Databehandleraftale

Aftale om overladt persondatabehandling i henhold til artikel 28 i EU’s databeskyttelsesforordning (GDPR)

Indhold

  1. Præambel
  2. Den dataansvarliges rettigheder og forpligtelser
  3. Databehandleren handler efter instruks
  4. Fortrolighed
  5. Behandlingssikkerhed
  6. Anvendelse af underdatabehandlere
  7. Overførsel til tredjelande eller internationale organisationer
  8. Bistand til den dataansvarlige
  9. Underretning om brud på persondatasikkerheden
  10. Sletning og returnering af oplysninger
  11. Revision, herunder inspektion
  12. Ansvar og ansvarsbegrænsning
  13. Databehandlerens førelse af fortegnelser
  14. Ændringer til Databehandlingsvilkårene
  15. Parternes aftale om andre forhold
  16. Ikrafttræden og ophør
  17. Partnernes kontaktoplysninger

Bilag A       Oplysninger om behandlingen
Bilag B        Underdatabehandlere
Bilag C        Instruks vedrørende behandling af personoplysninger

 

1. Præambel

  1. Den dataansvarlige og databehandlere har indgået aftale om den dataansvarliges adgang til og brug af cloudtjenesten Evovia (Hovedaftalen/Abonnementsaftalen). Evovia er en digital ledelsesplatform udbudt som en cloudtjeneste (SaaS).
  2. Bestemmelserne udgør en integreret del af Hovedaftalen/Abonnementsaftalen.
  3. Bestemmelserne fastsætter databehandlerens rettigheder og forpligtelser, når denne foretager behandling af personoplysninger på vegne af den dataansvarlige.
  4. Bestemmelserne er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (databeskyttelsesforordningen).
  5. I forbindelse med leveringen af cloudtjenesten Evovia behandler databehandleren personoplysninger på vegne af den dataansvarlige i overensstemmelse med disse Bestemmelser.
  6. Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.
  7. Der hører tre bilag til disse Bestemmelser, og bilagene udgør en integreret del af Bestemmelserne.
  8. Bilag A indeholder nærmere oplysninger om behandlingen af personoplysninger, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
  9. Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af underdatabehandlere og en liste af underdatabehandlere, som den dataansvarlige har godkendt brugen af.
  10. Bilag C indeholder den dataansvarliges instruks for så vidt angår databehandlerens behandling af personoplysninger, en beskrivelse af de sikkerhedsforanstaltninger, som databehandleren som minimum skal gennemføre, og hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere.
  11. Bestemmelserne med tilhørende bilag skal opbevares skriftligt, herunder elektronisk, af begge parter.
  12. Disse Bestemmelser frigør ikke databehandleren fra forpligtelser, som databehandleren er pålagt efter databeskyttelsesforordningen eller enhver anden lovgivning.
  13. Disse Bestemmelser frigør heller ikke den dataansvarlige fra forpligtelser, som den dataansvarlige er pålagt efter databeskyttelsesforordningen eller enhver anden lovgivning.

 

2. Den dataansvarliges rettigheder og forpligtelser

  1. Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen (se forordningens artikel 24), databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes* nationale ret og disse Bestemmelser.
  2. Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger.
  3. Den dataansvarlige er ansvarlig for, blandt andet, at sikre, at der er et behandlingsgrundlag for behandlingen af personoplysninger, som databehandleren instrueres i at foretage.
  4. Den dataansvarlige er derfor overfor databehandleren navnlig ansvarlig for og indestår for, at:
    • Den dataansvarlige har fornøden hjemmel til at behandle og til at overlade det til databehandleren og dennes underdatabehandlere at foretage de aftalte behandlinger af de personoplysninger, der behandles i forbindelse med levering af de aftalte ydelser.
    • Den dataansvarliges instrukser, sådan som de kommer til udtryk gennem disse Bestemmelser og eventuelle øvrige aftaler, er lovlig.
    • Den dataansvarlige ikke overlader andre typer af personoplysninger til databehandlerens behandling, end hvad følger af den dataansvarliges instruks, og at de overladte personoplysninger ikke relaterer sig til andre kategorier af registrerede, end de i instruksen angivne.

*Henvisninger til ”medlemsstat” i disse bestemmelse skal forstås som en henvisning til ”EØS medlemsstater”.

3. Databehandleren handler efter instruks

  1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, som databehandleren har accepteret, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt. Denne instruks skal være specificeret i bilag A og C. Efterfølgende instruks kan gives af den dataansvarlige om, at databehandleren skal ophøre med at foretage videre behandling, hvilket medfører, at databehandleren sletter den dataansvarliges data, som angivet under punktet ”Sletning og returnering af oplysninger” nedenfor, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk, sammen med disse Bestemmelser.
  2. Den dataansvarlige kan også efterfølgende anmode databehandleren om at modtage yderligere instrukser for behandling af personoplysninger for den dataansvarlige, idet databehandleren frit kan vælge at acceptere eller afslå sådanne yderligere instrukser.
  3. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
  4. Er den dataansvarliges instruks efter databehandlerens rimelige vurdering med en vis sandsynlighed ulovlig, kan databehandleren uden at misligholde disse Bestemmelser eller den indgåede Hovedaftale/Abonnementsaftale i øvrigt ophøre med videre behandling end opbevaring, indtil den dataansvarlige afgiver supplerende instruks om, at de behandlede personoplysninger kan behandles lovligt eller om at oplysningerne skal udleveres eller slettes.

 

4. Fortrolighed

  1. Databehandleren må kun give adgang til personoplysninger, som behandles på den dataansvarliges vegne, til personer, som er underlagt databehandlerens instruktionsbeføjelser, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang. Listen af personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af denne gennemgang kan adgangen til personoplysninger lukkes, hvis adgangen ikke længere er nødvendig, og personoplysningerne skal herefter ikke længere være tilgængelige for disse personer.
  2. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de pågældende personer, som er underlagt databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt.

 

5. Behandlingssikkerhed

  1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:
    • Pseudonymisering og kryptering af personoplysninger
    • evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester
    • evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
    • en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
  2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som den til databehandleren overladte behandling udgør, og databehandleren skal gennemføre foranstaltninger for at imødegå disse risici. Med henblik på databehandlerens vurdering af risici, skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren, som gør vedkommende i stand til at identificere og vurdere sådanne risici.
  3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter databeskyttelsesforordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og – mod særskilt betaling - al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter databeskyttelsesforordningens artikel 32. Hvis imødegåelse af de identificerede risici, som identificeres ved den aftalte behandling af personoplysninger – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, overfor databehandleren. Parterne skal herefter indgå særskilt aftale omkring gennemførelse af sådanne yderligere sikkerhedsforanstaltninger, inklusive tidsplan og vederlag til databehandleren. Kan parterne ikke nå til enighed om sådan aftale, skal den dataansvarlige instruere databehandleren om at ophøre med videre behandling og slette de overladte personoplysninger i overensstemmelse med punktet ”Sletning og returnering af oplysninger” nedenfor. Den dataansvarlige kan herefter opsige Abonnementsaftalen i overensstemmelse med de deri aftalte opsigelsesvilkår.

 

6. Anvendelse af underdatabehandlere

  1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2, og stk. 4, for at gøre brug af en anden databehandler (en underdatabehandler).
  2. Databehandleren må således ikke gøre brug af en underdatabehandler til opfyldelse af disse Bestemmelser uden forudgående generel skriftlig godkendelse fra den dataansvarlige.
  3. Databehandleren har den dataansvarliges generelle godkendelse til brug af underdatabehandlere. Databehandleren skal skriftligt underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere med mindst 30 dages varsel og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer inden brugen af de(n) omhandlede underdatabehandler(e). Længere varsel for underretning i forbindelse med specifikke behandlingsaktiviteter kan angives i bilag B. Hvis databehandleren ikke umiddelbart eller uden at skulle afholde uforholdsmæssige store omkostninger kan opfylde sine leveranceforpligtelser efter Abonnementsaftalen i en sådan varslingsperiode, er databehandleren ansvarsfri for sådan manglende opfyldelse.
  4. Den dataansvarlige accepterer herudover, at der kan være særlige tilfælde, hvor der kan opstå et konkret behov for, at en ændring vedrørende tilføjelse eller erstatning af en underdatabehandler sker med kortere varsel eller straks. I sådanne tilfælde vil databehandleren underrette den dataansvarlige om ændringen snarest muligt.
  5. Har den dataansvarlige indsigelser mod planlagte ændringer vedrørende tilføjelse eller erstatning af en underdatabehandler, kan den dataansvarlige bringe Abonnementsaftalen til ophør ved opsigelse på vilkår anført i Abonnementsaftalen og sikre, at den dataansvarliges personoplysninger er slettet forinden den planlagte ændring vedrørende tilføjelse eller erstatning af en underdatabehandler gennemføres. Udover at bringe Abonnementsaftalen til ophør, har den dataansvarlige ikke andre beføjelser overfor databehandleren i denne situation. Bringes aftalen til ophør efter denne bestemmelse fortsætter den dataansvarliges betalingsforpligtelse i øvrigt indtil ophør af Abonnementsaftalen. Listen over underdatabehandlere, som den dataansvarlige allerede har godkendt, fremgår af bilag B.
  6. Når databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, skal databehandleren, gennem en databehandleraftale, pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen overholder kravene i disse Bestemmelser og databeskyttelsesforordningen. Databehandleren skal derfor sikre ved antagelse af en underdatabehandler, at der indgås en skriftlig aftale med underdatabehandleren, hvorigennem det sikres at
    • der stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i disse Bestemmelser og databeskyttelsesforordningen
    • underdatabehandleren pålægges de samme databeskyttelsesforpligtelser som dem, der er fastsat i disse Bestemmelser, hvilket vil sige at kravene i databeskyttelsesforordningen art. 28(3) skal efterleves samt at
    • underdatabehandleren alene behandler de overladte personoplysninger i den udstrækning, det er påkrævet for at opfylde de leveranceforpligtelser, underdatabehandleren har påtaget sig overfor databehandleren, samt at behandlingen sker i overensstemmelse med de aftalte instrukser.
  7. Underdatabehandleraftale(r) og eventuelle senere ændringer hertil sendes – efter den dataansvarliges anmodning herom – i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforpligtelser som følger af disse Bestemmelser er pålagt underdatabehandleren. Bestemmelser om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.
  8. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder, der følger af databeskyttelsesforordningen, herunder særligt forordningens artikel 79 og 82, over for den dataansvarlige og databehandleren, herunder underdatabehandleren.

 

7. Overførsel til tredjelande eller internationale organisationer

  1. Databehandleren skal opbevare den dataansvarliges data indenfor EU hvor andet ikke er omfattet af den dataansvarliges instruks.

  2. Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af databehandleren på baggrund af dokumenteret instruks herom fra den dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.

  3. Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som databehandleren ikke er blevet instrueret i at foretage af den dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.

  4. Uden dokumenteret instruks fra den dataansvarlige kan databehandleren således ikke inden for rammerne af disse Bestemmelser:

    • overføre personoplysninger til en dataansvarlig eller databehandler i et tredjeland eller en international organisation
    • overlade behandling af personoplysninger til en underdatabehandler i et tredjeland
    • behandle personoplysningerne i et tredjeland
  5. Den dataansvarliges instruks vedrørende overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, skal angives i bilag C.6.

 

8. Bistand til den dataansvarlige

  1. Databehandleren forpligter sig til efter den dataansvarliges skriftlige anmodning herom at yde den dataansvarlige følgende bistand:
  2. Databehandleren bistår, under hensyntagen til de overladte behandlingers karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel III. Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:
    • oplysningspligten ved indsamling af personoplysninger hos den registrerede
    • oplysningspligten, hvis personoplysningerne ikke er indsamlet hos den registrerede
    • indsigtsretten
    • retten til berigtigelse
    • retten til sletning (”retten til at blive glemt”)
    • retten til begrænsning af behandling
    • underretningspligten i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
    • retten til dataportabilitet
    • retten til indsigelse
    • retten til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering
  3. Databehandleren bistår også den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensyntagen til de til databehandleren overladte behandlingers karakter og de personoplysninger, der er tilgængelige for databehandleren. I tillæg til databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til Bestemmelse 5.3, omfatter dette, at databehandleren bistår den dataansvarlige med:
    • den dataansvarliges forpligtelse til uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed, Datatilsynet, medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder
    • den dataansvarliges forpligtelse til uden unødig forsinkelse at underrette den registrerede om brud på persondatasikkerheden, når bruddet sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder
    • den dataansvarliges forpligtelse til forud for behandlingen at foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger (en konsekvensanalyse)
    • den dataansvarliges forpligtelse til at høre den kompetente tilsynsmyndighed, Datatilsynet, inden behandling såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.
  4. Parterne skal i bilag C angive de fornødne tekniske og organisatoriske foranstaltninger, hvormed databehandleren skal bistå den dataansvarlige samt i hvilket omfang og udstrækning. Det gælder for de forpligtelser, der følger af Bestemmelse 8.1 og 8.2.
  5. Databehandleren er berettiget til et særskilt vederlag for den bistand, der ydes til opfyldelse af den dataansvarliges anmodninger under dette punkt 8. Vederlaget beregnes på grundlag af det tidsforbrug databehandleren har anvendt samt databehandlerens almindeligt gældende timesats for sådant arbejde.
  6. For så vidt angår bistand til opfyldelse af den dataansvarliges forpligtelser efter databeskyttelsesforordningen art. 33-34, har databehandleren dog ikke krav på vederlag.

 

9. Underretning om brud på persondatasikkerheden

  1. Hvis databehandleren bliver opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en anvendt underdatabehandler i forhold til de personoplysninger, den dataansvarlige har overladt til databehandleren at behandle, skal databehandleren underrette den dataansvarlige om bruddet på persondatasikkerheden uden unødig forsinkelse, efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
  2. Underretning kan fremsendes på e-mail til den af den dataansvarlige angivne kontaktadresse i Abonnementsaftalen. Databehandleren skal uden unødig forsinkelse efter at være blevet bekendt med, at der er sket et brud på persondatasikkerheden, tage rimelige og proportionelle skridt for at begrænse skaden ved bruddet.
  3. Databehandleren bistår den dataansvarlige med at foretage anmeldelse af bruddet til Datatilsynet eller anden kompetente tilsynsmyndighed. Det betyder, at databehandleren skal bistå med at tilvejebringe nedenstående information, som ifølge databeskyttelsesforordningen artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse af bruddet til den kompetente tilsynsmyndighed:
    • karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
    • de sandsynlige konsekvenser af bruddet på persondatasikkerheden
    • de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
  4. Hvis det ikke er muligt for databehandleren at give oplysningerne samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse. Databehandlerens underretning til den dataansvarlige skal om muligt ske så betids, at de samlede oplysninger tilvejebringes sådan, at den dataansvarlige kan foretage den komplette anmeldelse til tilsynsmyndigheden indenfor de tidskrav til anmeldelse af brud på persondatasikkerheden, som er indeholdt i databeskyttelsesforordningens artikel 33.
  5. I forlængelse af den indledende underretning til den dataansvarlige, skal databehandleren derfor om nødvendigt løbende ajourføre og komplettere informationer til den dataansvarlige, sådan at denne om nødvendigt kan opdatere en anmeldelse af brud på persondatasikkerheden ved tilsynsmyndigheden.
  6. Databehandlerens underretning om brud på persondatasikkerheden udgør ikke en anerkendelse af skyld eller ansvar i forhold til et indtruffet brud på persondatasikkerheden.
  7. Databehandleren bistår herudover på anmodning fra den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 34 under hensyntagen til den overladte behandlings karakter og de oplysninger, der er tilgængelige for databehandleren.

 

10. Sletning og returnering af oplysninger

  1. Ved ophør af de aftalte tjenester vedrørende behandling af personoplysninger under Abonnementsaftalen, er databehandleren forpligtet til at slette alle personoplysninger, der er blevet behandlet på vegne af den dataansvarlige og bekræfte over for den dataansvarlig, at oplysningerne er slettet, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne.
  2. Databehandleren kan dog fortsat opbevare de af den dataansvarlige overladte personoplysninger efter ophør af Abonnementsaftalen og af de deri aftalte tjenester vedrørende behandling af personoplysninger, hvis databehandleren er underlagt en retlig forpligtelse, som foreskriver at databehandleren skal foretage sådan opbevaring af den dataansvarliges personoplysninger. Databehandleren forpligter sig til alene at behandle personoplysningerne til de(t) formål, i den periode og under de betingelser, som disse regler foreskriver.
  3. Den dataansvarlige kan forinden ophør af Abonnementsaftalen også instruere databehandleren om at udlevere en kopi af personoplysningerne. I så fald aftaltes medium udleveringen skal ske på samt i hvilket format. Databehandleren har krav på vederlag for arbejde udført i forbindelse med udlevering efter medgået tid og til databehandlerens almindeligt gældende timesats for sådant arbejde, samt for eventuelle omkostninger og udlæg afholdt i relation til arbejdet. Databehandleren er berettiget til at opkræve et depositum for at acceptere instruks om udlevering.
  4. Instruerer den dataansvarlige databehandleren om at foretage udlevering af personoplysninger, er dette samtidig en instruks om, at databehandleren først skal slette de personoplysninger, der er blevet behandlet på vegne af den dataansvarlige, når udleveringen er gennemført og bekræftet af den dataansvarlige.
  5. Databehandlerens gennemførelse af den dataansvarliges instruks om at slette den dataansvarliges personoplysninger sker i overensstemmelse med databeskyttelsesforordningens regulering og så hurtigt, som det er praktisk muligt.
  6. Som del af Abonnementsaftalen indgår, at databehandleren foretager backup. De aftalte tjenester vedrørende behandling af personoplysninger under Abonnementsaftalen er, for så vidt angår personoplysninger inkluderet i en backup og er derfor først ophørt, når backuppen i overensstemmelse med databehandlerens backupprocedure destrueres. Som standard sletter Evovia kundedata fra driftsmiljøet 14 dage efter Abonnementsaftalen er ophørt. Kunden accepterer herunder, at Kundens data indgår i en backupprocedure i 90 dage, hvorefter alle kopier af Kundens data er slettet.

 

11. Revision, herunder inspektion

  1. Databehandleren stiller på den dataansvarliges anmodning alle oplysninger, der er nødvendige for at påvise overholdelsen af databeskyttelsesforordningens artikel 28 og disse Bestemmelser, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
  2. Inspektion kan alene ske af en person, som underlægger sig databehandlerens almindelige sikkerhedsforanstaltninger, og som tiltræder en fortrolighedsklausul på sædvanlige vilkår direkte overfor databehandleren.
  3. Databehandleren kan fremsætte indsigelse mod en af den dataansvarlig udpeget person til gennemførelse af inspektion, hvis den udpegede person efter databehandlerens rimelige vurdering ikke er egnet eller kvalificeret til at kunne gennemføre inspektionen, herunder at personen (1) ikke er uafhængig, (2) er tilknyttet eller har relationer til en direkte konkurrent til databehandleren eller (3) af anden grund oplagt er uegnet til varetagelse af opgaven.
  4. Fremsætter databehandleren indsigelse mod den udpegede person, må den dataansvarlige udpege anden person til gennemførelse af inspektionen.
  5. Tilsyn med databehandlerens anvendte underdatabehandlere sker gennem databehandleren. Proceduren er fastsat i bilag C. Den dataansvarlige kan dog vælge at initiere og deltage på en fysisk inspektion også hos underdatabehandleren, når underdatabehandleren tillader dette. Tilsyn skal her ske under overholdelse af underdatabehandlerens opsatte vilkår for inspektion.
  6. Procedurerne for den dataansvarliges revisioner, herunder inspektioner, med databehandleren og underdatabehandlere er nærmere angivet i Bilag C.7. og C.8.
  7. Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende lovgivningen har adgang til den dataansvarliges eller databehandlerens faciliteter, eller repræsentanter, der optræder på tilsynsmyndighedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig legitimation.
  8. Databehandleren er berettiget til vederlag for den dataansvarliges udøvelse af tilsyn og revision. Vederlaget opgøres på baggrund af den forbrugte arbejdstid, databehandlerens gældende timesatser med tillæg af eventuelt afholdte positive omkostninger, herunder også omkostninger der skal afholdes af databehandleren for underdatabehandleres bistand.

 

12. Ansvar og ansvarsbegrænsning

  1. For betaling af erstatning til personer som følge af en ulovlig behandlingsaktivitet eller enhver anden behandling i strid med databeskyttelsesforordningen og databeskyttelsesloven, finder databeskyttelsesloven § 40 anvendelse. Uanset databeskyttelsesforordningen art. 82, stk. 5, kan en part, der har udredt erstatningsbeløb til en skadelidt, der ikke svarer til fuld erstatning, gøre regres efter princippet i art. 82, stk. 5.
  2. Parterne aftaler, at samme regulering under alle omstændigheder også finder anvendelse i forhold til anden godtgørelse for ikke-økonomiske tab, for så vidt angår den interne endelige ansvarsfordeling mellem databehandleren og den dataansvarlige.
  3. Parterne kan ikke gøre regres eller erstatningskrav gældende overfor den anden part, for bøder eller anden straf, der er pålagt i medfør af databeskyttelsesloven § 41 samt for bødeforelæg accepteret efter databeskyttelsesloven § 42.
  4. Supplerende ansvarsbegrænsning eller ansvarsfraskrivelse kan være indeholdt i Abonnementsaftalen.

 

13. Databehandlerens førelse af fortegnelser

  1. Databehandleren er forpligtet til at føre fortegnelser over de kategorier af behandlingsaktiviteter, som udføres for den dataansvarlige i overensstemmelse med databeskyttelsesforordningen art. 30, stk. 2. Den dataansvarlige er forpligtet til at oplyse databehandleren om navn og kontaktoplysninger på den dataansvarlige eventuelle repræsentant og databeskyttelsesrådgiver og ajourføre sådanne oplysninger, så fortegnelserne kan føres korrekt af databehandleren.

 

14. Ændringer til Databehandlingsvilkårene

  1. Databehandleren kan skriftligt og med 30 dages varsel til udgangen af en kalendermåned meddele ændringer til Bestemmelserne overfor den dataansvarlige.
  2. Oplysninger om planlagte ændringer fremsendes til den dataansvarliges kontaktperson på e-mail.
  3. Fortsætter den dataansvarlige brugen af Evovia efter de varslede ændringer af Bestemmelserne træder i kraft, har den dataansvarlige dermed accepteret ændringen af Bestemmelserne.
  4. Hvis den dataansvarlige ikke ønsker at acceptere varslede ændringer af Bestemmelserne, kan den dataansvarlige opsige sin Abonnementsaftale i overensstemmelse med de deri aftalte opsigelsesvilkår, og den dataansvarlige skal derefter sikre, at alle personoplysninger er slettet fra Evovia inden de varslede ændringer træder i kraft.

 

15. Parternes aftale om andre forhold

  1. Parterne kan aftale andre bestemmelser vedrørende Abonnementsaftalen for Evovia vedrørende behandling af personoplysninger, så længe disse andre bestemmelser ikke direkte eller indirekte strider imod databeskyttelseslovgivningen eller forringer den registreredes grundlæggende rettigheder og frihedsrettigheder, som følger af databeskyttelsesforordningen.

 

16. Ikrafttræden og ophør

  1. Bestemmelserne træder i kraft på datoen for begge parters underskrift eller anden tiltræden.
  2. Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i Bestemmelserne giver anledning hertil.
  3. Bestemmelserne er gældende, så længe databehandlerens pligter under Abonnementsaftalen vedrørende behandling af personoplysninger varer. I denne periode kan Bestemmelserne ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjenesten vedrørende behandling af personoplysninger, aftales mellem parterne.

 

17. Parternes kontaktoplysninger

Dataansvarliges henvendelse til databehandler omkring databeskyttelse, herunder også anmodninger om tilsyn og inspektion skal fremsendes til

Evovia ApS
Finderupvej 5
8000  Aarhus C.

eller e-mail: gdpr@evovia.com

Dataansvarliges kontaktperson er anført på fanen ’Vilkår’ på Kundens egen side på Evovias ledelsesplatform.

Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktpersoner.

Version december 2022

 

Bilag A Oplysninger om behandlingen

A.1. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige

Den dataansvarlige og databehandleren har indgået aftale om den dataansvarliges adgang til og brug af cloudtjenesten Evovia (Hovedaftalen/Abonnementsaftalen). Evovia er en digital ledelsesplatform udbudt som en cloudtjeneste (SaaS).

A.2. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om (karakteren af behandlingen)

Ved databehandlerens levering af cloudtjenesten Evovia til den dataansvarlige sker behandling af personoplysninger i overensstemmelse med de formål som er nødvendige for at levere de i Abonnementsaftalens fastsatte ydelser herunder opbevaring, indsamling, registrering, systematisering, samkøring, sletning, arkivering etc.

A.3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede

De overladte behandlinger omfatter de typer af oplysninger, som den dataansvarlige indtaster og indlæser i Evovia cloudtjenesten. Dette omfatter som standard navne, e-mailadresser og medarbejderes placering i organisationen og navn på nærmeste leder.

Derudover øvrige personoplysninger, som medarbejderen og dennes leder selv lægger ind i cloudtjenesten, fx forberedende notater, score, kommentarer af aftaler og handlingsplaner med deadline ved MUS, APV mv. Da der her kan skrives ind i fritekstfelter, kan typen af oplysninger være følsomme. Databehandler forpligter sig i den forbindelse til at opfylde de sikkerhedsmæssige krav i forhold til behandling af eventuelle følsomme oplysninger, hvilket nærmere beskrives i C.2.

A.4. Behandlingen omfatter følgende kategorier af registrerede

De registrerede personer omfatter de kategorier, som den dataansvarlige lader omfatte af brugen af Evovia, navnlig den dataansvarliges medarbejdere.

Hvis den dataansvarlige ønsker at anvende Evovia funktionen ”360 graders lederevaluering”, hvori fx også indgår bidrag fra eksterne interessenter, så vil kategorierne af registrerede også omfatte sådanne eksterne interessenter.

Tilsvarende hvis den dataansvarlige ønsker at anvende en GRUS-gruppe, som inkluderer en eller flere eksterne interessenter.

A.5. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter disse Bestemmelsers ikrafttræden. Behandlingen har følgende varighed

Databehandleren foretager behandling af den dataansvarliges personoplysninger så længe Evovia er forpligtet under abonnementsaftalen til at udføre behandlinger og i en periode derefter, indtil databehandleren sletter den dataansvarliges personoplysninger i overensstemmelse med databehandlerens backup procedure.

 

Bilag B Underdatabehandlere

B.1. Godkendte underdatabehandlere

Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af følgende underdatabehandlere

  • Traels.it, Bøgevej 32, 5200 Odense V, CVR 22001884: Hovedansvar for den tekniske udvikling af hele Evovia platformen og derfor har fuld adgang.
  • Hetzner Online GmbH, Industristrss. 25, 91710 Gunzenhausen, Tyskland, CVR DE 812871812: Hosting af data
  • Hetzner Finland Oy, Huurrekuja 10, 04360 Tuusula, Finland, CVR 2720758-9: Hosting af data
  • Scannet, Højvangen 4, 8660 Skanderborg, CVR. 29412006: Hosting af data
  • Cloud Factory A/S, Vestergade 4, 6800 Varde, CVR-nr. 35393692: Hosting af data
  • SMTP.dk, Refshalevej 163A, 1.tv., 1432 København K., CVR. 29849439: Ansvar for udsendelse af automails fra Evovia platformen

Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af ovennævnte underdatabehandlere for den beskrevne behandlingsaktivitet. Databehandleren må ikke – uden den dataansvarliges accept – gøre brug af en underdatabehandler til en anden behandlingsaktivitet end den beskrevne og aftalte eller gøre brug af en anden underdatabehandler til denne behandlingsaktivitet.

B.2. Varsel for godkendelse af underdatabehandlere

Databehandleren skal skriftligt underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere med mindst 30 dages varsel så vidt dette umiddelbart er muligt og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer inden brugen af de(n) omhandlede underdatabehandler(e).

 

Bilag C Instruks vedrørende behandling af personoplysninger

C.1. Behandlingens genstand/instruks

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende:

Enhver behandling, som er nødvendig for, at databehandleren kan opfylde de i Abonnementsaftalens fastsatte forpligtelser. Dette omfatter navnlig behandlingsaktiviteter der er nødvendige for at stille cloudplatformen Evovia til rådighed for den dataansvarlige.

C.2. Behandlingssikkerhed

Sikkerhedsniveauet skal afspejle:

Databehandleren iværksætter og gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med de behandlingsaktiviteter, databehandleren foretager for den dataansvarlige.

De tekniske og organisatoriske foranstaltninger fastsættes under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne, den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.

Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etablere det nødvendige (og aftalte) sikkerhedsniveau.

C.2.1 Generelle sikkerhedsforanstaltninger

Alle medarbejdere i databehandlerens Support (og databehandler-underleverandører) har genereret et langt og ikke simpelt password til systemet – mindst 12 karakterer og 2 faktorgodkendelse.

Alle medarbejdere med supportadgang er opsat til at køre VPN, og det er kun tilladt at køre på fremmede netadgange via VPN.

Adgang til servere håndteres ved underleverandører. Adgang til servere sker ved hjælp af nøglefiler.

Underleverandører arbejder ikke med data med mindre dataansvarlige har givet tilladelser hertil.

C.2.2 Datacenter og netværkssikkerhed

Data hostes hos hostingleverandør, jf. listen over underdatabehandlere, bilag B.

Data sendes ikke til andre end de brugere, der er logget ind.

Ved forsøg på adgang til databehandlerens servere, blokeres efter 3 forgæves forsøg.

C.2.3 Autorisation og adgangskontroller

Evovia er en platform, hvor forskellige brugere har adgang til forskelligt data – en del af denne adgangsstyring påhviler dataansvarlige selv. Og generelt sker adgangstildeling kun efter ønske/pålæg fra den dataansvarlige, som er dataansvarlig.

Hvis den dataansvarlige anmoder om det, kan databehandler arbejde med det på vegne af dataansvarlige. Alle handlinger logges.

C.2.4 Datasikkerhed

Alle indtastninger og udlæsninger af data foregår via sikker webforbindelse (https) til vores webservere. De servere, der driver selve hjemmesiden, er virtuelle servere. Disse servere opbevarer ikke data. Adgang til disse servere er styret af en firewall, der automatisk åbner for godkendte medarbejdere - andre får slet ikke lov til at forsøge at logge ind.

Data overføres fra disse servere til et sæt virtuelle databaseservere. Data ligger på en server hos et hostingfirma som spejles til en anden server hos samme hostingfirma. Til endnu en server i et andet eu-land sendes der dagligt en krypteret backup fil. Og endelig sendes der endnu en krypteret backup fil til et tredje hostingfirma. Adgangen til databaserservere er låst ned til udvalgte medarbejdere.

Alle medarbejdere i databehandlerens support (og databehandler-underleverandører) har genereret et langt og ikke simpelt password til systemet – mindst 12 karakterer.

Adgang til servere håndteres ved underleverandører. Adgang til servere sker ved hjælp af nøglefiler.

Underleverandører arbejder ikke med data med mindre dataansvarlige har givet tilladelser hertil.

C.2.5 Autorisation og adgangskontrol

Evovia tilgår kun oplysninger i den dataansvarliges system, hvis den dataansvarlige anmoder om det, fx i en supportsituation. Adgang sker ved at den dataansvarlige aktivt sætter et flueben i en rubrik, og efter endt brug fjerner det igen. Alle handlinger logges.

Ved forsøg på adgang til vores servere, blokeres efter 3 forgæves forsøg.

Logning af data sker på den måde, at der i dokumentets top står, hvem der har set dokumentet og hvornår.

C.2.6 Sletning

Når en kunde sletter en medarbejder, som ikke længere er ansat, slettes medarbejder efter 14 dage, mens de indtastede data i MUS o.l. opbevares i lederens arkiv (som udgangspunkt i 5 år) med bl.a. score og aftaler. Den dataansvarlige kan dog give instruks til Evovia om at ændre, hvor lang tid data skal opbevares. Det kan både være i længere eller kortere tid end 5 år. Dette kan differentieres fra redskab til redskab.

Når et firma ønsker at stoppe hos Evovia slettes firmaet efter 14 dage - og er helt ude af enhver backup inden for 90 dage.

C.2.7 Medarbejder sikkerhed

Leverandør benytter hjemmearbejdspladser. Alt data opbevares online, og vil normalt kun berøre medarbejderes pc i det omfang, hjemmesiden caches på medarbejders pc.

Data udleveret til behandling på medarbejders pc - efter aftale med dataansvarlige - behandles fortroligt og slettes umiddelbart efter endt anvendelse.

Transmission af data mellem medarbejdere sker i krypterede e-mails eller krypterede vedhæftede filer.

C.2.8 Inddatamateriale om indeholder personoplysninger

Inddata er hvad den enkelte bruger taster ind i systemet.

Kun hvis dataansvarlige beder os om det, kan en supportmedarbejder eventuelt tilgå det. Det sker ved, at den dataansvarlige/brugeren aktivt sætter et flueben i en rubrik, og efter endt brug fjerner det igen. Handlingen logges.

C.2.9 Uddatamateriale som indeholder personoplysninger

Ikke relevant her. Kun hvis dataansvarlige eksplicit giver os tilladelse til det i en given situation, kan en supportmedarbejder eventuelt tilgå det.

C.2.10 Engagering af underdatabehandlere

Før engagering af en underdatabehandler gennemfører Evovia en due diligence eller tilsyn med de sikkerhedsforanstaltninger og de principper for databeskyttelse, som underdatabehandleren har implementeret, sådan at det sikres, at den pågældende underdatabehandler har et sikkerhedsniveau, som er passende i forhold til de behandlingsaktiviteter, de skal udføre for Evovia. Når en underdatabehandler er vurderet egnet til varetagelse af behandlingsaktiviteter, indgår Evovia skriftlig aftale med underdatabehandleren i overensstemmelse med Databehandlervilkårenes krav.

C.3 Bistand til den dataansvarlige

Databehandleren skal så vidt muligt – inden for nedenstående omfang og udstrækning – bistå den dataansvarlige i overensstemmelse med Bestemmelse 8.1 og 8.2 ved at gennemføre følgende tekniske og organisatoriske foranstaltninger:

På den dataansvarliges specifikke anmodning bistår databehandleren under hensyntagen til behandlingens karakter så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i persondatalovgivningen.

Hvis en registreret fremsætter anmodning om udøvelse af sine rettigheder over for databehandleren, giver databehandleren uden ugrundet ophold meddelelse herom til den dataansvarlige.

Under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, bistår databehandleren efter specifik anmodning også den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i forhold til:

  • Gennemførelse af passende tekniske og organisatoriske foranstaltninger
  • Sikkerhedsbrud
  • Underretning om brud på persondatasikkerheden til den registrerede
  • Gennemførelse af konsekvensanalyser
  • Forudgående høringer fra tilsynsmyndighederne

C.4 Opbevaringsperiode/sletterutine

Ved ophør af tjenesten vedrørende behandling af personoplysninger, skal databehandleren enten slette eller tilbagelevere personoplysningerne i overensstemmelse med Bestemmelse 10.1, medmindre andet er særskilt aftalt mellem parterne.

Evovias gennemførelse af den dataansvarliges instruks om at slette eller udlevere den dataansvarliges oplysninger sker i overensstemmelse med databeskyttelsesforordningens regulering og så hurtigt, som det er praktisk muligt. Som standard sletter Evovia kundedata fra driftsmiljøet 14 dage efter Abonnementsaftalen er ophørt. Den dataansvarlige accepterer herunder, at den dataansvarliges data indgår i en backup procedure i 90 dage, hvorefter alle kopier af den dataansvarliges data er slettet.

C.5 Lokalitet for behandling

Behandling af de af Bestemmelserne omfattede personoplysninger kan ikke uden den dataansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end følgende:

Nærmere oplysninger om behandlingssteder for databehandleren og dennes underdatabehandlere kan fås ved henvendelse hos databehandleren. Oplysningerne kan udleveres i det omfang udlevering kan ske uden sikkerhedsmæssig risiko efter databehandlerens vurdering. I sådanne tilfælde udleveres da i udgangspunktet kun oplysninger om land og by for databehandlingsstedet.

C.6 Instruks vedrørende overførsel af personoplysninger til tredjelande

Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler.

C.7 Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til databehandleren

Den dataansvarlige har efter databeskyttelsesforordningens art. 24 og 28 ret og pligt til at gennemføre tilsyn med databehandlerens behandling af personoplysninger på den dataansvarlige vegne. Den dataansvarliges gennemførelse af tilsyn med databehandleren kan ske ved, at den dataansvarlige udfører en af følgende handlinger:

  • Egenkontrol på baggrund af dokumenter, som databehandleren gør tilgængelig for den dataansvarlige,
  • Skriftligt tilsyn eller
  • Fysiske inspektioner.

C.7.1 Egenkontrol

Databehandleren skal årligt for egen regning indhente en revisionserklæring fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.

Der er enighed mellem parterne om, at følgende type af revisionserklæring kan anvendes i overensstemmelse med disse Bestemmelser: ISAE3000 – type 2

Revisionserklæringen lægges på dataansvarlige administrationsside i Evovia hvert år i juni. Her har den dataansvarlige mulighed for at udføre egen kontrol.

Baseret på resultaterne af erklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.

C.7.2 Skriftligt tilsyn og fysisk inspektion

Den dataansvarlige kan vælge at gennemføre et tilsyn enten som skriftligt tilsyn eller ved fysisk inspektion. Tilsynet kan udføres af den dataansvarlige selv og/eller i samarbejde med tredjepart. Et tilsyn skal tage udgangspunkt i de sikkerhedsforanstaltninger, der er aftalt mellem parterne. Procedure og rapportering for skriftligt tilsyn eller fysisk inspektion:

  • Den dataansvarlige kontakter databehandleren via e-mail til gdpr@evovia.com med ønske om gennemførelse af tilsyn og/eller inspektion.

  • Databehandleren bekræfter modtagelse og oplyser endelig dato for gennemførelse af tilsynet og/eller inspektion.

  • Gennemførelsen af tilsynet og/eller inspektion finder sted.

  • Den dataansvarlige udarbejder en rapport, der efterfølgende fremsendes til databehandleren.

  • Databehandleren gennemgår udkastet til rapporten og kommenterer evt. på den dataansvarlige eventuelle observationer (kan gentages flere gange).

  • Endelig rapport konkluderes af den dataansvarlige.

  • Tilsynet afsluttes.

C.8 Procedurer for revisioner, herunder inspektioner, med behandling af personoplysninger, som er overladt til underdatabehandlere

Databehandleren udfører, på baggrund af databehandlerens risikovurdering og under hensyntagen til de konkrete behandlingsaktiviteter, revisioner, herunder inspektioner, med underdatabehandleres behandling af personoplysninger enten i form af egenkontrol af revisionserklæringer og tilsvarende (hvor muligt), skriftligt tilsyn eller fysisk inspektion, eller en kombination heraf.

Den dataansvarlige kan på den dataansvarliges anmodning få yderligere oplysninger om, hvilke kontrolforanstaltninger der er iværksat og gennemført over for de enkelte underdatabehandlere.

Det dataansvarlige kan initiere overfor databehandleren et særskilt tilsyn med en underdatabehandler. Dette tilsyn sker i øvrigt på underdatabehandlerens sædvanlige og fastlagte procedure herfor og for den dataansvarliges regning.

 

Version december 2022

Få svar på dine spørgsmål

Ansvar og ansvarsbegrænsning

Spørgsmål:
I har et helt afsnit 12, som Datatilsynets skabelon ikke har med. Hvad er jeres begrundelse for at have et afsnit om ansvar og ansvarsbegrænsning?

Svar:
Denne ansvarsbegrænsning er nødvendig for, at Evovia kan afgrænse og indkapsle risikoen for ydelsen – og dermed fastsætte prisen herfor. Med andre ord; Evovia er nødt til at afgrænse den samlede risikoeksponering og på den baggrund beregne prisen. Bestemmelsen er udtryk for dette. Tilføjelsen af afsnittet om ansvar og ansvarsbegrænsning regulerer og tydeliggøre ligeledes over for parterne, hvorledes databeskyttelsesforordningens regler om erstatning finder anvendelse. Det er f.eks. præciseret at bestemmelsen om solidarisk hæftelse, hvor muligheden for at gøre regres efter princippet i art. 82, stk. 5, tilsvarende finder anvendelse, når der er tale om godtgørelse af ikke-økonomiske tab jf. art. 82, stk. 1. Begrundelsen for afsnittets berettigelse er at sikre regulering af ansvarsfordelingen i alle databeskyttelsesretlige henseender mellem databehandleren og den dataansvarlige.

Arkivpligt og Arkivlov - Udlevering og sletning af kundens data?


Spørgsmål:
Vi er som offentlig organisation underlagt arkivloven og arkivpligt, derfor er det  vel ikke korrekt, at data bare slettes?

Svar:
I vores Databehandlervilkår står følgende:

Efter Kundens valg sletter eller tilbageleverer Evovia alle personoplysninger til Kunden, efter at tjenesterne vedrørende behandling er ophørt – typisk ophør af Abonnement Aftalen - og Evovia sletter eksisterende kopier, medmindre Evovia er underlagt en retlig forpligtelse, som foreskriver at Evovia skal foretage opbevaring af personoplysningerne.

