Tjekliste til databehandleraftaler

Relaterede dokumenter
Vejledning og tjekliste til indgåelse af databehandleraftaler

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Databehandleraftale. (De Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under ét Parterne )

(den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Behandling af personoplysninger

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

DATABEHANDLERAFTALE. Omsorgsbemanding

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

Databehandleraftale e-studio.dk Side 1 af 6

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Standardvilkår. Databehandleraftale

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Databehandleraftale (v.1.1)

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Bilag 1 Databehandler aftale (v.1.2)

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

3 Omfattede typer af personoplysninger og kategorier af registrerede

Databehandleraftale. vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj Dansk Medicinsk Data Distribution A/S

Databehandleraftale. Mellem. Den dataansvarlige: Kunde hos Alsbogføring. Databehandleren. Alsbogføring.dk ApS. Møllegade Sønderborg.

Databehandlingsaftale

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

! Databehandleraftale

Databehandleraftale. Mellem. Dataansvarlig: Kunden

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

DATABEHANDLERAFTALE. Mellem. [Dataansvarliges navn] [Adresse] [Postnummer og by] CVR-nr. [cvr nummer] (herefter den Dataansvarlige )

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

Databehandleraftale. Mellem. Den dataansvarlige: Kunden (den juridiske enhed, der har indgået aftale om Lønadministration.

Databehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR

DATABEHANDLERAFTALE Version 1.1a

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Databehandleraftale Om Valeurs behandling af oplysninger på vegne af kunden

1.1. Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

DATABEHANDLERAFTALE. Mellem. CalcuEasy ApS. Håndværkervej Aalborg CVR: (Herefter Databehandleren ) [Navn] CVR [CVR-nummer]

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

Persondataloven (lov nr. 429 med senere ændringer)

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

DATABEHANDLERAFTALE V1.0

(Kunden og Databehandleren herefter hver for sig kaldet en Part eller Parten og tilsammen Parter eller Parterne )

Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS

3 Omfattede typer af personoplysninger og kategorier af registrerede

Databehandleraftale. Gældende pr. 25. maj 2018

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Databehandlervilkår. 1: Baggrund, formål og definitioner

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

Databehandleraftale INDHOLDSFORTEGNELSE

Tønder Kommune BILAG 10

DATABEHANDLERAFTALE. Mellem: Kunden (herefter Den Dataansvarlige ) atriumweb A/S (herefter Databehandleren ) CVR-nr Dalsagervej Egå

BILAG 14: DATABEHANDLERAFTALE

Databehandleraftale. Mellem. Den dataansvarlige: Helle Melgaard. Fiskerstræde Millinge. Denmark. Databehandleren. Bricksite ApS CVR

D A T A B E H A N D L E R A F T A L E

Databehandleraftale. Mellem. Den dataansvarlige kunde. Databehandleren. Øernes Revision Registreret revisionsaktieselskab.

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

BILAG 5 DATABEHANDLERAFTALE

BILAG 1 DATABEHANDLERAFTALE Rambøll som databehandler

Databehandleraftale (Skabelon fra Datatilsynet)

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

Databehandler aftale

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Bilag 6 Databehandleraftale v.1.1

Databehandleraftale. Mellem. Kunder. Foredragsholdere, musikere og underholdere. Databehandler: ARTE BOOKING CVR DALVEJ HASLEV

Vilkår for brug af systemer

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 2.0 af 30. maj 2018

DATABEHANDLERAFTALE [LEVERANDØR]

Databehandleraftale. Mellem. Den dataansvarlige: Firma: CVR: Adresse: Postnr og by: Land: Databehandleren TINX/DK A/S CVR

Databehandler aftale Bilag til Aftale om MemberLink

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

Standard databehandlingsvilkår For ProLøn A/S

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Databehandleraftale. Mellem. Den dataansvarlige: Firma Navn CVR Adresse Postnummer og by Land . Databehandleren

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Bilag A Databehandleraftale pr

Databehandleraftale. Mellem. Den dataansvarlige (kunden): Navn : Cvr : Adresse : Postnummer & by : Databehandleren (leverandøren):

Kontraktbilag 3. Databehandleraftale

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

DATABEHANDLERAFTALE

Driftskontrakt. Databehandleraftale. Bilag 14

Databehandleraftale. Mellem. Den dataansvarlige: (Virksomhedsnavn) (CPR) (Adresse) Databehandleren. Work Balance Institute ApS CVR:

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Vejledning til udfyldelse af blanket A-D

1 Indhold. Side 2 af 15

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

Databehandleraftale. Mellem. DOF`s klubber. Konkret dataansvarlig klub. Databehandleren: Dansk Orienterings-Forbund (DOF) CVR:

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren

DATABEHANDLERAFTALE. indgået mellem. Navn: CVR-nr.: Adresse: Postnr. og by: (den Dataansvarlige ) og

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

TDC ERHVERV MAILFILTER

Databehandleraftale. Mellem. Den dataansvarlige: SimplyJob Aps CVR Måløv Byvej Måløv. Danmark. Databehandleren.

