Databehandleraftale
Databehandleraftale
Mellem
Den dataansvarlige:
[Navn]
CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land]
og
Databehandleren Net-nurse A/S CVR 3227 9848
Xxxxxxxxxxxx 00
4140 Borup Danmark
Databehandleraftale (tillæg til gældende ”Institutionsaftale” mellem aftaleparterne)
Introduktion
Begge Parter bekræfter, at undertegnede har fuldmagt til at indgå denne databehandlingsaftale (“Aftalen”). Nærværende Aftale indgår i og regulerer bestemmelserne om behandling af persondata, som følger af den mellem parterne indgåede institutionsaftale.
Definitioner
Behandling af persondata, den Registrerede, den Dataansvarlige og Databehandler skal have den betydning, som følger af gældende lovgivning om behandling af personoplysninger.
Databehandlerens opgave er at alene at foretage service af softwaren, herunder:
Assistere den Dataansvarlige i forbindelse med at understøtte fejlsøgning, udvikling og test i Net-nurse- softwaren, samt at den kunne hjælpe den Dataansvarlige i forbindelse med systemdrift, systemvedligehold, systemudvikling af Net-nurse-softwaren.
Denne Aftale har forrang for eventuelle modstridende bestemmelser om Behandling af personoplysninger i Institutionsaftalen eller andre mellem Parterne indgåede aftaler. Denne Aftale gælder, så længe Parterne har en gyldig Institutionsaftale, der omfatte af Behandling af personoplysninger.
Databehandlerens forpligtelser
Databehandler forpligter sig til alene at behandle personoplysninger på vegne af og på baggrund af instrukser fra den Dataansvarlige. Ved indgåelse af denne Aftale giver den Dataansvarlige instrukser til Databehandler om, at behandling af personoplysninger skal ske på følgende måde: i) alene i overensstemmelse med gældende lovgivning, ii) for at opfylde alle forpligtelser i henhold til bestemmelserne i Institutionsaftalen, iii) som nærmere angivet via den Dataansvarliges almindelige brug af Databehandlerens tjenester, og iv) som angivet i denne Aftale.
Databehandler har ingen grund til at tro, at gældende lovgivning forhindrer Databehandler i at opfylde ovennævnte instrukser. Databehandler skal, hvis Databehandler bliver bekendt dermed, give den Dataansvarlige meddelelse om instrukser eller andre behandlingsrelaterede forhold fra den Dataansvarliges side, som efter Databehandlerens mening er i strid med gældende lovgivning om behandling af personoplysninger.
Kategorier af Registreredes og personoplysninger, der er underlagt behandling i henhold til denne Aftale, fremgår af Bilag A.
Databehandler skal sikre, at personoplysningerne er underlagt fortrolighed, integritet og tilgængelighed i henhold til gældende lovgivning om behandling af personoplysninger. Databehandler skal indføre systematiske, organisatoriske og tekniske foranstaltninger til sikring af et passende sikkerhedsniveau under hensyntagen til teknologien og omkostningerne til indførelse i forhold til de risici som behandlingen indebærer, samt arten af de personoplysninger der skal beskyttes.
Databehandler skal bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, så vidt dette er muligt og under hensyntagen til arten af behandlingen og de oplysninger der er til rådighed for Databehandler, for opfyldelse af den Dataansvarliges forpligtelser i henhold til gældende lovgivning om
behandling af personoplysninger til at svare på anmodninger fra Registrerede og om generel udøvelse af Registreredes rettigheder i henhold til Databeskyttelsesforordningens Artikel 32 til 36.
Hvis den Dataansvarlige anmoder om oplysninger om sikkerhedsforanstaltninger, dokumentation eller andre former for oplysninger omkring, hvordan Databehandler behandler personoplysninger, og sådanne overskrider de standardoplysninger som Databehandler har stillet til rådighed for opfyldelse af gældende lovgivning om behandling af personoplysninger som Databehandler, og dette medfører ekstra arbejde for Databehandler, er Databehandler berettiget til at opkræve den Dataansvarlige betaling for sådanne ekstra arbejder.
Databehandler og dennes medarbejdere skal sikre fortrolighed vedrørende de behandlede Personoplysninger i henhold til Xxxxxxx. Denne bestemmelse gælder også efter Aftalens ophør.
Databehandler giver, uden unødig forsinkelse, meddelelse til den Dataansvarlige om hændelser som den Dataansvarlige i henhold til lovgivningen er forpligtet til at meddele til Datatilsynet eller Registrerede.
Desuden giver Databehandler i det omfang det er hensigtsmæssigt og lovligt den Dataansvarlige meddelelse om:
i) anmodninger om videregivelse af personoplysninger modtaget fra en Registreret.
ii) anmodninger om videregivelse af personoplysninger fra offentlige myndigheder, såsom politiet.
Databehandler besvarer ikke direkte henvendelser fra Registrerede, medmindre der foreligger samtykke fra den Dataansvarlige. Databehandler videregiver ikke oplysninger personoplysninger til offentlige myndigheder, såsom politiet, medmindre der foreligger lovligt grundlag. Databehandler har ikke ejerskab til eller kontrol med hvorvidt og hvordan den Dataansvarlige vælger at benytte sig af eventuelle tredjeparts integrationer via evt. Databehandler API, via direkte databasekobling eller lignende. Ansvaret for sådanne integrationer med tredjepart påhviler udelukkende Dataansvarlig.
Den Dataansvarliges forpligtelser
Den Dataansvarlige bekræfter ved underskrivelsen af denne Aftale, at:
Den Dataansvarlige er ved brug af de tjenester, som Databehandler stiller til rådighed i henhold til Institutionsaftalen, forpligtet til at behandle personoplysninger i overensstemmelse med bestemmelserne i gældende lovgivning om behandling af personoplysninger.
Den Dataansvarlige har ret til at behandle og videregive de pågældende personoplysninger til Databehandler (herunder alle underdatabehandlere, som benyttes af Databehandler).
Den Dataansvarlige har alene ansvaret for at sikre nøjagtigheden, integriteten, indholdet, pålideligheden og lovligheden af de personoplysninger, der videregives til Databehandler.
Den Dataansvarlige har opfyldt alle obligatoriske krav og forpligtelser til at give meddelelse til eller indhente tilladelse fra de relevante tilsynsmyndigheder i forbindelse med behandling af Personoplysningerne.
Den Dataansvarlige har opfyldt sine forpligtelser om videregivelse af relevante oplysninger til Registrerede vedrørende behandling af personoplysninger i henhold til gældende databeskyttelseslovgivning.
Den Dataansvarlige er ved brug af de tjenester, som Databehandler stiller til rådighed i henhold til Institutionsaftalen, forpligtet til ikke at videregive persondata, medmindre dette udtrykkeligt er aftalt i Bilag A til nærværende Aftale.
Den Dataansvarlige skal føre et opdateret register over typer og kategorier af personoplysninger, som den Dataansvarlige behandler, for så vidt sådan behandling afviger fra de kategorier og typer personoplysninger, som fremgår af Bilag A.
Brug af underdatabehandlere og overførsel af data
Som en del af leveringen af tjenester til den Dataansvarlige i henhold til Institutionsaftalen og denne Aftale har den Dataansvarlige ret til at gøre brug af underdatabehandlere. Disse underdatabehandlere kan være r eksterne tredjepartsleverandører inden for eller uden for EU. Databehandler skal sikre, at underdatabehandlere pålægges de samme forpligtelser, som fastsat i denne Aftale.
Den Dataansvarlige har ret til at anmode om at få et overblik over underdatabehandlere, der aktuelt gøres brug af, med adgang til personoplysninger, som angivet i Bilag B eller xxx-xxxxx.xx ved login som institution. Desuden har den Dataansvarlige ret til at anmode om at få fuldt overblik og mere detaljerede oplysninger om disse underdatabehandlere, der til enhver tid måtte være involveret i Institutionsaftalen.
Databehandler indestår for at ingen data herunder data hos underdatabehandlere forekommer uden for EU.
Den Dataansvarlige skal på forhånd underrettes om eventuel udskiftning af underdatabehandlere, som behandler personoplysninger. Hvis det konstateres, at den nye underdatabehandler ikke overholder gældende lovgivning om behandling af personoplysninger, er den Dataansvarlige berettiget til at opsige nærværende Aftale. En sådan opsigelse kan give ret til opsigelse af Institutionsaftalen, helt eller delvist, alt efter opsigelsesbestemmelserne i Institutionsaftalen. En vigtig del af sådanne vurderinger er, i hvilket omfang underdatabehandlerens behandling af personoplysninger er en nødvendig del af de tjenester, der ydes i henhold til Institutionsaftalen. Udskiftning af underdatabehandler vil ikke i sig selv betragtes som brud på Institutionsaftalen.
