FAQ
FAQ
Nye databehandleraftaler til eksisterende EG-løsningsaftaler
Version 1 – april 2018
indhold
Hvorfor er der behov for at indgå databehandleraftaler? 3
Hvorfor en særlig databehandleraftale til brug for EG’s eksisterende løsninger? 3
Hvem har medvirket til at udforme databehandleraftalen? 3
Hvilke typer af aftaler er omfattet heraf? 4
Medfører databehandleraftalen merudgifter for kommunerne? 4
Hvordan er kommunen stillet ved lovændringer? 4
Hvad er processen for aftaleindgåelse? 4
Bilag –oversigtoverdatabehandleraftalensindholdmedangivelse af eventuellebetalingsforhold
3. Kundens rettighederog forpligtelser. 5
4. Leverandørens forpligtelser. 6
5. Underleverandør (underdatabehandler) 10
7. Tekniske ogorganisatoriske sikkerhedsforanstaltninger 11
8. Overførsler til andre lande. 11
9. Tavshedspligt og fortrolighed 11
10. Kontroller og erklæringer. 12
12. Misligholdelse og tvister 14
13. Erstatning og forsikring 14
Hvorfor er der behov for at indgå databehandleraftaler?
Når den nye databeskyttelsesforordning træder i kraft den 25. maj 2018, er der en række nye eksplicitteforhold, derskalværereguleret i en databehandleraftale.Blandtandetskaldervære en beskrivelse af de persondata, der behandles, og den behandling af persondata, der finder stedi løsningen.Medudgangspunkti detteharKit@sbestyrelse opfordretKOMBIT,SKI ogEG til at samarbejde om at udforme en databehandleraftale, der kan benyttes på de af EG’s løs- ninger, hvor der behandles persondata.
Opfordringen fra Kit@s bestyrelse bunder i mængden af aftaler, som kommunerne har med EG. Uden denne aftale ville det blive en tidskrævende opgave for kommunerne at få databe- handleraftalerne på plads.
Standarddatabehandleraftalen regulerer ikke de krav, som påhviler databehandleren (EG), og som intet har med den dataansvarliges (kommunen) forpligtelse at gøre. Dette gælder f.eks. den fortegnelse, som databehandlere er forpligtede til at føre efter databeskyttelsesforordningens artikel 30, stk. 2. Sådanne krav er ikke nødvendige eller hensigtsmæssige at regulere i en databehandleraftale.
Præmisserne for udarbejdelse af standarddatabehandleraftalen har været:
◼ Kommunernepålægges en rækkeforpligtelserefterlovgivningen,men må udoverdisse aftaleretligtikkestillesringereeftermaj2018end i dag
◼ Aftalen er baseret på en minimummodel, med fokus på overholdelse af loven uden yderligerekrav og dermedudenekstraomkostningerfor kommunernetilsådannekrav
◼ Aftalentagerafsæt i denalleredeeksisterendeKL/KOMBIT- skabelonfordatabehandler- aftaler mellem kommuner og it-leverandører
◼ Aftalen er blevet til på samme vis, og under de samme forudsætninger, som den tilsvarende skabelon, som KMD og KOMBIT udarbejdede (offentliggjort januar 2018). Det er tilstræbt at KMD-skabelonen og EG- skabelonen ligner hinanden mest muligt. Forskellene mellem KMD- Skabelonen og EG-Skabelonen er forklaret i bilaget til denne FAQ.
◼ Atdet er en version, der indeholder nuværende og kommende lovgivningskrav til indholdeti endatabehandleraftale
◼ At den umiddelbart kan anvendes til kommuners eksisterende aftaler med EG med et minimum af individuel tilpasning
Hvorfor en særlig databehandleraftale til brug for EG’s eksisterende løsninger?
Databehandleraftalen tager udgangspunkt i KL/KOMBITs skabelon for databehandleraftaler
mellem kommuner og deres leverandører. Resultatet kan benyttes på eksisterende aftaler, hvor priser og leveringsvilkår er aftalt på forhånd. Det er vigtigt at understrege, at standard- databehandleraftalen skal ses som en hjælp til kommunerne. Det står kommunerne frit for at foretage egne forhandlinger med EG, så det er altså frivilligt, om man vil benytte den eller ej.
