Mail sendt
Du vil blive kontaktet hurtigst muligt

Brug for hjælp?

Udfyld felterne, og vi vil kontakte dig

NordicPAS Databehandleraftale

DATABEHANDLERAFTALE

Mellem


NAVN:

ADRESSE:

BY:

CVR:

KONTAKTPERSON:


(herefter ”Den dataansvarlige”)


Og

NordicPAS ApS
Gåseagervej 10D, 1.
8250 Egå

CVR 35891676


(herefter ”Databehandleren”)


Der er indgået nærværende databehandleraftale om NordicPAS behandling af oplysninger/data på vegne af Den dataansvarlige.

1. Generelt

1.1 Ved brug af applikationen fra NordicPAS og ethvert modul eller funktion i forbindelse med applikationen, vil Den dataansvarlige være ansvarlig for sin behandling af personoplysninger i applikationen.

1.2 For at sikre, at parterne lever op til sine forpligtelser under nationale databeskyttelsesregler samt Europa-Parlamentet og Rådets forordning (EU) 2016/279, har parterne indgået denne databehandleraftale, som udgør instruksen fra Den dataansvarlige til Databehandleren og dermed regulerer Databehandlerens behandling af personoplysninger på vegne af Den dataansvarlige.

1.3 Databehandler skal behandle personoplysninger i overensstemmelse med god databehandlingsskik, jf. de til enhver tid gældende regler og forskrifter for behandling af personoplysninger.

1.4 Det er op til Den dataansvarlige at tage stilling til om funktionaliteten kræver samtykke fra tredjepart eller kræver andre dataretlige tiltag.

2. Formål

2.1 Databehandleren vil behandle personoplysninger på vegne af Den dataansvarlige.

3. Den dataansvarliges rettigheder og forpligtelser

3.1 Den dataansvarlige er dataansvarlig for de personoplysninger, som Den dataansvarlige instruerer Databehandleren i at behandle. Den dataansvarlige har ansvaret for at de personoplysninger, som indtastes i applikationen må behandles af Den dataansvarlige, herunder at behandlingen er nødvendig og saglig i forhold til Den dataansvarliges opgavevaretagelse.

4. Databehandlerens forpligtelser

4.1 Databehandleren har som databehandler de forpligtelser, som er pålagt en databehandler i medfør af lovgivningen.

4.2 Databehandleren behandler alene de overladte personoplysninger efter instruks fra Den dataansvarlige.

4.3 Databehandleren skal føre en fortegnelse over behandlingen af personoplysninger samt en fortegnelse over alle sikkerhedsbrud.

4.4 Databehandleren skal sikre personoplysningerne via tekniske og organisatoriske sikkerhedsforanstaltninger, som beskrevet i Databeskyttelsesforordningen, jf. bilag 1 – Sikkerhed.

4.5 Databehandleren skal på opfordring fra Den dataansvarlige hjælpe med at opfylde dennes forpligtelser i forhold til de registreredes rettigheder, herunder besvarelse af anmodninger fra personer om indsigt i egne oplysninger, udlevering af personers oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af personers oplysninger, samt Den dataansvarliges forpligtelser i forhold til underretning af den registrerede ved sikkerhedsbrud.

4.6 Databehandleren leverer tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske foranstaltninger sådan, at Den dataansvarliges behandling af personoplysninger opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.

5. Underdatabehandler(e)

5.1 Ved underdatabehandler forstås en underleverandør, til hvem Databehandleren har overladt hele eller dele af den behandling, som Databehandleren foretager på vegne af Den dataansvarlige.

5.2 Databehandleren har Den dataansvarliges generelle godkendelse til at gøre brug af underdatabehandlere. Databehandleren skal dog underrette Den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give Den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. En sådan underretning skal være Den dataansvarlige i hænde minimum tre måneder før anvendelsen eller ændringen skal træde i kraft. Såfremt Den dataansvarlige har indsigelser mod ændringerne, skal Den dataansvarlige give meddelelse herom til Databehandleren inden en måned efter modtagelsen af underretningen. Den dataansvarlige kan alene gøre indsigelse, såfremt Den dataansvarlige har rimelige og konkrete årsager hertil.

5.3 Hvis Databehandleren overlader behandlingen af personoplysninger, som Den dataansvarlige er ansvarlig for, til underdatabehandlere, skal Databehandleren indgå en skriftlig underdatabehandleraftale med underdatabehandleren.

5.4 Underdatabehandleraftalen, jf. pkt. 5.3, skal pålægge underdatabehandleren de samme databeskyttelsesforpligtelser, som Databehandleren er pålagt, herunder, at underdatabehandleren garanterer at kunne levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at kunne implementere de passende tekniske og organisatoriske foranstaltninger således, at underdatabehandlerens behandling opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.

5.5 Når Databehandleren overlader behandlingen af personoplysninger, som Den dataansvarlige ansvarlig for, til underdatabehandlere, har Databehandleren over for Den dataansvarlige ansvaret for underdatabehandlernes overholdelse af disses forpligtelser, jf. pkt. 5.3.

5.6 Den dataansvarlige kan til enhver tid forlange dokumentation fra databehandleren for eksistensen af og indholdet af underdatabehandleraftaler for de underdatabehandlere, som Databehandleren anvender i forbindelse med opfyldelsen af sine forpligtelser over for Den dataansvarlige.

5.7 Al kommunikation mellem Den dataansvarlige og underdatabehandleren sker via Databehandleren.

6. Instrukser

6.1 Databehandlerens behandling af personoplysninger på vegne af Den dataansvarlige sker udelukkende efter dokumenteret instruks, jf. bilag 3.

6.2 Databehandleren giver besked til Den dataansvarlige, hvis en instruks efter Databehandlerens vurdering er i strid med lovgivningen, jf. pkt. 1.2.

7. Tekniske og organisatoriske sikkerhedsforanstaltninger

7.1 Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til Databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

7.2 Databehandleren skal i forbindelse med ovenstående som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales bilag 1.

7.3 Databehandleren er forpligtet til indenfor 72 timer at underrette Den dataansvarlige om ethvert sikkerhedsbrud.

7.4 Databehandleren må ikke hverken offentligt eller til tredjeparter kommunikere om sikkerhedsbrud uden forudgående skriftlig aftale med Den dataansvarlige om indholdet af en sådan kommunikation, medmindre Databehandleren har en retlig forpligtelse til kommunikationen.

8. Overførsler til andre lande

8.1 Databehandlerens overførsel af personoplysninger til lande, der ikke er medlem af EU, f.eks. via en cloudløsning eller en underdatabehandler, skal ske i overensstemmelse med Den dataansvarliges instruks herfor, jf. bilag 3.

9. Tavshedspligt og fortrolighed

9.1 Databehandleren skal sikre, at alle, der behandler oplysninger er omfattet af nærværende aftale, herunder ansatte, tredjeparter og underdatabehandlere. Alle skal forpligte sig til fortrolighed eller være underlagt en passende lovbestemt tavshedspligt.

10. Kontroller og erklæringer

10.1 Den dataansvarlige har adgang til at stille spørgsmål til Databehandleren for at sikre at Databehandleren overholder de krav, der følger af nærværende aftale.

10.2 I tilfælde af, at relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter Databehandleren sig til at stille tid og ressourcer til rådighed herfor. Omkostningen herfor betales af Den dataansvarlige.

11. Ændringer i Aftalen

11.1 Den dataansvarlige kan med et forudgående varsel på mindst tre måneder foretage ændringer i instruksen, jf. bilag 3. Ændringsprocessen aftales skriftligt mellem parterne og omkostningen herved afholdes af Den dataansvarlige.

11.2 I det omfang ændringer i lovgivningen giver anledning til det, er Den dataansvarlige berettiget til at foretage ændringer i aftalen med det varsel som den ændrede lovgivning foreskriver. Eventuelle omkostninger herved afholdes af Den dataansvarlige.

12. Sletning af data

12.1 Alle data fra Den dataansvarlige slettes hos Databehandleren senest 21 dage efter ophøret af abonnementet på applikationen hos Databehandleren. Data kan ikke genfindes efter denne periode.

12.2 Hvis Den dataansvarlige ønsker tilbagelevering af data, kan dette ske i en periode på syv dage efter ophøret af abonnementet på applikationen hos Databehandleren. Omkostningen herfor afholdes af Den dataansvarlige.

13. Ikrafttræden og varighed

13.1 Nærværende databehandleraftale indgås ved begge parters underskrift og løber indtil den bringes til ophør af en af parterne, dog følger evt. opsigelse fra Den Dataansvarlige de abonnementsbetingelser, som er gældende for applikationen hos Databehandleren.

For Den Dataansvarlige
Dato


Den tegningsberettigede hos
Den dataansvarlige
For Databehandleren
1. maj 2018

Martin Mølster Jensen
NordicPAS ApS

Bilag

Bilag 1 – Sikkerhed
Bilag 2 – Oplysninger om lokationer for behandling og underdatabehandlere
Bilag 3 – Instruks

Bilag 1 – Sikkerhed

1. Indledning
Dette bilag indeholder en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som Databehandleren har ansvar for at gennemføre, overholde og sikre overholdelse af hos dennes underdatabehandlere, som er angivet i bilag 2.

2. Sikkerhedskrav
Databehandleren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til de aftalte behandlinger, jf. bilag 3, og som dermed opfylder Databeskyttelses-forordningens artikel 32.

Foranstaltningerne fastlægges ud fra overvejelser om:
1. Hvad der kan lade sig gøre rent teknisk
2. Implementeringsomkostningerne
3. Den pågældende behandlings karakter, omfang, sammenhæng og formål
4. Konsekvenserne ved et sikkerhedsbrud
5. Den risiko, der er forbundet med behandlingerne, herunder risikoen for:

a) Tilintetgørelse af oplysningerne
b) Tab af oplysningerne
c) Ændring af oplysningerne
d) Uautoriseret videregivelse af oplysningerne
e) Uautoriseret adgang til oplysningerne

Sikkerhedsniveauet hos Databehandler og underdatabehandlere indeholder:
1) Kryptering af data
2) Logge på logins
3) Logge filændringer
4) Løbende daglig backup med en historik på 21 dage

Bilag 2 – Oplysninger om lokationer for behandling og underdatabehandlere


NavnCVR. nrAdresseBeskrivelse af handling
Aktiv Online ApS38780174Gåseagervej 10D, 1.
8250 Egå
Leverer kodning af Databehandlers software.
Copenhost A/S38683268Studiestræde 19, 4. sal
1455 København K
Leverer hosting af data.
Sentia Danmark A/S10008123Smedeland 32
2600 Glostrup
Leverer internetforbindelse og rackskab til sekundær lokation. Har ikke adgang til data.
Netgroup A/S26093503Store Kongesgade 40 H
1264 København K
Leverer internetforbindelse og rackskab til primær lokation. Har ikke adgang til data.

Bilag 3 – Instruks

Den dataansvarlige instruerer hermed Databehandleren om at foretage behandling af Den dataansvarliges oplysninger til brug for levering af applikationen fra NordicPAS ApS, CVR 35891676.

Databehandleren er ansvarlig for at indgå skriftlige underdatabehandleraftaler med underdatabehandlere.

1.1 Behandlingens formål
Behandling af Den dataansvarliges oplysninger sker som led i Den dataansvarliges anvendelse af applikationen fra NordicPAS ApS.
Databehandleren må ikke anvende oplysningerne til andre formål.
Oplysningerne må ikke behandles efter instruks fra andre end Den dataansvarlige.

1.2 Generel beskrivelse af behandlingen
Den Dataansvarlige indtaster oplysninger i Databehandlerens applikation. Applikationen gemmer data og oplysninger for Den Dataansvarlige, således denne kan anvende informationerne på et senere tidspunkt. I applikationen kan Den Dataansvarlige også benytte det Pædagogiske Analyse System, der blandt andet opstiller en vejledende pædagogisk handleplan, som Den Dataansvarlige kan bruge. Varigheden af behandlingen af data følger perioden for licensbetaling for applikationen til NordicPAS. Opmærksomheden henledes til nærværende aftales punkt 12.

1.3 Typen af personoplysninger
Behandlingerne indeholder personoplysninger i de nedenfor afkrydsede kategorier. Niveauet for behandlingssikkerhed afspejler oplysningernes følsomhed, jf. bilag 1.

Almindelige personoplysninger (jf. Databeskyttelsesforordningens artikel 6)
Almindelige personoplysninger

Følsomme personoplysninger (jf. Databeskyttelsesforordningens artikel 9):
Racemæssig eller etnisk baggrund
Politisk overbevisning
Religiøs overbevisning
Filosofisk overbevisning
Fagforeningsmæssige tilhørsforhold
Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v.
Seksuelle forhold

Oplysninger om enkeltpersoners rent private forhold (jf. Databeskyttelsesforordningens artikel 6 og 9):
Strafbare forhold
Væsentlige sociale problemer
Andre rent private forhold

Oplysninger om cpr-nummer (jf. Databeskyttelsesforordningens artikel 87)
CPR-numre

1.4 Kategorier af registrerede
Der behandles oplysninger om følgende kategorier af registrerede
Borger, Person
Elev, Deltager, Kursist
Barn, Ung
Bruger
Andet

1.5 Tredjelande (ikke EU-medlemslande)
Databehandler overfører ikke personoplysninger til lande udenfor EU.