Ved underskrivelse af nærværende Aftale accepterer den Dataansvarlige Databehandlerens brug af underdatabehandlere, som beskrevet ovenfor.
Sikkerhed
Databehandler er forpligtet til at sikre et højt sikkerhedsniveau i sine produkter og tjenester. Databehandler yder dette sikkerhedsniveau gennem organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger i henhold til kravene til informationssikkerhedsforanstaltninger, som fremgår af Databeskyttelsesforordningens Artikel 32.
Desuden har de interne rammer for beskyttelse af personoplysninger, som er udarbejdet af net-nurse A/S, til formål at sikre fortroligheden, integriteten, sikkerheden og tilgængeligheden af personoplysninger.
Følgende foranstaltninger har særlig betydning i denne forbindelse:
Klassificering af personoplysninger for at sikre iværksættelse af sikkerhedsforanstaltninger svarende til risikovurderinger.
Vurdering af brug af kryptering og anonymisering som risikobegrænsende foranstaltninger.
Begrænsning af tilgang til personoplysninger for dem, som har brug for adgang til opfyldelse af forpligtelser i henhold til nærværende Aftale eller Institutionsaftalen.
Kontrolsystemer, der registrerer, genopretter, forebygger og rapporterer brud i forbindelse med behandling af personoplysninger.
Brug af sikkerheds selvevalueringer for at analysere, om aktuelle tekniske og organisatoriske foranstaltninger er tilstrækkelige til at beskytte personoplysninger under hensyntagen til de krav, der fremgår af gældende lovgivning om behandling af personoplysninger.
Kontrol
Den Dataansvarlige kan foretage kontrol for at påse, at Databehandler overholder denne Aftale, op til 1 gang om året. Hvis det er et lovkrav gældende for den Dataansvarlige, kan den Dataansvarlige anmode om hyppigere kontrol. For at anmode om at foretage en kontrol skal den Dataansvarlige fremsende en detaljeret kontroloversigt mindst fire uger forud for den foreslåede kontroldato til Databehandler med beskrivelse af det foreslåede omfang, varighed og starttidspunkt for kontrollen. Hvis tredjeparter skal foretage kontrollen, skal det som hovedregel aftales mellem Parterne. Hvis behandling sker i et
“multitenant” miljø eller lignende, giver den Dataansvarlige Databehandler ret til at bestemme, af sikkerhedsmæssige årsager, at kontrollerne skal foretages af en neutral tredjepartskontrollant efter Databehandlerens valg.
Hvis det anmodede kontrolomfang er behandlet i ISAE, ISO eller lignende sikkerhedsrapport, varetaget af en kvalificeret tredjepartskontrollant inden for de sidste 12 måneder, og Databehandler bekræfter, at der ikke er foretaget nogle væsentlige ændringer i de kontrollerede foranstaltninger, bekræfter den Dataansvarlige, at sådanne resultater accepteres i stedet for at anmode om en ny kontrol af de foranstaltninger, der er omfattet af rapporten.
I alle tilfælde skal kontroller foretaget inden for normal arbejdstid på det pågældende sted, i medfør af Databehandlerens politikker, og må ikke på urimelig måde gribe forstyrrende ind i Databehandlerens forretningsdrift.
Den Dataansvarlige afholder alle omkostninger i forbindelse med den Dataansvarliges anmodede kontroller. Bistand fra Databehandler, som overstiger den standardydelse, som Databehandler stiller til rådighed for opfyldelse af gældende lovgivning om behandling af personoplysninger, vil blive pålagt et gebyr.
Varighed og ophør
Denne Aftale er gældende så længe Databehandler behandler personoplysninger på vegne af den Dataansvarlige i henhold til Institutionsaftalen. Aftalen ophører automatisk ved opsigelse af aftalen. Ved denne Aftales ophør sletter eller returnerer Databehandler, de på vegne af den Dataansvarlige behandlede personoplysninger i henhold til de gældende bestemmelser i Institutionsaftalen. Medmindre andet er skriftligt aftalt, tager omkostninger til sådanne foranstaltninger udgangspunkt i: i) timetakst for den tid Databehandler har brugt, og ii) sværhedsgraden af den anmodede behandling.
Databehandler kan tilbageholde personoplysninger efter opsigelse af Aftalen i det omfang det er påkrævet ved lov, som er underlagt samme tekniske og organisatoriske sikkerhedsforanstaltninger, som fremgår af denne Aftale.