Aftalen skal regulere EG’s og kommunens rettigheder og forpligtelser i forhold til overholdelse af databeskyttelsesforordningen på de eksisterende aftaler. Kommunerne pålægges en række forpligtelser efter lovgivningen, men præmissen er, at kommunerne udover disse ikke skal stilles ringere efter den 25. maj 2018 end i dag. Der er således udarbejdet en minimums- model af databehandleraftalen, der sikrer, at forordningens krav opfyldessamtidigmed, at de eksisterende aftaler ikke fordyres med yderligere krav.
Derudover er der foretaget mindre ændringer i bilagsstrukturen, så den kan anvendes på de mange aftaler, EG har med kommunerne, som er opsat efter en særlig skabelon med forskel- lige variable.
Men denne fremgangsmåde sikres det, at udfyldelsen af databehandleraftalen kan ske så digi- talt som muligt.
Hvem har medvirket til at udforme databehandleraftalen?
En arbejdsgruppe med deltagere fra KOMBIT og EG har – med afsæt i KL/KOMBIT’s skabelon for databehandleraftale – udarbejdet en databehandleraftale, der er målrettet eksiste- rende aftaleforhold.
Processen har været forelagt en kommunal følgegruppe nedsat af KIT@, der har haft lejlighed til at kommentere på indholdet undervejs. Den færdige databehandleraftale er godkendt af følgegruppen. SKI har herefter godkendt aftalen.
I forbindelse med udarbejdelse af skabelonen til databehandleraftaler mellem kommuner og deres leverandører har KOMBIT og KL udarbejdet en vejledning til kommunerne i benyttelsen af denne skabelon. Kommunerne kan stadig med fordel læse denne vejledning. Det skal dog bemærkes, at de henvisninger til konkrete aftaleafsnitsnummereringer, der er anført i vejledningen, ikke nødvendigvis er gældende længere, idet enkelte afsnit er udgået, om- nummereret elleromformuleret, da skabelonensomnævnt er tilpassettil en færdigaftale.
Hvilke typer af aftaler er omfattet heraf?
Samtligeaftalerder er indgået,hvorderbehandlespersondata,er omfattet.
Overordnet er der to formerforaftalermellemkommunerne og EG:
1. Aftaler indgået på en SKI rammeaftale, hvori der indgår drift eller behandling af data – typisk en ASP/CloudService,der er anskaffetunderSKI02.19ASP/Cloud
2. Øvrigekontrakter – herunderogsåkontrakterindgåeteftergennemførtEU-udbud– mel- lem kommunen og EG. Denne kategori dækker over alle kontrakter, som ikke er indgået på en SKI rammeaftale.
Den nye databehandleraftale benyttes i begge aftalescenarier.
De vilkår, der gælder i ’Hovedaftalen’ – dvs. den aftale, som databehandleraftalen knytter sig til vil fortsat være gældende. Kommunerne pålægges en række forpligtelser efter lovgivningen, men udover disse sker der ingen forringelser i forhold til det, der allerede er aftalt. Specielt i aftaler indgået på SKI-rammeaftaler, eller aftaler indgået efter gennemførte EU-udbud, kan der være vilkår, som kommunerne bibeholder, og som rækker ud over de ydelser, der er anført som standard i databehandleraftalen.
Medfører databehandleraftalen merudgifter for kommunerne?
Databehandleraftalen regulerer de opgaver og ansvarsområder, der ifølge den nye databeskyttelsesforordning påhviler henholdsvis den dataansvarlige myndighed (kommunerne) og databehandleren (EG). De ydelser, der er dækket af et fast vederlag før forordningens ikrafttræden, vil fortsat være dækket af det aftalte faste vederlag efter maj 2018. Der vil dog som i dag også være ydelser, der ikke er dækket af et fast vederlag. F.eks. kan kommunerne vælge at rekvirere bistand fra EG i forbindelse med enkelte af de opgavevaretagelser, der som udgangspunkt påhviler kommunen som dataansvarlig myndighed. I visse tilfælde kan disse ydelser være betalbare.
Databehandleraftalerne laver således ikke om på de aftalte vederlag, der gælder i henhold til denenkeltehovedaftale.Vissesteder er derdog i databehandleraftalentydeliggjort,hvadder gælder om betaling.
Derudover er der i nedenstående bilag angivet en oversigt over, hvilke aktiviteter der er regu- leret i den nye databehandleraftaler, herunder om der kan være ydelser i forbindelse hermed, der er betalbare.
Hvordan er kommunen stillet ved lovændringer?
Om lovændringer udløser ekstra betaling, afhænger af den enkelte aftale. I mange aftaler gælderdet, at derikkeopkrævesyderligerevederlag i forbindelse medlovændringer,derhar til følge, at EG-systemer skal tilrettes, som det er tilfældet i f.eks. SKI 02.19 – ASP/Cloud. Se bemærkninger hertil i bilaget til denne FAQ for yderligere forklaring.
Hvad er processen for aftaleindgåelse?
EG tager kontakt til alle kommuner med henblik på at gennemføre en proces for indgåelse af databehandleraftaler på alle de eksisterende aftaler så smidigt som muligt.
EG fremsender en færdig udfyldt databehandleraftale, hvor alle bilagsoplysninger samt EG’s forslag til udarbejdelse af en instruks er indeholdt. Dette er muligt, fordi der er tale om eksisterende løsninger, hvor EG i forvejen varetager databehandling for kommunerne, og således er bekendt med den instruks, der påhviler databehandler.
Kommunen bør selv gennemgå disse oplysninger, herunder om instruks fortsat er dækkende, inden aftalerne underskrives.
Der forventes som nævnt en digital proces for aftaleindgåelse, hvor EG – efter forslag fra den kommunale følgegruppe – vil benytte de fælleskommunale KOMBIT-funktionspostkasser til elektronisk fremsendelse af databehandleraftalerne.
Ved digital indgåelse anvendes der således ikke fysisk underskrift i Databehandleraftalen.
Oversigt over databehandleraftalens indhold med angivelse af eventuelle betalingsforhold
Hovedelementer i databehandler- aftalensafsnit | Afsnit | SKI Ramme-aftale 02.19 henvisningerne er til SKI 02.19 rammeaftale-komplekset | Øvrige kontrakter, herunder udbudte kontrakter | Uddybende eksempler | Forskel fra KMD-aftale |
Generelt | 1 | ||||
Generel forpligtelse | 1.1 | ÷ | ÷ | ||
Henvisning ny forordning og lov | 1.2 | ÷ | ÷ | Der er nu også henvist til den nye, kommende danske persondatalov | |
Præcisering | 1.3 | ÷ | ÷ | ||
Leverandøren skal behandle personoplysninger i overensstemmelse med god skik. | 1.4 | ÷ | (X) I det omfang dette ikke er indeholdt i Hovedaftalens faste vederlag, er det særskilt betalbart | ||
Formål | 2 |
Henvisning til ”Hovedaftalen” | 2.1 | Ikke relevant | Ikke relevant | Der er nu indsat mulighed for at henvise til flere hovedaftaler, hvis kommunen har flere aftaler med EG. Det er stadig muligt at lave én databehandleraftale for hver hovedaftale, som kommunen har med EG. Det er altså helt valgfrit for kommunen, om kommunen vil have én databehandleraftale, der henviser til flere hovedaftaler, eller en databehandleraftale for hver hovedaftale. EG kommer med et forslag til, om der skal samles flere hovedaftaler i en databehandleraftale, eller om der skal laves en aftale for hver hovedaftale. Det kan navnlig være relevant at henvise til flere hovedaftaler, hvor der er indgået flere aftaler, som relaterer sig til samme løsning. | |
Kundens rettigheder og forpligtelser | 3 | ||||
Kundens rettigheder og forpligtelser 1 | 3.1 | ÷ | ÷ | ||
Kundens rettigheder og forpligtelser 2 | 3.2 | ÷ | ÷ | ||
Henvisning til underbilag 1 for yderligere forpligtelser | 3.3 | ÷ | ÷ | Databehandleraftalen er ikke et underbilag, men et bilag. Det skyldes at databehandleraftalen indgås som en selvstændig aftale, og ikke som et bilag. Dette vil ikke gøre en forskel på parternes rettigheder eller forpligtelser. Denne ændring ses også i resten af databehandleraftalen. |
Bemærk
Dette skema er en overordnet angivelse af den forståelse parterne har af de betalingsmæssige konsekvenser af bilaget. Der kan muligvis være enkelte afvigelser alt efter definition af kategorier og hovedaftalers konkrete indhold.
Hvilkepunkter i aftalen vilværesærskilt betalbare forkommunen
÷ betyder, at bestemmelsen i sig selv ikke udløser yderligere betaling
5
(X) betyder, at der i visse tilfælde kan være betalbare ydelser X betyder, at der kan opkræves betaling
Afsnit | SKI Ramme-aftale 02.19 henvisningerne er til SKI 02.19 rammeaftale-komplekset | Øvrige kontrakter, herunder udbudte kontrakter | Uddybende eksempler | Forskel fra KMD-aftale | |
Leverandørens forpligtelser | 4 | ||||
Leverandørens forpligtelser, 1 | 4.1 | ÷ Reguleret i BilagC, afsnit 19.5 | (X) I det omfang dette ikkeer indeholdt i Hovedaftalens faste vederlag, er det særskilt betalbart | ||
Leverandørens forpligtelser, 2 | 4.2 | ÷ Reguleret i BilagC, afsnit 19.5 | (X) I det omfang dette ikkeer indeholdt i Hovedaftalens faste vederlag, er det særskilt betalbart | Her er bestemmelsens ordlyd ændret, så den passer til databeskyttelsesforordningens ordlyd. Aftalen er altså tilpasset, så den svarer til de forpligtelser og rettigheder, som parterne har efter databeskyttelsesforordningen. En tilsvarende ændring vil fremgå af næste version af KL/KOMBIT’s næste generelle databehandleraftaleskabelon. | |
Leverandøren skal sikre persondata via tekniske og organisatoriske sikkerhedsforanstaltninger. | 4.3 | ÷ Reguleret i BilagC, afsnit 19.5 | (X) I det omfang dette ikkeer indeholdt i Hovedaftalens faste vederlag, er det særskilt betalbart |
Hovedelementer i databehandler- aftalensafsnit | Afsnit | SKI Ramme-aftale 02.19 henvisningerne er til SKI 02.19 rammeaftale-komplekset | Øvrige kontrakter, herunder udbudte kontrakter | Uddybende eksempler | |
Leverandørens forpligtelser (fortsat) | 4 | ||||
Leverandøren skal på opfordring fra kunden hjælpe til | 4.4 | X | (X) | Et eksempel herpå kan være, at en eller flere borgere henven- | |
medat opfyldekundensforpligtelser iforholdtilden | I det omfang der | I det omfang der | dersig og ønskeroplysning om hvad kommunenhar registreret | ||
registreredes rettigheder, herunder ◼ besvarelse af anmodningfraborgerne om indsigt i egne oplysninger | ikke er organisa- torisk eller teknisk mulighed for den dataansvarlige at | ikke er organisa- torisk eller teknisk mulighed for den dataansvar- | af oplysninger på dem. I så fald er det kommunens opgave selv at slå op i relevantefagsystemer for at sehvor - ogmedhvilke data -borgeren er registreret.Såfremtkommunenønskerat EG skalhjælpetilmed at findedisseoplysninger - f.eks.på grund af at der er mange borgere der har henvendt sig, og kom- | ||
◼ udlevering af xxxxxxxxx oplysninger | opfylde forpligtel- sen, skal data- | ligetil at opfylde forpligtelsen, skal | munen ikke mener at have ressourcer til at sagsbehandle alle dissehenvendelser, dakan EG tilbyde at hjælpetilhermed. I | ||
◼ rettelse og sletning af oplysninger | behandler bistå | databehandler | så fald bestillerkommunen opgaven hosEG, og der vil blive | ||
◼ begrænsning af behandling af borgernes oplys- ninger ◼ kundens forpligtelser i forhold til underretning af den registrerede ved sikkerhedsbrug | vederlagsfrit | bistå vederlags- frit, i detomfang der erindeholdt bistand som en del af et fast vederlag i | opkrævet et vederlag herfor. Systemerne er som udgangspunkt designet til at dette kan ladesiggøre, f.eks. viabenyttelse af borgerenscpr-nummer som nøgle. Såfremt det ikke er muligt for kommunen selv at fremfinde disse oplysninger (fordi systemet ikke indeholder | ||
Hovedaftalen. | mulighedherfor), davil EG hjælpemedat fremfindeoplysnin- | ||||
gerne uden at dette koster ekstra, såfremt en sådan bistand er | |||||
indeholdt som en del af et fast vederlag. | |||||
Tilsvarende gælder, hvis borgeren ønsker at få udleveret | |||||
oplysningerne, f.eks. i form af et print, eller borgeren anmoder | |||||
om at de registrerede oplysninger bliver rettet eller slettet i | |||||
registrene. Typisk er dette en opgave som kommunen selv | |||||
skalvaretage. EG kanbistå mod et vederlag, hviskommunen | |||||
måtte ønske dette. | |||||
Såfremt kommunen skal underrette en kreds af borgere om at | |||||
derharværet et sikkerhedsbrud, davaretagerkommunenselv | |||||
denne opgave. Hvis kommunen imidlertid vurderer, at denne | |||||
underretningbedstkan skevia bistandfra EG, da kan en | |||||
bistandsopgave bestilles hos EG, der udfører opgaven mod at | |||||
opkræve vederlag herfor. | |||||
7
Hovedelementer i databehandler- aftalensafsnit | Afsnit | SKI Ramme-aftale 02.19 henvisningerne er til SKI 02.19 rammeaftale-komplekset | Øvrige kontrakter, herunder udbudte kontrakter | Uddybende eksempler |
Leverandørens forpligtelser | 4 | |||
Leverandørenskalefterlevedennesforpligtelser iFor- ordningens artikel 32 - Behandlingssikkerhed - mht. aktiviteter der kan henførestil databehandleren (gen- nemførelse af passende tekniske og organisatoriske foranstaltninger internt i EG). | 4.5 | ÷ Reguleret i BilagC, afsnit 19.5 | (X) I det omfang dette ikkeer indeholdt i Hovedaftalens faste vederlag, er det særskilt betalbart | |
Leverandørenskalbiståkundenmed at efterleve dennes forpligtelser i Forordningens artikel 32 - Be- handlingssikkerhed. Aktiviteter, der kan henføres til den dataansvarlige (gennemførelse af passende tek- niske og organisatoriske foranstaltninger i kundens egen organisation). | 4.5 | X | X | Såfremt en kommune ønsker EG’s bistand til at varetage sikkerhedsforanstaltninger hos kommu- nen selv, vil sådan bistand være særskilt betalbar. Dette kunne eksempelvis dreje sig om logning af kundens medarbejderes adgange til personop- lysninger samt styring af adgange for kundens medarbejdere. I så tilfælde vil sådanne foranstalt- ninger være særskilt betalbare. |
Leverandøren skal efterleve dennes forpligtelser i Forordningens artikel 33 - Underretning af den data- ansvarlige om brud på persondatasikkerheden. | 4.5 | ÷ Reguleret i BilagC, afsnit 19.5 | ÷ | |
Leverandøren skal bistå kunden med at efterleve dennes forpligtelser i Forordningens artikel 33 - Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden. | 4.5 | X | X | Kommunens dialog med tilsynsmyndighederne (Datatilsynet) er en opgave som påhviler data- ansvarlig, og somkommunenderfortypisk selv varetager. I det omfang kommunen til brug for denne dialog efterspørger oplysninger, som kommunen selv er i stand til at tilvejebringe, men som kommu- nenmener, at EG medfordelkanbiståmed at fremskaffe, kan kommunen bestille sådanne oplysninger hos EG. Afhængig afomfanget herafkan en sådanopgaveløsningfraEG’sside være betalbar. |
Hovedelementer i databehandler- aftalensafsnit | Afsnit | SKI Ramme-aftale 02.19 henvisningerne er til SKI 02.19 rammeaftale-komplekset | Øvrige kontrakter, herunder udbudte kontrakter | Uddybende eksempler |
Leverandørens forpligtelser (fortsat) | 4 | |||
