DATABEHANDLERAFTALE
DATABEHANDLERAFTALE
Standardkontraktsbestemmelser
i henhold til artikel 28, stk. 3, i forordning 2016/679 (databeskyttelsesforordningen) med hen- blik på databehandlerens behandling af personoplysninger.
Mellem
Leje Kommune CVR: 29188548
Xxxxxxxxxxxxx 0
4330 Hvalsø Danmark
herefter benævnt ”Kommunen” og
(INDSÆT NAVN PÅ LEVERANDØR, CVR NR. OG ADRESSE)
herefter benævnt ”Databehandleren”
der hver især er en ”Part” og sammen udgør ”Parterne”
er aftalt følgende standardkontraktsbestemmelser (herefter benævnt ”Bestemmelserne”) med henblik på at overholde databeskyttelsesforordningen og sikre beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder.
2. Kommunens rettigheder og forpligtelser 4
3. Databehandleren handler efter instruks 4
6. Anvendelse af underdatabehandlere 5
7. Overførsel til tredjelande eller internationale organisationer 6
8. Bistand til den dataansvarlige 7
9. Underretning om brud på persondatasikkerheden 8
10. Sletning og returnering af oplysninger 8
11. Revision, herunder inspektion 8
12. Parternes aftale om andre forhold 9
14. Kontaktpersoner hos den dataansvarlige og databehandleren 10
Bilag A Oplysninger om behandlingen 11
Bilag B Underdatabehandlere 13
Bilag C Instruks vedrørende behandling af personoplysninger 14
Bilag D Parternes regulering af andre forhold 21
2. Bestemmelserne er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (da- tabeskyttelsesforordningen).
3. I forbindelse med aftale om levering af madservice til borgere i eget hjem (i det føl- gende benævnt Hovedaftalen) behandler databehandleren personoplysninger på vegne af Kommunen i overensstemmelse med Bestemmelserne.
4. Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.
5. Der hører fire bilag til Bestemmelserne, og bilagene udgør en integreret del af Be- stemmelserne.
6. Bilag A indeholder nærmere oplysninger om behandlingen af personoplysninger, her- under om behandlingens formål og karakter, typen af personoplysninger, kategori- erne af registrerede og varighed af behandlingen.
7. Bilag B indeholder Kommunens betingelser for databehandlerens brug af en anden databehandler (underdatabehandler) og en liste over underdatabehandlere, som Kommunen har godkendt brugen af på tidspunktet for Bestemmelsernes ikrafttræden.
8. Bilag C indeholder Kommunens instruks for så vidt angår databehandlerens behand- ling af personoplysninger, en beskrivelse af de sikkerhedsforanstaltninger, som data- behandleren som minimum skal gennemføre, og hvordan der føres tilsyn med data- behandleren og eventuelle underdatabehandlere.
9. Bilag D indeholder bestemmelser vedrørende andre aktiviteter, som ikke af omfattet af Bestemmelserne.
10. Bestemmelserne med tilhørende bilag skal opbevares skriftligt, herunder elektronisk, af begge parter.
11. Bestemmelserne frigør ikke databehandleren fra forpligtelser, som denne er pålagt efter Databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og enhver anden lovgivning.
1. Kommunen er ansvarlig for at sikre, at behandlingen af personoplysninger sker i over- ensstemmelse med Databeskyttelsesforordningen (se artikel 24), databeskyttelses- bestemmelser i anden EU-ret eller medlemsstaternes1 nationale ret og Bestemmel- serne.
2. Kommunen har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger.
3. Kommunen er ansvarlig for, blandt andet, at sikre, at der er et behandlingsgrundlag for behandlingen af personoplysninger, som databehandleren instrueres i at foretage.
3. Databehandleren handler efter instruks
1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra Kommunen, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt. Denne instruks skal være specifice- ret i bilag A og C. Efterfølgende instruks kan også gives af Kommunen, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk, sammen med Bestemmelserne.
2. Databehandleren underretter omgående Kommunen, hvis en instruks efter xxxxxx- xxxxxx mening er i strid med Databeskyttelsesforordningen eller databeskyttelses- bestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
3. Databehandleren anses som selvstændig dataansvarlig for en eventuel behandling, som databehandleren foretager i strid med instruksen fra Kommunen.
4. Fortrolighed
1. Databehandleren må kun give adgang til personoplysninger, som behandles på Kom- munens vegne, til personer, som er underlagt databehandlerens instruktionsbeføjel- ser, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang. Listen af personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af denne gennemgang kan adgan- gen til personoplysninger lukkes, hvis adgangen ikke længere er nødvendig, og per- sonoplysningerne skal herefter ikke længere være tilgængelige for disse personer.
2. Databehandleren skal efter anmodning fra Kommunen kunne påvise, at de pågæl- dende personer, som er underlagt databehandlerens instruktionsbeføjelser, er under- lagt ovennævnte tavshedspligt.
5. Behandlingssikkerhed
1. Databeskyttelsesforordningens artikel 32 fastslår, at Kommunen og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og
1 Henvisninger til ”medlemsstat” i disse bestemmelser skal forstås som en henvisning til ”EØS medlemsstater”.
ger for at sikre et beskyttelsesniveau, der passer til disse risici.
Kommunen skal vurdere risiciene for fysiske personers rettigheder og frihedsrettighe- der som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:
a. Pseudonymisering og kryptering af personoplysninger.
b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og ro- busthed af behandlingssystemer- og tjenester.
c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personop- lysninger i tilfælde af en fysisk eller teknisk hændelse.
d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effek- tiviteten af de tekniske og organisatoriske foranstaltninger til sikring af be- handlingssikkerhed.
2. Efter Databeskyttelsesforordningens artikel 32 skal databehandleren – uafhængigt af Kommunen – også vurdere risiciene for fysiske personers rettigheder som behandlin- gen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal Kommunen stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici.
3. Derudover skal databehandleren bistå Kommunen med vedkommendes overholdelse af Kommunens forpligtelse efter Databeskyttelsesforordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for Kommunen vedrørende de tekni- ske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til Databeskyttelsesforordningens artikel 32, og al anden infor- mation, der er nødvendig for Kommunens overholdelse af sin forpligtelse efter Data- beskyttelsesforordningens artikel 32.
Hvis imødegåelse af de identificerede risici – efter Kommunens vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databe- handleren allerede har gennemført, skal Kommunen angive de yderligere foranstalt- ninger, der skal gennemføres, i Bilag C.
6. Anvendelse af underdatabehandlere
1. Databehandleren skal opfylde de betingelser, der er omhandlet i Databeskyttelses- forordningens artikel 28, stk. 2, og stk. 4, for at gøre brug af en underdatabehandler.
2. Databehandleren må således ikke gøre brug af en underdatabehandler til opfyldelse af Bestemmelserne uden forudgående specifik skriftlig godkendelse fra Kommunen.
3. Databehandleren må kun gøre brug af underdatabehandlere med Kommunens forud- gående specifikke skriftlige godkendelse. Databehandleren skal indgive anmodnin- gen om en specifik godkendelse mindst 60 kalenderdage inden anvendelsen af den pågældende underdatabehandler. Listen over underdatabehandlere, som den data- ansvarlige allerede har godkendt på tidspunktet for Bestemmelsernes ikrafttræden, fremgår af Bilag B.
4. Når databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af Kommunen, skal databehandleren,
gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlems- staternes nationale ret, pålægge underdatabehandleren de samme databeskyttelses- forpligtelser som dem, der fremgår af Bestemmelserne, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og orga- nisatoriske foranstaltninger på en sådan måde, at behandlingen overholder kravene i Bestemmelserne og Databeskyttelsesforordningen.
Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som mi- nimum overholder databehandlerens forpligtelser efter Bestemmelserne og Databe- skyttelsesforordningen.
5. Underdatabehandleraftale(r) og eventuelle senere ændringer hertil sendes – efter Kommunens anmodning herom – i kopi til Kommunen, som herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforpligtelser som følger af Bestemmel- serne er pålagt underdatabehandleren. Bestemmelser om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til Kommunen.
6. Databehandleren skal i sin aftale med underdatabehandleren indføje Kommunen som begunstiget tredjemand i tilfælde af databehandlerens konkurs, således at Kommu- nen kan indtræde i databehandlerens rettigheder og gøre dem gældende over for underdatabehandlere, som f.eks. gør Kommunen i stand til at instruere underdatabe- handleren i at slette eller tilbagelevere personoplysningerne.
7. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for Kommunen for opfyldelsen af underdatabe- handlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder, der følger af Databeskyttelsesforordningen, herunder særligt artikel 79 og 82, over for Kommunen og databehandleren, herunder underdatabehandleren.
7. Overførsel til tredjelande eller internationale organisationer
1. Enhver overførsel af personoplysninger til tredjelande eller internationale organisati- oner må kun foretages af databehandleren på baggrund af dokumenteret instruks herom fra Kommunen og skal altid ske i overensstemmelse med Databeskyttelses- forordningens kapitel V.
2. Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som databehandleren ikke er blevet instrueret i at foretage af Kommunen, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er un- derlagt, skal databehandleren underrette Kommunen om dette retlige krav inden be- handling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
3. Uden dokumenteret instruks fra Kommunen kan databehandleren således ikke inden for rammerne af disse Bestemmelser:
a. Overføre personoplysninger til en dataansvarlig eller databehandler i et tred- jeland eller en international organisation.
b. Overlade behandling af personoplysninger til en underdatabehandler i et tredjeland.
c. Behandle personoplysningerne i et tredjeland.
Side 6 af 21
4. Kommunens instruks vedrørende overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, skal angives i Bilag C.6.
5. Bestemmelserne skal ikke forveksles med standardkontraktsbestemmelser som om- handlet i Databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og Bestemmel- serne kan ikke udgøre et grundlag for overførsel af personoplysninger som omhandlet i Databeskyttelsesforordningens kapitel V.
8. Bistand til den dataansvarlige
1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt Kommunen ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af Kommunens forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i Databeskyttelsesforordningens kapitel III.
Dette indebærer, at databehandleren så vidt muligt skal bistå Kommunen i forbin- delse med, at Kommunen skal sikre overholdelsen af:
a. Oplysningspligten ved indsamling af personoplysninger hos den registre- rede.
b. Oplysningspligten, hvis personoplysninger ikke er indsamlet hos den regi- strerede.
c. Indsigtsretten.
d. Retten til berigtigelse.
e. Retten til sletning (”retten til at blive glemt”).
f. Retten til begrænsning af behandling.
g. Underretningspligten i forbindelse med berigtigelse eller sletning af person- oplysninger eller begrænsning af behandling.
h. Retten til indsigelse
i. Retten til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering
2. I tillæg til databehandlerens forpligtelse til at bistå Kommunen i henhold til Bestem- melsernes 5.3., bistår databehandleren desuden, under hensyntagen til behandlin- gens karakter og de oplysninger, der er tilgængelige for databehandleren, Kommunen med:
a. Kommunens forpligtelse til uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det at anmelde brud på person- datasikkerheden til den kompetente tilsynsmyndighed, Datatilsynet, medmin- dre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
b. Kommunens forpligtelse til uden unødig forsinkelse at underrette den regi- strerede om brud på persondatasikkerheden, når bruddet sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder
c. Kommunens forpligtelse til forud for behandlingen at foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af person- oplysninger (en konsekvensanalyse).
d. Kommunens forpligtelse til at høre den kompetente tilsynsmyndighed, Data- tilsynet, inden behandling, såfremt en konsekvensanalyse vedrørende data- beskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstalt- ninger truffet af den dataansvarlige for at begrænse risikoen.
Side 7 af 21
3. Parterne skal i Bilag C angive de fornødne tekniske og organisatoriske foranstaltnin- ger, hvormed databehandleren skal bistå Kommunen samt i hvilket omfang og ud- strækning. Det gælder for de forpligtelser, der følger af Bestemmelsernes 8 og 9.
9. Underretning om brud på persondatasikkerheden
1. Databehandleren underretter uden unødig forsinkelse Kommunen efter at være ble- vet opmærksom på, at der er sket et brud på persondatasikkerheden.
2. Databehandlerens underretning til Kommunen skal om muligt ske senest 24 timer efter, at databehandleren er blevet bekendt med bruddet, sådan at Kommunen kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, Datatilsynet, jf. Databeskyttelsesforordningens artikel 33.
3. I overensstemmelse med Bestemmelsernes 8.2.a skal databehandleren bistå Kom- munen med at foretage anmeldelse af bruddet til den kompetente tilsynsmyndighed, Datatilsynet. Det betyder, at databehandleren skal bistå med at tilvejebringe neden- stående information, som ifølge Databeskyttelsesforordningens artikel 33, stk. 3, skal fremgå af Kommunens anmeldelse af bruddet til den kompetente tilsynsmyndighed, Datatilsynet:
a. Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er mu- ligt, kategorierne og det omtrentlige antal berørte registrerede samt katego- rierne og det omtrentlige antal berørte registreringer af personoplysninger
b. De sandsynlige konsekvenser af bruddet på persondatasikkerheden
c. De foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er re- levant, foranstaltninger for at begrænse dets mulige skadevirkninger.
4. Parterne skal i bilag C angive den information, som databehandleren skal tilvejebringe i forbindelse med sin bistand til Kommunen i dennes forpligtelse til at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed, Datatilsynet.
10. Sletning og returnering af oplysninger
1. Ved ophør af tjenesten vedrørende behandling af personoplysninger er databehand- leren forpligtet til at tilbagelevere alle de behandlede personoplysninger og til at slette eksisterende kopier – herunder også fra en eventuel backup – samt skriftligt bekræfte over for Kommunen, at personoplysningerne er slettet, medmindre EU-ret- ten eller national ret foreskriver opbevaring af personoplysningerne.
2. Databehandleren er forpligtet til at sikre, at eventuelle underdatabehandlere ligele- des tilbageleverer alle de behandlede personoplysninger og sletter eksisterende ko- piere heraf.
11. Revision, herunder inspektion
1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdel- sen af Databeskyttelsesforordningens artikel 28 og Bestemmelserne, til rådighed for Kommunen og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af Kommunen eller en anden revisor, som er bemyndiget af Kommunen.
Side 8 af 21
ren og underdatabehandlere er nærmere angivet i Bilag C.7. og C.8.
3. Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende lov- givning har adgang til Kommunens eller databehandlerens faciliteter, eller repræsen- tanter, der optræder på tilsynsmyndighedens vegne, adgang til databehandlerens fy- siske faciliteter mod behørig legitimation.
12. Parternes aftale om andre forhold
1. Parterne kan aftale andre bestemmelser vedrørende tjenesten vedrørende behand- ling af personoplysninger om f.eks. erstatningsansvar, så længe disse andre bestem- melser ikke direkte eller indirekte strider imod Bestemmelserne eller forringer den re- gistreredes grundlæggende rettigheder og frihedsrettigheder, som følger af Databe- skyttelsesforordningen.
13. Ikrafttræden og ophør
1. Bestemmelserne træder i kraft på datoen for parternes underskrift heraf.
2. Parterne kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller uhen- sigtsmæssigheder i Bestemmelserne giver anledning hertil.
3. Bestemmelserne er gældende, så længe tjenesten vedrørende behandling af person- oplysninger varer. I denne periode kan Bestemmelserne ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjenesten vedrørende behandling af personoplysninger, aftales mellem parterne.
4. Hvis levering af tjenesterne vedrørende behandling af personoplysninger ophører, og personoplysningerne er slettet eller returneret til den dataansvarlige i overensstem- melse med Bestemmelsernes 10 og Bilag C.4, kan Bestemmelserne opsiges med skriftligt varsel af Parter.
5. Underskrifter
På vegne af Kommunen:
Navn: Xxxxx Xxxxx
Stilling: Chenterchef
E-mail: xxxxx@xxxxx.xx Dato:
Underskrift:
På vegne af databehandleren:
Navn: [NAVN]
Stilling: [STILLING] Telefonnummer: [TELEFONNUMMER] E-mail: [E-MAIL]
Dato: [DATO]
Underskrift:
1. Parterne kan kontakte hinanden via følgende kontaktpersoner. Dataansvarlig (Systemansvarlig hos Lejre Kommune) Navn: Xxxxxxx Xxxxxxxxx
Stilling: Administrativ Assistent Telefonnummer: 00000000
Databehandler
Navn: Stilling:
Telefonnummer:
E-mail:
[NAVN] [STILLING]
[TELEFONNUMMER]
[E-MAIL]
2. Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktpersoner.
A.1. Formålet med behandlingen af personoplysningerne
Formålet med databehandlerens behandling af personoplysninger på vegne af Kommunen er, [BESKRIV FORMÅLET MED BEHANDLINGEN].
A.2. Karakteren af behandlingen
Databehandlerens behandling af personoplysninger på vegne af Kommunen drejer sig pri- mært om [BESKRIV KARAKTEREN AF BEHANDLINGEN].
A.3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede
A.3.1. Behandlingen omfatter nedenfor afkrydsede kategorier om de registrerede.
A.3.2. databehandlerens og eventuelle underdatabehandleres niveau for behandlingssikker- hed bør afspejle de behandlede personoplysningers følsomhed jf. Bilag C.2.
Almindelige personoplysninger (jf. Databeskyttelsesforordningens artikel 6):
☐ Almindelige personoplysninger:
Helt konkret omfatter behandlingen følgende typer af almindelige personoplysninger:
6. [Den specifikke almindelige personoplysning – eksempelvis navne].
7. [Den specifikke almindelige personoplysning – eksempelvis adresser].
8. [Den specifikke almindelige personoplysning – eksempelvis telefonnumre]. 9. [Den specifikke almindelige personoplysning – eksempelvis e-mailadresser]. 10. [Den specifikke almindelige personoplysning – eksempelvis fødselsdatoer].
11. [Den specifikke almindelige personoplysning – eksempelvis stillingsbetegnelser].
12. [Den specifikke almindelige personoplysning – eksempelvis oplysninger om økono- miske forhold].
[NB! Afkrydsningen SKAL uddybes med en angivelse af de specifikke typer af alminde- lige personoplysninger, som behandlingen omfatter jf. ovenfor, idet en afkrydsning alene ikke er tilstrækkelig i Datatilsynets optik]
Følsomme personoplysninger om (jf. Databeskyttelsesforordningens artikel 9):
☐ Race eller etnisk oprindelse.
☐ Politisk overbevisning.
☐ Religiøs overbevisning.
☐ Filosofisk overbevisning.
☐ Fagforeningsmæssigt tilhørsforhold.
☐ Genetiske data.
☐ Biometriske data.
☐ Helbredsoplysninger, herunder misbrug af medicin, narkotika, alkohol m.v.
☐ En fysisk persons seksuelle forhold eller seksuelle orientering.
Helt konkret omfatter behandlingen følgende typer af følsomme personoplysninger:
13. [Den specifikke følsomme personoplysning – eksempelvis: fingeraftryk].
14. [Den specifikke følsomme personoplysning – eksempelvis medlemskab af DJØF]. 15. [Den specifikke følsomme personoplysning – eksempelvis demensdiagnoser].
16. [Den specifikke følsomme personoplysning – eksempelvis alkoholmisbrug].
personoplysninger, som behandlingen omfatter jf. ovenfor, idet en afkrydsning alene ikke er tilstrækkelig i Datatilsynets optik]
Personoplysninger om straffedomme og lovovertrædelser (jf. Databeskyttelsesforord- ningens artikel 10):
☐ Straffedomme.
☐ Lovovertrædelser.
Helt konkret omfatter behandlingen følgende typer af personoplysninger om straffedomme og lovovertrædelser:
17. [Den specifikke personoplysning om straffedomme og lovovertrædelser – eksempel- vis: spiritusdomme].
18. [Den specifikke personoplysning om straffedomme og lovovertrædelser – eksempel- vis: ubetalte fartbøder].
[NB! Afkrydsningen SKAL uddybes med en angivelse af de specifikke typer af person- oplysninger om straffedomme og lovovertrædelser, som behandlingen omfatter jf. ovenfor, idet en afkrydsning alene ikke er tilstrækkelig i Datatilsynets optik]
Oplysninger om cpr-nummer (jf. Databeskyttelseslovens § 11):
☐ CPR-numre.
A.4. Behandlingen omfatter følgende kategorier af registrerede
Behandlingen omfatter nedenfor nævnte kategorier af registrerede.
A. | |
B. | Indsæt kategori af personer |
[Indsæt kategori af personer].
[ ].
C. [Indsæt kategori af personer].
A.5. Behandlingens varighed
A.5.1. Databehandlerens behandling af personoplysninger på vegne af Kommunen kan påbe- gyndes efter Bestemmelsers ikrafttræden jf. Bestemmelsernes 13.1.
A.5.2. Varigheden af databehandlerens behandling af personoplysninger på vegne af Kom- munen er så længe denne er i besiddelse af personoplysningerne eller på anden vis behandler personoplysninger for Kommunen alt efter hvilket tidspunkt, der indtræder senest.
B.1. Godkendte underdatabehandlere
B.1.1. Ved Bestemmelsernes ikrafttræden har Kommunen godkendt brugen af følgende un- derdatabehandlere:
NAVN | CVR | ADRESSE | BESKRIVELSE AF BE- HANDLING |
B.1.2. Ved Bestemmelsernes ikrafttræden har Kommunen godkendt brugen af ovennævnte underdatabehandlere for den beskrevne behandlingsaktivitet. databehandleren må ikke – uden Kommunens forudgående specifikke skriftlige godkendelse – gøre brug af en underda- tabehandler til en anden behandlingsaktivitet end den beskrevne og aftalte, eller gøre brug af en anden underdatabehandler til denne behandlingsaktivitet.
B.2. Varsel for godkendelse af underdatabehandlere
B.2.1. Ønsker databehandleren at gøre brug af en underdatabehandler til en anden behand- lingsaktivitet end den beskrevne og aftalte, eller gøre brug af en anden underdatabehandler til denne behandlingsaktivitet, skal den dataansvarlige varsles skriftligt senest 60 dage før underdatabehandleren påbegynder behandlingen.
B.2.2. Kommunen kan – ved skriftlig henvendelse til databehandleren senest 30 dage efter dennes varsel for godkendelse af underdatabehandlere i henhold Bestemmelsernes B.2.1. – modsætte sig brugen af en underdatabehandler til en anden behandlingsaktivitet end den beskrevne og/eller aftalte, og brugen af en anden underdatabehandler til denne behandlings- aktivitet, hvis der foreligger en saglig begrundelse herfor.
Modsætter Kommunen sig brugen af en underdatabehandler til en anden behandlingsaktivi- tet end den beskrevne og aftalte og/eller brugen af en anden underdatabehandler til denne behandlingsaktivitet, må behandlingen af personoplysninger hos den pågældende underda- tabehandler ikke påbegyndes.
C.1. Behandlingens genstand/instruks
Databehandlerens behandling af personoplysninger på vegne af Kommunen sker ved, at da- tabehandleren udfører følgende:
Leverandøren får adgang til en del af kommunes omsorgssystem. Her varetages alt kontakt
mellem kommune og leverandør, og leverandøren kan se og registrere personoplysninger om borgeren i relation til leverancen og det aftalte kontraktgrundlag.
C.2. Behandlingssikkerhed
C.2.1. Sikkerhedsniveauet skal afspejle behandlingens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.
C.2.1.1.
Leverandøren vil få adgang til en del af kommunes omsorgssystem, hvor personoplysninger fremgår og registreres. Der skal således etableres et HØJT sikkerhedsniveau der, hvor de følsomme personoplysninger behandles
C.2.2. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nødvendige (og aftalte) sikkerhedsniveau.
C.2.3. Databehandleren skal dog – under alle omstændigheder og som minimum – gennem- føre følgende foranstaltninger, som er aftalt med Kommunen.
Pseudonymisering og kryptering af personoplysninger
Databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger, der sikrer, at personoplysningerne pseudonymiseres, herunder særligt når og hvis det ikke (læn- gere) er nødvendigt at kunne identificere de(n) registrerede.
Med henblik på at opfylde ovennævnte har databehandleren helt konkret gennemført føl- gende:
A. [UDFYLDES AF DATABEHANDLEREN].
B. [UDFYLDES AF DATABEHANDLEREN].
C. [UDFYLDES AF DATABEHANDLEREN].
Databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger, der sikrer, at personoplysningerne krypteres, når og hvis det er nødvendigt, herunder særligt i forbindelse med transmission via åbne netværk og/eller eksterne kommunikationsforbindelser jf. også nedenfor under ’beskyttelse af personoplysninger ved transmission’.
Med henblik på at opfylde ovennævnte har databehandleren helt konkret gennemført føl- gende:
A) [UDFYLDES AF DATABEHANDLEREN].
B) [UDFYLDES AF DATABEHANDLEREN].
C) [UDFYLDES AF DATABEHANDLEREN].
Sikring af varierende fortrolighed, integritet, tilgængelighed og robusthed af systemet
sikrer, at en passende fortrolighed er allestedsværende ved behandlingen af personoplys- ningerne, herunder i forbindelse med systemadgang og fysisk adgang til lokationerne for be- handlingen.
Med henblik på at opfylde ovennævnte har databehandleren helt konkret gennemført føl- gende:
A. [UDFYLDES AF DATABEHANDLEREN].
B. [UDFYLDES AF DATABEHANDLEREN].
C. [UDFYLDES AF DATABEHANDLEREN].
Databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger, der sikrer, at en passende integritet er allestedsværende ved behandlingen af personoplysnin- gerne, herunder sikre personoplysningernes troværdighed og korrekthed.
Med henblik på at opfylde ovennævnte har databehandleren helt konkret gennemført føl- gende:
A. [UDFYLDES AF DATABEHANDLEREN].
B. [UDFYLDES AF DATABEHANDLEREN].
C. [UDFYLDES AF DATABEHANDLEREN].
Databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger, der sikrer en allestedsværende tilgængelighed af personoplysningerne, herunder ved fysiske og tekniske hændelser jf. nedenfor om ’genoprettelse af personoplysningerne’.
Med henblik på at opfylde ovennævnte har databehandleren helt konkret gennemført føl- gende:
A. [UDFYLDES AF DATABEHANDLEREN].
B. [UDFYLDES AF DATABEHANDLEREN].
C. [UDFYLDES AF DATABEHANDLEREN].
Genoprettelse af personoplysningerne
Databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger, der sikrer rettidig genoprettelse af tilgængelighed til personoplysningerne i tilfælde af fysiske hæn- delser (strømafbrydelse, brand, oversvømmelse, lynnedslag mv.) og/eller tekniske hændelser (systemnedbrud DoS mv.), herunder i form af beredskabsplaner, procedurer mv.
Med henblik på at opfylde ovennævnte har databehandleren helt konkret gennemført føl- gende:
A. [UDFYLDES AF DATABEHANDLEREN].
B. [UDFYLDES AF DATABEHANDLEREN].
C. [UDFYLDES AF DATABEHANDLEREN].
Adgang til personoplysningerne via Internettet
Databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger, der sikrer, at personoplysningerne beskyttes mod blandt andet uvedkommendes adgang og/eller manipulation når og hvis der er adgang til disse via Internettet jf. også ovenfor under ’pseudo- nymisering og kryptering’.
gende:
A. [UDFYLDES AF DATABEHANDLEREN].
B. [UDFYLDES AF DATABEHANDLEREN].
C. [UDFYLDES AF DATABEHANDLEREN].
Beskyttelse af personoplysningerne under transmission
Databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger, der sikrer, at personoplysningerne krypteres eller på anden vis beskyttes mod blandt andet uved- kommendes adgang og/eller manipulation når og hvis disse transmitteres jf. også ovenfor un- der ’pseudonymisering og kryptering’.
Med henblik på at opfylde ovennævnte har databehandleren helt konkret gennemført føl- gende:
A. [UDFYLDES AF DATABEHANDLEREN].
B. [UDFYLDES AF DATABEHANDLEREN].
C. [UDFYLDES AF DATABEHANDLEREN].
Beskyttelse af personoplysningerne under opbevaring
Databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger, der sikrer personoplysningernes beskyttelse mod blandt andet uvedkommendes adgang og/eller manipulation så længe de opbevares hos databehandleren.
Med henblik på at opfylde ovennævnte har databehandleren helt konkret gennemført føl- gende:
A. [UDFYLDES AF DATABEHANDLEREN].
B. [UDFYLDES AF DATABEHANDLEREN].
C. [UDFYLDES AF DATABEHANDLEREN].
Fysisk sikring af lokaliteter, hvor personoplysningerne behandles
Databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger, der sikrer de fysiske lokaliteter, hvor personoplysningerne behandles, mod blandt andet uvedkom- mende adgang og/eller manipulation.
Med henblik på at opfylde ovennævnte har databehandleren helt konkret gennemført føl- gende:
A. [UDFYLDES AF DATABEHANDLEREN].
B. [UDFYLDES AF DATABEHANDLEREN].
C. [UDFYLDES AF DATABEHANDLEREN].
Anvendelse af hjemme- og fjernarbejdspladser
Databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger, der sikrer, at personoplysninger beskyttes mod blandt andet uvedkommende adgang og/eller ma- nipulation, når disse tilgås fra hjemme- og fjernarbejdspladser, og at der ved adgang til per- sonoplysninger fra hjemme- og fjernarbejdspladser anvendes kryptering af kommunikations- forbindelser samt autentifikation af personer, som får adgang.
Med henblik på at opfylde ovennævnte har databehandleren helt konkret gennemført føl- gende:
A. [UDFYLDES AF DATABEHANDLEREN].
B. [UDFYLDES AF DATABEHANDLEREN].
C. [UDFYLDES AF DATABEHANDLEREN].
Logning
Databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger, der sikrer logning af al tilgang til personoplysningerne i et sådant omfang, at logoplysningerne til enhver tid kan anvendes til at opklare, og i videst mulig forebygge uberettiget adgang til og misbrug af personoplysningerne.
Med henblik på at opfylde ovennævnte har databehandleren helt konkret gennemført føl- gende:
A. [UDFYLDES AF DATABEHANDLEREN].
B. [UDFYLDES AF DATABEHANDLEREN].
C. [UDFYLDES AF DATABEHANDLEREN].
Regelmæssig afprøvning, vurdering og evaluering af foranstaltninger til sikring af be- handlingssikkerheden
Databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger, der sikrer regelmæssig afprøvning, vurdering og evaluering af effektiviteten af foranstaltninger til sikring af behandlingssikkerheden.
Med henblik på at opfylde ovennævnte har databehandleren helt konkret gennemført føl- gende:
A. [UDFYLDES AF DATABEHANDLEREN].
B. [UDFYLDES AF DATABEHANDLEREN].
C. [UDFYLDES AF DATABEHANDLEREN].
C.3 Bistand til den dataansvarlige
C.3.1. databehandleren skal så vidt muligt bistå Kommunen med følgende i overensstem- melse med Bestemmelsernes 8 og 9:
Opfyldelse af Kommunens forpligtelser
Databehandleren skal på opfordring fra Kommunen hjælpe med at opfylde og efterleve dennes forpligtelser, herunder i relation til følgende:
1. Den registreredes rettigheder, herunder blandt andet besvarelse af anmodninger om indsigt, berigtigelse og sletning, jf. Databeskyttelsesforordningens kapitel III.
2. Underretning af de registrerede ved brud på persondatasikkerheden jf. Databeskyt- telsesforordningens artikel 34.
3. Sikring af overholdelse af forpligtelserne i Databeskyttelsesforordningens artikel 32- 36 jf. artikel 28, stk. 3, litra f.
Brud på persondatasikkerheden
Databehandleren skal ved brud på persondatasikkerheden fremsende dokumentation for de faktiske omstændigheder herved, dets virkning og de trufne afhjælpende foranstaltninger. Ind- holdet af den fremsendte dokumentation skal være så fyldestgørende, at den om nødvendigt kan tjene som en anmeldelse til Datatilsynet og/eller underretning af den registrerede.
behandleren er blevet bekendt med bruddet på persondatasikkerheden – underrette Kommu- nen herom ved skriftlig henvendelse til xxxxxxxxx@xxxxx.xx, således at Kommunen kan over- holde sin forpligtelse til at anmelde det til Datatilsynet jf. Databeskyttelsesforordningens artikel 33.
C.3.2. databehandleren skal så vidt det er muligt indrette tjenesten vedrørende behandling af personoplysninger (systemet) på en sådan måde, at Kommunen let kan efterleve sine forplig- telser over for den registrerede.
Såfremt det ikke er muligt at indrette tjenesten vedrørende behandling af personoplysninger (systemet) på en sådan måde, at Kommunen let kan efterleve sine forpligtelser over for den registrerede, skal databehandleren bistå Kommunen hermed. En sådan bistand er uden om- kostninger for Kommunen.
C.3.3. databehandleren har i øvrigt de forpligtelser, der følger af Databeskyttelsesforordningen og øvrig relevant lovgivning på området. Disse forpligtelser forbliver hos databehandleren, og skal opfyldes uden omkostninger fra Kommunen.
C.4 Opbevaringsperiode/sletterutine
Ved ophør af tjenesten vedrørende behandling af personoplysninger, skal databehandleren tilbagelevere og slette alle de behandlede personoplysninger i overensstemmelse med Be- stemmelse 10.1, medmindre Kommunen – efter underskriften af disse Bestemmelser – har ændret sit oprindelige valg. Sådanne ændringer skal være dokumenteret og opbevares skrift- ligt, herunder elektronisk, i tilknytning til Bestemmelserne.
C.5 Lokalitet for behandlingen
C..5.1. Lokaliteten for databehandlerens behandlingen af de af Bestemmelserne omfattede personoplysninger er følgende:
- [UDFYLDES AF DATABEHANDLEREN - ADRESSE]
- [UDFYLDES AF DATABEHANDLEREN – POSTNR. OG BY]
- [UDFYLDES AF DATABEHANDLEREN - LAND]
C.5.2. Lokaliteten for de på tidspunktet for Bestemmelsernes ikrafttræden godkendte under- databehandleres behandling af de i Bestemmelserne omfattede personoplysninger følger af Bestemmelsernes B.1.1.
C.5.3. Ændring af lokaliteten for databehandlerens såvel som de af Kommunen til enhver tid godkendte underdatabehandleres behandling af de i Bestemmelserne omfattede personop- lysninger forudsætter Kommunens forudgående skriftlige godkendelse.
C.6 Instruks vedrørende overførsel af personoplysninger til tredjelande
C.6.1. Databehandleren må ikke overføre Kommunens personoplysninger til tredjelande.
C.6.2. Hvis Kommunen ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til, inden for rammerne af disse Bestemmelser, at foretage sådanne overførsler.
C.7 Procedurer for Kommunens revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til databehandleren
[Valg 1 (HØJT sikkerhedsniveau)]
vedrørende databehandlerens overholdelse af Databeskyttelsesforordningen, databeskyttel- sesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmel- ser.
C.7.2. Revisionserklæringen fremsendes uden vederlag og uden unødig forsinkelse til Kom- munen til orientering. Kommunen er berettiget til at anfægte rammerne for og/eller metoden i revisionserklæringen, og kan i sådanne tilfælde anmode om en ny og for Kommunen veder- lagsfri revisionserklæring under andre rammer og/eller under anvendelse af en anden metode.
C.7.3. Baseret på resultatet af revisionserklæringen er Kommunen berettiget til at anmode om en gennemførsel af yderligere (kontrol)foranstaltninger med henblik på at sikre overholdelsen af Databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller med- lemsstaternes nationale ret og disse Bestemmelser.
C.7.4. Kommunen eller en repræsentant for Kommunen har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren fore- tager behandling af Kommunens personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner gennemføres, når Kommunen finder det nødvendigt.
C.7.5. Eventuelle udgifter i forbindelse med en sådan inspektion afholdes af Kommunen. Da- tabehandleren er dog forpligtet til at afsætte de nødvendige ressourcer (hovedsageligt den nødvendige tid), der er nødvendig for, at inspektionen kan gennemføres.
C.7.6. Foretager Datatilsynet tilsyn med databehandleren på eget initiativ afholdes alle udgif- ter i forbindelse hermed af databehandleren.
[Valg 2 (MELLEM eller LAVT sikkerhedsniveau)]
C.7.1. Databehandleren skal årligt indsende et tilsynsskema og en kontrolattest vedrørende dennes overholdelse af Databeskyttelsesforordningen, databeskyttelsesbestemmelser i an- den EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
C.7.2.Tilsynsskema og kontrolattest fremsendes uden vederlag og unødig forsinkelse til Kom- munen til orientering.
C.7.3. Baseret på resultaterne af tilsynsskemaet og kontrolattesten er Kommunen berettiget til at anmode om gennemførelse af yderligere (kontrol)foranstaltninger med henblik på at sikre overholdelsen af Databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
C.7.4. Kommunen eller en repræsentant for Kommunen har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren fore- tager behandling af Kommunens personoplysninger, herunder fysiske lokaliteter og syste- mer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner gennemfø- res, når Kommunen finder det nødvendigt.
C.7.5. Eventuelle udgifter i forbindelse med en sådan inspektion afholdes af Kommunen. Da- tabehandleren er dog forpligtet til at afsætte de nødvendige ressourcer (hovedsageligt den nødvendige tid), der er nødvendig for, at inspektionen kan gennemføres.
C.7.6. Foretager Datatilsynet tilsyn med databehandleren på eget initiativ afholdes alle udgif- ter i forbindelse hermed af databehandleren.
C.8 Procedurer for revisioner, herunder inspektioner, med behandling af personoplys- ninger, som er overladt til underdatabehandlere
C.8.1. Databehandleren skal årligt indhente en revisionserklæring fra en uafhængig tredjepart vedrørende underdatabehandlerens overholdelse af Databeskyttelsesforordningen, databe- skyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestem- melser.
C.8.2. Revisionserklæringen fremsendes uden vederlag og uden unødig forsinkelse til Kom- munen til orientering. Kommunen er berettiget til at anfægte rammerne for og/eller metoden i revisionserklæringen, og kan i sådanne tilfælde anmode om en ny og for Kommunen veder- lagsfri revisionserklæring under andre rammer og/eller under anvendelse af en anden metode.
C.8.3. Baseret på resultatet af revisionserklæringen er Kommunen berettiget til at anmode om en gennemførsel af yderligere (kontrol)foranstaltninger med henblik på at sikre overholdelsen af Databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller med- lemsstaternes nationale ret og disse Bestemmelser.
C.8.4. Databehandleren eller en repræsentant for databehandleren har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdata- behandleren foretager behandling af Kommunens personoplysninger, herunder fysiske loka- liteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektio- ner gennemføres, når databehandleren eller Kommunen finder det nødvendigt.
C.8.5. Dokumentation for sådanne inspektioner af underdatabehandleren fremsendes til Kommunen uden unødig forsinkelse.
C.8.6. Kommunen kan anfægte rammerne og/eller metoden for den gennemførte inspektion, og kan i sådanne tilfælde anmode om gennemførsel af en ny og for Kommunen vederlagsfri inspektion under andre rammer og/eller anvendelse af en anden metode.
C.8.7. Kommunen kan – hvis det af denne vurderes nødvendigt – vælge at initiere og del- tage i en inspektion hos underdatabehandleren. Dette kan blive aktuelt, hvis Kommunen vur- derer, at databehandlerens inspektion hos underdatabehandleren ikke har givet Kommunen tilstrækkelig sikkerhed for, at behandlingen hos underdatabehandleren sker I overensstem- melse med Databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret el- ler medlemsstaternes nationale ret og disse Bestemmelser.
C.8.8. Kommunens eventuelle deltagelse i en inspektion hos underdatabehandleren ændrer ikke ved, at databehandleren også herefter har det fulde ansvar for underdatabehandlerens overholdelse af Databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU- ret eller medlemsstaternes nationale ret og disse Bestemmelser.
C.8.9. Eventuelle udgifter i forbindelse med inspektioner, herunder inspektioner i forbindelse med tilsyn gennemført af Datatilsynet på eget initiativ – af underdatabehandleren er et mel- lemværende mellem databehandleren og underdatabehandleren uagtet Kommunens eventu- elle deltagelse heri.
Bilag D Parternes regulering af andre forhold
1. Misligholdelse og tvister
1.1. Som misligholdelse anses enhver tilsidesættelse af parternes forpligtelser i henhold til Bestemmelserne.
1.2. Dersom en Part gentagne gange gør sig skyldig i misligholdelse jf. pkt. 1.1. vil dette være at betragte som væsentlig misligholdelse.
1.3. Parterne er ansvarlige efter dansk rets almindelige regler om misligholdelse, herun- der om afhjælpning og ophævelse ved væsentlig misligholdelse.
1.4. Misligholder en Part en forpligtelse i henhold til Bestemmelserne, skal den anden Part, uden ugrundet ophold, ved skriftlig erklæring fastsætte en efter karakteren af misligholdelsen rimelig frist, inden for hvilken misligholdelsen skal bringes til ophør.
1.5. Består Partens misligholdelse fortsat efter udløbet af den fastsatte tidsfrist jf. punkt 1.4., vil dette være at betragte som væsentlig misligholdelse.
1.6. Parterne kan ikke anses for ansvarlig over for hinanden for så vidt angår forhold, som ligger uden for deres kontrol, og som de ikke ved databehandleraftalens indgå- else burde have taget i betragtning, og ej heller burde have undgået eller overvun- det (force majeure).
1.7. Påberåbelse af force majeure forudsætter, at Parten opfylder følgende betingelser:
• Parten skal, uden ugrundet ophold efter konstateringen af force majeure- situationen, skriftligt informere den anden Part om grundlaget herfor, varig- heden heraf, hvis muligt, samt hvilke forholdsregler pågældende har truffet for at bringe force majeure-situationen til ophør.
• Parten skal over for den anden Part, uopfordret skriftligt dokumentere, at en forsinkelse skyldes force majeure.
1.8. Databehandleren er ikke berettiget til at tilbageholde Kommunens personoplysninger i tilfælde af dennes misligholdelse af Hovedaftalen.
2. Erstatning og forsikring
1.1. Parterne er i det hele erstatningspligtige i henhold til dansk rets til enhver tid gæl- dende almindelige regler herom.
1.2. Parterne er egenhændigt forpligtet til, og ansvarlige for at tegne eventuelle forsikrin- ger, som er nødvendige for pågældendes opfyldelse af forpligtelserne i henhold til Bestemmelserne.