Vejledning til den fællesregionale skabelon Databehandleraftale

Relaterede dokumenter
Vejledning til skabelonen Databehandleraftale_feb2015

DATABEHANDLERAFTALE. Journalnummer.: Vedrørende Vaskeriydelse

BILAG 5 DATABEHANDLERAFTALE

DATABEHANDLERAFTALE. Journalnummer.: X-X-XX-XX-XX. Vedrørende projektnavn/titel/system/beskrivelse

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Databehandleraftale. om [Indsæt navn på aftale]

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Underbilag 14A DATABEHANDLERAFTALE

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

Kontraktbilag 7: Databehandleraftale

EU-udbud af WAN infrastruktur. Bilag 11 - Databehandleraftale

Driftskontrakt. Databehandleraftale. Bilag 14

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE Version 1.1a

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

BILAG 14: DATABEHANDLERAFTALE

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Underbilag 14A.7 DATABEHANDLERAFTALE

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Kontraktbilag 16 - Databehandleraftale

Tønder Kommune BILAG 10

DATABEHANDLERAFTALE. ("Aftalen") om Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige.

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

Kontraktbilag 3. Databehandleraftale

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Kontraktbilag 16 - Databehandleraftale

Bilag A Databehandleraftale pr

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Forsvarsministeriets Materiel- og Indkøbsstyrelse

DATABEHANDLERAFTALE. indgået mellem. Navn: CVR-nr.: Adresse: Postnr. og by: (den Dataansvarlige ) og

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale

Bilag B Databehandleraftale pr

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 2.0 af 30. maj 2018

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Aftale omkring behandling af persondata.

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

DATABEHANDLERAFTALE [LEVERANDØR]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS

DATABEHANDLERAFTALE. Mellem KUNDEN ADRESSE POSTNR. BY CVR. nr.: (herefter Kunden DATAANSVARLIG)

Databehandleraftale ISS

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Databehandlingsvilkår - vilkår for behandling af personoplysninger på vegne af en dataansvarlig kunde

DATABEHANDLERAFTALE

Anmeldelse af behandling af data

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

origo Databehandleraftale

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

Databehandleraftale e-studio.dk Side 1 af 6

Dato: 6. oktober 2011 Side 1 af 7. Fælles Databehandlerinstruks -

Tjekliste til databehandleraftaler

2. Leverandøren er som databehandler forpligtet til følgende:

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

! Databehandleraftale

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

Vilkår for brug af systemer

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]

Bilag 9 Databehandleraftale

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata

SKABELON FOR DATABEHANDLERAFTALER MELLEM KUNDER EG - af [Indsæt dato]

Databehandlervilkår. 1: Baggrund, formål og definitioner

3 Omfattede typer af personoplysninger og kategorier af registrerede

DATABEHANDLERAFTALE. Mellem. Kommune: Adresse: Postnr./by: CVR. nr.: (herefter Kommunen )

Standardvilkår. Databehandleraftale

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

MATEMATIK Tidsskrift og forlag

DATABEHANDLER AFTALE ADWISE MEDIA APS

BILAG G DATABEHANDLERAFTALE. mellem. Aalborg Havn Logistik A/S XXX A/S

1.1. Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Databehandleraftale. Version A. Imellem: Dataansvarlig: Den kunde der har købt/erhvervet retten til at anvende app s fra itn vision aps

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

BILAG 1 DATABEHANDLERAFTALE Rambøll som databehandler

(den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Transkript:

Vejledning til den fællesregionale skabelon Databehandleraftale Den fællesregionale skabelon Databehandleraftale er opbygget på den måde, at man skriver egen tekst i stedet for den eksisterende, hvor denne er markeret med gråt. Man skal med andre ord slette den eksisterende tekst i de felter, der skal udfyldes. I databehandleraftalen skal følgende felter udfyldes: forside, punkt 2 og 18 samt eventuelt punkt 15. Endvidere skal der aktivt tages stilling til pkt. 6, jf. pkt. 15. Den person, som på regionens vegne skal udfylde en databehandleraftale, må ikke ændre i ordlyden i punkterne 1, 3-14. Hvis det er nødvendigt at supplere standardformuleringerne i disse punkter, skal dette beskrives i pkt. 15, inden den redigerede databehandleraftale underskrives. Den godkendende instans for hver region har mulighed for at tilpasse punkt 13 og 16 i henhold til interne retningslinjer. Såfremt der anføres ændringer under punkt 15, skal disse godkendes af den Dataansvarlige inden underskrivelse af hhv. Databehandleren og Projekt/System/Opgave ansvarlige. Medmindre andet er anført, antages det, at personoplysningerne opbevares hos Databehandleren. Såfremt dette ikke gør sig gældende, skal det anføres i pkt. 15. Databehandlingen må alene finde sted, så længe der foreligger et gyldigt aftalegrundlag. Det forudsættes endvidere, at hjemmelsgrundlaget er afklaret, inden databehandlingen iværksættes. Databehandlingen kan igangsættes, når begge parter har underskrevet databehandleraftalen, og ophører i henhold til hovedaftalen eller projektanmeldelsen. Side 1/ 8