Evovias gennemførelse af Kundens instruks om at slette eller udlevere Kundens oplysninger sker i overensstemmelse med Databeskyttelsesforordningens regulering og så hurtigt, som det er praktisk muligt. Som standard sletter Evovia kundedata fra driftsmiljøet 14 dage efter Abonnement Aftalen er ophørt. Kunden accepterer herunder, at Kundens data indgår i en backup procedure i 90 dage, hvorefter alle kopier af Kundens data er slettet.

Det betyder konkret:

  1. Kunden har valget mellem at få tilbageleveret data (dvs. selv hente det ud, som skal hentes ud) eller blot slettet data. Hvis Evovia tilbageleverer/kunden selv henter ud, så sletter vi efterfølgende på en aftalt dato. Det er det, der står i bestemmelsen – og det er det, som databeskyttelsesforordningen stiller krav om.
  2. Kunden kan dermed frit vælge at få udleveret data/selv hente dem ud. Hvis kunden er underlagt arkivloven og arkivpligten, kan man således blot få udleveret data/selv hente dem ud til dette formål.
    Der er derfor ikke noget problem i bestemmelsen.
  3. Kunden kan efter skriftlig henvendelse og mod særskilt betaling på kundens instruks få Evovia til at bistå med at hente de relevante data ud til arkivering af data efter arkivloven, forinden sletning gennemføres i Evovia.
Begunstiget tredjemand i tilfælde af konkurs

Spørgsmål:
Hvem er begunstiget tredjemand i tilfælde af konkurs?

Svar:
Evovia har valgt at fravige Bestemmelsernes punkt 7.6, da det synes svært at se, hvordan dette skal udspille sig i praksis. I tilfælde af Evovias konkurs vil konkurslovens regler træde i kraft. Dette forhold bør ikke blive reguleret i en databehandleraftale og konkurslovens regler kan ikke blot fraviges. På trods af, at Datatilsynet har valgt at indsætte denne bestemmelse i standardkontraktsbestemmelserne, er det ikke et krav efter databeskyttelsesforordningens artikel 28. Det betyder, at databehandleraftalen fortsat lever op til databeskyttelsesforordningen selvom dette afsnit fraviges. Desuden er det en forpligtigelse, som Evovia med stor sandsynlighed ikke kan videreføre til eventuelle underdatabehandlere, hvilket vil bringe Evovia i misligholdelse med databehandleraftalen. 

Data til forskningsformål i 100 % anonymiseret form


Spørgsmål:
Jeg skriver i Abonnementsvilkår og Forretningsbetingelser på Evovia, der stiller data til rådighed for forskning på Aarhus Universitet i 100% anonymiseret form. I skriver også, at kunden måske ønsker at blive undtaget fra dette. Derfor spørger vi: Kan I specificere, hvad man mister som kunde, hvis ikke ønsker at have vores data inkluderet i den anonymiserede statistik?

Svar:
Det er korrekt. I vores Abonnementsvilkår og Forretningsbetingelser skriver vi således: (link).

Evovia forbeholder sig retten til, i samarbejde med universitetsforskere, at bruge statistisk data i 100 % anonymiseret form til specifikke formål. Det er en mulighed, som vi altid har I vores Forretningsbetingelser, og det er følgende principper:

Evovia foretager en dataudtræk, som er 100% anonymt og ikke kan identificere en bestemt kunde eller gruppe, idet datauddragene kun vælges på følgende parametre:

  • Lederens køn
  • Medarbejderens køn
  • Lederens kontrolpanel (antal medarbejdere, man er direkte leder for)
  • Offentlig eller privat virksomhed
  • Geografiske hovedkategorier
  • Og i nogle overordnede branchesegmenter, når der er sikkerhed for en kritisk masse af kunder, så anonymitet kan opretholdes.

Hvis en kunde ikke ønsker at indgå i sådanne benchmarks, kan de kontakte Evovia. Så vil kunden ikke deltage eller selv kunne benytte denne benchmark. 

I en række år har vi arbejdet sammen med blandt andet Statskunstskab på Aarhus Universitet. Læs mere her (link).

Det betyder,

  • Hvis en kunde ønsker at blive ekskluderet fra dette, vil kundens data ikke blive brugt til forskning.
  • Det vil heller ikke være muligt at lave en udtræk for virksomhedens data.  
Dokumentation for ISAE-3000-revisionserklæring


Spørgsmål:
Kan dataansvarlig få tilsendt den underliggende dokumentation for ISAE 3000-erklæringen, som fx underdatabehandleraftaler, risikovurdering osv.?

Svar:
Nej. Ikke uden videre. Og slet ikke få tilsendt!

Vores system er omgærdet af ekstrem høj sikkerhed, så derfor kan og må vi slet ikke sende en masse af den slags ud af huset. Derfor bruger vi et 6-cifret beløb hvert år på at få BDO til som uvildig og anerkendt revisionsfirma at udarbejde den årlige ISAE 3000–revisionserklæring ultimo maj, som alle vores kunder får indsigt i. I virkeligheden på samme måde som ved et revideret regnskab, som offentliggøres. Der bliver bilag og lignende heller ikke offentliggjort.               

Vores ISAE 3000 er revisionens dokumentation for og blåstempling af kontrolmålene i erklæringen. Hvis der er afvigelser på et eller flere kontrolmål, vil det tydeligt fremgå af revisors forbehold. Der er i erklæringen medtaget alle relevante kontrolmål udarbejdet af FSR, som er publiceret af Datatilsynet i februar 2019. Og det fremgår klart her, at de anførte kontrolmål er eksempler, som må tilpasses den enkelte virksomheds data, som behandles på kundernes vegne.

Hvis en kunde ikke er tilfreds med ISAE 3000-revisionserklæringen, kan en ledelseserklæring fra Evovias direktion, på temaer som evt. ikke findes tilstrækkeligt belyst i ISAE 3000, komme på tale. Og hvis det fortsat ikke er tilfredsstillende, kan kunden bede om en ekstern Audit – som så til gengæld foregår on location og mod honorar og omgærdet af stor sikkerhed og fortrolighedserklæringer o.l. Om priser se her fra vores databehandleraftale.

Forskningssamarbejde med Aarhus Universitet


Spørgsmål:
Er der et fælles dataansvar hos Evovia, når Evovia selv behandler data ved for eksempel at sende anonyme data til forskning på Aarhus Universitet? 

Svar:
I Abonnementsvilkårene og Forretningsbetingelserne står som følger:

Evovia forbeholder sig ret til i samarbejde med universitetsforskere at anvende statistiske data i 100% anonymiseret form til videnskabelige formål. Dette er en mulighed, som vi altid har medtaget i vores forretningsbetingelser, og det følger følgende principper:

Evovia foretager et datauddrag, der er 100% anonymt og ikke kan identificere en bestemt kunde eller gruppe, da dataekstrakter kun vælges på følgende parametre:

  1. Lederens køn
  2. Medarbejderens køn
  3. Lederens kontrolpanel (antal medarbejdere, man er direkte leder for)
  4. Offentlig eller privat virksomhed
  5. Geografiske hovedkategorier
  6. Og i nogle overordnede branchesegmenter, når der er sikkerhed for en kritisk masse af kunder, så anonymitet kan opretholdes.

Hvis en kunde ikke ønsker at blive medtaget i et sådant benchmark, kan man fritages ved at kontakte Evovia. Derefter vil kunden hverken deltage eller kunne benytte sig af dette benchmark.

Det korte svar er herefter:

    • Nej, der er ikke tale om fælles ansvar her
    • Som kunde er du ansvarlig for det, du indtaster - og hvad du vil bruge de statistikker, der kan udtrækkes fra systemet, grafer og rapporter - og hvordan
    • Evovia er ansvarlig for, hvordan data lagres og stilles til rådighed for kunden - herunder i statistikker og rapporter, og at det overholder lovgivningen
    • Og i forhold til 100% anonyme data til forskningsformål på Aarhus Universitet - tilbyder vi ikke noget for dem, der ikke kan udtrække statistikker og rapporter, bare 100% anonymitet! Men vi har netop udvidet med geografi og overordnet industri + mand/kvinde leder, og her bruger vi et enkelt forskningsprogram, der "gætter" på køn med hensyn til fornavn med den risiko, at "Inge" er en drengs navn i Norge, mens det er et pigenavn i Danmark.
    • Og endelig kan enhver kunde på anmodning fravælge at deltage i og benytte sig af sådanne benchmarkdata. 
Garantier ved sikkerhedsbrud


Spørgsmål:
Der mangler noget, specielt i afsnittet "Rapportering af sikkerhedsbrud". Evovia giver ingen kontraktlige forsikringer om, at vi kan løfte 72 timers-kravet i forhold til en databrist fra dem, da Evovia ikke garanterer den slags information, Artikel 33 og 34 kræver.

Svar:
Nej, intet mangler. Begge dele er tydeligt indeholdt. Og Evovia giver de nødvendige garantier.

Vær opmærksom på, at dataansvarliges deadline for max 72 timer først regnes fra den meddelelse, der er modtaget fra databehandleren. Da databehandleren skal underrette uden unødig forsinkelse, og da databehandleren alene finder ud af, at der er sket en overtrædelse, vil dette i praksis giver meget begrænsede muligheder for databehandleren til at være opmærksom på overtrædelsen, så ​​meddelelsen kan gives.

I Evovia databehandleraftale følger heraf, at databehandleren er forpligtet til at bistå den dataansvarlige med at opfylde sine forpligtelser efter artikel 33 og 34.

Der er derfor indeholdt de nødvendige garantier for, at Evovia assisterer i forhold til at løfte den dataansvarliges forpligtelser.  

Yderligere dokumentation:
Betænkning angiver på side 496 at:

Som anført i bestemmelsens ordlyd, aktiveres den registeransvarliges forpligtelse til at anmelde personoplysninger til tilsynsmyndigheden, når den registeransvarlige er blevet opmærksom på brud på personoplysninger. En simpel formodning om, at brud på personoplysninger er sket eller en simpel opdagelse af en hændelse, anses ikke for tilstrækkelig til at betragte et brud på databeskyttelsen som værende "sket" i henhold til forordningen. En sådan simpel formodning kan dog forårsage, at den dataansvarlige skal overveje behandlingssikkerheden, jf. artikel 32.

I vurderingen af, om et brud er "sket", må antages at tage særligt hensyn til, om de oplysninger, der er nævnt i artikel 33, stk. 3, står til rådighed for udbyderen.

Og på side 497:

Hvad angår de tilfælde, hvor den registeransvarlige har forladt behandlingen af ​​personoplysninger til en databehandler, henvises der til forordningens artikel 33, stk. 1. 2, som er beskrevet mere detaljeret nedenfor.

Justitsministeriets bekendtgørelse forbinder derfor ikke datastyrelsens deadline og en databehandlers deadline.

Disse afsnit gentages i den manual, der er udstedt af Datatilsynet vedrørende krænkelser af personoplysninger.

Artikel 29 gruppen har i deres WP250 om brud på persondatasikkerheden på side 13 anført:

Artikel 33, stk. 2, gør det klart, at hvis en databehandler benytter en databehandlers data, og databehandleren bliver opmærksom på en overtrædelse af de personoplysninger, vedkommende behandler på vegne af, skal vedkommende underrette administrationen ”uden unødig forsinkelse”. Det er vigtigt at bemærkes, at databehandleren ikke først skal vurdere sandsynligheden for risiko som følge af en overtrædelse, inden vedkommende underretter den dataansvarlige. Det er den dataansvarlige der må foretage den nødvendige vurdering for at blive opmærksom på overtrædelsen. Databehandleren skal konstatere, om der er sket en overtrædelse, og giver derefter besked til den dataansvarlige. Den dataansvarlige bruger databehandleren til at nå sine mål; Derfor bør den dataansvarlige i princippet betragtes som "opmærksom", når databehandleren har informeret om overtrædelsen. Databehandlerens forpligtelse til at underrette sin registeransvarlig gør det muligt for den dataansvarlige at afhjælpe overtrædelsen og afgøre, om det er nødvendigt at underrette tilsynsmyndigheden i overensstemmelse med artikel 33, stk. 1, og de berørte personer i overensstemmelse med artikel 34, stk. 1. Databehandleren vil måske også undersøge overtrædelsen, da vedkommende måske ikke er i stand til at kende alle relevante fakta i sagen, for eksempel hvis en kopi eller backup af persondata ødelagt eller tabt af databehandleren stadig er afholdt af databehandleren. Dette kan påvirke, om den dataansvarlige derefter skal underrettes.

Uanset hvad Datatilsynet angiver i deres præsentation af en databehandlingsaftale, regnes den dataansvarlige deadline først efter, at meddelelsen er modtaget fra databehandleren. Da databehandleren skal underrette uden unødig forsinkelse, og da databehandleren kun finder ud af, at der er sket en overtrædelse, vil dette i praksis give meget begrænsede muligheder for at opholde sig fra databehandleren for at være opmærksom på overtrædelsen af ​​meddelelsen.

Det følger heraf, at databehandleren er forpligtet til at bistå den dataansvarlige med opfyldelse af sine forpligtelser efter artikel 33 og 34.

Det indeholder derfor tydeligt de nødvendige garantier, som Evovia bistår med, når de løfter den dataansvarliges forpligtelser. 

Godkendelse af Databehandleraftalen


Spørgsmål:
Hvor og hvordan godkender man Databehandleraftalen?

Svar:

  • Så snart, der oprettes topledelse i en organisation – eller den inkluderes i et topniveau – logges der ind i Evovia. Derefter åbner databehandlingsaftalen, og du kan ikke fortsætte, med mindre en af jer har godkendt den.
  • Hvis ikke du har haft tid til at læse databehandlingsaftalen, bedes du venligst acceptere den. Så har du indtil d. 14. maj 2018 til at underskrive datavilkår og tjenester. Hvis ikke vi hører mere fra kunden inden 14. maj 2018 er godkendelsen gyldig.   
  • Nogle sekunder efter godkendelsen får du en mail i din indbakke, hvor der er vedhæftet en PDF-fil til hele databehandlingsaftalen, hvor din virksomheds navn er tilføjet – sammen med Evovias direktørers underskrifter.   
Godkendelse af underdatabehandlere?


Spørgsmål:
Skal Evovia som databehandler ikke have en godkendelse fra den dataanvarlige, altså kunden før eventuel skift af underdatabehandler?

Svar:
Først vil vi beskrive, hvad den normale procedure er, hvis der skal skiftes underdatabehandler. Der vil det ske i ro og mag, og så er der 30 dages mulighed for, at kunderne ved den fælles henvendelse herom kan gøre indsigelse og evt. opsige abonnementet, hvis man ikke kan acceptere den nye underdatabehandler. Denne hovedvej står klart i vores Databehandleraftale.

Men i akutte sikkerhedsmæssige situationer må vi handle for at sikre bedst mulig sikkerhed for kunderne.

Her forklares nærmere hvorfor:

  • Som ansvarlig databehandler er vi nødt til at se force majeure-situationer i øjnene. Hvis fx en underdatabehandler misligholder vores tillid, må vi af hensyn til vores +600 kunder handle øjeblikkeligt og udskifte.
  • Hvis vi akut skal flytte til en større sikkerhed, ville vi blive nødt til at lade data, for de kunder som ikke vil acceptere en generel godkendelse, ligge hos den underdatabehandler, vi ikke længere kan stå inde for. Og det er selvfølgelig ikke holdbart.

Her er en præcisering af, hvordan proceduren i praksis vil være i en sådan akut situation:

  • Hvis vi over night må skifte underdatabehandler, så gør vi det
  • I samme nu det er sket, og alt er valideret hos os – sender vi en enslydende orientering til alle +600 kunder, hvor vi redegør for det og præsenterer den nye og validiteten
  • Hvis en kunde ikke kan acceptere det, så tager vi en dialog om det – og stopper eventuelt samarbejdet og vi leverer data tilbage.

Vi må samtidig sige, at vi aldrig har været i nærheden af en sådan situation.

I Evovia har vi valgt den generelle godkendelse, jf. Forordningens artikel 28, da den specifikke af sikkerhedsmæssige hensyn ikke kan accepteres overfor jer som kunder. Ovennævnte lever op til Artikel 28 i Forordningen og er valideret af vores GDPR-advokater.

Hændelser - opbevaring og sletning af indberetning

Efter dialoger med Datatilsynet i efteråret 2022 står to ting klart,

  1. at Evovia som Databehandler har pligt til at stille legale rammer til rådighed for behandling og opbevaring af data vedr. hændelser. I udgangspunktet har vi sat det op, så sådanne data gemmes i 5 år, hvorefter de automatisk slettes, når de 5 år er gået
  2. at kunden som Dataansvarlig har pligt til ikke at gemme sådanne data længere end nødvendigt. Det kan være fx 3 eller 5 år. Rent praktisk sker det ved, at kunden henvender sig til Support og få os til at opsætte dette redskab, Hændelser, til kun at gemme i fx 3 eller 5 år, hvorefter data slettes. Men det betyder så, at hvis en enkelt sag skal gemmes længere, så må kunden selv hente den ud og gemme den uden for Evovia, da sletning ellers sker automatisk.
Information om brud på persondatasikkerheden til tilsynsmyndigheden


Spørgsmål:

Nogle har spurgt os, om vi kan sætte en deadline, så vi som databehandlere rapporterer brud på datasikkerhed inden for max 24 timer. I øjeblikket står der "uden unødig forsinkelse".

Svar:
Nej, det hverken kan eller vil vi. Men derimod "smider vi, hvad vi har i hænderne". Og uden unødig forsinkelse opklarer vi alle relevante elementer og rapporterer om muligt. Ønsket om fx 24 timer er derfor ikke relevant. For det skyldes en fejllæsning af selve Persondataforordningens artikel 33 (se nedenfor her). Databehandleren skal rapportere uden unødig forsinkelse. Og dataansvarlige skal rapportere inden for 72 timer. Disse to tidsrammer hænger ikke sammen. Den dataansvarlige har 72 timer fra det øjeblik, databehandleren informerer dem.

Sagen er:

  • Hvis der er et brud på den personlige datasikkerhed, har vi som databehandler følgende ansvar:
  • “Informer dataansvarlig (=kunden) uden unødig forsinkelse efter at være gjort opmærksom på, at der har været en overtrædelse af den personlige databeskyttelse” (citat fra artikel 33).
  • Det betyder virkelig hurtigst muligt! Men også på en måde, så databehandler sikrer, at man ikke unødvendigt sår tvivl eller uro hos unødvendigt mange kunder, så databehandleren skal klargøre ting forsvarligt. Det sker hurtigst muligt! Og uden unødig forsinkelse.
  • Og derefter, når så kunden (=dataansvarlige) får besked, har kunderne 72 timer til at opfylde deres forpligtelser.
  • Det er selvfølgelig i alles interesse, at det sker så hurtigt som muligt! Eller: Uden unødig forsinkelse, som artikel 33 siger! 

Her er selve teksten: EU's Persondataforordning, Artikel 33  

Information om brud på persondatasikkerheden til tilsynsmyndigheden

  1. Ved brud på persondatasikkerheden anmelder den dataansvarlige uden uønsket forsinkelse og om muligt senest 72 timer efter at være blevet bekendt med det, krænkelsen af ​​persondatasikkerheden til den tilsynsmyndighed, der er kompetent i overensstemmelse med artikel 55, med mindre det er usandsynligt at krænkelsen af persondatasikkerheden udgør en risiko mod en virkelig persons rettigheder og frihed. Foretages anmeldelsen til tilsynsmyndigheden ikke inden 72 timer, ledsages den af en begrundelse for forsinkelsen.
  2. Databehandleren informerer uden unødig forsinkelse den dataansvarlige, når vedkommende opdager, at der er sket en overtrædelse af den personlige datasikkerhed.
  3. Den i stk. 1 omhandlede anmeldelse skal mindst:
    1. beskrive oprindelsen af bruddet på persondatasikkerheden, inklusiv, hvor det er muligt, kategorierne og det estimerede antal registrerede personer, såvel som kategorierne og det estimerede antal optegnelser af de berørte persondata.
    2. angive navne og kontaktinformationer på datasikkerhedskonsulenten eller en anden kontakt, hvor der kan tilbydes yderligere information.
    3. beskriv de tænkelige konsekvenser af bruddet på persondatasikkerheden.
    4. beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger til begrænsning af mulige skadelige virkninger.
  4. Når det ikke er muligt at give informationerne på samme tid, må informationerne gives i faser uden unødig forsinkelse.
  5. Den dataansvarlige dokumenterer alle brud på persondatasikkerheden, herunder de faktiske omstændigheder i forbindelse med brud på persondatasikkerheden, dens virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal gøre det muligt for tilsynsmyndigheden at kontrollere overholdelsen af ​​denne artikel.
Instruksen fra Dataansvarlige til Databehandler


Spørgsmål:
Når det i henhold til forordningens artikel 28, stk. 3a hedder, at databehandleren kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, hvad betyder det så? Skal der foreligge et særligt dokument for det?

Svar:
Nej, ikke nødvendigvis. Vi kan ikke forudsige alle tænkelige situationer, men når det sker, skal det dokumenteres/kunne dokumenteres.

Konkret: Hvis en leder eller medarbejder har et teknisk problem under MUS-dialogen og kontakter support, og support ikke kan løse kundens opgave uden at få adgang til spørgeskemaet, kan support kun gøre det, hvis en leder/medarbejder går ind på sin profil og giver support adgang via et afkrydsningsfelt, som kan fjernes så snart, problemet er løst. Denne instruktion er beskrevet i systemet.

Instruktionerne ligger i vilkårene under overskriften "Behandling", hvori det er angivet, ved kundens accept af Databehandervervilkårene, at kunden opfordrer Evovia til at behandle kundens personoplysninger til levering af Evovia lagringsservice på vilkår, som angives i Tilmeldingsaftalen og disse Databehandervilkår.

I selve databehandlervilkårene er der et afsnit vedr. behandlingens karakter og formål, hvor der bl.a. står: Det kan herudover være aftalt konkret mellem parterne, at behandlingernes art også omfatter levering af tjenester, der indebærer behandling af kundens oplysninger. Det giver mulighed for, at kunden kan give Evovia instruktioner til at tage sig af f.eks. en anonym trivselsundersøgelse for kunden. Derefter handler databehandleren på klare instruktioner fra dataansvarlige i den givne situation.

Det er sådan, det skal anskues.

Opbevaring af data efter ophør

Spørgsmål:
Hvad ligger til grund for bestemmelsen om, at databehandler kan opbevare data efter ophør af Abonnementsaftalen? Hvilken retslig forpligtelse kan der være tale om? 

Svar:
Ordlyden følger af minimumskravene til en databehandleraftale efter databeskyttelsesforordningens artikel 28, stk. 3, litra g. Evovia kan retligt være forpligtet til at opbevare data. Det kan f.eks. være domstole eller andre offentlige myndigheder, som forpligter Evovia til at opbevare data. Der er på nuværende tidspunkt ikke meget praksis på området, hvorfor det er svært at give et præcis eksempel herpå.

Opbevaring af data på fratrådte medarbejdere

Spørgsmål:
Det fremgår af Evovias databehandleraftale, at når en medarbejder slettes fra kundens system, bliver medarbejderen slettet efter 14 dage, mens de indtastede data, aftaler og scorer er lagret i lederens arkiv i 5 år. Er det lovligt med de 5 år?

Svar:
Ja, det er lovligt at lagre personaledokumenter i +5 år ifølge Datatilsynets praksis, og lederens arkiv er et arkiv, som kun den pågældende leder har adgang til, og det skal betragtes som en "udvidet funktion" af medarbejdermappen. 

Oplysningspligt over for medarbejdere


Spørgsmål:
Vi har som dataansvarlig en oplysningspligt over for vores medarbejderne. Kan I hjælpe med at opfylde den? 

Svar:
Ja, det kan vi, og her har vi sammensat en tekst plukket fra eksisterende materiale:

Typer af oplysninger, som lagres.

Her fra Databehandleraftalens tekst:

Typen af oplysninger
De overladte behandlinger omfatter de typer af oplysninger, som Kunden indtaster og indlæser i Evovia cloudtjenesten. Dette omfatter navne, e-mail adresser, medarbejderes placering i organisationen, oplysninger om nærmeste leder samt de øvrige personoplysninger, som medarbejderen og dennes leder selv lægger ind i cloudtjenesten, fx forberedende notater, score, kommentarer af aftaler og handlingsplaner med deadline ved MUS, APV mv..

Hvor lagres data rent faktisk?
Her fra Bilag om Underdatabehandlere (står også i mere kortfattet tekst i Bilag om Implementerede sikkerhedsforanstaltninger):

UNDERDATABEHANDLERE

Al data opbevares i et tysk datacenter hos Hetzner Online GmbH.
Data forlader ikke hostingcentret med mindre dette er aftalt med Dataansvarlige. Data opbevares kun på Databehandlerens computere i det omfang indholdet måtte blive cachet i browseren. Personfølsomme data vil kun blive cachet på Databehandlerens computer, hvis der er givet tilladelse af Dataansvarlige til at arbejde med data.

1. Underdatabehandlere, som vi har Underdatabehandleraftale med:

Traels.it, Bøgevej 32, 5200 Odense V. Danmark, att. Simon Ravn

Hovedansvar for den tekniske udvikling af hele musskema.dk platformen og derfor har fuld adgang.

Hetzner Online GmbH, Industristrss. 25, 91710 Gunzenhausen

Hosting af alle servere

I forbindelse med driftsudfordringer kan de gives adgang til applikations-servere – men ikke database-servere, som indeholder fortrolig data

  • Hetzner Online, Tyskland – har en afdeling i Finland, som ikke foretager egentlig databehandling men alene opbevarer vores krypterede backupfil.
  • Hetzner Online, Tyskland har en underdatabehandleraftale med den finske afdeling: Hetzner Finland Oy, Huurrekuja 10, 04360 Tuusula, Finland

Hvor længe opbevares data?
Her fra FAQ, Personalemapper:

Normalt altid 5 år – i henhold til Datatilsynets praksis.

Personalemapper 
- på fratrådte medarbejdere, hvor lang tid skal data ligge her?

Spørgsmål:
Det fremgår af Evovias databehandleraftale, at når en medarbejder slettes fra kundens system, bliver medarbejderen slettet efter 14 dage, mens de indtastede data, aftaler og scorer er lagret i lederens arkiv i 5 år. Er det lovligt med de 5 år?

Svar:
Ja, det er lovligt at lagre personaledokumenter i +5 år ifølge Datatilsynets praksis, og lederens arkiv er et arkiv, som kun den pågældende leder har adgang til, og det skal betragtes som en "udvidet funktion" af medarbejdermappen. 

Hvem kan se hvad? 
Her fra selve systemet, hvor alle dialogdokumenter øverst indeholder nedenstående data, så ingen medarbejder eller leder er i tvivl om, hvem der kan se hvad, inden man indtaster noget… Her eks. fra MUS:

    1. Hvem er denne medarbejder: Jørgine
    2. Hvilket team sidder hun i: Administrationen
    3. Hvem kan se de indtastede data i selve forberedelsesarket + referatet: Nærmeste leder/Poul L. (ved lederskift kan den nye leder IKKE se fortrolige data af denne slags – med mindre medarbejderen selv viser dem).
    4. OG Kasper M., det er nemlig muligt at inddrage flere personer til indsigt i data, men kun når medarbejderen forlods kan se det og aldrig bagudrettet.
    5. Indgåede aftaler og anonyme grafiske oversigter pr. team kan ses af overordnede chef og eventuelt HR, som kan inddrages, og det fordi Aftaler forpligter også organisationen ud over den nærmeste leder. Eventuel ny leder vil altid kunne se aftaler, idet de som sagt forpligter ud over den leder, som har indgået aftalen.
Privacy by default og Privacy by design

Spørgsmål:
Har Evovia beskrevet en Privacy by default og Privacy by design?

Svar:
Ja det har vi.

Hos Evovia har vi hele vejen igennem tænkt privacy. Der er valgt gode tekniske løsninger, som sikrer at data og filosofien gennem udviklingen har været at skabe et trygt rum, hvor medarbejderen ved, at det kun er den/de indvolverede ledere, der har adgang til de ting, der skrives.

Da vores filosofi fra starten har været at skabe et fortroligt rum mellem leder og medarbejder, er der heller ikke noget, man skal slå til for at sikre data - som eksempel skal en bruger give supportere tilladelse, før systemet lader dem gå ind på elementer, der tillader fortrolige data

Dette kan eksemplificeres således:

Privacy by design

Privacy by design

Privacy by default
Hele arkitekturen i Evovia er bygget op med udgangspunkt i at sikre fortrolighed og den højeste persondatabeskyttelse. Samtidigt er det indarbejdet, at personlig information om en bruger kun bliver opbevaret, så længe som det er nødvendigt for at kunne levere vores service.

Hvem kan se hvad?
Her fra selve systemet, hvor alle dialogdokumenter øverst indeholder nedenstående data, så ingen medarbejder eller leder er i tvivl om, hvem der kan se hvad, inden man indtaster noget. Her et eksempel fra MUS:

 

  1. Hvem er denne medarbejder: Jørgine
  2. Hvilket team sidder hun i: Administrationen
  3. Hvem kan se de indtastede data i selve forberedelsesarket + referatet:
    Nærmeste leder/Poul L. (ved lederskift kan den nye leder IKKE se fortrolige
    data af denne slags med mindre medarbejderen selv viser dem).
  4. OG Kasper M., det er nemlig muligt at inddrage flere personer til indsigt i data,
    men kun når medarbejderen forlods kan se det og aldrig bagudrettet.
  5. Indgåede aftaler og anonyme grafiske oversigter pr. team kan ses af overordnede
    chef og eventuelt HR, som kan inddrages. Det er fordi aftaler også forpligter
    organisationen ud over den nærmeste leder. Eventuel ny leder vil altid kunne se
    aftaler, idet de som sagt forpligter ud over den leder, som har indgået aftalen.
Ret til at afslå eller acceptere instruks

Spørgsmål:
Hvad betyder det, når der i punkt 3.2. står, at I som databehandler frit kan vælge at afslå eller acceptere en instruks fra dataansvarlig?

 

Svar:
Det følger af databeskyttelsesforordningen, at databehandleren kun må behandle personoplysninger efter den dataansvarliges instruks. Det bør naturligvis være forudsat af, at databehandleren kan acceptere vilkårene for en sådan instruks. Tilføjelsen af ”som databehandleren har accepteret” såvel som bestemmelsernes 2.3, præciserer blot, at databehandleren alene bør efterleve de instruksbeføjelser, hvor der er opnået enighed herom mellem parterne. Dette for at databehandleren ikke fremtidig kan blive mødt med nye instrukser eller gjort ansvarlig over for disse, såfremt instruktionerne ikke i forvejen er accepteret af databehandleren. Databehandleren er derfor berettiget til at afslå yderligere instruktioner.

Revisionserklæring - hvorfor ISAE 3000?


Spørgsmål:
Hvorfor ISAE 3000?

Svar:
Evovia har sammen med BDO valgt ISAE 3000, som den bedste og mest dækkende europæiske standard for vores område. Og de enkelte kunder kan se den senest opdaterede på deres profil. Den opdateres årligt.

