DATABEHANDLERAFTALE
DATABEHANDLERAFTALE
Mellem Neurolog Xxxxx Xxxxx
Xxxxxx Xxxxxxx 0
Visma Addo identifikationsnummer: 73B-90F-2B6B
8240 Risskov
Kundenr. 37086266 (herefter ”Kunden”)
og
Xxx Xxxxx A/S Xxxxxxxxxx 00, 0000 Xxxxxxx
CVR. nr.: 11735347
(herefter ”Leverandøren”)
er der indgået nedenstående databehandleraftale (herefter ”Aftalen”) om Leverandørens behandling af personoplysninger på vegne af Kunden:
1. Generelt
1.1 Aftalen vedrører Leverandørens forpligtelse til at efterleve de sikkerhedskrav, som fremgår af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af
27. april 2016 (herefter Databeskyttelsesforordningen) med virkning fra den 25. maj 2018.
2. Formål
Visma Addo identifikationsnummer: 73B-90F-2B6B
2.1 Leverandøren behandler i medfør af aftale med Kunden om Xxx Xxxxx Talegenkendelse (herefter ”Hovedaftalen”) personoplysninger for Kunden, hvor Leverandørens behandlinger og formålet med behandlingerne er beskrevet.
2.2 Aftalen erstatter fuldt og helt Hovedaftens kapitel 13, ”Databehandlingsaftale”
3. Kundens rettigheder og forpligtelser
3.1 Kunden er dataansvarlig for de personoplysninger, som Xxxxxx instruerer Leverandøren om at behandle. Kunden har ansvaret for, at de personoplysninger, som Xxxxxx instruerer Leverandøren om at behandle, må behandles af Leverandøren, herunder at behandlingen er nødvendig og saglig i forhold til Kundens opgavevaretagelse.
3.2 Kunden har de rettigheder og forpligtelser, som er givet en dataansvarlig i medfør af lovgivningen, jf. Aftalens pkt. 1.1.
3.3 Der kan i Aftalens underbilag 1 være opremset yderligere forpligtelser, som Kunden skal være opmærksom på.
4. Leverandørens forpligtelser
4.1 Leverandøren er databehandler for de personoplysninger, som Leverandøren behandler på vegne af Kunden, jf. pkt. 6 og Underbilag 1. Leverandøren har som databehandler de forpligtelser, som er pålagt en databehandler i medfør af lovgivningen, jf. Aftalens pkt. 1.1.
4.2 Leverandøren behandler alene de overladte personoplysninger efter instruks fra Xxxxxx, jf. Underbilag 1, og alene med henblik på opfyldelse af Hovedaftalen.
4.3 Leverandøren skal sikre personoplysningerne via tekniske og organisatoriske sikkerhedsforanstaltninger, som beskrevet i Databeskyttelsesforordningen (fra
25. maj 2018), jf. Underbilag 1 – Sikkerhed.
Visma Addo identifikationsnummer: 73B-90F-2B6B
4.4 Leverandøren skal i overensstemmelse med Databeskyttelsesforordningen på opfordring fra Kunden bistå med at opfylde Kundens forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger fra personer om indsigt i egne oplysninger, udlevering af personers oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af personer oplysninger, samt Kundens forpligtelser i forhold til underretning af den registrerede ved sikkerhedsbrud. Medmindre andet fremgår af Hovedaftalen er Leverandørens bistand særskilt betalbar.
4.5 Leverandøren skal i overensstemmelse med Databebekyttelsesforordningen bistå Xxxxxx med at efterleve dennes forpligtelser efter Databeskyttelsesforordningens artikel 32-36. Medmindre andet fremgår af Hovedaftalen er Leverandørens bistand særskilt betalbar.
5. Underleverandør (underdatabehandler)
5.1 Ved underdatabehandler forstås en underleverandør, til hvem Leverandøren har overladt hele eller dele af den behandling, som Leverandøren foretager på vegne af Kunden.
5.2 Leverandøren har Xxxxxxx generelle godkendelse til at gøre brug af underdatabehandlere, herunder andre underdatabehandlere end dem, der er angivet i Underbilag 2. Leverandøren skal dog underrette kunden om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af underdatabehandlere og derved give Kunden mulighed for at gøre indsigelse mod sådanne ændringer. Såfremt Kunden har indsigelser mod ændringerne, skal Kunden give meddelelse til Leverandøren inden 30 dage efter modtagelsen af underretning. Kunden kan alene gøre indsigelse, såfremt der foreligger en konkret saglig begrundelse herfor.
5.3 Hvis Leverandøren overlader behandlingen af personoplysninger, som Kunden er dataansvarlig for, til underdatabehandlere, skal Leverandøren indgå en skriftlig (under)databehandleraftale med underdatabehandleren.
5.4 Underdatabehandleraftalen, jf. pkt. 5.3, skal pålægge underdatabehandleren de samme databeskyttelsesforpligtelser, som Leverandøren er pålagt efter Aftalen.
Visma Addo identifikationsnummer: 73B-90F-2B6B
5.5 Når Leverandøren overlader behandlingen af personoplysninger, som Kunden er dataansvarlig for, til underdatabehandlere, har Leverandøren over for Kunden ansvaret for underdatabehandlernes overholdelse af disses forpligtelser, jf. pkt. 5.3.
6. Tekniske og organisatoriske sikkerhedsforanstaltninger
6.1 Leverandøren skal, jf. Underbilag 1, iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende sikkerhedsniveau.
6.2 Leverandøren er forpligtet til straks at underrette Xxxxxx om ethvert sikkerhedsbrud uanset, om dette sker hos Leverandøren eller hos en underdatabehandler.
7. Overførsler til andre lande
7.1 Leverandørens overførsel af personoplysninger til lande, der ikke er medlem af EU (tredjelande), f.eks. via en cloudløsning eller en underdatabehandler, skal ske i overensstemmelse med Xxxxxxx instruks herfor, jf. Underbilag 2 kapitel 2.
8. Tavshedspligt og fortrolighed
8.1 Leverandøren skal sikre, at alle, der behandler oplysninger omfattet af Aftalen, herunder ansatte, tredjeparter (f.eks. en reparatør) og underdatabehandlere, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
9. Kontroller og erklæringer
9.1 Leverandøren er forpligtet til at give Kunden nødvendige oplysninger til, at Kunden kan sikre sig, at Leverandøren overholder de krav, der følger af denne Aftale. Leverandørens forpligtelse i henhold til dette punkt 10.1 er vederlagsfri i det omfang det følger af Hovedaftalens eller Aftalens bestemmelser, at disse oplysninger leveres uden yderligere vederlag.
10. Ændringer i Aftalen
Visma Addo identifikationsnummer: 73B-90F-2B6B
10.1 Ændringer i Aftalen og instruksen, jf. Underbilag 1, følger Hovedaftalens regler for ændring.
10.2 I det omfang ændringer i lovgivningen, jf. pkt 1.1, eller tilhørende praksis, giver anledning til dette, er Leverandøren med et varsel på 90 dage berettiget til at foretage ændringer i Aftalen.
11. Sletning af data
11.1 Leverandøren skal sikre, at der sker sletning af personoplysningerne fra Leverandørens systemer i henhold til instruksen, jf. Underbilag 1, efter, at behandlingen af personoplysningerne er ophørt i medfør af Hovedaftalen.
11.2 Leverandøren skal sikre, at eventuelle underdatabehandlere ligeledes efterlever pkt. 11.1.
12. Misligholdelse og tvistigheder
12.1 Misligholdelse og tvistigheder er reguleret i Hovedaftalen.
13. Erstatning og forsikring
13.1 Erstatnings- og forsikringsspørgsmål er reguleret i Hovedaftalen.
14. Ikrafttræden og varighed
14.1 Aftalen indgås ved begge parters underskrift og løber indtil ophør af Hovedaftalen.
15. Formkrav
15.1 Aftalen skal foreligge skriftligt, herunder elektronisk, hos Kunden og Leverandøren.
Visma Addo identifikationsnummer: 73B-90F-2B6B
For Kunden For Leverandøren
Dato Dato
2018-05-01
Xxxxxx Xxxxxxxxx Xxxxxxx
Bilag:
Underbilag 1 – Instruks om behandling og sikkerhedsforanstaltninger Underbilag 2 – Oplysninger om underdatabehandlere
UNDERBILAG 1 – INSTRUKS OM BEHANDLING AF OPLYSNINGER, TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER I FORBINDELSE HERMED SAMT ØVRIGE FORHOLD.
Dette Underbilag er en integreret del af Aftalen.
1 INSTRUKS
1.1 Beskrivelse og formålet med behandlingen
Formålet med Leverandørens behandling af personoplysninger på vegne af Kunden er:
Visma Addo identifikationsnummer: 73B-90F-2B6B
• at Kunden kan anvende systemet Xxx Xxxxx Talegenkendelse, som ejes og administreres af Leverandøren, til at indtale og behandle diktater.
• At levere support og vedligeholdelsesydelser til Kunden som fastlagt i Hovedaftalen.
Leverandørens behandling af personoplysninger på vegne af Kunden drejer sig primært om (karakteren af behandlingen):
1) At Leverandøren stiller systemet Xxx Xxxxx Talegenkendelse til rådighed for Xxxxxx og herigennem opbevarer personoplysninger om Kundens brugere på Leverandørens servere.
2) I det omfang at Kunden anvender systemet til registrering af personoplysninger om patienter eller andre personer i form af digitale diktater (lydoptagelser + tilknyttede datafelter) eller talegenkendte diktater (lydoptagelser + lyd omsat til tekst + tilknyttede datafelter) opbevares disse oplysninger på Leverandørens servere.
3) I forbindelse med support til Kundens brugere, it- og supportmedarbejdere behandles personoplysninger i Leverandørens supportsystemer.
1.2 Kategorier af registrerede personer
• Brugere
• Kundens patienter og anden tredjepart omtalt i diktater udarbejdet af Xxxxxxx brugere.
• Kundens it- og supportmedarbejdere
Visma Addo identifikationsnummer: 73B-90F-2B6B
1.3 Kategorier af personoplysninger
Kategori | Personoplysninger | Ved anvendelse af følgende produkter |
Brugere | Navn | QuickNote |
Emailadresse | SpeechNote | |
Telefonnummer | AudioNote | |
Virksomhedens adresse | ||
Virksomhedens navn | ||
Virksomhedens CVR-nummer | ||
Brugernavn og kodeord (krypteret) i systemet | ||
Systemrettigheder | ||
Anvendelse af systemet | ||
Pc-navn og oplysninger om pc’ens bestykning | ||
Kundenummer | ||
Brugere | Talegenkendelsesprofil (akustisk profil og individuel sprogmodel) | QuickNote SpeechNote |
Brugere Kundens it- og supportmedarbejdere | Navn Emailadresse Telefonnummer | Max Manus Helpdesk |
Virksomhedens adresse | ||
Virksomhedens navn |
Virksomhedens CVR-nummer EAN-nummer Kundenummer Brugernavn og kodeord til Xxx Xxxxx Helpdesk Foto | ||
Alle person– kategorier | Enhver personoplysning synlig på skærmbilleder / optagelser, som vedhæftes supportsager i Xxx Xxxxx Helpdesk, enten fremsendt af brugere /it-/support– medarbejder eller optaget af Xxx Xxxxx-medarbejder i fjernsupportsessioner. | Max Manus Helpdesk |
Patienter og anden tredjepart | I lydoptagelser: Enhver personoplysning indtalt af brugeren af systemet | QuickNote SpeechNote AudioNote |
Navn og/eller CPR-nr | SpeechNote AudioNote |
Visma Addo identifikationsnummer: 73B-90F-2B6B
2 TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER SAMT ØVRIGE FORHOLD
2.1 Kunden giver Leverandøren ret til at behandle alle relevante personoplysninger i det omfang det er nødvendigt for, at Leverandøren kan opfylde de i Hovedaftalen fastsatte forpligtelser og andre relaterede opgaver, herunder i nødvendigt omfang test og fejlsøgning i forbindelse med udvikling, fejlrettelse og vedligeholdelse.
2.2 Leverandøren træffer de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger i forbindelse med behandlingen af personoplysningerne beskrevet i dette Underbilag.
2.3 Leverandøren behandler personoplysningerne i overensstemmelse med nærværende Databehandleraftale og de bestemmelser i databeskyttelsesforordningen, der er gældende for databehandlere.
2.4 Ansatte hos Leverandøren, der er beskæftiget med behandling af personoplysninger under Databehandleraftalen, er underlagt tavshedspligt. Alene personale, som autoriseres hertil, må have adgang til de personoplysninger, der behandles under Databehandleraftalen.
2.5 Leverandøren skal sikre, at Leverandørens medarbejdere modtager tilstrækkelig uddannelse og instruktioner.
Visma Addo identifikationsnummer: 73B-90F-2B6B
2.6 Leverandøren kan foretage databehandling fra ad hoc arbejdspladser (fjernarbejdspladser eller hjemmearbejdspladser), når dette sker via sikker VPN- adgang eller lignende og under forudsætning af at relevante sikkerhedsstandarder overholdes.
2.7 Adgang til personoplysninger er begrænset til medarbejdere, og hvor det er relevant, andre leverandører, med et arbejdsbetinget behov og tildeles efter forudgående godkendelse fra Leverandøren. Adgang tilbagekaldes, når brugeren ikke længere opfylder kriterierne for at have adgang. Leverandøren varetager autorisation for Leverandørens medarbejdere og, i det omfang det er særskilt aftalt i Aftalen eller i Hovedaftalen, for Kundens medarbejdere.
2.7.1 Adgangsrettigheder gennemgås periodisk.
2.7.2 Leverandøren anvender passende logiske autentifikationsmekanismer, eksempelvis adgangskoder, biometri eller lignende. De anvendte autentifikationsmekanismer lever op til, hvad der kan opfattes som god skik på området (eksempelvis krav til adgangskoders længde og kompleksitet).
2.8 Leverandøren har passende tekniske foranstaltninger til at begrænse risikoen for uautoriseret adgang og/eller installering af skadelig kode. Sådanne foranstaltninger kan omfatte, firewalls, anti-virus software og malware-beskyttelse. Leverandøren har formelle procedurer til sikring af, at sikkerhedssystemerne holdes opdaterede.
2.9 Leverandøren har procedurer for ændringshåndtering med henblik på at sikre, at enhver ændring er behørigt autoriseret, testet og godkendt inden implementering.
2.10 Leverandøren foretager logning af personoplysninger i overensstemmelse med det i Aftalen indeholdte. Kunden er ansvarlig for selv at kontrollere Kundens adgang til og behandling af personoplysninger.
2.11 Leverandøren sikrer, at der sker sletning af data inden udstyr overgives til tredjepart eller i øvrigt bortskaffes.
Visma Addo identifikationsnummer: 73B-90F-2B6B
2.12 Leverandøren sikrer sletning af Kundens data fra sine systemer ved ophør af databehandlingen under Hovedaftalen. For personoplysninger indeholdt i Leverandørens helpdesk-system gælder, at almindelige oplysninger om Kundens brugere, it- og supportmedarbejdere registreret heri slettes senest 1 år efter ophør af databehandlingen under Hovedaftalen med mindre anden aftale inden da er indgået.
UNDERBILAG 2 – ANVENDTE UNDERDATABEHANDLERE
1 ANVENDTE UNDERDATABEHANDLERE
Til brug for Leverandørens behandling af personoplysninger på vegne af Kunden anvendes følgende Underdatabehandlere
Underdatabehandler:
IT Forum Gruppen A/X Xxxxxxxxxx 00
8240 Risskov
Visma Addo identifikationsnummer: 73B-90F-2B6B
CVR-nr. 27765238
Formål:
Hosting af servere og databaser. Netværkskommunikation.
Underdatabehandler:
MEDCOM
Forskerparken 10 DK-5230 Odense M CVR-nr. 26919991
Formål:
Tilkobling til SundhedsDataNettet; netværkskommunikation.
Underdatabehandler:
TeamViewer GmbH Jahnstr. 30
73037 Göppingen Tyskland
Formål:
Fjernsupport; opkobling til brugeres arbejdsplads.
2 ANVENDTE UNDERDATABEHANDLERE MED SÆRLIGE VILKÅR
Til brug for Leverandørens behandling af personoplysninger på vegne af Kunden anvendes følgende Underdatabehandlere med nedenstående særlige vilkår:
Underdatabehandler:
Zendesk, Inc.
0000 Xxxxxx Xxxxxx, Xxx Xxxxxxxxx, XX 00000 CVR-nr.: Intet CVR-nr.
Visma Addo identifikationsnummer: 73B-90F-2B6B
Ansvarlig hos Underdatabehandleren: Zendesk, Inc. Kontaktperson hos Underdatabehandleren: xxxxxxx@xxxxxxx.xxx
Formål:
I forbindelse med udførelsen af supportopgaver som fastlagt i Hovedaftalen, registrerer den Dataansvarlige og dennes medarbejdere personoplysninger (medarbejderes navn, kontaktoplysninger, organisatoriske tilhørsforhold og evt. billede) i Databehandlerens helpdesk-system. Zendesk, Inc. hoster og servicerer support- og helpdesk systemet ”Zendesk”, og de dertil hørende data for Leverandøren. Zendesk, Inc. er således Underdatabehandler. Zendesk, Inc. er tilsluttet EU-U.S. Privacy Shield-ordningen.
Zendesk, Inc. opbevarer personoplysningerne i EU.
Dokumentet er underskrevet med Visma Addo digital signeringsservice.
Underskrifterne i dette dokument er juridisk bindende. Underskrivernes identiteter er registreret og listet herunder.
Visma Addo identifikationsnummer: 73B-90F-2B6B
“Med min underskrift bekræfter jeg indholdet i ovenstående dokument.”
Jonas Kraft
IP: 83.94.164.102 06-05-2018 10:36
Dette dokument er underskrevet digitalt med Xxxxx Xxxx signeringsservice. Signeringsbeviserne i dokumentet er sikret og valideret ved anvendelse af den matematiske hashværdi af det originale dokument.
Dokumentet er låst for ændringer og tidsstemplet med et certifikat fra en betroet tredjepart. Alle kryptografiske signeringsbeviser er indlejret i denne PDF, i tilfælde af de skal anvendes til validering i fremtiden.
Sådan kan du verificere, at dokumentet er originalt
Dette dokument er beskyttet med Adobe CDS certifikat. Når du åbner dokumentet i Adobe Reader, kan du se, at dokumentet er certificeret af Visma Addo signeringsservice. Dette er din garanti for, at indholdet af dokumentet er uændret.
Du har mulighed for at efterprøve de kryptografiske signeringsbeviser i dokumentet med Visma Addos validator på denne website xxxxx://xxxxxxxxx.xxx/XxxXxxxx/#/XxxXxXxxxxxxxxx
Foruden dette dokument kan ét eller flere dokumenter og bilag være tilknyttet transaktionen.
Visma Addo identifikationsnummer: 73B-90F-2B6B
Alle dokumenter som indgik i transaktionen er listet nedenfor. Hændelsesloggen beskriver underskrivers hændelser i forbindelse med signering af dokumentet.
Dokumenter i transaktionen
Nærværende dokument
Databehandleraftale Max Manus Talegenkendelse 2018-05-01.pdf
Ovenstående dokumenter og bilag er fremsendt i underskrevet form til alle partere på e-mail eller som link til download. Underskriver er selv ansvarlig for download og sikker opbevaring af dokumenter og bilag.
Download dokumenter
Har du som underskriver modtaget link til download af dokumenterne vil dette være muligt i op til 14 dage efter underskrift. Herefter vil dokumenterne blive slettet fra Visma Addo.
Hændelseslog for dokument
Hændelseslog for dokumentet
2018-05-01 14:04 En besked er sendt til Jonas Kraft (xxxxxxxxxx@xxxxxxxx-xxxxxx.xx)
2018-05-02 06:33 Jonas Kraft er ved at identificere sig med NemID Private fra IP adresse 2.106.148.150
2018-05-02 12:18 Jonas Kraft er ved at identificere sig med NemID Private fra IP adresse 2.106.148.150
2018-05-05 14:04 Påmindelse er sendt til modtager: xxxxxxxxxx@xxxxxxxx-xxxxxx.xx
2018-05-06 10:35 Jonas Kraft er ved at identificere sig med NemID Private fra IP adresse 83.94.164.102
2018-05-06 10:36 Dokumentet blev åbnet af Jonas Kraft
2018-05-06 10:36 Dokumentet er underskrevet af Jonas Kraft (IP: 83.94.164.102)
2018-05-06 10:36 Alle dokumenter er underskrevet af Jonas Kraft
Visma Addo
Visma Consulting • Xxxxxxxxxxxx 00 • 2800 Kgs. Lyngby • Denmark xxxx@xxxxx.xxx • xxx.xxxxx.xx/xxxx