BILAG 14 DATABEHANDLERAFTALE

Transkript

1 BILAG 14 DATABEHANDLERAFTALE

2 INSTRUKTION TIL TILBUDSGIVER: Teksten i dette afsnit er ikke en del af Kontrakten og vil blive fjernet ved kontraktindgåelse. Formål med bilag: Formålet med Bilag 14 Databehandleraftale er at beskrive krav til overholdelse af persondatalovgivningen i forbindelse Leverandørens databehandling, som udføres for Kunden som dataansvarlig. Instruks vedr. bilag: Bilaget skal ikke besvares af Tilbudsgiveren. Bilaget med underbilag udfyldes og underskrives af Parterne i forbindelse med kontraktindgåelse. Evaluering af besvarelse: Besvarelsen indgår ikke i tilbudsevalueringen. Udbudsbetingelsernes Bilag X: Det vil være muligt at angive forbedringsforslag i Udbudsbetingelsernes Bilag X, Tilbudsgivers forbedringsforslag. Sådanne forslag kan blive drøftet i forhandlingsfasen, men vil ikke nødvendigvis blive det. Side 2 of 16

3 INDHOLDSFORTEGNELSE 1. Databeskyttelseslovgivningen Instruks Tekniske og organisatoriske sikkerhedsforanstaltninger Databehandlers brug af underdatabehandler Ad hoc arbejdspladser Dokumentation for overholdelse af forpligtelser Tilsynsmyndigheder, audits og revisionserklæringer Underretningspligt og assistance Tavshedspligt og fortrolighed Overdragelse Misligholdelse Ansvar Ændringer Databehandleraftalens ikrafttræden og varighed Håndtering af personoplysninger efter Databehandleraftalens ophør Lovvalg og værneting Tvistløsning Forrang Underskrifter UNDERBILAG: Underbilag 14.A: Underbilag 14.B: Databehandlerinstruks Underdatabehandler(e) Side 3 of 16

4 DATABEHANDLERAFTALE Mellem parterne VisitDenmark Islands Brygge 43, København S CVR-nr (herefter den Dataansvarlige ) og Databehandler [Navn på Leverandøren Adresse CVR-nr.] (herefter Databehandleren ) (hver for sig "Part" og sammen benævnt "Parterne") er indgået nærværende databehandleraftale (herefter "Databehandleraftalen") som en del af kontraktgrundlag af [dato indsættes] om udvikling, levering, vedligeholdelse og support af hjemmesider til VisitDenmark (herefter "Hovedaftalen") vedrørende behandling af personoplysninger gennem en af Dataansvarliges hjemmesider. Side 4 of 16