0. Forsiden (præamblen) Journalnummer Journalnummeret er en entydig identifikation af sagen, som udfyldes af den Dataansvarlige. Den enkelte region har mulighed for at tilpasse dette punkt i henhold til interne procedurer. Projektnavn/titel/system/beskrivelse Projektnavn/titel/system/beskrivelse navn/titel indsættes, dette skal være i overensstemmelse med navn/titel på det øvrige kontraktgrundlag. Det bemærkes, at der i dette punkt ikke skal anføres en beskrivelse af projektet. Beskrivelse skal i denne sammenhæng opfattes som en titel på en opgave, fx ved indgåelse af aftaler omkring konsulentopgaver. Det er meget vigtigt, at henvisningen sker på en entydig måde. Brug derfor ordret den samme titel som projektnavn/titel/system/beskrivelse selv anvender. Navn, e-mail Navn og e-mail skal henvise til den Projekt/System/Opgave ansvarlige, der har udfyldt databehandleraftalen. Afdeling Navnet på den afdeling eller delorganisation i regionen, som den Projekt/System/Opgave ansvarlige er tilknyttet. Firmanavn, adresse, CVR-nummer m.v. Oplysninger om databehandleren. Ud fra disse oplysninger skal det være muligt at identificere databehandleren entydigt. Ved eksterne leverandører skal der angives et CVR-nummer se evt. www.cvr.dk, hvis der er tale om et dansk selskab. Databehandlers underafdeling og/eller kontaktperson skal angives. Firmanavn kan i denne sammenhæng også være myndigheder m.fl. Såfremt der ikke er tale om et firma/myndighed indsættes kontaktoplysninger på den pågældende databehandler. Aftale af xx. xx. 201x om leverance af I forbindelse med kontraktindgåelse skal der henvises til den kontrakt (Hovedaftalen), der regulerer regionens projekt/system/opgave. Databehandleraftalen indgår som et bilag til hovedaftalen. Dette er med til at tydeliggøre samhørigheden mellem de to dokumenter. I forbindelse med samarbejdsaftaler, herunder forskningsprojekter, angives navn/titel samt journalnummer på Projekt/System/Opgave. Den enkelte region har mulighed for at tilpasse dette punkt i henhold til interne procedurer. Hvor data fysisk behandles/opbevares Adressen på den fysiske placering af data/servere indsættes. For at regionen skal kunne kontrollere Databehandlers aktiviteter (evt. ved en senere audit), er det nødvendigt at angive, hvor data fysisk opbevares. Side 2/ 8

