Bilag 1 - Databehandleraftale

til almindelige salgs- og leveringsbetingelser for Neupart A/S’ levering af it- sikkerhedsprodukter og -ydelser

Version 1.1

1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL

1.1 Formålet med behandlingen af personoplysninger er overordnet set levering af Neupart A/S’ (”Leverandøren”) it-sikkerhedsprodukter: neupartOne,Secure ISMS, Secure GDPR og moduler i Secure ISMS omfattende dels forskelligt software og indhold udviklet af Leverandøren, dels forskellige konsulentydelser, herunder SecureConsult, og online- serviceydelser, herunder neupartOne og Secure ISMS as a Service og download af licenser.

1.2 Nærværende databehandleraftale er et bilag til Leverandørens almindelige salgs- og leveringsbetingelser for Neupart A/S’ levering af it-sikkerhedsprodukter og -ydelser (”Salgs- og leveringsbetingelser”), som gælder i tillæg til den konkrete aftale (”Aftalen”), der indgås mellem Leverandøren og kunden (”Kunden”), og hvori de specifikke vilkår for parternes aftaleforhold fastlægges.

1.3 Leverandøren vil som databehandler i forbindelse hermed foretage behandling af personoplysninger på vegne af Kunden som dataansvarlig og til opfyldelse af Aftalens formål.

1.4 Databehandleraftalen har således til formål at sikre overholdelse af den til enhver tid gældende persondatalovgivning i Danmark, jf. Salgs- og leveringsbetingelsernes punkt 5, herunder men ikke begrænset til Databeskyttelsesloven om behandling af personoplysninger (”persondataloven”) og fra 25. maj 2018 Europa-Parlamentets og Rådet forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) samt bestemmelse udstedt i medfør heraf. Leverandøren skal sikre tilvejebringelse af passende garantier med hensyn til beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med, at Leverandøren gives adgang til at behandle de i databehandleraftalen nævnte personoplysninger på vegne af Kunden.

2. PERSONOPLYSNINGER OMFATTET AF DATABEHANDLERAFTALEN

2.1 Databehandleraftalen omfatter følgende typer af personoplysninger:

• Navn

• E-mail

• Arbejdssted

• Stilling

• Oplysninger, som Kundens medarbejdere i øvrigt indlæser i løsningen

3. BEHANDLING AF PERSONOPLYSNINGER

3.1 Generelt

3.1.1 Omfanget af de opgaver, som Kunden skal levere og understøtte, betyder, at der vil ske mange forskellige former for behandling af personoplysninger, herunder indsamling, registrering, systematisering, opbevaring, ændring, søgning, brug, sletning samt blokering eller tilintetgørelse.

3.1.2 Kredsen af de registrerede personer, som personoplysningerne vedrører, udgør medarbejdere hos Kunden.

3.1.3 Leverandøren handler alene efter dokumenteret instruks fra Xxxxxx. Leverandøren skal sikre, at de overladte personoplysninger ikke benyttes til andre formål eller behandles på anden måde, end hvad der fremgår af Kundens instruks, herunder for så vidt angår overførsel af personoplysninger til et tredjeland eller en international organisation, jf. dog punkt 6.

3.1.4 Leverandøren skal behandle personoplysningerne i overensstemmelse med den til enhver tid gældende lovgivning eller anden regulering om personoplysninger eller bestemmelser fastsat i henhold til lov eller anden regulering. Såfremt Leverandøren skønner, at en af Kunden afgivet instruks er i strid med førnævnte lovgivning, skal Leverandøren omgående orientere Kunden herom.

3.1.5 Leverandøren må ikke behandle personoplysningerne til andre formål, med mindre Leverandøren er forpligtet hertil efter EU-retten eller lovgivningen i en medlemsstat. I givet fald skal Leverandøren underrette Kunden om denne juridiske forpligtelse, forinden behandlingen påbegyndes. Dette gælder dog ikke, såfremt pågældende lovgivning på baggrund af væsentlige offentlige interesser forbyder en sådan underretning.

3.1.6 Leverandøren skal føre en fortegnelse over alle kategorier af behandlinger, der foretages på vegne af Kunden. Fortegnelsen skal opfylde de indholdsmæssige krav fastsat i databeskyttelsesforordningens artikel 30, stk. 2.

3.1.7 Fortegnelsen skal foreligge skriftligt, herunder elektronisk. Leverandøren skal efter anmodning fra Kunden til enhver tid stille fortegnelsen til rådighed for Kunden eller Datatilsynet.

3.1.8 Leverandøren skal deltage i eventuelle drøftelser med Datatilsynet og indarbejde eventuelle anbefalinger og/eller påbud mv. fra tilsynet vedrørende behandling af personoplysninger. Leverandøren skal straks orientere Kunden, såfremt Datatilsynet retter henvendelse til databehandleren vedrørende behandling af personoplysninger omfattet af Aftalen.

3.1.9 Leverandøren forpligter sig endvidere til straks at orientere Kunden om:

• Enhver anmodning om videregivelse af personoplysninger omfattet af denne databehandleraftale fra en myndighed, medmindre orienteringen af Kunden er eksplicit forbudt ved lov, f.eks. i medfør af regler, der har til formål at sikre fortroligheden af en retshåndhævende myndigheds efterforskning.

• Enhver anmodning om indsigt modtaget direkte fra den registrerede eller fra tredjemand.

3.1.10 Parterne forpligter sig til i hele aftaleperioden at indhente og opretholde de registreringer og tilladelser, som Parten er forpligtet til at indhente og opretholde i overensstemmelse med den til enhver tid gældende lovgivning.

3.2 Særlige forpligtelser til at bistå Kunden

3.2.1 Leverandøren skal om nødvendigt straks assistere Xxxxxx med håndtering af enhver henvendelse fra en registreret, herunder anmodning om indsigt, berigtigelse, blokering eller sletning, hvis de relevante personoplysninger behandles af databehandleren.

3.2.2 Leverandøren skal herudover på Kundens anmodning assistere Xxxxxx med at overholde øvrige forpligtelser, der måtte påhvile Kunden efter den til enhver tid gældende persondatalovgivning, hvor Leverandøren assistance er forudsat, samt hvor Leverandøren assistance er nødvendig for, at Kunden kan overholde sine forpligtelser. Leverandøren skal som led heri bistå Xxxxxx med at sikre overholdelse af forpligtelserne i medfør af persondataforordningens artikel 32-36.

4. INFORMATIONSSIKKERHED OG DATABESKYTTELSE

4.1 Krav til informationssikkerhed og databeskyttelse

4.1.1 Leverandøren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med den til enhver tid gældende lovgivning, herunder men ikke begrænset til persondataloven og databeskyttelsesforordningen samt bestemmelse udstedt i medfør heraf. Dette gælder også, hvis behandlingen af personoplysninger sker helt eller delvist ved anvendelse af hjemmearbejdspladser.

4.1.2 Fastsættelsen af fornødne tekniske og organisatoriske sikkerhedsforanstaltninger skal ske under iagttagelse af bl.a.:

(a) De i bilag 2 fastsatte krav til sikkerhed,

(b) de i Service Level Agreement for Neupart A/S’ Secure ISMS as a Service beskrevne sikkerhedskrav,

(c) Kundens anvisninger på baggrund af den til enhver tid gældende konsekvensanalyse vedrørende databeskyttelse efter persondataforordningens artikel 35 og

(d) denne databehandleraftale.

4.1.3 Hvis Leverandøren udfører behandlingsaktiviteter i en anden EU-medlemsstat, skal de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den EU- medlemsstat, derudover gælde for Leverandøren.

4.2 Kontrol med informationssikkerhed og databeskyttelse

4.2.1 Leverandøren skal på Kundens anmodning give Xxxxxx tilstrækkelige informationer til, at denne kan påse og dokumentere, at Leverandøren har truffet de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger samt stille oplysninger, der er nødvendige for at påvise overholdelse af kravene i databeskyttelsesforordningens artikel 28, til rådighed for Kunden og give mulighed for og bidrage til revisioner, herunder inspektioner, der foretages af Kunden, eller en revisor, som er bemyndiget af Kunden.

4.2.2 Leverandøren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til Kundens og Leverandørens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til Leverandørens fysiske faciliteter mod behørig legitimation.

4.2.3 Leverandøren skal én gang årligt vederlagsfrit til Kunden fremsende en erklæring om Leverandøren og dennes underleverandørers overholdelse af kravene til sikkerhedsforanstaltninger fastsat i bilag 2 og sikkerhedskrav beskrevet i Service Level Agreement for Neupart A/S’ Secure ISMS as a Service. Leverandøren beslutter, hvornår erklæringen udarbejdes, men den skal dog udarbejdes første gang senest 12 måneder efter Leverandøren og/eller Leverandørens underdatabehandlere har påbegyndt behandling af Kundens data, og herefter årligt med maksimalt 12 måneders mellemrum.

4.3 Informationssikkerhedsbrud og brud på persondatasikkerheden

4.3.1 I tilfælde af informationssikkerhedsbrud og brud på persondatasikkerheden, skal Leverandøren straks efter Leverandørens kendskab hertil orientere Kunden herom. Leverandøren skal herefter uden unødigt ophold, dog senest 24 timer efter Leverandørens kendskab til bruddet,

rapportere til Xxxxxx i overensstemmelse de indholdsmæssige krav til underretning af tilsynsmyndigheden beskrevet i databeskyttelsesforordningen artikel 33, stk. 3.

5. AFTALER MED EN ANDEN DATABEHANDLER (UNDERDATABEHANDLER)

5.1 Leverandøren må ikke indgå aftaler med en anden databehandler, f.eks. underleverandører, om behandling af personoplysninger omfattet af databehandleraftalen, medmindre Kunden forinden skriftligt har samtykket til aftaleindgåelsen.

5.2 Leverandøren skal udarbejde en skriftlig underdatabehandleraftale med en anden databehandler. I sin aftale med en anden databehandler skal Leverandøren sikre sig, at den anden databehandler som minimum accepterer de samme databeskyttelsesforpligtelser, som Leverandøren har påtaget sig ved denne databehandleraftale, for så vidt angår den behandling af Kundens personoplysninger, der varetages af den anden databehandler.

5.3 Leverandøren indestår for lovligheden af en anden databehandlers behandling af personoplysninger. Hvis en anden databehandler, ikke opfylder sine databeskyttelses- forpligtelser, forbliver Leverandøren fuldt ansvarlig over for Kunden for opfyldelsen af denne anden databehandlers forpligtelser. Det forhold, at Kunden har meddelt samtykke til Leverandørens aftaleindgåelse med en anden databehandler, er uden betydning for Leverandørens pligt til at efterleve databehandleraftalen. Ved ophør af en aftale med en anden databehandler om behandling af personoplysninger omfattet af databehandleraftalen, skal Leverandøren give Xxxxxx meddelelse herom.

5.4 Omkostninger forbundet med etablering af aftaleforholdet til en anden databehandler, herunder omkostninger til udarbejdelse af underdatabehandleraftaler, afholdes af Leverandøren og er således Kunden uvedkommende.

5.5 Leverandøren anvender følgende underdatabehandler:

Amazon Web Services Ireland ltd.

Xxx Xxxxxxxxxx Xxxxx, Xxxxxxxxxx Xxxx, Xxxxxx, Xxxxxxx x x

Amazon Web Services Germany gmbh

Frankfurt Datacenters

Leverandøren leverer software og hosting service med Amazon Web Services (AWS) som

infrastruktur for SaaS. Dette er en cloud løsning som Kunden har adgang til direkte uden nogen form for indblanding fra Leverandøren.

Leverandøren anvender kun Amazon data centre placeret indenfor EU. Herudover anvendes:

Microsoft

Ireland Operations Limited 70 Xxx Xxxx Xxxxxxxx'x Quay, Dublin, Ireland

Microsoft anvendes til 365 plugins, der bruges til konvertere dokumenter fra Secure ISMS til det format, der vises i brugerens browser. Leverandøren anvender kun data centre placeret indenfor EU.

6. OVERFØRSEL AF OPLYSNINGER ‌

6.1 Leverandøren må ikke overføre eller tillade overførsel af personoplysninger til lande uden for det Europæiske Økonomiske Samarbejdsområde uden Kundens forudgående skriftlige godkendelse.

6.2 Såfremt der skal ske en sådan overførsel, påhviler det Leverandøren at sikre det fornødne overførselsgrundlag. Overførselsgrundlaget skal forelægges Kunden forud for Kundens specifikke godkendelse af overførslen. Leverandøren afholder omkostninger forbundet med etablering af det fornødne overførselsgrundlag.

7. TAVSHEDSPLIGT

7.1 Leverandøren skal holde personoplysningerne fortrolige, og er således alene berettiget til at anvende personoplysningerne som led i opfyldelsen af sine forpligtelser i henhold til Aftalen, herunder databehandleraftalen.

7.2 Leverandøren skal sikre, at de medarbejdere og eventuelle andre databehandlere og disses medarbejdere, der er autoriseret til at behandle de pågældende personoplysninger, er pålagt den i Salgs- og leveringsbetingelsernes punkt 11 regulerede tavshedspligt for så vidt angår de personoplysninger, som de får kendskab til i forbindelse med Aftalens opfyldelse.

8. VARIGHED OG OPHØR AF DATABEHANDLERAFTALEN

8.1 Databehandleraftalen træder i kraft ved parternes underskrift af Aftalen og er gældende så længe Leverandøren behandler personoplysninger på vegne af Kunden eller frem til Aftalens ophør, alt efter hvilket tidspunkt, der indtræder senest.

8.2 I tilfælde af ophør af databehandleraftalen, uanset det juridiske grundlag herfor, skal Leverandøren yde de fornødne overgangsydelser til Kunden.

8.3 De fornødne overgangsydelser omfatter bl.a., at Leverandøren skal handle efter instruks fra Kunden, herunder instruks om straks at tilbagelevere eller slette samtlige personoplysninger, uanset opbevaringsmedie.

8.4 Leverandøren er forpligtet til loyalt og hurtigst muligt at medvirke til, at udførelse af ydelserne overgår til en anden databehandler eller tilbageføres til Kunden. Leverandøren skal straks efter anmodning fra Kunden ændre, overføre eller slette personoplysninger, som Leverandøren behandler for Kunden.

9. FORRANG

9.1 I tilfælde af uoverensstemmelse mellem bestemmelserne i denne databehandleraftale og bestemmelserne i andre skriftlige eller mundtlige aftaler indgået mellem parterne – herunder Aftalen og Salg- og leveringsbetingelserne – skal bestemmelserne i denne databehandleraftale have forrang.

Bilag 2 -

Sikkerhedsforanstaltninger

til beskyttelse af personoplysninger, som behandles af Neupart A/S

1. GENERELLE SIKKERHEDSBESTEMMELSER ‌

1.1 Neupart A/S (”Leverandøren”) skal fastsætte interne bestemmelser om sikkerhedsforanstaltninger til uddybning af de krav, der fremgår af dette bilag. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Derudover skal der fastsættes retningslinjer for tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for Leverandøren.

1.2 De interne bestemmelser skal gennemgås mindst én gang årligt med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold hos Leverandøren.

1.3 Leverandøren skal fastsætte særlige retningslinjer for behandling af personoplysninger omfattet af databehandleraftalen, der finder sted på en arbejdsplads uden for Leverandørens lokaliteter (fjernarbejdsplads), således at det sikres, at de fornødne tekniske og organisatoriske foranstaltninger iagttages i relation til denne behandling af oplysningerne.

1.4 I forbindelse med salg, genbrug og kassation af anvendt udstyr, herunder dataudstyr og datamedier, der indeholder personoplysninger omfattet af databehandleraftalen, og som har været anvendt til databehandleraftalens opfyldelse, skal Leverandøren træffe passende tekniske og organisatoriske foranstaltninger for at sikre, at disse oplysninger hverken hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt træffe foranstaltninger mod, at disse personoplysninger kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med de persondataretlige regler og/eller denne databehandleraftale.

1.5 I forbindelse med reparation og service af udstyr, der anvendes til opfyldelse af formålene med behandlingen af oplysninger omfattet af databehandleraftalen, og som indeholder oplysninger omfattet af databehandleraftalen, skal Leverandøren træffe de fornødne foranstaltninger for at sikre, at oplysningerne hverken hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt foranstaltninger mod, at oplysningerne kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med de persondataretlige regler eller denne databehandleraftale.

2. AUTORISATION OG ADGANGSKONTROL

2.1 Leverandøren skal sikre, at kun de personer, som autoriseres hertil, må have adgang til personoplysninger, der behandles efter databehandleraftalen.

2.2 Leverandøren skal sikre, at Leverandørens medarbejdere autoriseres og tildeles rettigheder i overensstemmelse med Leverandørens interne retningslinjer efter punkt 1, hvori det er beskrevet, i hvilket omfang Leverandørens medarbejdere må forespørge på, inddatere eller slette oplysninger omfattet af databehandleraftalen.

2.3 Leverandøren må kun autorisere personer, der er beskæftiget med de formål, hvortil personoplysninger behandles i forbindelse med databehandleraftalens opfyldelse. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har specifikt behov for i forbindelse med aftalens opfyldelse.

2.4 Udover det i forrige afsnit angivne må Leverandøren endvidere autorisere brugere, for hvem adgang til oplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver i forbindelse med opfyldelse af formålene med behandlingen af personoplysningerne.

2.5 Leverandøren skal som minimum træffe de foranstaltninger, der er beskrevet i Leverandørens interne retningslinjer efter punkt 1, for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de oplysninger og anvendelser, som de er autoriserede til i forbindelse med databehandleraftalens opfyldelse.

2.6 Leverandøren skal løbende sikre og dokumentere, at de autoriserede brugere fortsat opfylder betingelserne i punkt 3 og Leverandørens interne retningslinjer efter punkt 1. Kontrol heraf skal foretages mindst én gang hvert halve år.