Databehandleraftale. Mellem. Den dataansvarlige: Firma: CVR: Adresse: Postnr og by: Land: Databehandleren. Jydekrog ApS CVR

Transkript:

Tjekliste til databehandleraftaler Bruun & Hjejle har i november 2017 udarbejdet denne tjekliste til brug for gennemgang af databehandleraftaler modtaget fra samarbejdspartnere. Tjeklistens pkt. 1 indeholder et overblik over, hvilke klausuler, det er obligatorisk at have med i en databehandleraftale men ikke de endelige formuleringer til databehandleraftalen. Derudover er der indsat ikke-udtømmende eksempler på frivillige klausuler i tjeklistens pkt. 2. Tjeklisten er udarbejdet så den omfatter de generelle krav, der opstilles i databeskyttelsesforordningen i forhold til indgåelse af databehandleraftaler. Det betyder samtidig, at der i konkrete samarbejder kan være behov for at regulere flere forhold, end dem, der fremgår af tjeklisten. Er du i tvivl, bør du søge individuel, juridisk rådgivning inden kontaktindgåelsen. 1. Obligatoriske bestemmelser Generelle krav Kontrakt pkt./bilag 28 (3) Aftalen skal fastsætte: genstanden for behandlingen (dvs. hvad er det, systemet eller den eksterne leverandør skal hjælpe med, fx opbevaring af journaloplysninger, udarbejdelse af analyser eller statistikker osv.) varigheden af behandlingen (dvs. hvor længe, den systemethuset eller den eksterne part forventes at skulle bistå. Det kan fx være et bestemt antal måneder eller år, eller det kan være indtil videre, indtil aftalen opsiges osv.) behandlingens karakter og formål (dvs. hvad det er, systemhuset eller den eksterne part skal hjælpe med, fx indsamlingen, registrering, opbevaring, anonymisering, sammenstilling, formidling til kvalitetsdatabaser osv.) Dok 2137021

typen af personoplysninger (fx stamdata, herunder cpr-nr., helbredsoplysninger, oplysninger om behandlingsforløb osv.) kategorierne af registrerede (fx patienter i praksis) den dataansvarliges forpligtelser og rettigheder (se de følgende afsnit, som skal fremgå udtrykkeligt af databehandleraftalen) 28(3)(a) + 32(4) Instrukser Databehandleren og enhver person, der arbejder på vegne af databehandleren, må kun behandle personoplysninger efter dokumenterede instrukser fra den dataansvarlige. Dette gælder enhver form for behandling, som databehandleren foretager på vegne af den dataansvarlige. Databehandleren kan dog behandle oplysninger uden dokumenterede instrukser fra den dataansvarlige, hvis behandlingen er påkrævet efter EU-retlige regler eller medlemsstaternes nationale regler, som databehandleren er underlagt. Hvis databehandleren er forpligtet efter EU- eller nationale regler skal databehandleren underrette den dataansvarlige om disse regler, inden behandlingen påbegyndes, medmindre de pågældende regler forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser (fx efterforskningssager). 28(3)(b) Personer, der er bemyndiget til at behandle personoplysninger, skal forpligte sig til fortrolighed enten i en kontrakt eller via passende lovbestemt tavshedspligt. 28(3)(h) Databehandleren skal forpligtes til omgående at underrette 2

den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med forordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret. 28(3)(c) Sikkerhed Databehandleren skal implementere passende tekniske og organisatoriske foranstaltninger for at beskytte personoplysningerne. Kommunikation af personoplysninger skal ske over sikre forbindelser. Personoplysninger, der overføres eller opbevares uden for et lukket netværk kontrolleren af Databehandleren, skal beskyttes med kryptering. Hvor det er passende og hensigtsmæssigt henset til oplysningernes karakter, skal oplysningerne desuden pseudonomiseres. Adgangskontroller og begrænsninger skal indføres i passende omfang. Fysisk materiale, der indeholder personoplysninger, opbevares aflåst. Databehandleren skal sørge for løbende sikkerhedskopiering af personoplysningerne. Kopierne skal opbevares adskilt og forsvarligt og på en måde som sikrer mulighed for at oplysningerne kan genskabes. Databehandleren har som led i databehandleraftalen forpligtet sig til én gang årligt at afgive en erklæring til mig (den dataansvarlige), der dokumenterer, at databehandleraftalen handler i overensstemmelse med gældende persondataret. Erklæringen baseres på ISAE 3402 eller tilsvarende. Erklæringen skal være underskrevet af en kvalificeret, uvildig instans, f.eks. databehandlerens revisor. 28(3)(d) Jf. stk. 2 Underdatabehandlere Enten generel bemyndigelse til brug af underdatabehandlere med indsigelsesret for den dataansvarlige eller krav om specifik tilladelse fra dataansvarlige. 3