Den overordnede forskel mellem ISAE 3000 og andre lignende fx ISAE 3402 ligger i, at ISAE 3402 finder anvendelse, når erklæringen og de kontroller der indgår i erklæringen, omhandler finansiel rapportering. Hvis Evovias produkt var ex. at levere Axapta, så ville erklæringen skulle bruges af vores kunders revisorer til brug for aflæggelse af regnskabet for vores kunder. I det tilfælde, burde det være en ISAE 3402.

Men sådan er vores produkt jo ikke.

ISAE 3000 kan bruges til alt andet end finansiel rapportering, herunder eksempelvis rapportering på kontroller omkring persondata, som BDO har lavet hos os. Men generelt kan den bruges til alt der ikke behandler finansiel information, ex. service desk systemer, portaler etc.

Når det er sagt, så er der overlap i kontrollerne. Område B i vores erklæring omhandler generelle it-kontroller, som ofte også vil være omfattet af en ISAE 3402 erklæring. ISAE 3402 erklæringen vil dog ofte have endnu flere it-kontroller med, men ikke indeholde noget om persondata.

Så hvor vidt der skal leveres den ene eller den anden type erklæring, afhænger af den service, der leveres. Hvis vores kunder ønsker rapportering på, hvorvidt Evovia overholder databehandleraftalen og beskytter kundernes persondata, så er ISAE 3000 den rigtige. Havde vi nu været et datacenter, eller på anden vis drev kundens IT-systemer, ville ISAE 3402 måske være bedre.

Derfor har vi valgt ISAE 3000.

Risikovurdering - som grundlag for sikkerhedsniveauet


Spørgsmål:
Hvilken risikovurdering er baseret på sikkerhedsniveauet i systemet? Og er det taget i betragtning, at systemet muligvis kan indeholde sundhedsoplysninger?

Svar:
I risikovurderingen er der inkluderet en vurdering af risikokilderne: De sårbarheder, der kan eksistere i systemet, og hvordan dette trusselbillede kan føre til en begivenhed, der kan karakteriseres som en krænkelse af personoplysninger, i overensstemmelse med databeskyttelsesforordningen natur. 4 (12). Sandsynligheden og sværhedsgraden af ​​et brud vurderes derefter for at bestemme det samlede risikobillede.

Der er klare instruktioner fra Evovia til brugerne om, at der ikke er behov for at indlæse sundhedsoplysninger i vores system. Evovia er ikke et journalsystem - men det kan bruges til en meget god dialog om, hvad der skaber og reducerer fravær. Det er et dialogsystem.

Samtykke for at trække anonyme grafisk data


Spørgsmål:
Skal medarbejdere give samtykke for, at der kan trækkes anonyme grafiske data?

Svar:
Nej, det skal medarbejderen ikke. Og medarbejderen kan heller ikke forlange det.

Juridisk set er der ikke hjemmel for at stille det krav.

Idet der kan ske anonymisering, kan der også udtages statistiske oplysninger, så længe det ikke er muligt at identificere personen ud fra oplysningerne. Vi følger dog klart de anbefalinger fra Datatilsynet, at ved fx udtræk af anonymiserede data til Excel, skal der altid være mindst 4 besvarelser for at opretholde anonymiteten i sådanne sager.

Når en virksomhed registrerer og behandler personoplysninger i forbindelse med gennemførelse af MUS-samtaler, så følger det af Datatilsynets retningslinjer, at

”I det omfang der […] afholdes medarbejderudviklingssamtaler på det private arbejdsmarked, vil almindelige oplysninger kunne behandles med samtykke eller på grundlag af artikel 6, stk. 1, litra f. Hvis der er tale om følsomme oplysninger, vil der som udgangspunkt kun kunne ske behandling med den ansattes udtrykkelige samtykke. Der kan dog også være tale om behandling af oplysninger med anden hjemmel, f.eks. forordningens artikel 9, stk. 2, litra f (fastlæggelse mv. af retskrav).”

Virksomheden kan derfor ud fra en interesseafvejning foretage behandling af personoplysninger i forbindelse med MUS-samtaler.

Der vil derfor heller ikke som udgangspunkt være tale om en samtykkebaseret behandling- eller en behandling, der kun kan ske på baggrund af et samtykke.

Juristerne diskuterer det med at lave statistiske oplysninger ud fra persondata. Juristerne fastslår for det første, at anonymisering af personoplysninger slet ikke er en behandling, idet det savner mening i forhold til grundprincippet i Forordningens art. 5 om opbevaringsbegrænsning. Forordningen angiver i præamblen direkte, at behandling af anonymiserede data falder udenfor forordningens anvendelsesområde. (Peter Blume har argumenteret for at det synspunkt).  

Andre jurister fastslår, at anonymisering altid ligger indenfor det behandlingsformål, man oprindeligt har, idet det igen understøtter behandlingsprincippet om opbevaringsbegrænsning.

Endelig fastslår andre jurister, at anonymisering altid er foreneligt med det oprindelige formål, og at behandlingen derfor kan ske.

Evovia har normalt anbefalet de to først anførte vinkler på sagen.

Skifte af underdatabehandler – leveranceforpligtelse i varslingsperiode

Spørgsmål:
I fraskriver jer i punkt 6.3 ansvaret for manglende opfyldelse af leveranceforpligtelse i varslingsperioden for skifte af underdatabehandler. Hvordan stiller det os som dataansvarlig?

Svar:
Der er tale om en kommerciel beslutning af hensyn til bestemmelsernes 6.3, hvorfor Evovia henset til nyere praksis har besluttet at tilføje afsnittet. Vi forbeholder os retten til at fortsætte afkrævning af betaling, hvis særlige tilfælde, herunder nyere praksis, lovgivning, underleverandørs konkurs mv. forhindrer vores leveringen af ydelsen. I de særlige situationer der kan opstå i varselsperioden, vil den dataansvarlig skulle acceptere dette, således databehandleren holdes ansvarsfri for sådan manglende opfyldelse. Dette begrænser ikke den dataansvarliges mulighed for at ophæve aftalen efter almindelige vilkår i henhold bestemmelsernes 6.5 i øvrigt. Vi gør dog opmærksom på, at der er tale om særlige tilfælde og Evovia altid vil bestræbe sig på, at ydelsen leveres som aftalt.

Udstedelse af bøder - ansvarsbegrænsning?


Spørgsmål:
Hvis den bødeudstedende myndighed fastsætter en ansvarsfordeling, følger man så den, eller er der en intern afgørelse af det samme? Begrænsning af ansvar er ikke helt klart. 

Svar:
Som udgangspunkt følges opdelingen af ​​ansvaret udstedt af den bødeudstedende myndighed. 83 - hvilket naturligt ville være i overensstemmelse med principperne. 82 også. I den udstrækning en del under henvisning til garantierne mv., indgår det i aftalen, hvad det betyder, at den endelige ansvarsfordeling skal være forskellig. Dette kan forfølges, men i så fald vil det i sidste ende være en domstolsbeslutning. 

Underdatabehandleres CVR-nummer

Nogle har efterspurgt underdatabehandleres CVR-nummer:

  • Traels.it: CVR 22001884
  • Hetzner: VAT Reg. No.: DE812871812
Underdatabehandleraftaler - kan kunden se dem?


Spørgsmål:
Er det muligt at se underdatabehandleraftalerne? 

Svar:
Man har ikke adgang til at læse databehandlerens aftaler med underdatabehandlere. Evovia får hvert år senest ultimo maj måned udarbejdet en revisionserklæring, ISAE 3000, som lægges på secure-hjemmesiden til alle kunder. 

Underskrivning af Databehandleraftalen: Skal den underskrives fysisk?


Spørgsmål:
Skal der foreligge en fysisk underskrift af Databehandleraftalen?

Svar:

  • Nej, det er ikke nødvendigt.
  • Vi kan ikke dokumentere, hvem I virksomheden der har accepteret – og hvornår.
  • Det er nok.
  • Men i samme øjeblik en kunde har accepteret Databehandleraftalen i vores system, modtager du en mail med en PDF-fil med hele aftalen, og med firmaets navn indsat + en dato og underskrift samt stempel fra Evovias direktion.
  • Se også: Godkendelse af Databehandleraftalen
Vederlag for bistand eller tilsyn/revision

I skriver nogle steder, at I kan kræve ekstra vederlag – fx i forbindelse med tilsyn/revision. Hvad kan det fx være?

For alt som handler om vores bistand til den dataansvarliges forpligtelser efter databeskyttelsesforordningen art. 33-34 – kan ikke kræves honorar.

For andet kan der – fx hvis vi skal hjælpe on location o.l.

Med hensyn til tilsyn/revision bruger vi hvert år et 6-cifret beløb på at få BDO til som uvildig og anerkendt revisionsfirma at udarbejde den årlige ISAE 3000 erklæring. Erklæringen er revisionens dokumentation for og blåstempling af kontrolmålene i erklæringen. Hvis der er afvigelser på et eller flere kontrolmål, vil det tydeligt fremgå af revisors forbehold. Der er i erklæringen medtaget alle relevante kontrolmål udarbejdet af FSR, som er publiceret af Datatilsynet i februar 2019.

Hvis en kunde ikke er tilfreds med ISAE 3000-revisionserklæringen, kan en ledelseserklæring fra Evovias direktion, på temaer som evt. ikke findes tilstrækkeligt belyst i ISAE 3000, komme på tale. Og hvis det fortsat ikke er tilfredsstillende, kan kunden bede om en ekstern Audit – som så til gengæld foregår on location og mod honorar og omgærdet af stor sikkerhed og fortrolighedserklæringer o.l.

Ændring af databehandlervilkår


Spørgsmål:
Hvorfor står der i jeres databehandleraftale, at Evovia kan ændre dadtabehandlervilkårerne? Vi mener, at det som udgangspunkt er os som dataansvarlige, der er ansvarlig for databehandleraftalens indhold og dermed også ændringer.

Svar:

Der er tale om levering af en standardydelse på standardvilkår. Derfor kan vi ikke tage hensyn til den enkelte kundes ønsker og behov, medmindre kunden er villig til at betale for det. Hertil skal det understreges, at vi ikke har en interesse i at foretage ændringer, som vores kunder har svært ved at acceptere. Derfor vil sådanne ændringer alene blive foretaget, hvis der ligger tungtvejende grund til at foretage ændringen. Såfremt I som kunde ikke kan acceptere en evt. ændring, har I mulighed for at opsige aftalen efter bestemmelsernes 14.4.