Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren) Databehandler (herefter individuelt benævnt Part og samlet Parterne Om leverandørens behandling af personoplysninger på vegne af Kommunen i forbindelse med leverandørens levering [Udfyld med navn på delaftale]. Denne Aftale er indgået mellem Parterne som en del af et samlet aftaleforhold i forbindelse med Parternes kontrakt på [Udfyld med navn på delaftale] ( Kontrakten ). IDET (A) Leverandøren i forbindelse med sin udførelse af opgaver i medfør af Kontrakten. (B) De definitioner der er anført i Kontrakten finder anvendelse på denne Aftale. (C) Denne aftale udgør et bilag til Kontrakten. (D) Parterne er enige om, at denne Aftale kan ændres uden en samtidig ændring af Kontrakten. HAR PARTERNE DERFOR indgået følgende aftale: 1. De behandlede personoplysninger samt formål 1.1 Følgende aftale vedrørende behandling af de oplysninger, der indgår i aftalen om levering af [Udfyld med navn på delaftale].. Leverandøren må derfor alene behandle personoplysninger til formål, som er nødvendige for at opfylde Kontrakten.
2. Leverandørens forpligtelser 2.1 Leverandøren må alene behandle de af Kommunen leverede personoplysninger i overensstemmelse med Kommunens instrukser og er i øvrigt forpligtet til at overholde den til enhver tid gældende databeskyttelseslovgivning, herunder persondataloven mv. med tilhørende bekendtgørelser, herunder bekendtgørelse nr. 528 af 15. juni 2000 med senere ændringer (sikkerhedsbekendtgørelsen). 2.2 Leverandrøren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, herunder sådan yderligere foranstaltninger, som måtte være nødvendige, mod at de i punkt 1.1 anførte personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kenskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Leverandøren er således blandt andet forpligtet til at (ikke udtømmende) opsætte og vedligeholde en firewall og antivirussoftware sikre, at Leverandørens medarbejdere alene har adgang til personoplysningerne i det omfang, det er nødvendigt for udførelsen af arbejdet opbevare eventuelle datalagermedier på forsvarlig vis, således at disse ikke er tilgængelige for tredjemand sikre, at bygninger og systemer, der anvendes i forbindelse med databehandling, er sikre, samt at der alene anvendes hardware og software af høj kvalitet, som opdateres løbende sikre, at oplysninger lagret på desktop tilintetgøres i overensstemmelse med kravene til databeskyttelse efter nærmere instrukser fra Kommunen. sikre, at medarbejdere modtager passende uddannelse, fyldestgørende instruktioner i og retningslinjer for behandlingen af personoplysningerne. Leverandøren er forpligtet til at sikre, at de medarbejdere, som er involveret i behandlingen af personoplysningerne, er bekendte med sikkerhedskravene 2.3 Leverandøren sikrer, at medarbejderne, der får adgang til personoplysninger fra Kommunen har underskrevet en tavshedserklæring om, at de har tavshedspligt over for uvedkommende med hensyn til adgang til de personoplysninger, som Kommunen er dataansvarlig for. Tavshedspligten er gældende såvel under ansættelsen som efter ansættelsens ophør. Leverandøren skal levere en kopi af tavshedserklæringerne efter anmodning fra Kommunen. 2.4 Databehandlerens medarbejdere må alene have adgang til data og/eller udføre jobs i det omfang, det er nødvendigt for udførelsen af arbejdet. Data må ikke lagres lokalt på medarbejderens udstyr. 2
2.5 Hvis Leverandøren behandler persondata i et andet EU/ØS medlemsland, skal Leverandøren følge lovgivningen om sikkerhedsforanstaltninger i det pågældende medlemsland. 2.6 Hvis andre myndigheder fremlæsser en kendelse om afgang til Kommunens personoplysninger overfor Leverandøren, skal Leverandøren gøre indsigelse mod kendelsen og oplyse Kommunen herom. 2.7 Hvis Leverandøren selv lagrer oplysninger, skal der leveres en oversigt over datacentre og backup centre med præcis adresseangivelse af, hvor Kommunens data behandles. Der sendes en ny oversigt til Kommunen ved ændringer. Der kan ikke uden forudgående aftale med Kommunen overføres og registreres data i et andet land. 2.8 Leverandøren er forpligtet til straks at give Kommunen meddelelse om driftsforstyrrelser, mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Meddelelse skal gives i medfør af Kontraktens bestemmelse herom. 2.9 Kommunen fører tilsyn med, at Leverandøren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. Dette kan enten ske ved et besøg hos Leverandøren, eller ved at Kommunen anmoder om at modtage en kopi af Leverandørens seneste revisionserklæring vedrørende IT-sikkerhed og behandling af personoplysninger, som er udført af en IT-revisor og i overensstemmelse med gældende branchestandarder på området. Omkostningerne forbundet med udarbejdelse af revisionserklæringen afholdes af Leverandøren. Hvis der opstår tvivl om Leverandørens overholdelse af sikkerhedskravene i forbindelse med behandling af personoplysninger, kan Kommunen (fx ved en revisor) gennemføre et tilsyn hos Leverandøren. Dette vil i givet fald ske for Leverandørens regning. Hvis Leverandøren tilgår Kommunens IT-systemer, er kommunen berettiget til at udføre login kontrol samt at tage stikprøver af søgninger i og anvendelse af systemet. 2.10 Kommunen er også berettiget til at fortage tilsyn hos eventuelle underdatabehandlere samt at anmode om deres revisionserklæringer vedrørende ITsikkerhed. 2.11 Leverandøren skal på Kommunens anmodning give Kommunen tilstrækkelige oplysninger til, at denne kan påse, at Leverandøren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. 2.12 Såfremt Leverandøren eller en anden databehandler, som har modtaget oplysninger, modtager en anmodning om adgang til registrerede personoplysninger fra en registreret eller denne agent, skal Leverandøren straks sende en sådan anmodning til Kommunen med henblik på Kommunens videre behandling. 3
3. Overførsel af oplysninger til andre databehandlere eller tredjeparter 3.1 Leverandøren er alene forpligtet til at overføre, overlade eller videregive de i punkt 1.1 angivne personoplysninger til andre databehandlere (herunder underdatabehandlere) eller tredjeparter, på baggrund af Kommunens skriftlige samtykke, medmindre overførslen, overladning eller videregivelsen følger af lovgivningen. 3.2 Hvis Leverandøren anvender underdatabehandlere (jf. Kontraktens bestemmelse om Underleverandører), er det Leverandørens ansvar, at underdatabehandleren efterlever kravene i nærværende databehandleraftale, idet Aftalen også gælder for disse. Leverandøren skal informere Kommunen om evt. underdatabehandlere og sikre, at underdatabehandlernes medarbejdere har underskrevet en tavshedserklæring. Efter anmodning fra Kommunen skal Leverandøren levere en kopi af underdatabehandleraftalen samt tavshedserklæringer. 4. Øvrige forhold 4.1 Leverandøren skal informere de medarbejdere, som behandler personoplysninger på Kommunens vegne, om, at der sker logning af alle former for behandling af fortrolige oplysninger samt registrering af afviste adgangsforsøg. Medarbejderne skal endvidere informeres om, at der fortages kontrol af alle anvendelser af systemer med fortrolige oplysninger. Loggen gemmes i 6 måneder, hvorefter den slettes. 5. Ændring 5.1 I tilfælde af ændringer af den danske databeskyttelseslovgivning er Kommunen berettiget til at ændre de i denne Aftale indeholdte instrukser med 2 ugers skriftligt varsel ved fremsendelse af nye skriftlige instrukser til Leverandøren, dog således at Leverandøren til enhver tid skal overholde gældende persondatalovgivning. 6. Misligholdelse 6.1 Leverandøren skal skadesløsholde Kommunen for enhver form for sagsanlæg, krav, omkostninger (herunder sædvanlige udgifter til advokatbistand), tab, ansvar, udgifter eller skader, som følge af misligholdelse af denne Aftale. 6.2 Overtrædelse af databehandleraftalen betragtes som væsentlig misligholdelse af Kontrakten. 4
7. Ikrafttrædelse og ophør 7.1 Aftalen træder i kraft samme dag som Kontrakten eller på det tidligere tidspunkt hvor Leverandøren måtte modtage personoplysninger. 7.2 I tilfælde af ophør af Kontrakten uanset årsag skal denne Aftale også ophøre. Databehandleren er dog forpligtet af denne Aftale, så længe denne behandler personoplysninger på vegne af den Dataansvarlige. 7.3 I tilfælde af Aftalens ophør er den Dataansvarlige berettiget til at forlange, at personoplysningerne senest 2 måneder efter aftalens ophør tilbageleveres på et af den Dataansvarlige valgt medie eller slettes. Databehandleren er således i denne forbindelse forpligtet til at slette data således, at der ikke er muligt at genskabe disse i databehandlerens IT-systemer. 7.4 Hvis der efter Aftalens ophør opstår tvivl om, om Leverandøren har slettet alle de personoplysninger, som Leverandøren har fået overført fra Kommunen, kan Kommunen anmode om, at Leverandøren for egen regning indhenter en revisorerklæring om, at oplysningerne ikke længere forefindes hos Leverandøren/er slettet fra Leverandøres IT-systemer. 8. Lovvalg og værneting 8.1 Denne Aftale reguleres af dansk ret som angivet i Kontrakten. 8.2 Ethvert krav og enhver tvist, der udspringer af eller på anden måde er forbundet med denne Aftale, skal afgøres som anført i Kontrakten. 9. Underskrifter 9.1 Denne Aftale er underskrevet i to enslydende, originale eksemplarer, hvoraf hver Part modtager et eksemplar. [Sted og dato] [Sted og dato] Norddjurs Kommune Leverandør 5