Ved generel godkendelse af brugen af underdatabehandlere, skal databehandleren underrette den dataansvarlige om eventuelle planlagte udskiftninger eller udvidelse i kredsen af underdatabehandlere og give dataansvarlige mulighed for at gøre indsigelse. 28(3)(d) Jf. stk. 4 Det er en forudsætning for antagelse af en underdatabehandler, at databehandleren indgår en skriftlig aftale med underdatabehandleren om, at underdatabehandleren pålægges de samme databeskyttelsesforpligtelser og kontraktlige betingelser, som dem der er fastsat i aftalen mellem den dataansvarlige og databehandleren. Hvis underdatabehandleren ikke overholder sine forpligtelser, er databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af den underdatabehandlerens forpligtelser. 28(3)(f) Bistandsforpligtelser Databehandleren skal bistå med at sikre overholdelse af forpligtelserne vedrørende i medfør af artikel 32-36 (regler om behandlingssikkerhed) under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren. 28(3)(e) Databehandleren skal bistå den dataansvarlige, så vidt muligt med passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder: Indsigt, berigtigelse, sletning, begrænsning af behandling, dataportabilitet, indsigelse. 28(3)(h) Påvisning af overholdelse, revisioner Databehandleren skal stille alle de oplysninger til rå- 4

dighed for den dataansvarlige, der er nødvendige for at påvise overholdelse af lovgivningsmæssige krav. 28(3)(h) Databehandleren skal give mulighed for og bidrage til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige. 28(3)(g) Varighed og ophør Databehandleren skal efter den dataansvarliges valg slette eller tilbagelevere alle personoplysninger til den dataansvarlige, når serviceydelserne vedrørende behandling er ophørt, medmindre ufravigelig lovgivning foreskriver opbevaring af personoplysningerne. 5

2. Eksempler på bestemmelser, som ikke er et krav efter forordningens regler og som er til fordel for databehandleren (og derfor ikke bør accepteres af jer uden forudgående, individuel rådgivning) Information om lovgivning Kommentar: Jeres systemhuse eller andre eksterne leverandører bør selv sørge for at holde sig opdateret om gældende ret. Ofte kender de reglerne bedre end jer, særligt de tekniske krav. Nedenfor ses et eksempel på en bestemmelse herom, som ikke bør accepteres: Den dataansvarlige skal informere databehandleren om enhver national lovgivning, der ud over persondatalovgivningen kan være relevant for behandlingen eller opbevaringen af personoplysninger. Betaling for revisioner osv. Kommentar: Nogle systemhuse eller andre eksterne leverandører vil forsøge at opnå særskilt betaling for erklæring om/revision af at deres håndtering af jeres data foregår lovligt og i overensstemmelse med gældende sikkerhedskrav. Nedenfor ses et eksempel på en bestemmelse herom, som ikke uden videre bør accepteres: Bidrag fra databehandleren og eventuelle underdatabehandlere til revisioner, inspektioner osv. underlægges en aftale om omfang, metode og pris. Honorar til databehandleren Kommentar: Nogle databehandlere vil opstille krav om særskilt honorar for at stille den dokumentation til rådighed, som de er forpligtede til at levere ifølge forordningens regler, herunder fx i forbindelse med et sikkerhedsbrud. Nedenfor ses et eksempel på en bestemmelse herom, som ikke uden videre bør accepteres: Den dataansvarlige skal betale databehandleren honorar for tid medgået til opfyldelse af en række af kontraktens bestemmelser, fx bestemmelser om årlig dokumentation for sikkerhed, bistand til sikkerhedsbrist, håndtering af sletning osv. Erstatningsansvar Kommentar: Nogle databehandlere vil forsøge at medtage bestemmelser, 6

som begrænser deres erstatningsansvar over for jer. Det skal ikke uden videre accepteres. Bestemmelsen kan formuleres på mange måder men kan fx se ud som bestemmelserne nedenfor). Databehandleren er alene erstatningsansvarlig for skade eller tab over for den dataansvarlige, enten ved direkte krav eller regreskrav, såfremt skaden eller tabet skyldes ansvarspådragende fejl eller forsømmelser fra databehandlerens side. Hver parts erstatningsansvar kan ikke overstige [XXX] x kr. Regres for erstatningsansvar Kommentar: Nogle databehandlere vil forsøge at medtage bestemmelser om, at hvis de bliver pålagt at betale erstatning, kan de søge beløbet tilbage hos jer, dvs. at I skal skadeløsholde databehandleren. Dette bør I ikke acceptere uden forudgående, individuel rådgivning. 7

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback