Databehandleraftale mellem [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) og Hedensted Kommune Horsens Kommune Odder Kommune Niels Espes Vej 8 Rådhustorvet 4 Rådhusgade 3 8722 Hedensted 8700 Horsens 8300 Odder (herefter kaldet Dataansvarlig)
Det er jf. prisaftalen til brug for beregning af bevillingsgrundlag ved bevilling af urologihjælpemidler aftalt, at [Virksomhed indsættes her] skal levere urologihjælpemidler til Hedensted, Horsens og Odder Kommuners borgere i henhold til Servicelovens 112. Indledning I forbindelse med ovennævnte prisaftale behandler Databehandleren personoplysninger på den Dataansvarliges vegne (behandlingen omfatter også den behandling af personoplysninger, som sker i det elektroniske bestillings- eller bevillingssystem hos Databehandleren). På baggrund heraf indgås denne databehandleraftale mellem Hedensted, Horsens og Odder Kommuner som dataansvarlige og [Virksomhed indsættes her] som databehandler for den dataansvarlige, idet der jf. Persondatalovens 42, stk. 2, skal indgås en skriftlig aftale, når Hedensted, Horsens og Odder Kommuner som dataansvarlige overlader en behandling af personoplysninger til en databehandler. Der aftales herved følgende: 1. Efter instruks Databehandleren må alene handle efter instruks fra Dataansvarlig, hvad angår udførelse af opgaver i forbindelse med varetagelsen af prisaftalen. Oplysninger må ikke videregives til tredjepart eller behandles til andre formål, medmindre dette sker efter aftale med Dataansvarlig. Databehandleren behandler følgende oplysninger på vegne af den Dataansvarlige: [Borgers CPR-nummer Borgers fulde navn Borgers adresse Borgers bevilgede produkt(er) Oplysninger om borgerens lidelse(r)] Den Dataansvarlige er berettiget til at slette og/eller tilføje yderligere oplysningstyper til ovenstående liste ved fremsendelse af en ny liste over oplysninger til Databehandleren. 2. Databeskyttelseslovgivning Databehandleren skal til enhver tid overholde gældende persondatalovgivning, herunder sikkerhedsbekendtgørelse nr. 528 af 15. juni 2000 og de sikkerhedsregler, der følger af sikkerhedsbekendtgørelsen. 2.1 Databehandleren sikrer herunder, at der er truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes. Ligeledes mod, Side 2 af 6
at oplysningerne kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondataloven. 2.2 Databehandleren skal levere en oversigt over datacentre og backup centre med præcis adresseangivelse af, hvor den Dataansvarliges data behandles. Der sendes en ny oversigt til den Dataansvarlige ved ændringer. Der kan ikke uden forudgående aftale med den Dataansvarlige overføres og registreres data i et andet land. 2.3 Databehandleren er forpligtet til straks at give den Dataansvarlige meddelelse om driftsforstyrrelser, mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. 3. Adgang til data 3.1 Databehandlerens medarbejdere må alene have adgang til data og/eller udføre jobs i det omfang, det er nødvendigt for udførelsen af arbejdet. 3.2 Databehandleren garanterer, at nødvendig kopiering og backup af data sker under fuldt betryggende forhold. 3.3 Databehandleren skal sikre, at der helt eller delvist ikke sker databehandling fra ad hoc arbejdspladser (fjernarbejdspladser eller hjemmearbejdspladser). 3.4 Hvis Databehandleren eller dennes medarbejdere har behov for i særlige tilfælde, at foretage databehandling fra ad hoc arbejdspladser (fjernarbejdspladser eller hjemmearbejdspladser) skal dette godkendes af den Dataansvarlige. Ved anvendelse af fjernarbejdspladser eller hjemmearbejdspladser, skal Databehandleren særligt sikre følgende: Såfremt det er nødvendigt, at hjemme-pc'en ikke bare anvendes som terminal mod det centrale system, men også til lagring af oplysninger fra det centrale system, skal oplysningerne krypteres. Såfremt det er nødvendigt, at der skal udskrives oplysninger fra hjemme-pc'en, skal der fastsættes regler og gives instruktion vedrørende opbevaring og tilintetgørelse af udskrifter, så oplysningerne ikke kommer uvedkommende til kendskab. Såfremt Databehandleren tillader anden anvendelse af hjemme-pc'en, f.eks. til privat brug og/eller af andre end den ansatte, skal der fastsættes retningslinjer for denne anvendelse og etableres de nødvendige sikkerhedsforanstaltninger i forbindelse dermed, herunder passwordbeskyttelse. Side 3 af 6
Såfremt etablering af forbindelse fra hjemmearbejdspladsen til det centrale system sker ved anvendelse af opkaldsforbindelse (analog telefonforbindelse, ISDN, mobiltelefon etc.), skal der i denne forbindelse træffes foranstaltninger mod, at uvedkommende kan foretage opkald til det centrale system og i det hele taget gribe ind i kommunikationen. Som eksempler på sådanne foranstaltninger kan nævnes tilbagekald, passwordbeskyttelse og lukkede brugergrupper. Endvidere kan anvendes særlige tidsrum, hvor hjemmearbejdspladsen ikke kan anvendes, og etablering af en særlig logning af dens anvendelse. Databehandleren skal endvidere være opmærksom på den fysiske sikring i hjemmemiljøet, herunder mod tyveri, hærværk og uvedkommendes adgang. Der skal løbende ske en ajourføring af de særlige retningslinjer vedrørende hjemmearbejdspladser for at sikre, at bestemmelserne om sikkerhedsforanstaltninger iagttages. 4. Tavshedspligt Databehandleren forpligter sig over for uvedkommende til at hemmeligholde alle oplysninger modtaget fra og om den Dataansvarlige, som Databehandleren får kendskab til i forbindelse med udførelsen af arbejdet for den Dataansvarlige. 4.1 Databehandleren sikrer, at medarbejdere, der får adgang til oplysninger fra den Dataansvarlige har underskrevet en tavshedserklæring om, at de har tavshedspligt over for uvedkommende med hensyn til deres adgang til kunders data. Tavshedspligten er gældende såvel under ansættelsen som efter ansættelsens ophør. 4.2 Databehandleren skal levere en kopi af disse erklæringer efter anmodning fra den Dataansvarlige. 5. Underdatabehandlere (underleverandører) 5.1 Hvis Databehandleren anvender underdatabehandlere (f.eks. underleverandører) så skal disse også underskrive en databehandleraftale. Databehandleren skal derfor informere den Dataansvarlige om eventuelle underdatabehandlere samt sikre, at også deres underdatabehandleres medarbejdere har underskrevet en tavshedserklæring. 6 Tilsyn 6.1 Den Dataansvarlige fører tilsyn med, at Databehandleren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. Dette kan enten ske ved et besøg hos Databehandleren, eller ved at den Datasvarlige anmoder om at modtage en kopi af Databehandlerens seneste årsrapport, som er udført af en ITrevisor og i overensstemmelse med gældende branchestandarder på området. Omkostningerne forbundet med udarbejdelsen af revisorerklæringen er den Dataansvarlige uvedkommende. Side 4 af 6
Hvis der opstår tvivl om Databehandlerens overholdelse af sikkerhedskravene i forbindelse med behandling af personoplysninger, kan den Dataansvarlige lade en uvildig tredjepart (f.eks. revisor) gennemføre et tilsyn hos Databehandleren. Dette vil i givet fald ske for Databehandlerens regning. 6.2 Den Dataansvarlige er også berettiget til at foretage tilsyn hos eventuelle underdatabehandlere samt at anmode om udlevering af deres årsrapporter vedrørende IT-revision. 6.3 Den Dataansvarlige er til enhver tid berettiget til at gennemføre yderligere kontrolforanstaltninger hos både Databehandleren og eventuelle underdatabehandlere. 6.4 Databehandleren skal på den Dataansvarliges anmodning, give den Dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at de krævede tekniske og organisatoriske sikkerhedsforanstaltninger er truffet. 7. Øvrige forhold 7.1 Databehandleren skal endvidere informere de pågældende medarbejdere om, at der sker registrering (logning) af alle anvendelser af fortrolige personoplysninger samt registrering af afviste adgangsforsøg. De pågældende medarbejdere skal herunder gøres bekendt med, at der foretages kontrol med alle anvendelser af systemer med fortrolige personoplysninger. Loggen gemmes i 6 måneder, hvorefter den slettes. 7.2 I tilfælde af uoverensstemmelser mellem prisaftalen og nærværende databehandleraftale, går databehandleraftalen forud. 8. Overtrædelse af databehandleraftalen Parternes erstatningspligt reguleres efter dansk rets almindelige regler. 8.1 Databehandleren skal med det samme gøre den Dataansvarlige opmærksom på eventuelle sikkerhedsbrister, såfremt sådanne opstår. 9. Databehandleraftalens ophør Aftalen kan genforhandles, hvis der sker ændring af det i punkt 2 Databeskyttelseslovgivning anførte juridiske grundlag for nærværende aftale. 9.1 Databehandleraftalen træder ud af funktion, senest tre måneder efter af prisaftalen til brug for beregning af bevillingsgrundlag ved bevilling af urologihjælpemidler er ophørt. Side 5 af 6
Ved ophør af prisaftalen skal data leveres tilbage til den Dataansvarlige, og slettes, så det ikke er muligt at genskabe dem i Databehandlerens IT-systemer. 9.2 Hvis der efter prisaftalens ophør opstår tvivl om, om Databehandleren har slettet alle de personoplysninger, som Databehandleren har fået overført fra den Dataansvarlige, kan den Dataansvarlige anmode om, at Databehandleren indhenter en revisorerklæring om, at oplysningerne er slettet fra Databehandlerens IT-systemer. 9.3 Tavshedspligten for Databehandleren og eventuelle underdatabehandlere og deres medarbejdere ophører ikke, selv om databehandleraftalen træder ud af kraft. 9.4 Databehandleren må kun behandle personoplysninger, som den Dataansvarlige er ansvarlig for, så længe det er nødvendigt for udførelse af den aftalte opgave. 10. Underskrift Databehandleraftalen underskrives i to eksemplarer, hvoraf hver part modtager et eksemplar. For Databehandleren: Sted: Dato: For Dataansvarlig: Sted: Dato: Navn: Navn: Underskrift Underskrift Side 6 af 6