Databehandler aftale

Denne databehandleraftale er et bilag til den mellem Parterne indgåede Hovedaftale og udgør en integreret del af deraf, jf. Hovedaftalens bestemmelser om Persondata.

Der indgås hermed følgende databehandleraftale (”Aftalen”) mellem ”Abonnenten” (Kunde hos Timengo – som er Dataansvarlig) og ”Leverandøren” (Timengo – som er Databehandler), der samlet benævnes ”Parterne” og separat en ”Part”.

  1. Definitioner
    • Aftalen: Denne Aftale.
    • Dataansvarlig: Den Dataansvarlige er den, der afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af Personoplysninger med.
    • Databehandler: En Databehandler kendetegnes ved kun at behandle Personoplysninger på vegne af (efter instruks fra) en Dataansvarlig.
    • Underdatabehandler: Underdatabehandler skal forstås, som enhver Databehandler, som Leverandøren – når denne er Databehandler – bruger til at behandle Personoplysninger.
    • Behandling: Enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som Personoplysninger eller en samling af Personoplysninger gøres til genstand for.
    • Dokumentation: Enhver udarbejdet beskrivelse, herunder Brugerdokumentation og systemdokumentation.
    • EU: Forkortelse for ”Den Europæiske Union”.
    • Inddatamateriale: Ved inddatamateriale forstås det grundmateriale (papirbaseret eller elektronisk), hvorfra der hentes oplysninger til videre elektronisk databehandling.
    • Uddatamateriale: Ved uddatamateriale forstås det resultat af en elektronisk databehandling, som foreligger på papirbaseret eller elektronisk form.
    • God Behandlingsskik: en af it-branchen alment accepteret god udførelse inden for et bestemt område.
    • Brud på Persondatasikkerheden: Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til Personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
  2. Generelt
    1. Aftalen vedrører Leverandørens forpligtelse til at efterleve de sikkerhedskrav, som fremgår af Lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven) § 42, jf. §41, stk. 3-5.
      Kravene er beskrevet i:

      1. Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af Personoplysninger som behandles for den offentlige forvaltning (Sikkerhedsbekendtgørelsen).
      2. Vejledning nr. 37 af 02/04/2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af Personoplysninger, som behandles for den offentlige forvaltning (Sikkerhedsvejledningen).
      3. Den 25. maj 2018 erstattes Persondataloven af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (herefter Databeskyttelsesforordningen) således, at Aftalens pkt. 2.1 (i) – (ii) herefter erstattes med Databeskyttelses-forordningen.
      4. Aftalen har indarbejdet de krav, som såvel Persondataloven som de kommende regler i Databeskyttelsesforordningen stiller til databehandleraftaler.
      5. Disse betingelser gælder ikke, hvor Leverandøren er Dataansvarlig for Personoplysninger.
      6. Leverandøren skal behandle Personoplysninger i overensstemmelse med god databehandlingsskik, jf. de til enhver tid gældende danske og EU ‘retlige regler og forskrifter for behandling af Personoplysninger.
  3. Formål
    1. Leverandøren behandler i medfør af aftale med Abonnenten (herefter ”Hovedaftalen”) Personoplysninger for Abonnenten, hvor Leverandørens behandlinger og formål med behandlingerne er beskrevet.
  4. Abonnentens rettigheder og forpligtelser
    1. Abonnenten er Dataansvarlig for de personoplysninger, som Abonnenten instruerer Leverandøren om at behandle. Abonnenten har ansvaret for, at de Personoplysninger, som Abonnenten instruerer Leverandøren om at behandle, må behandles af Leverandøren, herunder at behandlingen er nødvendig og saglig i forhold til Abonnentens opgavevaretagelse.
    2. Abonnenten har de rettigheder og forpligtelser, som er givet en Dataansvarlig i medfør af lovgivningen.
  5. Leverandørens forpligtelser
    1. Leverandøren er Databehandler for de Personoplysninger, som Leverandøren behandler på vegne af Abonnenten. Leverandøren har som Databehandler, de forpligtelser, som er pålagt en Databehandler i medfør af lovgivningen.
    2. Leverandøren behandler de overladte Personoplysninger efter instruks fra Abonnenten, og alene med henblik på opfyldelse af Hovedaftalen.
    3. Leverandøren skal fra 25. maj 2018 løbende føre en fortegnelse over behandlingen af Personoplysninger, samt en fortegnelse over alle Sikkerhedsbrud.
    4. Leverandøren skal sikre Personoplysningerne via tekniske organisatoriske sikkerhedsforanstaltninger, som beskrevet i Sikkerhedsbekendtgørelsen og Sikkerhedsvejledningen (frem til 25. maj 2018) og Databeskyttelsesforordningen (fra 25. maj 2018).
    5. Leverandøren skal på opfordring fra Abonnenten hjælpe med at opfylde Abonnentens forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger fra registrerede om indsigt i egne oplysninger, udlevering af den registreredes oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af borgerens oplysninger, samt Abonnentens forpligtelser i forhold til underretning af den registrerede ved Sikkerhedsbrud, fra 25. maj 2018 i medfør af Databeskyttelsesforordningen.
    6. Leverandøren skal fra 25. maj 2018 hjælpe Abonnenten med at efterleve dennes forpligtelser efter Databeskyttelsesforordningens artikel 32-36, herunder:
      1. Behandlingssikkerhed, jf. artikel 32
      2. Anmeldelse af brud på persondatasikkerheden til kompetent tilsynsmyndighed, jf. artikel 33.
    7. Leverandøren skal på opfordring fra Abonnenten hjælpe med at opfylde Abonnentens forpligtelser i forbindelse med et tilsyn fra Datatilsynet.
    8. Underretning om brud på persondatasikkerheden til den registrerede, jf. artikel 34
      1. Konsekvensanalyse vedrørende databeskyttelse, jf. artikel 35.
      2. Forudgående høring, jf. artikel 36.
    9. Leverandøren kan altid opkræve et rimeligt gebyr for ekstra administrative omkostninger, som Leverandøren måtte have i forbindelse med Abonnentens forpligtelser.
    10. Leverandøren forpligter sig fra 25. maj 2018 til at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske foranstaltninger sådan, at Leverandørens behandling af Abonnentens Personoplysninger opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.
    11. Hvis Leverandøren er etableret i en anden EU-medlemsstat, skal Leverandøren frem til 25. maj 2018 ligeledes overholde de bestemmelser om sikkerhedsforanstaltninger, som fastsat i lovgivningen i den pågældende medlemsstat.
  1. Underleverandør(Underdatabehandler)
    1. Typer af Underdatabehandler, som Leverandøren kan antage uden at indhente samtykke fra Abonnenten, fremgår af bilag 2.
      1. Ved antagelse af nye typer af Underdatabehandler, skal Leverandøren, skriftligt indhente samtykke fra Abonnenten.
    2. Abonnenten kan ikke nægte at godkende tilføjelse eller udskiftning af en Underdatabehandler medmindre, der foreligger en konkret saglig begrundelse herfor.
    3. Hvis Leverandøren overlader behandlingen af Personoplysninger, som Abonnenten er ansvarlig for, til Underdatabehandler, skal Leverandøren indgå en skriftlig (under)databehandleraftale med Underdatabehandleren.
    4. Leverandør garanterer et niveau, som til d. 25. maj 2018 opfylder betingelserne i Persondataloven, og fra d. 25. maj garanterer, at opfylde betingelserne i Persondataforordningen.
    5. Når Leverandøren overlader behandlingen af Personoplysninger, som Abonnenten er Dataansvarlig for, til Underdatabehandler, har Leverandøren over for Abonnenten ansvaret for Underdatabehandlerens overholdelse af disses forpligtelser.
    6. Abonnenten kan til enhver tid forlange dokumentation fra Leverandøren for eksistensen og indholdet af Underdatabehandleraftaler for de Underdatabehandler, som Leverandøren anvender i forbindelse med opfyldelsen af sine forpligtelser over for Abonnenten. Leverandøren har rimelig tid til at efterkomme sådan en anmodning.
    7. Al kommunikation mellem Abonnenten og Underdatabehandleren sker via Leverandøren.
    8. Kommunikation mellem Abonnenten og Leverandøren, sker efter Hovedaftalens bestemmelser om Meddelelse.
  2. Instrukser
    1. Leverandørens behandling af Personoplysninger på vegne af Abonnenten sker udelukkende efter dokumenteret instruks. Det er Leverandørens ansvar at sikre, at eventuelle Underdatabehandler, efterkommer Abonnentens instruks.
    2. Leverandøren giver fra 25. maj 2018 omgående besked til Abonnenten, hvis en instruks efter Leverandørens vurdering er i strid med lovgivningen.
  3. Tekniske og organisatoriske sikkerhedsforanstaltninger
    1. Leverandøren skal frem til 25. maj 2018 træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, som kræves af Persondataloven/Sikkerhedsbekendtgørelsen, mod, at Personoplysninger:
      1. tilintetgøres, mistes, ændres, forringes eller bliver utilgængelige,
      2. kommer til uvedkommendes kendskab eller misbruges, eller i øvrigt behandles i strid med lovgivningen.
    2. Leverandøren skal fra 25. maj 2018 iværksætte alle sikkerhedsforanstaltninger, der kræves, som følge af Persondataforordningen, for at sikre et passende sikkerhedsniveau.
    3. Leverandøren skal mindst én gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandlingen af Personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed er iagttaget.
      1. Leverandøren skal mindst én gang hvert halve år kontrollere, at alle personer, som er autoriserede til at behandle Personoplysninger, har fået tildelt de korrekte rettigheder.
    4. Leverandøren og Abonnenten skal sikre, at alle personer, som er bemyndiget til at behandle Personoplysninger, er underlagt en dækkende tavshedspligt eller omfattet af en passende lovbestemt forpligtelse til fortrolighed.
    5. Leverandøren og Abonnenten samt dennes ansatte er underlagt forbud mod at skaffe sig Personoplysninger, som ikke har betydning for udførelsen af den pågældendes opgaver.
    6. Leverandøren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af Abonnentens Personoplysninger, om Leverandørens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed.
    7. Leverandøren er forpligtet til uden unødig forsinkelse efter at denne er blevet bekendt med dette at underrette Abonnenten om ethvert sikkerhedsbrud, samt ved
      1. enhver anmodning om videregivelse af Personoplysninger omfattet af Aftalen fra en myndighed, medmindre orientering af Abonnenten er eksplicit forbudt ved lov, f.eks. i medfør af regler, der har til formål at sikre fortroligheden af en retshåndhævende myndigheds efterforskning.
      2. anden manglende overholdelse af Leverandørens, samt eventuelle underdatabehandleres forpligtelser uanset, om dette sker hos Leverandøren eller hos en af Leverandørens Underdatabehandler.
  1. Overførsler til andre lande
    1. Leverandørens overførsel af Personoplysninger til lande, der ikke er medlem af EU (tredjelande), f.eks. via en cloudløsning eller en Underdatabehandler, skal ske i overensstemmelse med Abonnentens instruks herfor.
    2. Ved overførsel til tredjelande er Leverandøren og Abonnenten i fællesskab ansvarlige for, at der foreligger et gyldigt overførselsgrundlag.
    3. Hvis Abonnentens Personoplysninger overføres til en EU-medlemsstat, er det frem til 25. maj 2018 Leverandørens ansvar, at de til enhver tid gældende bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat, overholdes.
  2. Tavshedspligt
    1. Parterne skal iagttage tavshed i sædvanligt omfang for forhold, som ikke er alment kendte.
    2. Leverandøren er forpligtet til at opbevare oplysninger om Abonnenten forsvarligt og behandle de data som fortrolige oplysninger, der ikke udleveres til andre end Abonnenten, medmindre Leverandøren som følge af retskendelse eller lovbestemmelser har pligt til at udlevere data.
    3. Leverandøren må ikke røbe nogen former for information om Abonnenten til tredjemand eller øvrige oplysninger Abonnenten, som efter oplysningen karakter ikke vedkommer tredjemand.
    4. Parterne er underlagt tavshedspligt både under og efter denne Aftales ophør.
    5. Leverandøren skal fra den 25. maj 2018 sikre, at alle, der behandler oplysninger omfattet af Aftalen, herunder ansatte, tredjeparter (f.eks. en reparatør) og Underdatabehandler forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
    6. Udføres behandlingen efter aftale med en offentlig myndighed, finder Straffelovens § 152-152f, jf. Straffelovens § 152a, også anvendelse.
  3. Kontroller og erklæringer
    1. Leverandøren er forpligtet til at give Abonnenten nødvendige oplysninger til, at Abonnenten kan sikre sig, at Leverandøren overholder de krav, der følger af denne Aftale.
    2. Abonnenten, en repræsentant for Abonnenten eller dennes revision (såvel intern som ekstern) har adgang til at foretage inspektioner og revision hos Leverandøren, få udleveret dokumentation, herunder logs, stille spørgsmål m.v. med henblik på at konstatere, at Leverandøren overholder de krav, der følger af denne Aftale.
    3. Abonnentens behov for audit skal først og fremmest søges løst via de erklæringer eller godkendte certificeringsmekanismer Leverandøren har eller vil få.
    4. Leverandøren kan opkræve et rimeligt gebyr af Abonnenten for administrative omkostninger denne måtte have i forbindelse med Abonnentens tilsyn.
    5. Abonnenten skal ved audit, give Leverandøren skriftlig Meddelelse herom senest 14 Arbejdsdage forinden planlagt Audit.
  4. Ændringer i Aftalen
    1. Leverandøren kan ændre eller supplere disse betingelser, med skriftlig advisering til Abonnenten, hvis en tilsynsmyndighed eller lovmæssig enhed kræver det, hvis det er nødvendigt for at overholde gældende ret, for at implementere klausuler i standardkontrakten – fastsat af EU-kommissionen – eller for at overholde et godkendt adfærdskodeks eller godkendt certificeringsprocedure eller certificering.
    2. Leverandøren kan til ethvert tidspunkt, uden at begrænse denne Aftales betingelser, levere yderligere oplysninger og uddybning om, hvordan Leverandøren vil eksekvere disse forpligtelser i forhold til beskyttelse af personlige oplysninger og politiker.
    3. Abonnentens ændringer i denne aftale, skal foregå efter Hovedaftalens bestemmelser om ændringer. Leverandøren kan opkræve et rimeligt gebyr for administrative omkostninger den måtte have i forbindelse med dette.
    4. Abonnentens ændringer skal være saglige og rimelige i forhold til typen af Personoplysninger, som behandles.
    5. Leverandøren skal ved sådanne ændringer sikre, at Underdatabehandlerne tillige forpligtes af ændringerne.
  5. Sletning af Data
    1. Abonnenten træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af Personoplysningerne efter, at behandlingen af Personoplysningerne er ophørt i medfør af Hovedaftalen.
    2. Abonnenten skal senest 30 dage inden Hovedaftalens ophør skriftligt meddele Leverandøren, hvorvidt alle Personoplysningerne skal slettes eller tilbageleveres til Abonnenten. I det tilfælde, hvor Personoplysningerne tilbageleveres til Abonnenten, skal Leverandøren ligeledes slette eventuelle kopier. Leverandøren skal sikre, at eventuelle underdatabehandler ligeledes efterlever Abonnentens meddelelse.
    3. Træffer Abonnenten ikke beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af Personoplysningerne efter, at behandlingen af Personoplysningerne er ophørt, sletter Leverandøren uden unødig forsinkelse, de behandlede Personoplysninger, medmindre retlig forpligtelse, EU-ret eller national lovgivning kræver andet.
    4. Har Abonnenten stillet krav om logning i mere end 6 måneder, kan Leverandør opkræve et rimeligt gebyr for administrative omkostninger i forbindelse med dette.
  6. Misligholdelse og tvistigheder
    1. Misligholdelse og tvistigheder er reguleret i Hovedaftalen.
  7. Erstatning og forsikring
    1. Erstatning og forsikringsspørgsmål er reguleret i Hovedaftalen.
  8. Ikrafttræden og varighed
    1. Aftalen træder i kraft på samme tidspunkt, som Aftalen med Timengo DPG og er gældende så længe der behandles persondata for kunden.

 

Bilag 1 – sikkerhed

  1. Indledning

Dette bilag indeholder en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som Leverandøren i medfør af Aftalen har ansvar for at gennemføre, overholde og sikre overholdelse af hos dennes Underdatabehandler, som er angivet i bilag 2.

  1. Sikkerhedskrav indtil 25. maj 2018

Leverandøren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der opfylder kravene i Sikkerhedsbekendtgørelsen og tilhørende praksis.

Ved vurdering af, hvilket sikkerhedsniveau, der er passende, tages der navnlig hensyn til de risici, som behandling udgør for Leverandøren, Abonnenten såvel som den registrerede.

Foranstaltningerne gennemføres for at undgå, at Personoplysninger:

  • Tilintetgøres, mistes, ændres eller forringes,
  • Kommer til uvedkommendes kendskab eller misbruges,
  • Eller i øvrigt behandles i strid med lovgivningen.

Generelle sikkerhedsforanstaltninger

Leverandøren har udarbejder forskellige procedure og retningslinjer, som skal være med til at sikre personoplysninger, som behandles af Leverandøren. Leverandøren har udarbejdet retningslinjer for de vigtigste punkter, herunder:

  • Autorisation og adgangskontrol
  • Inddatamateriale som indeholder personoplysninger
  • Uddatamateriale som indeholder Personoplysninger
  • Eksterne kommunikationsforbindelser
  • Kontrol med afviste adgangsforsøg
  • Logning
  • Hjemmearbejdspladser

Sikkerhedskrav fra 25. maj 2018

Leverandøren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til de aftalte behandlinger, jf. bilag 3, og som dermed opfylder Databeskyttelsesforordningens artikel 32.

Foranstaltningerne fastlægges ud fra overvejelser om:

  1. Hvad der kan lade sig gøre rent teknisk
  2. Implementeringsomkostningerne
  3. Den pågældende behandlings karakter, omfang, sammenhæng og formål, jf. bilag 3.
  4. Konsekvenserne for borgerne ved et sikkerhedsbrud
  5. Den risiko, der er forbundet med behandlingerne, herunder risikoen for:
    1. Tilintetgørelse af oplysninger
    2. Tab af oplysninger
    3. Ændring af oplysningerne
    4. Uautoriseret videregivelse af oplysningerne
    5. Uautoriseret adgang til oplysningerne

 

Leverandøren skal leve op til kravene i artikel 32 ”Behandlingssikkerhed” i persondata-forordningen.

Leverandøren skal overholde sin interne sikkerhedspolitik for håndtering af it-sikkerhed.

 

Bilag 2 – Typer af Underleverandører (Underdatabehandler)

Databehandleren har den dataansvarliges generelle godkendelse til at gøre brug af følgende kategorier af underdatabehandlere.

Leverandøren anvender Underleverandører til:

  1. Hosting af servere i Microsoft Azure datacentre indenfor EU
  2. Udviklings Konsulentydelser indenfor EU’s grænser
  3. Personaleadministration – herunder løn-, sygefravær- og tidsregistrering

Databehandleren skal underrette den dataansvarlige om eventuelle planlagte ændringer til disse kategorier og rammerne herfor og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. En sådan underretning skal være den dataansvarlige i hænde minimum 1 måned før anvendelsen eller ændringen skal træde i kraft. Såfremt den dataansvarlige har indsigelser mod ændringerne, skal den dataansvarlige give meddelelse herom til databehandleren inden 14 dage efter modtagelsen af underretningen. Den dataansvarlige kan alene gøre indsigelse, såfremt den dataansvarlige har rimelige, konkrete årsager hertil.

 

Bilag 3 – instruks

Instruks

Abonnenten instruerer hermed Leverandøren om at foretage behandling af Abonnentens oplysninger til brug for levering af ydelser, jf. Hovedaftale.

Overlader Leverandøren behandling af Abonnentens oplysninger til en Underdatabehandler, er Leverandøren ansvarlig for at indgå skriftlige (under)databehandleraftaler med disse. Leverandøren er ansvarlig for, at Abonnentens instruks fremsendes til eventuelle Underdatabehandler.

  • Behandlingens formål

Behandling af Abonnentens Personoplysninger sker i henhold til formålet i Hovedaftalen.

Leverandøren må ikke anvende Personoplysningerne til andre formål.

Oplysningerne må ikke behandles efter instruks fra andre end Abonnenten.

  • Varighed af behandlingen

Varigheden af behandlingen løber fra denne aftales indgåelse til dens ophør, hvis ikke andet er angivet.

  • Typen af Personoplysninger

Behandlingerne indeholder basale Personoplysninger.

For alle personkategorier, behandles kontaktinformationer, herunder navn, adresse, e-mail, mobil og kontooplysninger, og oplysninger som Abonnenten selv afgiver, i forbindelse med brug af leverandørens system – såsom personoplysninger, som Abonnenten er Dataansvarlig for.

  • Kategorier af registrerede

Der behandles oplysninger om følgende kategorier af registrerede:

  1. Abonnentens potentielle medarbejdere, hvis Abonnenten indtaster information om disse
  2. Abonnentens nuværende medarbejdere, hvis Abonnenten indtaster information om disse
  3. Abonnentens fratrådte medarbejdere, hvis Abonnenten indtaster information om disse

Abonnentens egne kunder, som den er Databehandler for, hvis Abonnenten indtaster information om disse, jf. punkt 4.1 i Aftalen.