Databehandleraftale
Standardkontraktbestemmelser i henhold til artikel 28, stk. 3, i forordning 2016/679 (databeskyttelsesforordningen) med henblik på Databehandlerens behandling af personoplysninger
Mellem
Den Dataansvarlige
[Organisation] [Adresse]
[By]
[Land]
CVR- nummer:
[CVR-nummer]
[Evt. forretningsenhed/afdeling]
Journalnr.:
Og Databehandleren
[Organisation]
[Adresse]
[By]
[Land]
CVR- nummer:
[CVR-nummer]
[Evt. forretningsenhed/afdeling]
Journalnr.:
der hver især er en ”part” og sammen udgør ”parterne” har aftalt følgende standardkontraktsbestemmelser (Bestemmelserne) med henblik på at overholde databeskyttelsesforordningen og sikre beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder.
Indholdsfortegnelse
Indhold
2 Den Dataansvarliges forpligtelser og rettigheder 5
3 Databehandleren handler efter instruks 5
6 Anvendelse af Underdatabehandlere 7
7 Overførsel af oplysninger til tredjelande eller internationale organisationer 8
8 Bistand til den Dataansvarlige 9
9 Underretning om brud på persondatasikkerheden 10
10 Sletning og tilbagelevering af oplysninger 11
12 Parternes aftaler om andre forhold 12
14 Kontaktpersoner/kontaktpunkter hos den Dataansvarlige og Databehandleren vedr. Databehandleraftalen 13
Bilag A Oplysninger om behandlingen 14
A1. Formålet med Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige er: 14
A2. Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige drejer sig om (karakteren af behandlingen 15
A3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede: 16
A4. Behandlingen omfatter følgende kategorier af registrerede: 17
A5. Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige kan påbegyndes efter denne aftales ikrafttræden. Behandlingen har følgende varighed: 18
Bilag B Underdatabehandlere 19
Bilag C Instruks vedr. behandling af personoplysninger 21
C.1 Behandlingens genstand/ instruks 21
C.2.1 Fastlæggelse af sikkerhedsniveau 22
C.2.2 Pseudonymisering og kryptering 24
C.2.3 Uddannelse og instruktion 24
C.2.4 Autorisation og adgangskontrol, herunder kontrol med afviste adgangsforsøg 25
C.2.5 Genoprettelse af tilgængelighed i tilfælde af fysisk eller teknisk hændelse (back up og håndtering af driftsafbrydelser) 26
C.2.6 Opdateringer og ændringer 27
C.2.8 Anvendelse af hjemme-/ad hoc-arbejdspladser 28
C3. Bistand til den Dataansvarlige 30
C4 Opbevaringsperiode og sletterutiner 31
C.5 Lokalitet for behandling 31
C.6 Instruks eller godkendelse vedrørende overførsel af personoplysninger til tredjelande 32
C.7 Den Dataansvarliges tilsyn med den behandling, som foretages hos Databehandleren og Underdatabehandlere 32
Bilag D Parternes regulering af andre forhold 34
1. Disse Bestemmelser fastsætter Databehandlerens rettigheder og forpligtelser, når denne foretager behandling af personoplysninger på vegne af den Dataansvarlige.
2. Disse Bestemmelser er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (databeskyttelsesforordningen).
3. I forbindelse med leveringen af
behandler Databehandleren personoplysninger på vegne af den Dataansvarlige i overensstemmelse med disse Bestemmelser.
4. Bestemmelserne har forrang i forhold til eventuelle tilsvarende Bestemmelser i andre aftaler mellem parterne.
5. Der hører fire bilag til disse Bestemmelser, og bilagene udgør en integreret del af Bestemmelserne.
6. Bilag A indeholder nærmere oplysninger om behandlingen af personoplysninger, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
7. Bilag B indeholder den Dataansvarliges betingelser for Databehandlerens brug af Underdatabehandlere og en liste af Underdatabehandlere, som den Dataansvarlige har godkendt brugen af.
8. Bilag C indeholder den Dataansvarliges instruks for så vidt angår Databehandlerens behandling af personoplysninger, en beskrivelse af de sikkerhedsforanstaltninger, som Databehandleren som minimum skal gennemføre, hvordan Databehandleren bistår den Dataansvarlige samt hvordan der føres tilsyn med Databehandleren og eventuelle Underdatabehandlere.
9. Bilag D indeholder Bestemmelser vedrørende andre aktiviteter, som ikke af omfattet af Bestemmelserne samt aftalte tilføjelser eller afvigelser fra Bestemmelserne.
10. Bestemmelserne med tilhørende bilag skal opbevares skriftligt, herunder elektronisk, af begge parter.
11. Disse Bestemmelser frigør ikke Databehandleren fra forpligtelser, som Databehandleren er pålagt efter databeskyttelsesforordningen eller enhver anden lovgivning.
2 Den Dataansvarliges forpligtelser og rettigheder
1. Den Dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen (se forordningens artikel 24), databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
2 Den Dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger.
3. Den Dataansvarlige er ansvarlig for, blandt andet, at sikre, at der er et behandlingsgrundlag for behandlingen af personoplysninger, som Databehandleren instrueres i at foretage.
3 Databehandleren handler efter instruks
1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt. Denne instruks skal være specificeret i bilag A og C. Efterfølgende instruks kan også gives af den Dataansvarlige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk, sammen med disse Bestemmelser.
2. Databehandleren underretter omgående den Dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
1. Databehandleren må kun give adgang til personoplysninger, som behandles på den Dataansvarliges vegne, til personer, som er underlagt Databehandlerens instruktionsbeføjelser, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang. Listen af personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af denne gennemgang kan adgangen til personoplysninger lukkes, hvis adgangen ikke længere er nødvendig, og personoplysningerne skal herefter ikke længere være tilgængelige for disse personer.
2. Databehandleren skal efter anmodning fra den Dataansvarlige kunne påvise, at de pågældende personer, som er underlagt Databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt.
1. Databeskyttelsesforordningens artikel 32 fastslår, at den Dataansvarlige og Databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici.
Den Dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:
a. Pseudonymisering og kryptering af personoplysninger
b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester
c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
2. Efter forordningens artikel 32 skal Databehandleren – uafhængigt af den Dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den Dataansvarlige stille den nødvendige information til rådighed for Databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici.
3. Derudover skal Databehandleren bistå den Dataansvarlige med vedkommendes overholdelse af den Dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den Dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som Databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den Dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32.
Hvis imødegåelse af de identificerede risici – efter den Dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som Databehandleren allerede har gennemført, skal den Dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.
6 Anvendelse af Underdatabehandlere
1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2, og stk. 4, for at gøre brug af en anden Databehandler (en Underdatabehandler).
Databehandleren må således ikke gøre brug af en Underdatabehandler til opfyldelse af disse Bestemmelser uden forudgående specifik eller generel skriftlig godkendelse fra den Dataansvarlige. Listen over Underdatabehandlere, som den Dataansvarlige allerede har godkendt, fremgår af bilag B.
2. Databehandleren skal underrette den Dataansvarlige om evt. planlagte ændringer vedr. tilføjelse eller udskiftning af Underdatabehandlere. Ændringer skal meldes den dataansvarlige med passende varsel.
FORUDGÅENDE SPECIFIK GODKENDELSE: FORUDGÅENDE GENEREL GODKENDELSE:
ikke valgt Xxxx valgt
[Varslingsfrist] [Varslingsfrist]
3. Når Databehandleren gør brug af en Underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den Dataansvarlige, skal Databehandleren, gennem en kontrakt eller andet retligt dokument i henhold til EU- retten eller medlemsstaternes nationale ret, pålægge Underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser, hvorved der navnlig stilles de fornødne garantier for, at Underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen overholder kravene i disse Bestemmelser og databeskyttelsesforordningen.
Databehandleren er derfor ansvarlig for at kræve, at Underdatabehandleren som minimum overholder Databehandlerens forpligtelser efter disse Bestemmelser og databeskyttelsesforordningen.
5. Underdatabehandleraftale(r) og eventuelle senere ændringer hertil sendes – efter den Dataansvarliges anmodning herom – i kopi til den Dataansvarlige, som herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforpligtelser som følger af disse Bestemmelser er pålagt Underdatabehandleren. Bestemmelser om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af Underdatabehandleraftalen, skal ikke sendes til den Dataansvarlige.
6. Databehandleren skal i sin aftale med Underdatabehandleren indføje den Dataansvarlige som begunstiget tredjemand i tilfælde af Databehandlerens konkurs, således at den Dataansvarlige kan indtræde i Databehandlerens rettigheder og gøre dem gældende over for Underdatabehandlere, som f.eks. gør den Dataansvarlige i stand til at instruere Underdatabehandleren i at slette eller tilbagelevere personoplysningerne.
Hvis Underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af Underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder, der følger af databeskyttelsesforordningen, herunder særligt forordningens artikel 79 og 82, over for den Dataansvarlige og Databehandleren, herunder Underdatabehandleren.
7 Overførsel af oplysninger til tredjelande eller internationale organisationer
1. Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af Databehandleren på baggrund af dokumenteret instruks herom fra den Dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.
2. Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som Databehandleren ikke er blevet instrueret i at foretage af den Dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt, skal Databehandleren underrette den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
3. Uden dokumenteret instruks fra den Dataansvarlige kan Databehandleren således ikke inden for rammerne af disse Bestemmelser:
a. overføre personoplysninger til en Dataansvarlig eller Databehandler i et tredjeland eller en international organisation
b. overlade behandling af personoplysninger til en Underdatabehandler i et tredjeland
c. behandle personoplysningerne i et tredjeland
4. Den Dataansvarliges instruks vedrørende overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, skal angives i bilag C.6.
5. Disse Bestemmelser skal ikke forveksles med standardkontraktsbestemmelser som omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og disse Bestemmelser kan ikke udgøre et grundlag for overførsel af personoplysninger som omhandlet i databeskyttelsesforordningens kapitel V.
8 Bistand til den Dataansvarlige
1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.
Dette indebærer, at Databehandleren så vidt muligt skal bistå den Dataansvarlige i forbindelse med, at den Dataansvarlige skal sikre overholdelsen af:
a. oplysningspligten ved indsamling af personoplysninger hos den registrerede
b. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
c. den registreredes indsigtsret
d. retten til berigtigelse
e. retten til sletning (»retten til at blive glemt«)
f. retten til begrænsning af behandling
g. underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
h. retten til dataportabilitet
i. retten til indsigelse
j. retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, herunder profilering
2. Databehandleren bistår den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, jf. art 28, stk. 3, litra f.
Dette indebærer, at Databehandleren under hensyntagen til behandlingens karakter skal bistå den Dataansvarlige i forbindelse med, at den Dataansvarlige skal sikre overholdelsen af:
a. forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen
b. forpligtelsen til at anmelde brud på persondatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden unødig forsinkelse og om muligt senest 72 timer, efter at den Dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
c. forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder
d. forpligtelsen til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder
e. forpligtelsen til at høre tilsynsmyndigheden (Datatilsynet) inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den Dataansvarlige for at begrænse risikoen
3. Parternes eventuelle regulering/aftale om vederlæggelse eller lignende i forbindelse med Databehandlerens bistand til den Dataansvarlige vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.
9 Underretning om brud på persondatasikkerheden
1. Databehandleren underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
2. Databehandlerens underretning til den Dataansvarlige skal ske uden unødig forsinkelse efter, at denne er blevet bekendt med bruddet, sådan at den Dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondata-sikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningens artikel 33. Tidsfrist for underretning af den Dataansvarlige angives i bilag C.
3. I overensstemmelse med Bestemmelse 9.2. skal Databehandleren bistå den Dataansvarlige med at foretage anmeldelse af bruddet til den kompetente tilsyns-myndighed. Det betyder, at Databehandleren skal bistå med at tilvejebringe nedenstående information, som ifølge
artikel 33, stk. 3, skal fremgå af den Dataansvarliges anmeldelse af bruddet til den kompetente tilsynsmyndighed:
a. karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
b. de sandsynlige konsekvenser af bruddet på persondatasikkerheden
c. de foranstaltninger, som den Dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
4. Parterne skal i bilag C angive den information, som Databehandleren skal tilvejebringe i forbindelse med sin bistand til den Dataansvarlige i dennes forpligtelse til at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed.
10 Sletning og tilbagelevering af oplysninger
1. Ved ophør af tjenesterne vedrørende behandling af personoplysninger, er Databehandleren forpligtet til enten at slette alle personoplysninger, der er blevet behandlet på vegne af den Dataansvarlige eller at tilbagelevere alle personoplysninger og slette eksisterende kopier. Hvis der ikke foretages dataopbevaring hos Databehandleren, er dette ikke relevant.
Intet valgt
2. Eventuelle regler i EU-retten eller medlemsstaternes nationale ret, som foreskriver opbevaring af personoplysningerne efter ophør af tjenesterne vedr. behandling af personoplysninger, angives i bilag D. Databehandleren forpligter sig til alene at behandle personoplysningerne til de(t) formål, i den periode og under de betingelser, som disse regler foreskriver.
1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af databeskyttelsesforordningens artikel 28 og disse Bestemmelser, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner,
der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige.
2. Procedurerne for den Dataansvarliges revisioner, herunder inspektioner, med Databehandleren og Underdatabehandlere er nærmeret angivet i Bilag C.7.
3. Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende lovgivning har adgang til den Dataansvarliges eller Databehandlerens faciliteter, eller repræsentanter, der optræder på tilsynsmyndighedens vegne, adgang til da- tabehandlerens fysiske faciliteter mod behørig legitimation.
12 Parternes aftaler om andre forhold
1. Parterne kan aftale andre Bestemmelser vedrørende tjenesten vedrørende behandling af personoplysninger om f.eks. erstatningsansvar, så længe disse andre Bestemmelser ikke direkte eller indirekte strider imod Bestemmelserne eller forringer den registreredes grundlæggende rettigheder og frihedsrettigheder, som følger af databeskyttelsesforordningen.
1. Bestemmelserne træder i kraft på datoen for begge parters underskrift heraf.
2. Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller væsentlige uhensigtsmæssigheder i Bestemmelserne giver anledning hertil. Procedure for genforhandling beskrives i Bilag D, herunder evt. aftaler vedr. tidsperiode mellem genforhandlinger.
3. Bestemmelserne er gældende, så længe tjenesten vedrørende behandling af personoplysninger varer. I denne periode kan Bestemmelserne ikke opsiges, medmindre andre Bestemmelser, der regulerer levering af tjenesten vedrørende behandling af personoplysninger, aftales mellem parterne.
4. Hvis levering af tjenesterne vedrørende behandling af personoplysninger ophører, og personoplysningerne er slettet eller returneret til den Dataansvarlige i overensstemmelse med Bestemmelse 10.1 og Bilag C.4, kan Bestemmelserne opsiges med skriftlig varsel af begge parter.
14 Kontaktpersoner/kontaktpunkter hos den Dataansvarlige og Databehandleren vedr. Databehandleraftalen
1. Parterne kan kontakte hinanden via nedenstående kontaktpersoner/kontaktpunkter:
2. Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktpersonen/kontaktpunktet.
Den Dataansvarlige: Databehandleren:
Navn:
Stilling:
Telefon:
E-mail: Afdeling:
Evt. funktionspostkasse:
På vegne af den Dataansvarlige:
Navn Stilling
Dato Underskrift
Navn:
Stilling:
Telefon:
E-mail:
Afdeling:
Evt. funktionspostkasse:
På vegne af Databehandler:
Navn Stilling
Dato Underskrift
Bilag A Oplysninger om behandlingen
BEMÆRK: I TILFÆLDE AF FLERE BEHANDLINGSAKTIVITETER, SKAL DISSE OPLYSNINGER FREMGÅ FOR HVER ENKELT BEHANDLINGSAKTIVITET.
A1. Formålet med Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige er:
A3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede:
A4. Behandlingen omfatter følgende kategorier af registrerede:
Fællesskabelon for databehandleraftaler i Sundhedsvæsenet v. 2.0
Ved Bestemmelsernes ikrafttræden har den Dataansvarlige godkendt brugen af nedennævnte Underdatabehandlere for den beskrevne behandlingsaktivitet. Databehandleren må ikke – uden den Dataansvarliges skriftlige godkendelse – gøre brug af en Underdatabehandler til en anden behandlingsaktivitet end den beskrevne og aftalte eller gøre brug af en anden Underdatabehandler til denne behandlingsaktivitet.
Der udfyldes ét bilag pr. Underdatabehandler. Hvis der er mere end en underdatabehandler, bruges den skabelon til bilag B, som findes sammen med databehandlerskabelonen.
Virksomhedens fulde navn | |
CVR-nummer (eller tilsvarende) | |
Virksomhedens adresse (inkl. land) | |
Øvrige adresser hvorfra der behandles personoplysninger (hvis relevant | |
Kontaktperson hos Underdatabehandler | |
Har Databehandleren en aftale med Underdatabehandleren, som opfylder kravene i Databehandleraftalen? | |
Databehandling(er), som Underdatabehandler deltager i | |
Kategorier af personoplysninger som Underdatabehandler behandler | |
Lokalitet for databehandlingen |
Overførsel af personoplysninger til tredjelande (udfyldes, hvis relevant) | |
Foretager Underdatabehandleren behandling af personoplysninger i et tredjeland? | |
Hvis ja, angiv samtlige tredjelande | |
Hvis ja, angiv overførselsgrundlaget (f.eks. en EU- standardkontrakt eller Binding Corporate Rules) | |
Hvis ja, angiv evt. supplerende organisatoriske eller tekniske sikkerhedsforanstaltninger(herunder kryptering samt opbevaring af krypteringsnøgle) |
Databehandleren fremsender aftaler med Underdatabehandler(e) og yderligere relevant dokumentation, f.eks. dokumentation på pre-audit jf. Artikel 28 (1) på anmodning fra den Dataansvarlige.
Bilag C Instruks vedr. behandling af personoplysninger
Hvis det aftales mellem parterne, at et eller flere af de oplistede sikkerhedskrav ikke skal efterleves eller efterleves på anden vis end beskrevet i Databehandlerinstruksen, indføjes dette i aftalens bilag D.
C.1 Behandlingens genstand/ instruks
Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige sker ved, at Databehandleren udfører følgende:
Marker de databehandlinger, databehandleren varetager og beskriv den så konkret som muligt:
Databehandling | Udføres | Beskrivelse af databehandling | |
Indsamling | |||
Registrering | |||
Organisering/systematisering | |||
Opbevaring | |||
Tilpasning eller ændring | |||
Genfinding | |||
Søgning | |||
Brug | |||
Videregivelse ved transmission | |||
Formidling eller enhver anden form for overladelse | |||
Sammenstilling eller samkøring | |||
Begrænsning | |||
Sletning eller tilintetgørelse |
Leverandørstyring | ||
Support |
C.2.1 Fastlæggelse af sikkerhedsniveau
Sikkerhedsniveauet skal afspejle kategorien og mængden af personoplysninger, der indgår i behandlingen:
C.2.1.1.
C.2.1.2 Databehandleren skal have passende tekniske foranstaltninger til at begrænse risikoen for enhver uautoriseret adgang. Databehandleren skal evaluere og forbedre effektiviteten af sådanne forholdsregler, når det er nødvendigt.
C.2.1.3 Databehandleren skal understøtte den Dataansvarlige i dennes arbejde med at dokumentere de identificerede risici og hvordan risikoen er nedbragt til et acceptabelt niveau og gennemføre de foranstaltninger, der er nødvendige for at imødegå identificerede risici.
Der kan herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger:
i. Pseudonymisering og kryptering af personoplysninger
ii. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester
iii. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
iv. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
C.2.1.4 Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks.
C.2.1.5 Denne instruks afspejler, hvad der er gældende på tidspunkt for underskrift af Databehandleraftalen. Såfremt der sker ændringer i forholdene, herunder i det af Databehandleren udfyldte, skal den Dataansvarlige orienteres.
C.2.1.6 Instruksen er en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som Databehandleren minimum har ansvar for at gennemføre, overholde og sikre overholdelse af hos denne og dennes Underdatabehandlere. Eventuelle aftaler mellem den Dataansvarlige og Databehandleren om fravigelse eller delvis fravigelse af et eller flere af nedenstående krav dokumenteres i bilag D.
C.2.1.7 Såfremt mere omfattende tekniske og organisatoriske sikkerhedsforanstaltninger er nødvendige for at sikre efterlevelse af Databehandleraftalens kapitel 5, skal sådanne foranstaltninger altid træffes. Supplerende sikringsforanstaltninger angives i bilag D.
C.2.1.8 Databehandleren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til de aftalte behandlinger og som dermed opfylder Databeskyttelsesforordningens artikel 32. Foranstaltningerne fastlægges ud fra overvejelser om:
i. Hvad der kan lade sig gøre rent teknisk
ii. Implementeringsomkostningerne
iii. Den pågældende behandlings karakter, omfang, sammenhæng og formål
iv.c Konsekvenserne for den registreredes rettigheder ved et sikkerhedsbrud
v. Den risiko, der er forbundet med behandlingerne, jf. punkt C.2.1.3
C.2.2 Pseudonymisering og kryptering
C.2.2.1 Der må kun etableres eksterne kommunikationsforbindelser, hvis forbindelsen er krypteret f.eks. til webside, front-ends og loginportaler. Dette gælder også forbindelser til underleverandøren f.eks. site-to-site forbindelse eller IP-filtrering.
Ved fortrolige og følsomme personoplysninger forventes der en stærk kryptering. HTTPS og nyeste version af TLS er et krav. Efterlevelse af kravet skal f.eks. beskrives i afsnit C2.2.3 nedenfor.
C.2.2.2 E-mails indeholdende fortrolige og følsomme personoplysninger skal også være beskyttet af kryptering.
C.2.2.3 Hvis der er krav fra den Dataansvarlige om kryptering af data ved lagring (data at rest) skal dette beskrives i bilag D.
C.2.2.4 Databehandlerens beskrivelse af dennes efterlevelse af kravene i afsnit C2.2 , hvis relevant for behandlingen af personoplysninger i henhold til Databehandleraftalen:
C.2.3 Uddannelse og instruktion
C.2.3.1 Der stilles krav om, at alle ansatte hos Databehandleren modtager den tilstrækkelig uddannelse og instruktioner for at sikre, at personoplysninger behandles i overensstemmelse med relevant lovgivning samt Databehandlerens og den Dataansvarliges politikker og procedurer herfor.
C.2.4 Autorisation og adgangskontrol, herunder kontrol med afviste adgangsforsøg
C.2.4.1 Der skal gennemføres styring af den generelle adgang til personoplysninger.
C.2.4.2 Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har brug for.
C.2.4.3 Der gennemføres begrænsninger i adgangen til systemer og personoplysninger, der behandles i henhold til Databehandleraftalen, ved at definere brugerroller, for så vidt det er muligt og ved at tildele privilegerede adgangsrettigheder samt at udføre attestering af brugere.
Databehandleren skal træffe foranstaltninger til at sikre, at kun autoriserede brugere kan få adgang til personoplysninger, som den pågældende er autoriseret til.
C.2.4.4 Der skal foreligge oversigt/dokumentation over de enkelte medarbejderes rettigheder til de individuelle systemer og personoplysninger, der behandles i henhold til Databehandleraftalen
C.2.4.5 Der skal gøres brug af sikre adgangskoder/passwords og autentifikation – samt multifaktorautentifikation ved adgang fra det åbne internet – eller tilsvarende sikkerhedsniveau, ved adgang til systemer eller personoplysninger, der behandles i henhold til Databehandleraftalen.
C.2.4.6 Databehandleren skal have formelle procedurer for håndtering af nulstilling af adgangskoder og for andre situationer, hvor den normale logiske adgangskontrol sættes ud af kraft.
C.2.4.7 Der skal løbende foretages kontrol af, om brugerne er tildelt de adgange og autorisationer, som de bør have. Denne kontrol kan f.eks. indebære, at der i systemerne dannes en statistik over den enkelte brugers anvendelse af systemet, så det kan konstateres, om udstedte adgange og autorisationer fortsat anvendes. Frekvens for kontrollen skal fastlægges på baggrund af risikovurderingen og beskrives i punkt C2.4.13
C.2.4.8 Databehandleren skal uden unødig forsinkelse inddrage autorisationer og adgange for brugere, der efter en konkret vurdering ikke længere bør have disse.
C.2.4.9 Der skal foretages registrering af alle afviste adgangsforsøg, når der behandles fortrolige og/eller følsomme personoplysninger. Databehandleren skal løbende foretage opfølgning på afviste adgangsforsøg
C.2.4.10 Hvis en risikovurdering tilsiger det, kan der fastlægges krav om blokering af forsøg på login fra samme arbejdsstation eller med samme brugeridentifikation Efter et nærmere fastlagt antal forsøg, afhængig af sikkerhedsniveau og andre sikkerhedsforanstaltninger. Evt. krav til blokering beskrives i afsnit C2.4.13.,
C.2.4.11 Ved genåbning af adgange, skal der foreligge dokumentation/en beskrivelse af på hvilken baggrund genåbning er sket, og om der sendes besked den Dataansvarlige ved blokeret
adgangsforsøg.
C.2.4.12 Autoriserede personer skal kunne fremvise billed-ID ved on-site databehandling hos den Dataansvarlige.
C.2.4.13 Databehandlerens beskrivelse af dennes efterlevelse af kravene i afsnit C2.4, hvis relevant for behandlingen af personoplysninger i henhold til Databehandleraftalen:
C.2.5.1 Der gælder de samme retningslinjer for backup som for al anden behandling af personoplysninger, der behandles i henhold til Databehandleraftalen.
C.2.5.2 Databehandleren skal sikre, at der foretages regelmæssig backup af systemer og personoplysninger, der behandles i henhold til Databehandleraftalen.
C.2.5.3 Backup skal opbevares adskilt fra serveren i et ikke tilstødende rum for at sikre, at denne ikke går tabt. Backup skal beskyttes og opbevaring af backup skal altid ske på betryggende vis så denne ikke fortabes.
C.2.5.4 Databehandleren skal regelmæssigt kontrollere, at backup er læsbart. Dette skal blandt andet gøres ud fra et beredskabssynspunkt, f.eks. ved større ændringer af et systems tekniske set- up.
C.2.5.5 Databehandleren skal have dokumenterede it-beredskabsprocedurer, der sikrer genetablering af services inden for rimelig tid i tilfælde af driftsafbrydelser.
C.2.5.6 Databehandleren skal regelmæssigt afprøve og evaluere effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed gennem afholdelse af it- beredskabsøvelser. Den Dataansvarlige kan anmode om at få dokumentation for dette stillet til rådighed.
C.2.5.7 Databehandlerens beskrivelse af dennes efterlevelse af afsnit C2.5, hvis relevant for den af Databehandleraftalen omfattede behandling af personoplysninger:
C.2.6 Opdateringer og ændringer
C.2.6.1 Databehandleren skal have formelle procedurer til sikring af, at opdateringer til operativsystemer, databaser, applikationer og anden software bliver vurderet og implementeret inden for rimelig tid.
C.2.6.2 Databehandleren skal have formelle procedurer for ændringshåndtering med henblik på at sikre, at enhver ændring er behørigt autoriseret, testet og godkendt inden implementering. Proceduren skal understøttes af en effektiv funktionsadskillelse eller ledelsesopfølgning med henblik på at sikre, at ingen enkeltpersoner kan implementere en ændring alene.
C.2.7.1 Databehandleren skal sikre, at it-udstyr, der anvendes i forbindelse med databehandlingen, er fysisk sikret i henhold til gældende lovkrav.
C.2.7.2 Databehandleren skal have passende tekniske foranstaltninger til at begrænse risikoen for enhver uautoriseret adgang. Databehandleren skal desuden evaluere og forbedre effektiviteten af sådanne forholdsregler, hvor det er nødvendigt.
C.2.7.3 Mobile lagringsmedier med personoplysninger skal være mærket og skal opbevares med tilstrækkelig stærk kryptering under opsyn eller under lås, når de ikke benyttes.
C.2.7.4 Mobile lagringsmedier med personoplysninger må kun udleveres til autoriserede personer med henblik på revision eller drifts- og systemtekniske opgaver.
C.2.7.5 Der skal føres en fortegnelse over, hvilke mobile lagringsmedier der benyttes i forbindelse med databehandlingen.
C.2.7.6 Der skal udarbejdes skriftlige instrukser for anvendelse og opbevaring af mobile lagringsmedier.
C.2.7.7 I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, samt ved salg og kassation af anvendte datamedier skal der træffes fornødne foranstaltninger for at sikre, at personoplysningerne ikke hændeligt eller bevidst tilintetgøres, fortabes eller forringes eller, at personoplysningerne kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med gældende lov. Dette skal ske efter best-practice.
C.2.7.8 Ved kassation af udstyr og lagringsmedier, der indeholder personoplysninger, skal lagringsmedier destrueres eller afmagnetiseres, så der sker effektiv sletning af personoplysningerne. Dokumentation for, at kassation er foretaget i overensstemmelse med ovenstående, skal opbevares i den periode, databehandlingen foregår og forevises, når den Dataansvarlige anmoder herom
C.2.8 Anvendelse af hjemme-/ad hoc-arbejdspladser
C.2.8.1 Hvis Databehandleren ikke må anvende ad hoc-arbejdspladser i forbindelse med databehandlingen, skal dette aftales mellem parterne og angives i bilag D.
C.2.8.2 Ved anvendelse af hjemme-/Ad hoc-arbejdspladser skal der anvendes fler-faktor- login (Multifactorautentifikation) eller tilsvarende sikkerhedsniveau samt hensynstagen til time-out.
C2.8.3 Databehandleren og dennes autoriserede medarbejdere må foretage databehandling fra mobile arbejdspladser, herunder med adgange til den Dataansvarliges personoplysninger over internettet, såfremt databehandlingen sker fra arbejdspladser, som er underlagt Databehandlerens egne sikkerhedsregler.
Databehandlingen skal endvidere ske i overensstemmelse med Databehandleraftalen og denne instruks.
C2.8.4 Hjemme-/Ad hoc-arbejdspladserne skal være sikret med tekniske kontroller, der sikrer, at behandlingen af personoplysninger sker i overensstemmelse med gældende lovgivning og den Dataansvarliges og Databehandlerens retningslinjer.
C.2.8.5 Det skal sikres, at uvedkommende ikke får adgang til personoplysninger, der behandles ved hjemmearbejdspladser, ligesom de enkelte medarbejdere skal instrueres i, hvordan uvedkommende ikke får adgang.
C.2.8.6 Databehandlerens beskrivelse af dennes efterlevelse af afsnit C2.8, hvis relevant for den af Databehandleraftalen omfattede behandling af personoplysninger:
C.2.9.1 Der skal som udgangspunkt foretages maskinel registrering (logning) ved behandling af personoplysninger. Krav til logning og indhold af loggen fastlægges på baggrund af risikovurderingen samt eventuelle lovkrav og omfang af den aftalte logning beskrives i C2.9.3
C.2.9.2 Loggen skal opbevares i den periode, der aftales mellem den Dataansvarlige og Databehandleren under hensyn til eventuelle lovkrav. Aftale om opbevaringsperiode samt udlevering af logoplysninger til den Dataansvarlige beskrives i afsnit C2.9.3
C.2.9.3 Databehandlerens beskrivelse af dennes efterlevelse af afsnit C2.9, hvis relevant for den af Databehandleraftalen omfattede behandling af personoplysninger:
C.2.10.1 Databehandleren skal føre og dokumentere et tilsyn med Databehandlerens organisations overholdelse af lovkrav, politikker, procedurer og denne Databehandleraftale med bilag.
C.2.11.1 Ved brud på persondatasikkerheden skal den Dataansvarlige uden unødig forsinkelse skriftligt orienteres på nedenstående adresse, således at den Dataansvarlige kan indberette bruddet til Datatilsynet og om nødvendigt underrette de registrerede. Underretningen skal ske til:
E-mailadresse og evt. telefonnummer til kontakt hos den Dataansvarlige: Orientering af den Dataansvarlige skal ske inden for [angiv tidsperiode]:
C.3. Bistand til den Dataansvarlige
Databehandleren skal så vidt muligt – inden for det nedenstående omfang og udstrækning – bistå den Dataansvarlige i overensstemmelse med Databehandleraftalens Bestemmelser 8.1 og 8.2 ved at gennemføre følgende tekniske og organisatoriske foranstaltninger:
C.4 Opbevaringsperiode og sletterutiner
Ved ophør af tjenesten vedrørende behandling af personoplysninger, skal Databehandleren enten slette eller tilbagelevere personoplysningerne i overensstemmelse med Bestemmelse 10.1, medmindre den Dataansvarlige – efter underskriften af disse Bestemmelser – har ændret den Dataansvarlige oprindelige valg. Sådanne ændringer skal være dokumenteret og opbevares skriftligt, herunder elektronisk, i tilknytning til Bestemmelserne.
C.5.1 Behandling af personoplysninger, omfattet af Databehandleraftalen, kan ikke ske på andre lokaliteter end de her listede samt, såfremt der anvendes Underdatabehandlere, de lokaliteter, der fremgår af Bilag B uden den Dataansvarliges forudgående skriftlige godkendelse:
Virksomhed | Rolle (Databehandler/Under- databehandler) | Adresse | Typen af databehandling, virksomheden foretager |
C.6 Instruks eller godkendelse vedrørende overførsel af personoplysninger til tredjelande
1. Godkendelse af overførsel og evt. specifik instruks vedr. overførsel af personoplysninger til tredjeland eller international organisation skal fremgå af bilag D.
2. Hvis den Dataansvarlige ikke i bilag D eller ved en efterfølgende skriftlig meddelelse har angivet en instruks eller godkendelse vedrørende overførsel af personoplysninger til et tredjeland, må Databehandleren ikke inden for rammerne af Databehandleraftalen foretage en sådan overførsel.
Anfør overførselsgrundlag efter databeskyttelsesforordningens kapitel 5 i nedenstående tabel:
Sæt kryds | |
Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet (artikel 45) | |
EU-standardkontrakten | |
Bindende virksomhedsregler (artikel 47) | |
Overførsel eller videregivelse uden hjemmel i EU-retten (artikel 48) | |
Særlige forhold (Artikel 49) Angiv hvilke: |
C.7.1 Den Dataansvarliges tilsyn med Databehandleren fastlægges ud fra en risikovurdering. I vurderingen af tilsynsformen skal der tages hensyn til omfanget af personoplysninger og deres følsomhed, evt. lovgivningsmæssige krav samt hvor kritisk databehandlingen er for organisationens opgaveløsning.
C.7.2 Tilsynet gennemføres som udgangspunkt årligt og tidspunkt anføres nedenfor.
C.7.3 Typen af tilsyn, herunder evt. typen af revisionserklæring, aftales mellem parterne og anføres nedenfor.
C.7.4 Baseret på resultatet af tilsynet skal Databehandleren iværksætte evt. yderligere foranstaltninger, hvis dette er nødvendigt for at efterleve kravene i denne databehandleraftale.
C.7.5 Databehandleren er forpligtet til at føre tilsyn med evt. Underdatabehandlere. Den valgte form for tilsyn med Underdatabehandleren skal være godkendt af den Dataansvarlige. Efter anmodning fra den Dataansvarlige skal dokumentation for tilsynet fremsendes til den Dataansvarlige
C.7.6 Den Dataansvarlige kan beslutte, at der som supplement skal være adgang for den Dataansvarlige eller en repræsentant at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra Databehandleren eller evt. Underdatabehandlere foretager behandling af personoplysninger.
Bilag D Parternes regulering af andre forhold
D1 [Overskrift]
D2 [Overskrift]
D3 [Overskrift]
D4 [Overskrift]
D5 [Overskrift]
D6 [Overskrift]
D7 [Overskrift]
D8 [Overskrift]