1. Databehandlerens ansvar Databehandleren skal handle i overensstemmelse med de bilag, der fremgår af punkt 16, eksempelvis Databehandlerinstruks, den Fællesregionale Informationssikkerhedspolitik, eller evt. regionens Informationssikkerhedspolitik. Databehandleren handler udelukkende på vegne af den Dataansvarlige, og kan således ikke selv tage beslutninger, der vedrører de personoplysninger, som den Dataansvarlige, efter dennes instruks, har overladt til Databehandleren. Dette betyder f.eks., at en Databehandler ikke uden forudgående accept fra den Dataansvarlige må slette, videregive eller overlade personoplysninger til en tredjemand. 2. Databehandlerens opgave I dette felt skal databehandlerens opgave kort beskrives. Der essentielt, at man er deltaljeret i beskrivelsen af databehandlerens opgave. Beskrivelsen skal som minimum indeholde følgende fem punkter: a) Formålet med databehandlingen b) Databehandlerens opgave er at hoste/supportere/drifte systemet etc. - klar beskrivelse og afgrænsning af den databehandling, der skal leveres. c) Databehandlingen vil omfatte følgende kategorier af registrerede personer d) Databehandlingen vil omfatte følgende kategorier af personoplysninger e) Uddybning af instruks til Databehandler evt. henvisning til hovedaftalen. Ad. a: Regionen og dennes databehandlere må udelukkende behandle personoplysninger i overensstemmelse med det formål, de er indsamlet til. Derfor skal det beskrives, hvordan og med hvad Databehandleren bidrager til dette formål. Ad. b: Kort beskrivelse af hvilken type behandling Databehandleren udfører for den Dataansvarlige. For forskningsprojekter kan opgaven f.eks. være analyse, udredning, statistik m.fl. Begrebet behandling omfatter enhver form for håndtering af personoplysninger; eksempelvis indsamling, registrering, systematisering, sammenstilling/samkøring, opbevaring og sletning. Ad. c: Med kategorier af registrerede personer menes en generel beskrivelse af de personer, man har indsamlet personoplysninger om I forbindelse med forskningsprojekter vil der eksempelvis kunne stå, at deltagerne er personer mellem 60-70 år, at de frivilligt har valgt at udfylde spørgeskema, at de er udvalgt på baggrund af en bestemt diagnosekode. I forbindelse med patientbehandling vil kategorier af registrerede personer eksempelvis kunne være: psykiatriske patienter, patienter med medfødte hjertefejl. Endvidere skal der være en geografisk afgrænsning eksempelvis at det er personer, der er i behandling på en given hospitalsafdeling, personer fra en given region, personer fra Danmark. Ad. d: Når der tales om kategorier af personoplysninger, tænkes der på de kategorier, som persondataloven beskriver. Det vil sige følgende: a. racemæssig eller etnisk baggrund, b. politisk, religiøs eller filosofisk overbevisning, c. fagforeningsmæssige tilhørsforhold d. helbredsmæssige og seksuelle forhold e. strafbare forhold f. væsentlige sociale problemer Side 3/ 8

g. andre rent private forhold (f.eks. ulykkestilfælde med væsentlige personlige eller sociale konsekvenser, selvmord og forsøg derpå, familiestridigheder, separations- og skilsmissebegæringer, adoptionsforhold, oplysninger om en medarbejders positive alkohol- eller narkotikatest samt om afvisning, hjemsendelse eller bortvisning fra en arbejdsplads). h. CPR-numre, og i. almindelige personoplysninger (der ikke er omfattet af pkt. a.-h.) Oplysningerne under punkt 2 skal være så specifikke, at det er muligt at behandle de relevante personoplysninger i overensstemmelse med Databehandlerinstruksen. Det er således ikke tilstrækkeligt at skrive f.eks. helbredsoplysninger eller personoplysninger. Ad. e: Afhængig af type og omfang af Databehandlers opgaver for Dataansvarlige, skal Databehandlers konkrete opgaver enten tilføjes i instruksen til databehandleraftalen eller indsættes i databehandleraftalen. Såfremt det indsættes i databehandleraftalen, skal dette ske i punkt 2 eller punkt 15. Et eksempel på en beskrivelse af Databehandlers opgave kunne være følgende: Formålet med projektet er statistisk at undersøge sammenhængen mellem anvendelsen af lægemiddel X og patienternes oplevelse af behandlingsforløbet på afdeling Y. I denne forbindelse bidrager konsulentvirksomhed Z med vikarer (som beskrevet i kontrakten), der skal hjælpe med at inddatere og kategorisere de indkomne besvarelser, som respondenterne har indleveret via spørgeskemaerne. Undersøgelsen omfatter alle patienter, der har været indlagt på afdeling Y og som frivilligt har valgt at deltage. Der vil i forbindelse med undersøgelsen blive behandlet CPR-numre, xxx helbredsoplysninger og almindelige personoplysninger, såsom alder og køn. Databehandleren har alene adgang til serverne fra computere, som regionen stiller til rådighed på adressen. 3. Tekniske og organisatoriske sikkerhedsforanstaltninger Som Databehandler for en offentlig myndighed skal Sikkerhedsbekendtgørelsen 1 overholdes. En uddybning af hvordan Databehandleren skal træffe de nødvendige tekniske og organisatoriske foranstaltninger, således det sikres, at oplysningerne ikke hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven, kan findes i instruksen til databehandleraftalen. Henvisningen til principperne og anbefalingerne i ISO 27001, skal ses i sammenhæng med eksempelvis Databehandlerinstruksen. Ved en eventuel misligholdelse kan ISO 27001 anvendes som fortolkningsbidrag til det samlede aftalegrundlag. 4. Databehandlers brug af Underdatabehandler Det er den Dataansvarliges ansvar, at personoplysningerne bliver opbevaret og behandlet i overensstemmelse med gældende regulering på området. Dette ansvar gælder også, når den Dataansvarlige overlader behandlingen til eksterne parter, hvilket både omfatter Databehandleren og dennes underdatabehandlere. I udgangspunktet er det den Dataansvarliges ansvar at indgå databehandleraftaler med såvel Databehandler som 1 BEK nr. 528 af 15/06/2000: Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning Side 4/ 8

