Som led i leveringen af Løsningen vil Kunden overlade behandling af personoplysninger til Leverandøren. Formålet med denne Databehandleraftale er hertil at regulere Leverandørens behandling af personoplysninger på vegne af Kunden og sikre, at Leverandøren overholder sine forpligtelser i henhold til Europa-Parlamentets og Rådets forordning 2016/679 af 27. april 2016 ("Databeskyttelsesforordningen") og supplerende særregler vedtaget til udfyldning heraf.
Leverandøren agerer som Databehandler for Kunden og Kunden agerer som Dataansvarlig for behandling af personoplysninger beskrevet i denne Databehandleraftale.
Leverandøren indsamler, behandler og opbevarer personoplysninger via Løsningen på vegne af Kunden. Leverandøren må alene behandle personoplysningerne i det omfang, det er nødvendigt for at udføre de opgaver, der er beskrevet i denne bestemmelse og den til enhver tid dokumenterede instruks fra Kunden.
Leverandøren må ikke behandle eller anvende personoplysningerne til andre formål og/eller på anden måde end angivet i instruksen, medmindre Leverandøren er blevet pålagt dette i medfør af EU-retten eller national ret, som Leverandøren er underlagt.
Kategori af personoplysninger behandlet i Løsningen: De typer af personoplysninger, som der behandles i Løsningen, omfatter navnlig navn, adresse, betalingsoplysninger, tlf.nr. og e-mail. Efter omstændighederne kan også følsomme og/eller fortrolige oplysninger blive behandlet, herunder journaloplysninger, CPR-nr. og forsikringsdokumenter.
Kategori af registrerede behandlet i Løsningen: De registrerede personer, som personoplysningerne vedrører, omfatter navnlig kunder og kunders kunder (patienter).
Leverandøren underretter Kunden omgående, hvis Leverandøren mener, at en instruks angående tilsyn med Leverandøren er i strid med databeskyttelsesforordningen eller anden EU eller national databeskyttelseslovgivning.
Kunden er ansvarlig for, at enhver overførsel af personoplysninger til Løsningen sker i overensstemmelse med den til enhver tid gældende databeskyttelseslovgivning i alle relevante lande, hvor Kunden bruger Løsningen.
Såfremt Kunden vælger at integrere Løsningen med andre IT-systemer, bærer Kunden selv ansvaret herfor, herunder for indgåelse af gyldig databehandleraftale med leverandøren af det pågældende system, hvor dette måtte være påkrævet.
Leverandøren skal under hensyntagen til behandlingens karakter så vidt muligt bistå Kunden ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af Kundens forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i Databeskyttelsesforordningens kapitel III. Leverandøren og eventuelle underdatabehandlere skal straks videresende enhver anmodning fra en registreret til Kunden. Leverandøren er berettiget til at fakturere Kunden et rimeligt vederlag for denne bistand.
Leverandøren bistår Kunden med at sikre overholdelse af forpligtelserne i medfør af Databeskyttelsesforordningens artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Leverandøren. Leverandøren er berettiget til at fakturere Kunden et rimeligt vederlag for denne bistand.
Leverandøren skal træffe de passende tekniske og organisatoriske sikkerhedsforanstaltninger mod, at de behandlede personoplysninger (i) hændeligt eller ulovligt tilintetgøres, fortabes eller ændres, (ii) videregives eller gøres tilgængelig uden autorisation, eller (iii) i øvrigt behandles i strid med lovgivningen, herunder Databeskyttelsesforordningen.
Leverandøren skal til enhver tid fastsætte et minimums niveau af sikkerhed, herunder følgende eller ligeligt passende foranstaltninger:
Løbende opdatering af sikkerhedspatches i tredjepartskode
Sikring af infrastruktur ved hjælp af firewall og krypterede nøgler
To-faktor login tilbydes til alle kunder
Leverandøren er forpligtet til uden unødig forsinkelse at orientere Kunden om ethvert datasikkerhedsbrud, hvorved forstås et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet ("Sikkerhedsbrud"). Orienteringen om sikkerhedsbruddet skal så vidt muligt indeholde:
En beskrivelse af karakteren af bruddet, herunder kategorierne og det omtrentlige antal berørte registrerede og registreringer af personoplysninger.
En beskrivelse af de sandsynlige konsekvenser af bruddet.
En beskrivelse af den foranstaltninger, som Leverandøren eller underdatabehandleren har truffet eller foreslår truffet for at håndtere bruddet, herunder foranstaltninger for at begrænse dets mulige skadevirkninger.
Leverandøren er ansvarlig for, at Leverandørens medarbejdere overholder denne Databehandleraftale. Leverandøren er forpligtet til at begrænse behandlingen af personoplysninger til nødvendigt personale hos Leverandøren. Alle medarbejdere hos Leverandøren, som behandler personoplysninger på vegne af Kunden, skal være underlagt en fortrolighedspligt eller anden passende lovbestemt tavshedspligt. Denne fortrolighedsforpligtelse består uden tidsbegrænsning, og uanset om Parternes samarbejde i øvrigt ophører.
Leverandøren har Kundens generelle godkendelse til at benytte underdatabehandlere til hosting af tjenesten samt tilhørende data. Ved underdatabehandler forstås en underleverandør, til hvem Leverandøren har overladt hele eller dele af den behandling, som Leverandøren foretager på vegne af den Kunden. Leverandøren sikrer ved anvendelse af underdatabehandlere, at der til enhver tid foreligger et lovligt overførselsgrundlag.
Leverandøren har ved underskrivelsen af Vilkårene oplyst at gøre brug af følgende underdatabehandlere:
Amazon Web Services Inc. (AWS)
410 Terry Avenue North
Seattle, WA 98109-5210, USA
Overførselsgrundlag til USA: EU-Kommissionens
standardkontraktbestemmelser
(Leverandøren afventer med at vedtage et nyt gyldigt
overførselsgrundlag på baggrund af Schrems II-dommen. Så snart
der foreligger et alternativt og gyldigt overførselsgrundlag,
vil Leverandøren implementere og benytte dette)
Leverandøren indgår en skriftlig databehandleraftale med enhver underleverandør, hvori underleverandøren som minimum pålægges samme forpligtelser, som Leverandøren har påtaget sig overfor Kunden i nærværende databehandleraftale.
Kunden har ret til at få udleveret en kopi af Leverandørens aftaler med enhver underdatabehandler, for så vidt angår bestemmelser i nævnte aftale, som vedrører databeskyttelsesforpligtelser. Leverandøren skal med et skriftligt varsel på én (1) måned orientere Kunden, når der sker ændringer eller tilføjelser til oversigten over underdatabehandlere. Såfremt Kunden har rimelige og konkrete årsager til ikke at kunne acceptere Leverandørens anvendelse af en ny underdatabehandler, har Kunden ret at hæve Aftalen uden varsel. Kundens ret til at foretage udtræk af sine data i overensstemmelse med Vilkårenes pkt. 9.3. ændres ikke herved.
Overførsel af personoplysninger til tredjelande (lande udenfor den Europæiske Union ("EU") og det Europæiske Økonomiske Samarbejde ("EØS")), må kun ske i overensstemmelse med den Kundens instruks. Kunden skal løbende gøres tilstrækkeligt bekendt med de til enhver tid anvendte, lovlige grundlag for overførsel af personoplysninger uden for EU/EØS.
Ved tiltrædelse af denne databehandleraftale har Leverandøren oplyst, at Leverandøren gør brug af de i pkt. 5. anførte underdatabehandlere udenfor EØS. Kunden har godkendt, at denne brug af underdatabehandlere er omfattet af instruksen.
Leverandøren skal på Kundens anmodning give Kunden alle nødvendige oplysninger for, at Kunden kan kontrollere, at Leverandørens forpligtelser i henhold til denne aftale overholdes. Leverandøren skal give adgang til Leverandørens fysiske faciliteter og bidrage til revisioner, herunder inspektioner, der foretages af Kunden eller af Kundens revisor eller anden eksterne rådgiver, som er bemyndiget af Kunden. Derudover skal Leverandøren give alle ønskede oplysninger i relation til databehandlingsopgaven Kunden og Kundens eksterne rådgivere, i det omfang oplysningerne er nødvendige for deres opgavevaretagelse. Leverandøren kan efter skriftlig aftale fakturere Kunden et rimeligt vederlag for denne bistand.
Leverandøren er forpligtet til at føre tilsyn med sine underdatabehandlere på samme vilkår som Kundens tilsyn med Leverandøren. Leverandøren er forpligtet til at stille enhver dokumentation til rådighed for Kunden for at påvise, at Leverandøren overholder sin tilsynsforpligtelse.
Denne Databehandleraftale skal vedblive at gælde, så længe Leverandøren behandler personoplysninger på vegne af Kunden, og som er omfattet af denne aftale.
I tilfælde af ophør af Databehandleraftalen skal Leverandøren tilbagelevere alle personoplysninger, som Leverandøren har behandlet under nærværende Databehandleraftale, til Kunden, i det omfang Kunden ikke allerede er i besiddelse af personoplysningerne.
Leverandøren er forpligtet til at slette alle Kundens data, når der er forløbet 30 dage fra ophør af aftalen, eller straks på Kundens anmodning i øvrigt, medmindre Leverandøren er underlagt anden EU lovgivning eller national lovgivning, der foreskriver Leverandørens opbevaring af Kundens data i et længere tidsrum.