Leverandørenskal biståkundenmedat efterleve dennesforpligtelseri Forordningensartikel 34– Underretning om brud på persondatasikkerheden til den registrerede. | 4.5 | X | X | I visse tilfælde vil det være sådan, at kommunen skal underrette en kreds af borgere om at der har været et sikkerhedsbrud. Det typiske er, at kommunen selv varetagerdenneopgave.Hviskommunenimidlertidvur- derer, at denne underretning bedst kan ske via bistand fra EG, da kan en sådan bistandsopgave bestilles hos EG, derudføreropgavenmod at opkrævevederlag herfor. Skyldes sikkerhedsbruddet en fejl begået af EG, og kommunen derfor mener at kunne rejse krav mod EG, skal dette ske i henhold til de misligholdelsesbeføjelser, der måtte gælde i Hovedaftalen (f.eks. ved påberåbelse af mangler eller misligholdelse over for EG). |
Leverandøren skal bistå kunden med at efterleve dennesforpligtelser i Forordningensartikel 35 – Udarbejdelse af konsekvensanalysevedrørende databeskyttelse. | 4.5 | X | X | En konsekvensanalyse består i en vurdering af af de risici der er i forbindelse med behandling af personoplysnin- ger. En konsekvensanalyse skal foretages inden visse typer af behandling afpersonoplysninger. Det er den dataansvarlige, der skalforetage denne analyse. Hvis EG’s bistand ønskes i forbindelse hermed, vil dette typisk være at betragte som en konsulentydelse, som EG kanopkrævevederlagfor at medvirketil. |
Afsnit | SKI Ramme-aftale 02.19 henvisningerne er til SKI 02.19 rammeaftale-komplekset | Øvrige kontrakter, herunder udbudte kontrakter | Uddybende eksempler | |
Leverandørens forpligtelser | 4 | |||
Krav til leverandørens ekspertise | 4.6 | ÷ Reguleret i BilagC, afsnit 19.5 | ÷ | |
Overholde bestemmelser i andet EU-medlemsland | 4.7 | ÷ | ÷ | |
Underleverandør (underdatabehandler) | 5 | |||
Definition underdatabehandler | 5.1 | ÷ | ÷ | |
Leverandørens rettigheder og forpligtelser over for denne, 1 | 5.2 | ÷ | ÷ | |
Leverandørens rettigheder og forpligtelser over for denne, 2 | 5.3 | ÷ | ÷ | |
Underdatabehandlerens forpligtelser | 5.4 | ÷ | ÷ | |
Leverandøren har ansvaret for underleverandøren | 5.5 | ÷ | ÷ | |
Kommunen kan forlange dokumentation | 5.6 | ÷ | ÷ | |
Instrukser | 6 | |||
Behandling sker efter instruks | 6.1 | ÷ | ÷ | |
Leverandørengiverbeskedtilkunden om ulovlig instruks | 6.2 | ÷ Reguleret i BilagC, afsnit 19.5 | ÷ |
Afsnit | SKI Ramme-aftale 02.19 henvisningerne er til SKI 02.19 rammeaftale-komplekset | Øvrige kontrakter, herunder udbudte kontrakter | Uddybende eksempler | Forskel fra KMD-aftale | |
Tekniskeogorganisatoriske sikkerhedsforanstaltninger | 7 | ||||
Leverandøren træffer fornødne tekniske og organisatoriske sikkerhedsforanstaltninger | 7.1 | ÷ | (X) I det omfang dette ikke er indeholdt i Hovedaftalens faste vederlag, er det særskilt betalbart | ||
Leverandøren holder passende sikkerhedsniveau | 7.2 | ÷ Reguleret i BilagC, afsnit 19.5 | (X) I det omfang dette ikke er indeholdt i Hovedaftalens faste vederlag, er det særskilt betalbart | ||
Leverandørenunderretterkundenom sikkerhedsbrud | 7.3 | ÷ Reguleret i BilagC, afsnit 19.5 | ÷ | ||
Overførsler til andre lande | 8 | ||||
Overførsel til andre lande sker ud fra kundens instruks | 8.1 | ÷ | ÷ | EG må kun overføre kommunens personoplysninger med kommunens godkendelse. EG angiver det tydeligt i det udfyldte bilag 1, punkt 3.2, hvis der overføres personoplysninger til tredjelande. | I bilag 1, punkt 3.2 er der givet plads til, at eventuelle tredjelandsoverførsler suppleres med oplysning om, hvilket overførselsgrundlag der anvendes, for at lette kommunens dokumentationsforpligtelse. |