Ændringer og tilføjelser
Ændringer til Xxxxxxx skal udfærdiges i et nyt tillæg til denne Aftale og underskrives af begge Parter for at være gyldige.
Hvis nogen bestemmelse i denne Aftale bliver ugyldig, påvirker dette ikke gyldigheden af de øvrige bestemmelser. Parterne skal erstatte den ugyldige bestemmelse med en lovlig bestemmelse, der afspejler formålet med den ugyldige bestemmelse.
Ansvar
Begge Parter har et individuelt ansvar og skal holdes selvstændigt ansvarlig for at betale alle bøder som tillægges den respektive Part i henhold til GDPR. Ansvaret for øvrige brud på denne Aftale eller GDPR reguleres af Institutionsaftalen som foreligger mellem Parterne. Dette gælder også for afvigelser/ hændelse forårsaget af Databehandler eller dennes underleverandører.
Lovvalg og værneting
Denne Aftale er underlagt gældende ret og værneting, som anført i den mellem parterne indgåede Serviceaftale.
Underskrift: (Elektronisk eller printet accept)
Virksomhed: [Angiv institutionsnavn]
På vegne af den dataansvarlige: På vegne af databehandler
Navn: | [Angiv navn] |
Stilling: | [Angiv stilling] |
Dato: | [Angiv dato] |
Underskrift: | [Anfør underskrift] |
Navn: | Xxxxx Xxxx Xxxxxx |
Stilling: | Direktør, net-nurse A/S |
Dato: | [Angiv dato] |
Underskrift: | [Anfør underskrift] |
Bilag A - Kategorier af Personoplysninger og Registrerede mm.
1. Kategorier af Registrerede og Personoplysninger, som omfattes af Behandling i denne Aftale
a. Kategorier af Registrerede Dataansvarliges brugere af Tjenesterne Kontaktpersoner til kontraherende enhed
b. Kategorier af Personoplysninger mm.
De personoplysninger, som behandles inden for Tjenesten er:
Navn, mobiltelefonnummer og e-mailadresse, hvilke aftaler den registrerede indgår med Dataansvarlig, samt transaktioner hvor registrerede er indblandet, samt evt. noteringer, som brugeren foretager sig inden for hver aftaleproces.
c. Behandling af Personoplysninger - objekter og formål
Databehandler behandler Personoplysningerne på brugerens (registrerede medarbejdere) vegne, med det formål at kunne give kundens brugere adgang til Tjenesten, og for at dataansvarlige skal kunne benytte Tjenestens funktionalitet. Bl.a. følgende behandlinger forekommer.
Opbevaring af personoplysning om kundens brugere med det formål, at dataansvarlig skal kunne etablere en korrekt håndtering af elektronisk indgået aftaler med medarbejdere (registrerede)
Opbevaring af personoplysninger om aftaler med det formål, at den kontraherende enhed skal kunne opfylde sine indgåede aftaler.
Overførsel, opbevaring og behandling af personoplysninger for at dataansvarlige skal kunne fremstille statistik og rapporter.
Dataansvarlige kan i supportsager gennemse, læse og behandle ovenfor nævnte personoplysninger med det formål at kunne afhjælpe fejl i tjenesten eller give kunden brugersupport.
2. Redigering/sletning af personoplysninger
Kundens brugerprofiler anonymiseres eller slettes senest 1 år efter Aftalens ophør. Indleverede dokumenter gemmes ikke iht. Institutionsaftalen.
Log over brugernes aktiviteter slettes eller anonymiseres efter 2 år.
Bilag B - Oversigt over nuværende underleverandører
For at kunne tilvejebringe Tjenesterne, gør databehandler brug af følgende underdatabehandlere, som behandler personoplysninger for databehandlers regning. Angivne underdatabehandlere kan ændres i Aftalens løbetid. Der vil være en aktuel fortegnelse over NN underdatabehandlere efter login til Institutionens profil på xxx-xxxxx.xx.
De Underdatabehandlere, der var aktuelle ved aftalens underskrivelse, fremgår her under.
Cohaesio A/S
Xxx Xxxxxxx Xxxxx alle 4,4 2100 København Ø
CVR: 2607 9209
Databehandlingsopgave: Hosting af softwareprocesser i Danmark.
Og
Piil Data KS Åbenrå 25
1124 København Ø
CVR: 3163 3486
Databehandlingsopgave: Udvikling og vedligehold af softwareprocesser i Danmark.