dennes underdatabehandlere. Den Dataansvarlige kan bemyndige Databehandleren til at indgå de nødvendige databehandleraftaler. For at sikre, at Databehandlerens underdatabehandler også efterlever den regulering, som gælder for den Dataansvarlige, har den Dataansvarlige behov for at kunne kontrollere hvilke oplysninger og processer, som Databehandleren overlader til underdatabehandler. Databehandlere uden for EU/EØS: Hvis Databehandleren anvender underdatabehandlere, som befinder sig i et tredjeland, der iht. EU-kommissionen, ikke yder et tilstrækkeligt sikkerhedsniveau skal både den Dataansvarlige og Databehandleren være særligt opmærksomme på, at kravene til lovlig behandling af personoplysninger efterleves, jf. persondatalovens 27, stk. 3 og 4. Dette sikres ved, at Databehandleren indgår en kontrakt med underdatabehandleren. Denne kontrakt kan eksempelvis basere sig på Kommissionens standardkontrakter. Ved spørgsmål kontakt Juridisk Enhed/Informationssikkerhed 5. Ad hoc arbejdspladser Som anført ovenfor er både Databehandler og dennes underdatabehandler omfattet af en række love og bekendtgørelser i forbindelse med databehandlingen, herunder sikkerhedsbekendtgørelsen. Idet sikkerhedsbekendtgørelsen, som nævnt, stiller en række krav til kryptering, autorisation, logning m.v., skal Databehandleren ved brug af ad hoc arbejdspladser beskrive i punkt 15, hvorledes anvendelsen af hjemmearbejdspladser el.lign. teknisk er sat op. Der henvises i øvrigt til Databehandlerinstruksen. 6. Tilsynsmyndigheder, audits og revisionserklæringer For at sikre, at Databehandleren også handler inden for lovens rammer og i overensstemmelse med Databehandlerinstruksen, er det nødvendigt for den Dataansvarlige at kunne udføre kontroller (audits) hos Databehandler. Databehandler skal samarbejde med den Dataansvarlige i forbindelse med audits, uanset om sådanne audits sker efter den Dataansvarliges eget initiativ eller efter en henvendelse fra en tilsynsmyndighed (Datatilsynet). Konkret stillingtagen til kontrolforanstaltningerne indsættes i pkt. 15. 7. Underretningspligt og assistance For at den Dataansvarlige kan dokumentere eventuelle sikkerhedsbrud, har Databehandleren pligt til skriftligt at meddele den Dataansvarlige om sådanne. Dette skyldes, at den Dataansvarlige stadig er ansvarlig for behandlingen af personoplysningerne, selv om dette sker ved databehandleren eller dennes underdatabehandlere. Den Dataansvarlige er derfor nødt til at blive informeret ved sikkerhedsbrud, således at man kan undersøge omstændighederne ved disse og forhindre dem fremadrettet. 8. Aftalens ikrafttræden og varighed Databehandleraftalen træder i kraft samtidig med indgåelsen af Hovedaftalen eller tidligst på tidspunktet for godkendelse af et forskningsprojekt. Databehandleraftalen ophører, når al behandling af personoplysninger i henhold til Hovedaftalen er ophørt, og Databehandleren har slettet personoplysningerne eller leveret personoplysningerne tilbage til den Dataansvarlige. Side 5/ 8