5 1. DATABESKYTTELSESLOVGIVNINGEN 1.1 Databehandleren skal til enhver tid overholde gældende persondatalovgivning, herunder forordning 2016/679 af 27. april 2016 (herefter "Databeskyttelsesforordningen") med tilhørende retsakter samt heraf afledt national lovgivning med eventuelle tilhørende bekendtgørelser, vejledninger med videre. 2. INSTRUKS 2.1 Databehandleren bemyndiges til at foretage behandling af personoplysninger på den Dataansvarliges vegne på de vilkår, som er fastsat i Databehandleraftalen. 2.2 Databehandleren behandler oplysninger på den Dataansvarliges vegne og handler alene efter dokumenteret instruks fra den Dataansvarlige og alene i det omfang, det er nødvendigt for, at Databehandleren kan opfylde sine forpligtelser i henhold til Databehandleraftalen. Denne Databehandleraftale inklusive bilag og alle de for afviklingen af Databehandlerens opgaver nødvendige og beskrevne behandlinger betragtes som dokumenterede og udgør således sammen med Hovedaftalen instruksen på underskrivelsestidspunktet. 2.3 Databehandleren skal omgående give besked til den Dataansvarlige, hvis en instruks efter Databehandlerens vurdering er i strid med lovgivningen, jf. punkt TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER 3.1 Databehandleren har ansvaret for at gennemføre fornødne tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau. Foranstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. 3.2 Databehandleren forpligter sig til at overholde de til enhver tid gældende lovgivningsmæssige krav vedrørende behandling af personoplysninger. Databehandlingen skal derfor foregå i overensstemmelse med de til enhver tid gældende regler om behandling af personoplysninger. 4. DATABEHANDLERS BRUG AF UNDERDATABEHANDLER 4.1 Databehandleren må ikke indgå aftaler med en underdatabehandler om behandling af personoplysninger omfattet af denne Databehandleraftale, medmindre den Dataansvarlige skriftligt har givet samtykke til aftaleindgåelsen. Den Dataansvarlige er berettiget til at stille nærmere vilkår for et sådant samtykke. 4.2 Databehandleren må endvidere ikke overføre eller tillade overførsel af personoplysninger til lande uden for EU/EØS uden den Dataansvarliges forudgående skriftlige samtykke. 4.3 Såfremt den Dataansvarlige har givet tilladelse til en overførsel af personoplysninger til lande uden for EU/EØS, påhviler det Databehandleren at sikre, at personoplysninger ikke overføres, før der foreligger et lovligt kontraktgrundlag for overførsel af personoplysninger til de pågældende lande, herunder en direkte databehandleraftale mellem den Dataansvarlige og eventuelle underdatabehandlere i tredjelande. 4.4 Databehandleren skal i sin aftale med underdatabehandleren sikre sig, at underdatabehandleren som minimum kan opfylde de forpligtelser, som Databehandleren har påtaget sig ved denne Databehandleraftale, for så vidt angår den behandling af personoplysninger, der varetages af underdatabehandleren. 4.5 Databehandleren indestår for kontraktsmæssigheden og lovligheden af underdatabehandlerens behandling af personoplysninger. Det forhold, at Databehandleren Side 5 of 16

6 indgår aftale med en underdatabehandler, fritager ikke Databehandleren for pligten til at efterleve Databehandleraftalen. 4.6 Ved ophør af en aftale med en underdatabehandler om behandling af personoplysninger omfattet af denne Databehandleraftale, skal Databehandleren give den Dataansvarlige meddelelse herom. Databehandleren skal i den forbindelse sikre, at underdatabehandleren sletter data behørigt i overensstemmelse med Databehandleraftalen. 5. AD HOC ARBEJDSPLADSER 5.1 Såfremt Databehandleren foretager databehandling fra ad hoc arbejdspladser, skal Databehandleren sikre, at disse lever op til de sikkerhedsmæssige krav i denne Databehandleraftale samt eventuel gældende vejledning og lovgivningsmæssig regulering herom. 5.2 Databehandleren skal opfylde og dokumentere følgende: Beskrivelse af anvendt krypteret forbindelse mellem ad hoc arbejdspladsen og Databehandlerens/Dataansvarliges netværk; Anvendelse af 2-faktor-autentifikation; Databehandlers interne instruks til egne medarbejdere vedrørende ad hoc arbejdspladser. 6. DOKUMENTATION FOR OVERHOLDELSE AF FORPLIGTELSER 6.1 Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at Databehandleren overholder sine forpligtelser efter denne Databehandleraftale, herunder de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger. 6.2 Databehandleren skal, i det omfang Databehandleren er omfattet af kravet i henhold til Databeskyttelsesforordningen, føre en fortegnelse over behandlingsaktiviteter i overensstemmelse med Databeskyttelsesforordningen, således at denne fortegnelse inden for rimelig tid kan stilles til rådighed for den Dataansvarlige eller enhver relevant tilsynsmyndighed. 6.3 Databehandlerens dokumentation i forhold til punkt 6.1 og 6.2 skal ske inden for rimelig tid. 7. TILSYNSMYNDIGHEDER, AUDITS OG REVISIONSERKLÆRINGER 7.1 I tilfælde af, at den Dataansvarlige og/eller relevante offentlige myndigheder, herunder særligt datatilsynsmyndigheder, ønsker at foretage en fysisk inspektion (audit) af de foranstaltninger, som Databehandler foretager i medfør af Databehandleraftalen, forpligter Databehandleren sig til i fornødent og rimeligt omfang at stille tid og ressourcer til rådighed herfor. Databehandleren forpligter sig på samme måde til at sikre, at sådanne audits også kan gennemføres hos dennes underdatabehandlere. 7.2 Som supplement eller alternativ til de ovenfor nævnte audits skal Databehandleren og eventuelle underdatabehandlere sørger for, at en uafhængig ekspert årligt udarbejder en revisionserklæring på grundlag af almindeligt accepterede og anerkendte standarder angående Databehandlerens overholdelse af kravene til sikkerhedsforanstaltninger fastsat i Databehandleraftalen. 8. UNDERRETNINGSPLIGT OG ASSISTANCE 8.1 Databehandleren forpligter sig til straks og skriftligt at orientere den Dataansvarlige om enhver afvigelse fra kravene i Databehandleraftalen, f.eks.: Side 6 of 16

7 8.1.1 ved enhver fravigelse fra givne instrukser; ved enhver afvigelse fra det aftalte om tilgængelighed; ved planlagte releases, opgraderinger, tests med videre; ved enhver mistanke om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet efter denne Databehandleraftale; ved enhver mistanke om misbrug, fortabelse og forringelse af data. 8.2 Databehandleren og dennes eventuelle underdatabehandlere skal straks assistere den Dataansvarlige med håndteringen af enhver henvendelse fra en registreret, herunder anmodning om indsigt, berigtigelse, blokering eller sletning, og besvarelse til registrerede ved udøvelse af disses rettigheder, hvis de relevante personoplysninger behandles af Databehandleren. 8.3 Databehandleren og dennes eventuelle Underdatabehandlere skal assistere den Dataansvarlige med at overholde øvrige forpligtelser, der måtte påhvile den Dataansvarlige efter gældende persondatalovgivning, hvor assistance er forudsat, samt hvor assistance er nødvendig for, at den Dataansvarlige kan overholde sine forpligtelser, herunder ved bistand i forbindelse med udarbejdelse og gennemførelse af konsekvensanalyser og forudgående høringer fra tilsynsmyndighederne. 8.4 Assistance, som Databehandleren anmodes om at udføre i henhold til dette punkt, er indeholdt i Databehandlerens eventuelle faste vederlag, jf. Hovedaftalen, men kan faktureres særskilt efter medgået, dokumenteret tidsforbrug i henhold til aftalte timesatser, jf. Hovedaftalens Bilag TAVSHEDSPLIGT OG FORTROLIGHED 9.1 Databehandlerens ansatte, samarbejdspartnere, eksterne konsulenter og vikarer med flere vil i forbindelse med behandlingen af fortrolige oplysninger være omfattet af de regler om tavshedspligt, som gælder for ansatte i den offentlige forvaltning, herunder reglerne i Forvaltningsloven og Straffeloven. 9.2 Det påhviler Databehandleren og dennes eventuelle underdatabehandlere at informere egne ansatte, samarbejdspartnere, eksterne konsulenter og vikarer med flere om udstrækningen af tavshedspligten og om konsekvenserne ved en eventuel overtrædelse. 9.3 Databehandleren skal holde personoplysningerne fortrolige og er således alene berettiget til at anvende personoplysningerne som led i opfyldelsen af sine forpligtelser i henhold til denne Databehandleraftale, herunder instruksen. 9.4 Databehandleren påtager sig endvidere at begrænse adgangen til personoplysningerne til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige. 9.5 Databehandlerens forpligtelser om tavshedspligt og fortrolighed gælder også efter Databehandleraftalens ophør. 10. OVERDRAGELSE 10.1 Databehandleren må ikke overdrage sine rettigheder og forpligtelser i henhold til denne databehandleraftale uden den Dataansvarliges forudgående samtykke. Side 7 of 16

8 11. MISLIGHOLDELSE 11.1 Det betragtes som en væsentlig misligholdelse af Hovedaftalen, såfremt Databehandleren ikke overholder forpligtelserne i Databehandleraftalen, de til enhver tid gældende lovgivningsmæssige krav og kravene der fremgår af Databehandleraftalen. Den Dataansvarlige er i så fald berettiget til uden varsel at ophæve samtlige gældende aftaler om databehandling, som udføres for denne Uanset ophævelse eller opsigelse af Databehandleraftalen er Databehandleren dog forpligtet til at levere databehandling i henhold til Hovedaftalen og denne Databehandleraftale, indtil databehandling er sikret hos anden databehandler Databehandleren skal levere relevant ophørsassistance til den Dataansvarlige. Dette inkluderer, men er ikke begrænset til, ophørsassistance i relation til Hovedaftalen, og samtlige andre aftaler indgået med samme Databehandler og/eller underdatabehandler Databehandleren forpligter sig til at friholde og forsvare den Dataansvarlige imod alle krav, retskrav og ethvert ansvar, tab, bøder, omkostninger og udgifter forbundet dermed som følge af Databehandlerens overtrædelse af Databehandleraftalen eller gældende ret, begået af Databehandleren, Databehandlerens ansatte, underdatabehandlere eller repræsentanter i forbindelse med levering af persondatabehandlingen, gennemførelse af Databehandleraftalen eller som i øvrigt aftalt mellem Parterne Databehandleren kan ved misligholdelse af Databehandleraftalen ifalde bod, såfremt der i Hovedaftalen er fastsat vilkår herom. 12. ANSVAR 12.1 Parterne er ansvarlige overfor hinanden efter dansk rets almindelige regler, med forbehold for sådan regulering af ansvarsforhold, som måtte følge af bestemmelserne i Hovedaftalen Uagtet punkt 12.1 finder ansvarsbegrænsninger ikke anvendelse i sådanne tilfælde, hvor skaden og tabet kan henføres til grov uagtsomhed eller forsætlighed, eller hvor der foreligger overtrædelse af lovgivningen, herunder persondatalovgivningen, hos Databehandleren. 13. ÆNDRINGER 13.1 Den Dataansvarlige kan foretage ændringer af Databehandleraftalen med et varsel på mindst 30 dage, herunder ændringer i instruksen, som den Dataansvarlige skønner nødvendige eller relevante Forud for ændringer skal Parterne i videst muligt omfang drøfte, og om muligt aftale, implementeringen af ændringerne, inklusiv implementeringstid og omkostninger I det omfang andet ikke er aftalt mellem Parterne i forhold til ændringer, gælder følgende: Databehandleren skal uden ugrundet ophold iværksætte implementering af ændringer og sikre, at sådanne ændringer implementeres uden ugrundet ophold set i forhold til ændringernes karakter og omfang Vejledende estimat for implementeringstiden og eventuelle dokumenterede merudgifter forbundet med ændringerne skal meddeles til den Dataansvarlige uden ugrundet ophold Ændringer anses først for gældende, fra ændringerne er implementeret, forudsat at implementeringen heraf gennemføres i overensstemmelse med dette punkt, og med mindre den Dataansvarlige eksplicit meddeler at fravige dette punkt. Side 8 of 16

9 14. DATABEHANDLERAFTALENS IKRAFTTRÆDEN OG VARIGHED 14.1 Databehandleraftalen indgås ved begge parters underskrivelse og kan tidligst opsiges af Databehandleren til det tidspunkt hvor databehandlingen jf. aftale med den Dataansvarlige skal ophøre og den i punkt 15 beskrevne dokumentation er modtaget og accepteret af den Dataansvarlige Databehandleraftalen ophører, når al behandling af personoplysninger i henhold til Hovedaftalen er ophørt, og Databehandleren har slettet data. 15. HÅNDTERING AF PERSONOPLYSNINGER EFTER DATABEHANDLERAFTALENS OPHØR 15.1 Databehandleren og dennes eventuelle underdatabehandlere forpligter sig til at sikre, at personoplysninger vil blive tilbageleveret og/eller slettet, når databehandling på baggrund af Hovedaftalen og Databehandleraftalen ophører. Den Dataansvarlige skal oplyse Databehandleren om det tidspunkt, hvor databehandlingen skal ophøre. Det påhviler herefter Databehandleren at tilbagelevere og/eller slette personoplysningerne på det oplyste tidspunkt. Databehandlerens behandling i perioden fra varsling af ophør og frem til ophør anses fortsat for at ske under overholdelse af instruksen Sletning må ikke ske, før den Dataansvarlige skriftligt har godkendt den påtænkte fremgangsmåde for sletning Såfremt den Dataansvarlige ikke finder metoden tilstrækkelig sikker og i overensstemmelse med gældende persondatalovgivning og anden relevant lovgivning, skal den Dataansvarlige meddele Databehandleren hvilken metode, der kan anvendes i stedet Når sletningen er foretaget, skal Databehandleren fremsende en skriftlig erklæring på, at personoplysninger er slettet som aftalt, herunder en beskrivelse af den anvendte metode Såfremt Databehandler eller dennes underdatabehandlere i forbindelse med konkurs eller lignende ophører med at behandle personoplysninger for den Dataansvarlige, skal alle personoplysningerne straks leveres tilbage til den Dataansvarlige på en måde, der gør det muligt for den Dataansvarlige at anvende disse fremadrettet. Herefter er Databehandleren, dennes konkursbo eller lignende forpligtet til effektivt at slette personoplysningerne fra egne systemer i overensstemmelse med ovenstående. 16. LOVVALG OG VÆRNETING 16.1 Denne Databehandleraftale er inklusive ethvert spørgsmål om Databehandleraftalens gyldighed undergivet dansk ret med undtagelse af regler, der fører til anvendelse af anden lov end dansk lov. 17. TVISTLØSNING 17.1 Såfremt der opstår en uoverensstemmelse mellem Parterne i forbindelse med Databehandleraftalen, skal Parterne med en positiv, samarbejdende og ansvarlig holdning søge at indlede forhandlinger med henblik på at løse tvisten Såfremt en løsning ikke kan opnås ved forhandling, må tvisten løses i henhold til de opstillede kriterier i Hovedaftalen. 18. FORRANG 18.1 Såfremt der er modstrid mellem denne Databehandleraftale og Hovedaftalen, har denne Databehandleraftale forrang. Side 9 of 16

10 19. UNDERSKRIFTER Dato: For Dataansvarlige: Dato: For Databehandleren: [Navn og stilling] [Navn og stilling] Side 10 of 16

11 UNDERBILAG 14.A DATABEHANDLERINSTRUKS 1. DATABEHANDLERS OPGAVE [I forbindelse med indgåelse indsættes en nærmere defineret beskrivelse af Databehandlerens opgave.] 2. VEDRØRENDE DATABEHANDLERENS ANSVAR 2.1 Databehandleren må alene behandle personoplysninger omfattet af Databehandleraftalen efter instruks fra den Dataansvarlige og kun til at varetage de opgaver, Databehandleren har i henhold til Databehandleraftalen og Hovedaftalen 3. VEDRØRENDE DATABEHANDLERENS OPGAVER 3.1 Konkretisering af behandling af personoplysninger: 3.2 Databehandlingen sker som led leveringen af den i Hovedaftalen definerede løsning til den Dataansvarlige. Databehandlerens hovedydelser er at levere, supportere og vedligeholde Løsningen Lokation [Adresse for alle lokationer, hvor behandling af personoplysninger foregår] Serverplacering [Indsæt den geografiske placering af serverne] 3.3 Databehandleren skal så vidt muligt bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder, herunder om indsigt, berigtigelse, begrænsning eller sletning, hvis de relevante personoplysninger behandles af Databehandleren. Modtager Databehandleren sådan henvendelse fra den registrerede, orienterer Databehandleren den Dataansvarlige herom. 3.4 Registrerede identificerede eller identificerbare fysiske personer omfattet af databehandleraftalen er brugere af Løsningen. Der kan gennem Løsningen blive indsamlet almindelige personoplysninger, herunder navn, adresse, adresse og telefonnummer. 4. TENISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER 4.1 Databehandleren skal som minimum træffe de nedenfor beskrevne tekniske og organisatoriske sikkerhedsforanstaltninger i forbindelse med behandlingen af personlysninger på vegne af den Dataansvarlige. 4.2 Såfremt mere omfattende tekniske og organisatoriske sikkerhedsforanstaltninger er nødvendige for at sikre efterlevelse af Databehandleraftalen, skal sådanne mere omfattende foranstaltninger altid træffes. 4.3 Leverandøren garanterer, at Løsningen, herunder de leverede ydelser, opfylder relevante regler vedrørende persondatabeskyttelse. 4.4 Leverandøren er til enhver tid forpligtet til at holde sig orienteret om og sikre, at gældende dansk persondatalovgivning overholdes. Leverandøren er desuden til enhver tid forpligtet til at sikre, at reglerne vedrørende behandlingssikkerhed overholdes. Side 11 of 16

12 4.5 Kontaktpunkt 4.6 Databehandleren skal udpege et fast kontaktpunkt, som over for den Dataansvarlige skal varetage ethvert forhold i relation til behandlingen af personoplysninger på vegne af den Dataansvarlige. 4.7 Risici for sikkerhed 4.8 Databehandleren skal tage de nødvendige skridt til at identificere, vurdere og begrænse enhver, med rimelighed forudsigelig, intern og ekstern risiko for tilgængeligheden, fortroligheden, og/eller integriteten af alle personoplysninger omfattet af Databehandleraftalen. 4.9 Databehandleren skal have passende tekniske foranstaltninger til at begrænse risikoen for enhver uautoriseret adgang. Databehandleren skal desuden, hvor det er nødvendigt, evaluere og forbedre effektiviteten af sådanne forholdsregler Databehandleren skal dokumentere de identificerede risici og for enhver af disse risici hvordan risikoen er nedbragt til et acceptabelt niveau Databehandleren skal have formelle processer for håndtering af sikkerhedshændelser. Databehandleren skal ved hændelser, hvor personoplysningers fortrolighed, integritet eller tilgængelighed kan være eller have været negativt påvirket, underrette den Dataansvarlige uden ugrundet ophold Autorisation og adgangskontrol 4.13 Databehandleren skal især iagttage følgende vedrørende autorisation og adgangskontrol: 1. Autorisationer skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. 2. Databehandleren skal sikre, at der foretages et efter omstændighederne passende baggrundstjek for alt personale, der i forbindelse med deres ansættelse vil have adgang til personoplysninger omfattet af Databehandleraftalen, uanset i hvilket format personoplysninger måtte være tilgængelige. 3. Kun de personer, som autoriseres dertil, må have adgang til personoplysninger, der behandles. 4. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. 5. Der må endvidere autoriseres personer, for hvem adgang til personoplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. 6. Den autoriserede bruger udstyres med en brugeridentifikation og et password, der skal anvendes hver gang, der logges på systemet. Som udgangspunkt anvendes 2- faktor-autentificering ved adgang til systemer med følsomme personoplysninger via internettet eller andet usikkert netværk. Autentifikationsmetoden kan f.eks. være Nem-id, SMS-token, Rfid eller lignende. 7. Databehandleren skal sikre, at Databehandlerens medarbejdere modtager tilstrækkelig uddannelse og instruktioner, inklusiv men ikke begrænset til uddannelse der tilsigter mod at øge medarbejdernes gennerelle sikkerhedsbevidsthed, introduktion af relevante sikkerhedspolitikker og procedurer, samt adgang til og uddannelse i dokumenterede processer og arbejdsbeskrivelser særligt vedrørende behandling af personoplysninger. Uddannelse og instruktioner skal omfatte de Side 12 of 16

13 emner, der er relevante for at sikre, at personoplysninger behandles i overensstemmelse med såvel lovgivningen som Databehandlerens og den Dataansvarliges relevante politikker og procedurer. 8. Autorisation gives til den Dataansvarliges systemer af den Dataansvarlige efter den Dataansvarliges indstilling. 9. Der skal træffes foranstaltninger til at sikre, at kun autoriserede brugere kan få adgang til personoplysninger, og at brugeren kun kan få adgang til de personoplysninger og anvendelser (behandlinger), som den pågældende er autoriseret til. 10. Alle ansatte hos Databehandleren, der har med elektronisk databehandling at gøre, udstyres med en brugeridentifikation og et password med henblik på adgang til Databehandlerens netværk. Brugeridentifikation og password skal anvendes hver gang, brugeren skaber sig intern adgang til databehandling. Eksternt skal adgange til databehandling etableres med 2-faktor-autentifikation Databehandleren skal have rimelige restriktioner for fysisk adgang. Områder, hvor der sker behandling af personoplysninger skal ved etablering af ovennævnte adgangskontrolmekanismer være effektivt adskilt fra områder, hvortil der er generel adgang Databehandleren skal have formelle procedurer for håndtering af nulstilling af adgangskoder og andre situationer, hvor den normale logiske adgangskontrol sættes ud af kraft Der skal mindst en gang hvert halve år foretages kontrol af, at brugerne kun er tildelt de adgange, som de har behov for. Denne kontrol kan f.eks. indebære, at der i systemerne dannes en statistik over den enkelte brugers anvendelse af systemet, således at det kan konstateres, om der er udstedte autorisationer, som ikke er anvendt, og som derfor eventuelt bør inddrages. Ved anvendelse af en sådan statistisk opfølgning vil der fortsat være behov for en konkret vurdering af, om medarbejderen har et fortsat arbejdsmæssigt behov for adgang Databehandleren skal uden ugrundet ophold inddrage autorisationer (og herunder adgange) for brugere, der ikke længere har behov for autorisationen i forbindelse med brugerens arbejde Kontrol med afviste adgangsforsøg og logning 4.19 Databehandleren skal iagttage følgende vedrørende kontrol med afviste adgangsforsøg og logning: 4.20 Der skal foretages registrering af alle afviste adgangsforsøg. Hvis der inden for en fastsat periode er registreret højst 5 på hinanden følgende afviste adgangsforsøg med samme brugeridentifikation, skal der blokeres for yderligere forsøg. Adgangen åbnes først, når årsagen til afviste adgangsforsøg er klarlagt Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger omfattet Persondatalovens 7 og 8 og Sikkerhedsbekendtgørelsens 19 eller hvad der måtte træde i stedet for de nævnte bestemmelser i forbindelse med Persondataforordningens ikrafttræden og anvendelse. Loggen skal mindst indeholde oplysninger om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte eller det anvendte søgekriterium. Loggen skal opbevares i seks måneder, hvorefter den skal slettes, medmindre der i overensstemmelse med loggens formål fastsættes en længere opbevaringsperiode, dog højest 5 år, af hensyn til at kunne anvende den som værktøj til brug ved efterforskning Bestemmelsen i punkt 4.21 ovenfor finder ikke anvendelse for personoplysninger, som indgår i tekstbehandlingsdokumenter og lignende, der ikke foreligger i endelig form. Det samme gælder sådanne dokumenter, som foreligger i endelig form, hvis der sker sletning inden for 30 Side 13 of 16

14 dage. Logningskravet vil fortsat gælde ved rutinemæssig administration som har karakter af føring af et edb-register Bestemmelsen i punkt 4.21 ovenfor finder ikke anvendelse, hvis behandlingen af personoplysninger sker ved afvikling af programmer, som foretager en foruddefineret massebehandling af personoplysninger, eller hvis behandlingen sker med henblik på statistiske eller videnskabelige undersøgelser, og identifikationsoplysningerne forinden enten er krypteret eller erstattet med kodenummer eller lignende. Der skal dog i begge tilfælde foretages maskinel logning af brugeren og tidspunktet for behandlingen, jf. punkt Mobile lagringsmedier 4.25 Databehandleren skal iagttage følgende vedrørende mobile lagringsmedier: 4.26 Mobile lagringsmedier med personoplysninger skal være mærket og skal opbevares krypteret under opsyn eller under lås, når de ikke benyttes Mobile lagringsmedier med personoplysninger må kun udleveres til medarbejdere samt til autoriserede personer, der har adgang til personoplysningerne, med henblik på revision eller drifts- og systemtekniske opgaver Der skal føres en fortegnelse over, hvilke mobile lagringsmedier, der benyttes i forbindelse med databehandlingen Der skal udarbejdes skriftlige instrukser for anvendelse og opbevaring af udtagelige mobile lagringsmedier I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, samt ved salg og kassation af anvendte datamedier skal der træffes fornødne foranstaltninger for at sikre, at personoplysningerne ikke hændeligt eller bevidst tilintetgøres, fortabes eller forringes eller, at personoplysningerne kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med Persondataloven Sikkerhedskopier 4.32 Databehandleren skal sikre, at systemer og personoplysninger sikkerhedskopieres regelmæssigt. Sikkerhedskopierne skal opbevares betryggende, og således at sikkerhedskopier ikke fortabes ved hændelser, der medfører tab af originale personoplysninger Databehandleren skal regelmæssigt kontrollere, at sikkerhedskopier er læsbare Opdateringer og ændringer 4.35 Databehandleren skal have formelle procedurer til sikring af, at opdateringer til operativsystemer, databaser, applikationer og anden software bliver vurderet og implementeret inden for rimelig tid Databehandleren skal have formelle procedurer for ændringshåndtering med henblik på at sikre, at enhver ændring er behørigt autoriseret, testet og godkendt inden implementering. Proceduren skal understøttes af en effektiv funktionsadskillelse eller ledelsesopfølgning med henblik på at sikre, at ingen enkeltpersoner kan implementere en ændring alene Driftsafbrydelser 4.38 Databehandleren skal have dokumenterede beredskabsprocedurer, der sikre genetablering af services inden for rimelig tid i tilfælde af driftsafbrydelser. Side 14 of 16

15 4.39 Bortskaffelse af udstyr 4.40 Databehandleren skal have formelle processer med henblik på at sikre, at der sker effektiv sletning af personoplysninger inden bortskaffelse af elektronisk udstyr i overensstemmelse med den Dataansvarliges krav Tilsyn 4.42 Databehandleren skal føre og dokumentere et tilsyn med Databehandlerens organisations overholdelse af lovkrav, politikker og procedurer. Dato: På vegne af den Dataansvarlige: Dato: På vegne af Databehandler: Side 15 of 16

16 UNDERBILAG 14.B UNDERDATABEHANDLER(E) Virksomhedens navn Adresse CVR-nr. Ansvarlig hos underdatabehandleren Kontaktperson hos underdatabehandleren [Indsæt beskrivelse af den databehandling, som underdatabehandleren deltager i] Side 16 of 16