Leverandøransvar vedr. persondata overført til andet EU-land | 8.2 | ÷ | ÷ | ||
Tavshedspligt og fortrolighed | 9 | ||||
Leverandøren sikrer fortrolighed og tavshedspligt | 9.1 | ÷ | ÷ |
Afsnit | SKI Ramme-aftale 02.19 henvisningerne er til SKI 02.19 rammeaftale-komplekset | Øvrige kontrakter, herunder udbudte kontrakter | Uddybende eksempler | |
Kontroller og erklæringer | 10 | |||
Leverandøren forpligtiget til at udlevere oplysninger så kunden kan sikre sig at leverandøren overholder aftalen. | 10.1 | X | X | Et eksempel herpåer, at EG formange af EG’s ydelserårligt udarbejderenellerto typer af generellerevisionserklæringer vedr. overholdelse af generelle it-kontroller. Såfremt der er behovforyderligeredokumentation, f.eks. i form af rapporter,indhentningafuvildige konsu- lentoplysningerellerandreopgaver,dermedfører et res- sourceforbrug ud over det der er aftalt med kommunen i den konkreteHovedaftale,kandetteværebetalbart. |
Kunden har adgang til inspektioner og revision | 10.2 | (X) Reguleret i BilagC, afsnit 15 | X | Audit er særskilt betalbart,medmindreandet er aftalt i Hovedaftalen. |
Leverandøren fremsender årlig vederlagsfri erklæring | 10.3 | ÷ | ÷ |
Afsnit | SKI Ramme-aftale 02.19 henvisningerne er til SKI 02.19 rammeaftale-komplekset | Øvrige kontrakter, herunder udbudte kontrakter | Uddybende eksempler | Forskel fra KMD-aftale | |
Ændringer i aftalen | 11 | ||||
Kundensmulighedfor ændring i instruksen medet | 11.1 | X | X | Et eksempel herpå vil være, at kommunen introducerer ændringer i den | |
vist varsel og mod betaling. | Reguleret i Bilag | allerede aftalte instruks. I så fald aftales pris, udførelse og tid i henhold | |||
C, afsnit 14 og 16, | ændringsbestemmelsen i Hovedaftalen. | ||||
samtBilag C7 | |||||
Ændringer i lovgivningen eller tilhørende praksis kanmedføreændringer i aftalen. | 11.2 | ÷ | (X) Ændringer som ikke er indeholdt i Hovedaftalens faste vederlag er særskilt betalbare. Ændringer der går udover, hvad EG tilbyder sine øvrige kunder, som tilpasning til ny lovgivning er særskilt betalbare. | Det typiske er, at det er reguleret i Hovedaftalen hvorvidt lovvedligeholdelse og de aktiviteter der følger heraf er særskilt betalbare. Aftalenændresindenforden anførte frist og lovændringer implementeres inden for rimelig tid. EG foretager ændringer i aftalen ens overfor alle kunder. Da EG tilpasser løsninger og aftaler til ny lovgivning sideløbende for samtlige kunder. Såfremt enkelte kunder ønsker tilføjelser til denne standardtilpasning ny lovgivning, vil dette være særskilt betalbart. Hvis der f.eks. kommer yderligere krav til behandlingssikkerhed i ny lovgivning, vil EG implementere disse krav teknisk og aftalemæssigt ens for samtlige kunder. Ønsker en kunde derudover yderligere skærpelse af behandlingssikkerheden, da kundens egen forståelse af sikkerhedskravene i den nye lovgivning går videre end de øvrige kunders, da vil indførelse af sådanne sikkerhedskrav være særskilt betalbare. | Ændringen ses i punkt 11.2.1. EG tilpasser sig ændringer i lovgivning og tilhørende praksis ens for alle kunder. Derfor vil en ændring i lovgivningen ikke medføre ret til individuel tilpasning af databehandleraftalen for hver enkelt kommune. |
Et eksempel herpå kunne være, at EG efter en ændring lovgivning eller praksis vælger at følge nye retningslinjer om sletning fra Datatilsynet (f.eks. en opdateret version af Datatilsynets IT-sikkerhedstekst ST-3). En enkelt kommune stiller dog krav om sletning efter en specifik standard (f.eks. NIST 800-88), som går udover hvad Datatilsynet kræver. Opgradering til denne standard vil være særskilt betalbar. Et andet eksempel kunne være, at der kommer en ny bekendtgørelse (eller anden administrativ retsakt) der ligner den nuværende sikkerhedsbekendtgørelse. I denne nye bekendtgørelse er der skærpede krav til tavshedspligten for medarbejdere. EG indskærper tavshedspligten overfor EG’s medarbejdere i overensstemmelse med den nye bekendtgørelse. EG har dermed implementeret de skærpede krav ens for alle kunder. En enkelt kommune ønsker dog at gå videre, og betinger sig en underskrevet tavshedserklæring fra visse medarbejdere hos EG, hvor medarbejderne forpligter sig til fortrolighed direkte overfor kommunen. Hvis EG accepterer et sådant særkrav, vil dette være særskilt betalbart. | |||||
Sletning af data | 12 | ||||
Kommunenbesluttersletning af dataefterophør. | 12.1 | ÷ Reguleret i BilagC, afsnit 21.1 | (X) I det omfang dette ikke er indeholdt i Hovedaftalens faste vederlag, er det særskilt betalbart | Detvil typiskvære reguleret i Hovedaftalen hvorvidt slet- ningaf dataefter ophør er særskiltbetalbart. | |
Kommunen meddeler sletning eller tilbagelevering af data. | 12.2 | ÷ Reguleret i BilagC, afsnit 21.1 | (X) I det omfang dette ikke er indeholdt i Hovedaftalens faste vederlag, er det særskilt betalbart | Detviltypiskværereguleret i Hovedaftalenhvorvidt sletning af data efter ophør samt eventuelle opfølgende aktiviteter i forbindelse hermed er særskilt betalbart. |
Afsnit | SKI Ramme-aftale 02.19 henvisningerne er til SKI 02.19 rammeaftale-komplekset | Øvrige kontrakter, herunder udbudte kontrakter | Uddybende eksempler | Forskel fra KMD-aftale | |
Misligholdelse ogtvister | 13 | ||||
Misligholdelse og tvister | 13.1 | Ikke relevant | Ikke relevant | ||
Erstatning og forsikring | 14 | ||||
Erstatning og forsikring | 14.1 | Ikke relevant | Ikke relevant | ||
Ikrafftræden, varighed og forrang | 15 | ||||
Ikrafftræden og varighed | 15.1 | Ikke relevant | Ikke relevant | Denne bestemmelse kan eksempelvis være relevant, hvor kommunens data ikke er blevet slettet eller tilbageført ved hovedaftalens ophør; f.eks. fordi det ikke har været muligt for kommunen at finde en ny leverandør i tide, eller der har været migreringsvanskeligheder. Her er det en fordel, at der er sikret overholdelse af databeskyttelsesforordningen, uden at skulle bruge ressourcer derpå. | Databehandleraftalen løber så længe EG behandler personoplysninger på vegne af kommunen. Dette skal sikre overholdelse af databeskyttelsesforordningen for begge parter. Det skal sikres, at parterne ikke kan komme til at stå uden en databehandleraftale, når EG stadig behandler personoplysninger på vegne af kommunen. |
Forrang | 15.2 | Ikke relevant | Ikke relevant | Denne bestemmelse kan ikke give kommunen betalingsforpligtelser, hvor kommunen havde ret til vederlagsfri ydelser i hovedaftalen. Dette skyldes, at betalingsforpligtelserne i databehandleraftalen kun er relevante, i det omfang dette ikke er indeholdt i Hovedaftalens faste vederlag. | Databehandleraftalen har her fået forrang. Dette skal sikre, at bestemmelser i hovedaftaler, som måtte være databeskyttelsesforordningen ikke medfører overtrædelse af denne. |
Formkrav | 16 | ||||
Formkrav | 16.1 | Ikke relevant | Ikke relevant |