Standardkontraktsbestemmelser

I henhold til artikel 28, stk. 3, i forordning 2016/679 (databeskyttelsesforordningen) med henblik på databehandlerens behandling af personoplysninger mellem

herefter “databehandleren”

herefter “den dataansvarlige”

der hver især er en ”part” og sammen udgør ”parterne”

Har aftalt følgende standardkontraktsbestemmelser med henblik på at overholde databeskyttelsesforordningen og sikre beskyttelse af privatlivets fred og fysiske personers rettigheder.

Indhold

• 2 Præambel
• 3 Den dataansvarliges rettigheder og forpligtelser
• 4 Databehandleren handler efter instruks
• 5 Fortrolighed
• 6 Behandlingssikkerhed
• 7 Anvendelse af underdatabehandlere
• 8 Overførsel til tredjelande
• 9 Bistand til den dataansvarlige
• 10 Brud på persondatasikkerheden
• 11 Sletning og tilbagelevering
• 12 Revision
• 13 Andre forhold
• 14 Ikrafttræden og ophør

2. Præambel

Disse bestemmelser fastsætter databehandlerens rettigheder og forpligtelser ved behandling af personoplysninger på vegne af den dataansvarlige.

Bestemmelserne er udformet i overensstemmelse med databeskyttelsesforordningen (EU) 2016/679.

Databehandleren behandler personoplysninger i forbindelse med levering af ydelser i henhold til hovedaftalen.

3. Den dataansvarliges rettigheder og forpligtelser

Den dataansvarlige er ansvarlig for, at behandlingen sker i overensstemmelse med gældende lovgivning.

Den dataansvarlige fastlægger formål og midler for behandlingen.

4. Databehandleren handler efter instruks

Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige.

Hvis en instruks vurderes at være i strid med lovgivningen, skal den dataansvarlige straks underrettes.

5. Fortrolighed

Adgang til personoplysninger gives kun til personer med behov herfor og som er underlagt tavshedspligt.

6. Behandlingssikkerhed

Parterne skal implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger i henhold til artikel 32.

• Pseudonymisering og kryptering
• Sikring af fortrolighed, integritet og tilgængelighed
• Mulighed for gendannelse
• Løbende test og evaluering

7. Anvendelse af underdatabehandlere

Databehandleren må kun anvende underdatabehandlere med forudgående godkendelse.

Underdatabehandlere skal være underlagt samme forpligtelser.

8. Overførsel til tredjelande

Overførsel til tredjelande må kun ske efter instruks og i overensstemmelse med GDPR kapitel V.

9. Bistand til den dataansvarlige

Databehandleren bistår med håndtering af registreredes rettigheder og sikkerhedsbrud.

10. Brud på persondatasikkerheden

Databehandleren skal uden unødig forsinkelse underrette den dataansvarlige.

11. Sletning og tilbagelevering

Ved ophør slettes eller returneres personoplysninger i henhold til aftalen.

12. Revision

Databehandleren stiller dokumentation til rådighed og accepterer revision.

13. Andre forhold

Parterne kan aftale yderligere vilkår, så længe disse ikke strider mod GDPR.

14. Ikrafttræden og ophør

Aftalen træder i kraft ved accept og gælder så længe behandlingen finder sted.

Bilag A – Oplysninger om behandlingen

Bilag B – Underdatabehandlere

Liste over godkendte underdatabehandlere fremgår af separat bilag.

Bilag C – Sikkerhed

• SSL-kryptering
• 2-faktor login
• Løbende backup
• Firewall og antivirus
• Adgangskontrol

Bilag D – Øvrige forhold

Se hovedaftalen mellem parterne.

Brud på datasikkerheden:
Ved sikkerhedsbrud skal databehandler dokumentere hændelsen, konsekvenser og afhjælpning.