9. Håndtering af personoplysninger efter aftalens ophør Personoplysninger eller andre fortrolige dokumenter må udelukkende opbevares, så længe der er et udtrykkeligt angivet og sagligt formål med opbevaringen og behandlingen af oplysningerne. I punktet beskrives, hvorledes personoplysninger skal slettes ved aftalens ophør. Såfremt virksomheden går konkurs, er det vigtigt for regionen at få personoplysninger tilbageført således, at man kan behandle dem selv eller overlade dem til en ny databehandler. 10. Tavshedspligt og fortrolighed Idet Databehandler er omfattet af den samme regulering som den Dataansvarlige og handler på dennes vegne, skal Databehandlers ansatte iagttage de samme tavshedspligtregler som den Dataansvarliges ansatte. 11. Overdragelse Det er ikke tilladt for Databehandler at overdrage rettigheder og forpligtelser i henhold til denne databehandleraftale til tredjepart uden den Dataansvarliges forudgående samtykke. 12. Misligholdelse Det anses som en væsentlig misligholdelse, såfremt Databehandler ikke overholder de krav, der er oplistet i pkt. 12. I tilfælde af uoverensstemmelse mellem Hovedaftalen og databehandleraftalen omkring misligholdelsesbeføjelser, skal dette beskrives i pkt. 15. Ved en misligholdelse kan det være muligt for den Dataansvarlige at hæve/opsige hele kontrakten og/eller kræve erstatning af leverandøren/databehandleren. Databehandleren er forpligtet til at kontakte den Dataansvarlige i tilfælde af, at denne eller dennes underdatabehandlere ikke efterlever aftalens ordlyd, jf. pkt. 7. 13. Lovvalg og værneting Som udgangspunkt skal punktet stemme overens med Hovedaftalens indhold. Såfremt der ikke findes en hovedaftale, eksempelvis i forbindelse med et forskningsprojekt, kan der tages kontakt til ouh.pd@rsyd.dk, hvis der er behov for vejledning i forhold til valg af konfliktløsningsmuligheder. Det er den projektansvarlige i samarbejde med databehandleren, som beslutter, hvilke konfliktløsningsmuligheder som skal gælde. Der må gerne anføres flere muligheder, men forhandling er obligatorisk. Fravigelser fra udgangspunktet skal herefter beskrives i punkt 15. 14. Genforhandling Dataansvarlig forbeholder sig retten til at genforhandle databehandleraftalen fx i tilfælde af ændret lovgivning mv.. 15. Ændringer til punkterne 2-11 og 13-14 Hvis det er tvingende nødvendigt at ændre punkterne 2-11 eller 13-14, skal ændringerne beskrives her. Det vil i disse tilfælde være formuleringerne i pkt. 15, der regulerer aftaleforholdet mellem den Dataansvarlige og Databehandleren. Side 6/ 8

Med punkt 15 anerkender regionen, at der kan være individuelle forhold, der medfører behov for en særlig bestemmelse i databehandleraftalen. Dette kunne eksempelvis være en bestemmelse om revisionserklæringer, eller at der typisk ikke ifaldes bod ved forskningsprojekter. 16. Bilag Relevante bilag vedlægges aftalen. Dette kan bl.a. være: 1. Databehandlerinstruks, version 1.0 2. Den Fællesregionale Informationssikkerhedspolitik eller regionens egen Informationssikkerhedspolitik. 3. Evt. andre relevante bilag Ad 1. Databehandlerinstruksen opsummerer de krav, som regionerne opstiller for databehandlere. Der er tale om mere tekniske krav end de beskrivelser, der fremgår af selve databehandleraftalen. Kravene tager udgangspunkt i sikkerhedsbekendtgørelsen og vejledningen til denne. Dette gælder eksempelvis kravene om kontrol af afviste adgangsforsøg og logning. Databehandlerinstruksen skal også udfyldes. Punkt 2 i instruksen er en kort gengivelse af punkt 2 i selve databehandleraftalen. Det er alene den projektansvarlige og databehandleren, som underskriver instruksen. Ad 2. Informationssikkerhedspolitikken er den overordnede ramme for informationssikkerhed i regionerne. Dokumentet har ikke til formål at regulere aftaleforhold direkte. Den Fællesregionale Informationssikkerhedspolitik skal anvendes i tilfælde af, at flere regioner indgår en fælles kontrakt med en leverandør. Hvis der tale om en databehandleraftale mellem én region og en leverandør, er det valgfrit om regionen ønsker at anvende den Fællesregionale Informationssikkerhedspolitik eller egen Informationssikkerhedspolitik. Ad. 3. Eksempelvis fortrolighedserklæringer. 17. Øvrige henvisninger Dette punkt henviser til en række offentligt tilgængelige dokumenter, der ikke udgør en bindende del af aftaleforholdet. Der er dog tale om lovgivning, bekendtgørelser, vejledninger eller standard, der alle har relevans i forhold til den Dataansvarliges og Databehandlers pligter og rettigheder. 18. Underskrifter Databehandleraftalen underskrives af den projektansvarlige, databehandler samt regionens godkendende instans. Side 7/ 8

Side 8/ 8

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback