Databehandleraftale

1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige.

2. Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Databeskyttelsesforordningen, som stiller specifikke krav til indholdet af en databehandleraftale.

3. Databehandlerens behandling af personoplysninger sker med henblik på opfyldelse af parternes ”hovedaftale”. Hovedaftalen består af en rammeaftale om generelle vilkår for brug af DPG managed services samt to serviceaftaler, som giver overblik over priser, SLA, support m.m.

4. Databehandleraftalen og ”Hovedaftalen”er indbyrdes afhængige, og kan ikke opsiges særskilt.

5. Til denne aftale hører fire bilag. Bilagene fungerer som en integreret del af databehandleraftalen.

6. Databehandleraftalens Bilag A indeholder nærmere oplysninger om behandlingen, herunder om behandlingens formål og karakter, typen af personoplysninger og varighed af behandlingen.

7. Databehandleraftalens Bilag B indeholder en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren i medfør af aftalen har ansvar for at gennemføre, overholde og sikre overholdelse af hos dennes underdatabehandlere, som er angivet i bilag C.

8. Databehandleraftalens Bilag C indeholder den dataansvarliges betingelser for, at databehandleren kan gøre brug af eventuelle underdatabehandlere, samt en liste over de eventuelle underdatabehandlere, som den dataansvarlige har godkendt.

9. Databehandleraftalens Bilag D indeholder en instruks om, hvilken behandling databehandleren skal foretage på vegne af den dataansvarlige, samt hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere.

2. Den dataansvarliges forpligtelser og rettigheder

1. Abonnenten er dataansvarlig for de personoplysninger, som abonnenten instruerer databehandleren om at behandle, samt at behandlingen er nødvendig og saglig i forhold til abonnentens opgavevaretagelse.

2. Abonnenten har de rettigheder og forpligtelser, som er givet en dataansvarlig i medfør af lovgivningen.

3. Databehandlerens forpligtelser

1. Leverandøren er databehandler for de personoplysninger, som databehandleren behandler på vegne af den dataansvarlige. Databehandleren har som databehandler, de forpligtelser, som er pålagt databehandleren i medfør af lovgivningen.

2. Databehandleren behandler de overladte personoplysninger efter instruks fra den dataansvarlige, og alene med henblik på opfyldelse af ”Hovedaftalen”.

3. Databehandleren skal løbende føre en fortegnelse over behandlingen af personoplysninger, samt en fortegnelse over alle sikkerhedsbrud.

4. Databehandleren skal sikre personoplysningerne via tekniske og organisatoriske sikkerhedsforanstaltninger, som beskrevet sikkerhedsbekendtgørelsen (BKG 528/2000) og databeskyttelsesforordningen.

5. Databehandleren skal på opfordring fra den dataansvarlige hjælpe med at opfylde den dataansvarlige forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger fra registrerede om indsigt i egne oplysninger, udlevering af den registreredes oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af registreredes oplysninger, samt den dataansvarliges forpligtelser i forhold til underretning af den registrerede ved sikkerhedsbrud i medfør af Databeskyttelsesforordningen.

6. Databehandleren skal hjælpe den dataansvarlige med at efterleve dennes forpligtelser efter Databeskyttelsesforordningens artikel 32-36, herunder:

a. Behandlingssikkerhed, jf. artikel 32

b. Anmeldelse af brud på persondatasikkerheden til kompetent tilsynsmyndighed, jf. artikel 33.

c. Underretning om brud på persondatasikkerheden til den registrerede, jf. artikel 34 1.

d. Konsekvensanalyse vedrørende databeskyttelse, jf. artikel 35. 2. Forudgående høring, jf. artikel 36

10. Databehandleren skal på opfordring fra den Dataansvarlige hjælpe med at opfylde forpligtelser i forbindelse med et tilsyn fra Datatilsynet.

11. Databehandleren kan altid opkræve et rimeligt gebyr for ekstra administrative omkostninger, som Databehandleren måtte have i forbindelse med den Dataansvarliges forpligtelser.

12. Databehandleren forpligter sig til at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske foranstaltninger sådan, at Databehandlerens behandling af den Dataansvarliges personoplysninger opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.

4. Databehandleren handler efter instruks

1. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker udelukkende efter dokumenteret instruks. Det er databehandlerens ansvar at sikre, at eventuelle underdatabehandlere, efterkommer den dataansvarliges instruks.

2. Databehandleren giver omgående besked til den dataansvarlige, hvis en instruks efter databehandlerens vurdering er i strid med Databeskyttelsesforordningen.

5. Fortrolighed

1. Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.

2. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde databehandlerens forpligtelser overfor den dataansvarlige.

3. Databehandleren er forpligtet til at opbevare oplysninger om den dataansvarlige forsvarligt og behandle de data som fortrolige oplysninger, der ikke udleveres til andre end den dataansvarlige, medmindre databehandleren som følge af retskendelse eller lovbestemmelser har pligt til at udlevere data.

4. Databehandleren skal sikre at alle, der behandler oplysninger omfattet af aftalen, herunder ansatte, tredjeparter (f.eks. en reparatør) og underdatabehandler forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

6. Tekniske og organisatoriske sikkerhedsforanstaltninger

1. Databehandleren skal iværksætte de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger der kræves, som følge af Databeskyttelsesforordningen, for at sikre et passende sikkerhedsniveau.

2. Databehandleren skal mindst én gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandlingen af personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed er iagttaget.

3. Databehandleren skal mindst én gang hvert halve år kontrollere, at alle personer, som er autoriserede til at behandle personoplysninger, har fået tildelt de korrekte rettigheder.

4. Databehandleren skal sikre, at alle personer, som er bemyndiget til at behandle personoplysninger, er underlagt en dækkende tavshedspligt eller omfattet af en passende

lovbestemt forpligtelse til fortrolighed.

5. Databehandleren samt dennes ansatte er underlagt forbud mod at skaffe sig adgang til personoplysninger, som ikke har betydning for udførelsen af den pågældendes opgaver.

6. Databehandleren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af den dataansvarliges personoplysninger, om databehandlerens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed.

7. Databehandleren er forpligtet til uden unødig forsinkelse efter at denne er blevet bekendt med dette at underrette den dataansvarlige om ethvert sikkerhedsbrud, samt ved:

a. enhver anmodning om videregivelse af personoplysninger omfattet af denne aftale fra en myndighed, medmindre orientering af den dataansvarlige er eksplicit forbudt ved lov, f.eks. i medfør af regler, der har til formål at sikre fortroligheden af en retshåndhævende myndigheds efterforskning.

b. anden manglende overholdelse af databehandlerens, samt eventuelle underdatabehandleres forpligtelser uanset, om dette sker hos databehandleren eller hos en af databehandlerens underdatabehandlere.

7. Anvendelse af underleverandør (underdatabehandlere)

1. Typer af underdatabehandlere, som databehandleren kan antage uden at indhente samtykke fra den dataansvarlige, fremgår af bilag C Ved antagelse af nye typer af underdatabehandler, skal databehandleren, skriftligt indhente samtykke fra den dataansvarlige.

2. Databehandler kan ikke nægte at godkende tilføjelse eller udskiftning af en underdatabehandler medmindre, der foreligger en konkret saglig begrundelse herfor.

3. Hvis databehandleren overlader behandlingen af personoplysninger, som den dataansvarlige er ansvarlig for, til en eller flere underdatabehandlere, skal databehandleren indgå en skriftlig (under)databehandleraftale med hver enkelt underdatabehandler.

4. Databehandleren garanterer, at underdatabehandleren i underdatabehandleraftalen pålægges se samme databeskyttelsesforpligtelser, som dem databehandleren har påtaget sig i nærværende databehandleraftale, herunder pligter efter punkt 3 til at gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger.

5. Når databehandleren overlader behandlingen af personoplysninger, som den dataansvarlige er ansvarlig for, til underdatabehandler, har databehandleren ansvaret for underdatabehandlerens overholdelse af disses forpligtelser.

6. Den dataansvarlige kan til enhver tid forlange dokumentation fra databehandleren for eksistensen og indholdet af underdatabehandleraftaler for de underdatabehandlere, som databehandleren anvender i forbindelse med opfyldelsen af sine forpligtelser over for den

dataansvarlige. Databehandleren har rimelig tid til at efterkomme sådan en anmodning.

7. Al kommunikation mellem den dataansvarlige og underdatabehandleren sker via databehandleren.

8. Kommunikation mellem den dataansvarlige og databehandleren, sker efter

”Hovedaftalens” bestemmelser om meddelelse.

8. Overførsel af oplysninger til andre lande

1. Databehandlerens overførsel af personoplysninger til lande, der ikke er medlem af EU (tredjelande) samt internationale organisationer, f.eks. via en cloudløsning eller en underdatabehandler, skal ske i overensstemmelse med den dataansvarliges instruks herfor.

2. Ved overførsel til tredjelande er databehandleren og den dataansvarlige i fællesskab ansvarlige for, at der foreligger et gyldigt overførselsgrundlag.

3. Hvis den dataansvarliges personoplysninger overføres til en EU-medlemsstat, er det databehandlerens ansvar, at de til enhver tid gældende bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat, overholdes.

9. Bistand til den dataansvarlige

1. Databehandleren skal – i det omfang det er muligt – opbevare alle persondata på en sådan måde, at disse kan overdrages til den dataansvarlige i et for den dataansvarlige almindeligt læsbart format og eventuelt videregives til eventuel tredjemand (”data portability”).

2. Såfremt den registrerede eller dennes repræsentant gør sine rettigheder efter databeskyttelsesforordningens kapitel 3 gældende direkte overfor databehandleren, skal databehandleren straks skriftligt orientere den dataansvarlige herom. Databehandleren skal i forlængelse heraf bistå den dataansvarlige i overensstemmelse med pkt. 3.5 (ovenfor)

3. Hvis den dataansvarlige skriftligt anmoder herom, skal databehandleren straks standse behandlingen af persondata omfattet af aftalen. Den dataansvarlige skal kunne anmode om standsning af udvalgte behandlinger eller udvalgte persondata. En sådan meddelelse fra den dataansvarlige og standsning af databehandlerens behandling af persondata har ingen betydning for aftalens øvrige bestemmelser om bl.a. opsigelse og ophævelse.

4. Den dataansvarlige skal have ret til at foretage Audit hos databehandleren for at påse, at databehandleren lever op til de til enhver tid gældende regler om behandling af persondata og denne Aftales punkt 3.2. Databehandleren skal i den forbindelse vise fuld samarbejdsvillighed og give den dataansvarlige eller dennes repræsentant alle nødvendige oplysninger og give adgang til alle fysiske og virtuelle medier, som ønskes af den dataansvarlige eller dennes repræsentant. Hvis den dataansvarlige vil foretage Audit, skal

den dataansvarlige give databehandleren skriftlig meddelelse herom senest 14 arbejdsdage forinden planlagt Audit.

10. Underretning om brud på persondatasikkerhed

1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en eventuel underdatabehandler.

Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 12 timer efter, at denne er blevet bekendt med bruddet, sådan at den dataansvarlige har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden indenfor 72 timer.

2. Databehandleren skal - under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for denne – bistå den dataansvarlige med at foretage anmeldelse af bruddet til tilsynsmyndigheden.

Det kan betyde, at databehandleren bl.a. skal hjælpe med at tilvejebringe nedenstående oplysninger, som efter databeskyttelsesforordningens artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse til tilsynsmyndigheden:

a. Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger

b. Sandsynlige konsekvenser af bruddet på persondatasikkerheden

c. Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden, herunder hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger

11. Sletning af Xxxx

1. Den dataansvarlige træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af personoplysningerne efter, at behandlingen af personoplysningerne er ophørt i medfør af ”Hovedaftalen”.

2. Den dataansvarlige skal senest 30 dage inden ”Hovedaftalens” ophør skriftligt meddele databehandleren, hvorvidt alle personoplysningerne skal slettes eller tilbageleveres til den dataansvarlige. I det tilfælde, hvor personoplysningerne tilbageleveres til den dataansvarlige, skal databehandleren ligeledes slette eventuelle kopier. Databehandleren skal sikre, at eventuelle underdatabehandler ligeledes efterlever den dataansvarliges meddelelse.

3. Træffer den dataansvarlige ikke beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af personoplysningerne efter, at behandlingen af personoplysningerne er

ophørt, sletter databehandler uden unødig forsinkelse, de behandlede personoplysninger, medmindre retlig forpligtelse, EU-ret eller national lovgivning kræver andet.

4. Har den dataansvarlige stillet krav om logning i mere end 6 måneder, kan databehandleren opkræve et rimeligt gebyr for administrative omkostninger i forbindelse med dette.

12. Tilsyn og revision

1. Databehandleren er forpligtet til at give den dataansvarlige nødvendige oplysninger til, at den dataansvarlige kan sikre sig, at databehandleren overholder de krav, der følger af denne aftale.

2. En repræsentant for den dataansvarlige eller dennes revision (såvel intern som ekstern) har adgang til at foretage inspektioner og revision hos databehandleren, få udleveret dokumentation, herunder logs, stille spørgsmål m.v. med henblik på at konstatere, at databehandleren overholder de krav, der følger af denne aftale.

3. Den dataansvarlige behov for audit skal først og fremmest søges løst via de erklæringer eller godkendte certificeringsmekanismer databehandleren har eller vil få.

4. Databehandleren kan opkræve et rimeligt gebyr af den dataansvarlige for administrative omkostninger denne måtte have i forbindelse med abonnentens tilsyn.

5. Den dataansvarlige skal ved audit, give databehandleren skriftlig meddelelse herom senest 14 arbejdsdage forinden planlagt Audit.

13. Ændringer i aftalen

1. Databehandleren kan ændre eller supplere disse betingelser, med skriftlig advisering til den dataansvarlige, hvis en tilsynsmyndighed eller lovmæssig enhed kræver det, hvis det er nødvendigt for at overholde gældende ret, for at implementere klausuler i standardkontrakten – fastsat af EU-kommissionen - eller for at overholde et godkendt adfærdskodeks eller godkendt certificeringsprocedure eller certificering.

2. Databehandleren kan til ethvert tidspunkt, uden at begrænse denne aftales betingelser, levere yderligere oplysninger og uddybning om, hvordan databehandleren vil eksekvere disse forpligtelser i forhold til beskyttelse af personlige oplysninger og politiker.

3. Den dataansvarliges ændringer i denne aftale, skal foregå efter ”Hovedaftalens” bestemmelser om ændringer. Databehandleren kan opkræve et rimeligt gebyr for administrative omkostninger den måtte have i forbindelse med dette.

4. Den dataansvarliges ændringer skal være saglige og rimelige i forhold til typen af personoplysninger, som behandles.

5. Databehandleren skal ved sådanne ændringer sikre, at underdatabehandlerne tillige forpligtes af ændringerne.

14. Misligholdelse og tvistigheder

1. Misligholdelse og tvistigheder er reguleret i Hovedaftalen.

15. Erstatning og forsikring

1. Erstatning og forsikringsspørgsmål er reguleret i ”Hovedaftalen”.

16. Ikrafttræden og varighed

1. Databehandleraftalen træder i kraft på samme tidspunkt, som ”Hovedaftalen” med Timengo DPG og er gældende indtil ”Hovedaftalen” opsiges eller ophæves af en af parterne.

Bilag A – Oplysninger om behandlingen

Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er:

• Databehandlerens formål er at sikre, at den dataansvarlige kan overholde Datatilsynets krav til sikker e-mail-kommunikation.

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om:

• Databehandler stiller DPG løsningen til rådighed der gør det muligt at sende og modtage sikker og Digital post fra Outlook klienter, baseret på Exchange Online (Office365) eller Exchange On-premise.

Behandlingen omfatter følgende typer af personoplysninger om de registrerede:

• Navn, adresse, e-mailadresse, telefonnr.

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter denne aftales ikrafttræden. Behandlingen har følgende varighed:

• Behandlingen er ikke tidsbegrænset og varer indtil ”Hovedaftalen” opsiges eller ophæves af en af parterne.

Bilag B – tekniske og organisatoriske sikkerhedsforanstaltninger

Dette bilag indeholder en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandler i medfør af aftalen, har ansvar for at gennemføre, overholde og sikre overholdelse af hos dennes underdatabehandler, som angivet i Bilag C.

Databehandleren gennemfører tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til de aftalte behandlinger, jf. bilag C, og som dermed opfylder Databeskyttelsesforordningens artikel 32.

Foranstaltningerne fastlægges ud fra overvejelser om:

• Hvad der kan lade sig gøre rent teknisk

• Implementeringsomkostningerne

• Den pågældende behandlings karakter, omfang, sammenhæng og formål, jf. bilag A.

• Konsekvenserne for borgerne ved et sikkerhedsbrud

• Den risiko, der er forbundet med behandlingerne, herunder risikoen for:

o Tilintetgørelse af oplysninger

o Tab af oplysninger

o Ændring af oplysningerne

o Uautoriseret videregivelse af oplysningerne

o Uautoriseret adgang til oplysningerne

Databehandleren skal leve op til kravene i artikel 32 ”Behandlingssikkerhed” i Databeskyttelsesforordningen. Databehandleren skal overholde sin interne sikkerhedspolitik for håndtering af it-sikkerhed.

Bilag C – Betingelser for databehandlerens brug af underdatabehandlere

Databehandleren har ved denne databehandleraftales ikrafttræden godkendt anvendelsen af følgende underdatabehandlere.

• Hosting af servere i Microsoft Azure datacentre indenfor EU

• Office 365 indenfor EU

• Xxxxxxxxx Xxxxxxx, Xxxxxxxx 0, 0000 Xxxxxx

• Applikationslog hos Qbox

• Interne og freelance konsulenter

Databehandleren har herudover den dataansvarliges generelle godkendelse til at gøre brug af underdatabehandlere.

Databehandleren skal dog underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. En sådan underretning skal være den dataansvarlige i hænde minimum 1 måned før anvendelsen eller ændringen skal træde i kraft.

Såfremt den dataansvarlige har indsigelser mod ændringerne, skal den dataansvarlige give meddelelse herom til databehandleren inden 14 dage efter modtagelsen af underretningen. Den dataansvarlige kan alene gøre indsigelse, hvis den dataansvarlige har rimelige og konkrete årsager hertil.

Bilag D – Instruks vedrørende behandling af personoplysninger

Den dataansvarlige instruerer hermed databehandleren om at foretage behandling af den dataansvarliges oplysninger til brug for levering af ydelser, jf. Hovedaftale.

Overlader databehandleren behandling af den dataansvarliges oplysninger til en Underdatabehandler, er databehandleren ansvarlig for at indgå skriftlige databehandleraftaler med disse. Databehandleren er ansvarlig for, at den dataansvarliges instruks fremsendes til eventuelle underdatabehandler.

1. Behandlingens formål

Behandling af den dataansvarliges personoplysninger sker i henhold til formålet i Hovedaftalen.

Databehandleren må ikke anvende personoplysningerne til andre formål. Oplysningerne må ikke behandles efter instruks fra andre end den dataansvarlige.

2. Varighed af behandlingen

Varigheden af behandlingen løber fra denne aftales indgåelse til dens ophør, hvis ikke andet er angivet.

3. Typen af Personoplysninger

Behandlingerne omfatter både almindelige og følsomme persondata indeholdt i mails der krypteres. Endvidere omfatter det almindelige personoplysninger som kontaktinforma- tioner, herunder navn, e-mail og mailkontooplysninger, der indeholdes i forsendelseslog og navn, e-mail og telefonnummer på de til systemet tilknyttede brugere, samt CPR- nummer på modtagere af forsendelser, hvor fremsendelse af mail sker via e-boks.

4. Kategorier af registrerede

Der behandles oplysninger om følgende kategorier af registrerede:

• Modtagere af forsendelser fra den dataansvarlige, som kan være ”kunder”,

samarbejdspartnere, medarbejdere.

• Den dataansvarliges medarbejdere, registreret med mailadresse som afsendere af forsendelser.

5. Tilsyn med behandlingen af persondata

Databehandleren skal én gang årligt for egen regning indhente en revisionserklæring fra en uafhængig tredjepart angående databehandlerens overholdelse af denne databehandleraftale med tilhørende bilag.

Der er mellem parterne enighed om, at der kan anvendes følgende typer af revisionserklæringer: ISAE 3402

Revisionserklæringen er at finde på xxxxx://xxx.xxxxxx-xxxx.

Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at føre tilsyn, herunder fysisk tilsyn, hos databehandleren, når der efter den dataansvarliges vurdering opstår et behov herfor.

Document Metadata

Table of Contents

Databehandleraftale

Document Metadata