DELAFTALER

Dato: 29. april 2020

Sekretariatsleder Xxxx Xxxxxxx

Danmarks Miljøportal

Dato:

Underskriftsberettiget for Organisationen

(Angiv underskriverens navn og stilling med blokbogstaver)