Databehandlingsaftale

1.1      Den Dataansvarlige har accepteret at udpege Databehandleren til at levere software og ydelser til den Dataansvarlige i henhold til Aftalens vilkår.

1.2     Som en del af udførelsen af softwaren og ydelserne vil Databehandleren være nødt til at Behandle Personoplysninger, som kan knyttes til specifikke fysiske personer, som beskrevet i Bilag A.

1.3    Databehandleraftalen fastsætter de vilkår og betingelser, der gælder for Databehandlerens Behandling af Personoplysninger.

2.1     Følgende ord og udtryk har den betydning, der er anført nedenfor i Databehandleraftalen, medmindre andet fremgår af sammenhængen.

3.1     Databehandleraftalen gælder for enhver Behandling af Personoplysninger leveret af Databehandleren i forbindelse med leveringen af Databehandlingsydelserne til den Dataansvarlige, som defineret i Bilag A (instruks).

3.2     Kunden og Planday anerkender, at Kunden er den Dataansvarlige, og Planday er Databehandleren vedrørende Personoplysninger leveret til Planday af eller på vegne af Kunden, herunder Personoplysningerne beskrevet i Bilag A, som led i leveringen af Databehandlingsydelserne.

3.3   Karakteren af og formålet med Behandlingen, typen af Personoplysninger og kategorierne af De Registrerede fremgår af Bilag A.

3.4     Intet i Databehandleraftalen skal forringe eller indskrænke Plandays rettigheder og forpligtelser anført i Slutbrugerlicensen.

4.1      Databehandleren er forpligtet til:

a) udelukkende at Behandle Personoplysninger efter dokumenteret instruks fra den Dataansvarlige, som anført i denne Databehandleraftale og med de formål, som fremgår af Bilag A,
b) at udføre sine aktiviteter i henhold til denne Databehandleraftale med den passende dygtighed, omhu og grundighed,
c) at føre en fortegnelse som beskrevet i artikel 30 i GDPR over al Behandling af Personoplysninger, som foretages som led i Databehandlingsydelserne og som led i overholdelsen af sine forpligtelser, der fremgår af Databehandleraftalen (“Fortegnelser”),
d) at sikre, at de personer, der er autoriserede til at Behandle Personoplysningerne, har påtaget sig fortrolighed eller er underlagt en passende lovbestemt tavshedspligt,
e) at iværksætte alle foranstaltninger, som kræves i henhold til GDPR artikel 32, herunder at implementere de passende tekniske og organisatoriske foranstaltninger for at beskytte Personoplysningerne mod hændelig eller ulovlig Tilintetgørelse eller hændeligt tab, ændring, uautoriseret videregivelse eller adgang, og mod alle øvrige former for uautoriseret Behandling, herunder kravene vedrørende sådanne foranstaltninger i henhold til Persondatalovgivningen, som anført i pkt. 6,
f) kun at tage kopier af Personoplysningerne, i det omfang det med rimelighed er nødvendigt, hvilket bl.a. omfatter backup, sikkerhed, katastrofeberedskabsplan og test af Personoplysningerne,
g) kun at anvende Underdatabehandlere i overensstemmelse med kravene i pkt. 7,
h) straks at underrette den Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med Persondatalovgivningen,
i) at bistå den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, i det omfang det er muligt, med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af Den Registreredes ret til fx adgang, berigtigelse, sletning og til dataportabilitet, som angivet i Persondatalovgivningen,
j) at bistå den Dataansvarlige med at sikre overholdelse af forpligtelserne i medfør af GDPR art. 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren,
k) efter den Dataansvarliges valg at Tilintetgøre (sletning) eller Tilbagelevere alle Personoplysninger til den Dataansvarlige enten i løbet af Aftaleperioden for Databehandleraftalen eller ved ophør (uanset årsag) af Databehandleraftalen, jf. pkt. 11,
l) at stille alle oplysninger, der er nødvendige for at påvise overholdelse af Persondatalovgivningen, til rådighed for den Dataansvarlige, fx årlige revisionsattester fra Databehandlerens eksterne revisor, hvis det er relevant,
m) i forbindelse med pkt. 4.1(l) at give mulighed for og bidrage til revisioner, herunder inspektioner, foretaget af den Dataansvarlige eller en anden, som er bemyndiget af den Dataansvarlige, som anført i pkt. 8,
n) at opfylde sine forpligtelser i henhold til Persondatalovgivningen samt eventuelt at udpege en databeskyttelsesrådgiver.

4.2     Hvis Databehandleren modtager en klage, underretning eller meddelelse, som direkte eller indirekte vedrører Behandlingen af Personoplysninger eller en Parts overholdelse af Persondatalovgivningen, skal denne straks underrette den Dataansvarlige og fuldt ud samarbejde og bistå den Dataansvarlige i forbindelse med en sådan klage, underretning eller meddelelse.

4.3     Databehandlerens ansvar i henhold til Aftalen, herunder Databehandleraftalen, er begrænset og fraskrevet i overensstemmelse med vilkårene i Aftalen.

4.4     Databehandleren er forpligtet til uden unødig forsinkelse at underrette den Dataansvarlige, hvis Databehandleren bliver bekendt med et Persondatasikkerhedsbrud.

4.5     Databehandleren er berettiget til at opkræve særskilt betaling for eventuelle omkostninger (herunder interne ressourcer til Databehandlerens standardtakster), som afholdes i forbindelse med bistanden, som anført i pkt. 4.1(a)-(n).

5.1     Den Dataansvarlige er alene ansvarlig og hæfter for sin overholdelse af gældende lovgivning som Dataansvarlig. Forud for brugen af Softwaren og modtagelsen af Ydelserne i henhold til Aftalen på en måde, som omfatter behandling af Personoplysninger, vil den Dataansvarlige sikre, at denne overholder al gældende Persondatalovgivning, fx i forbindelse med leveringen af de påkrævede oplysninger/meddelelser til og/eller godkendelser fra de Registrerede og/eller tilsynsmyndigheder vedrørende Behandlingen.

5.2     Den Dataansvarlige underretter omgående Databehandleren, hvis den Dataansvarlige bliver bekendt med, at Behandlingen af den Dataansvarliges Personoplysninger kan være i strid med Persondatalovgivningen.

5.3     Den Dataansvarlige garanterer, at Databehandlerens nøje overholdelse af instrukser fra den Dataansvarlige for så vidt angår Behandlingen af Personoplysninger ikke medfører en overtrædelse af gældende Persondatalovgivning.

5.4     Den Dataansvarlige skadesløsholder Databehandleren for ethvert tab som følge af den Dataansvarliges manglende overholdelse af sine forpligtelser i henhold Databehandleraftalen.

6.1     Databehandleren er forpligtet til at implementere de passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der svarer til de risici, der foreligger ved Behandlingen, især ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af, eller adgang til de Personoplysninger, der er transmitteret, opbevaret eller i øvrigt Behandlet, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og Behandlingens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers frihedsrettigheder og øvrige rettigheder, herunder, men ikke begrænset til, alt efter omstændighederne:

a) pseudonymisering og kryptering af Personoplysninger,
b) evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester,
c) evnen til rettidigt at genoprette tilgængeligheden af og adgangen til Personoplysninger i tilfælde af en fysisk eller teknisk hændelse,
d) en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

6.2     Databehandleren er forpligtet til at træffe foranstaltninger for at sikre, at enhver fysisk person, der udfører arbejde for Databehandleren, og som har adgang til Personoplysninger, kun Behandler Personoplysningerne efter instruks fra den Dataansvarlige, medmindre han eller hun er pålagt dette i henhold til Persondatalovgivningen.

6.3     De specifikke tekniske og organisatoriske sikkerhedsforanstaltninger, som Databehandleren implementerer, fremgår af Bilag B (Sikkerhedsforanstaltninger).

7.1     Den Dataansvarlige giver hermed Databehandleren beføjelse til at anvende Underdatabehandlere, herunder, men ikke begrænset til, de Underdatabehandlere, der er anført i Bilag A, til at Behandle Personoplysninger, forudsat at Databehandleren indgår en skriftlig aftale med hver enkelt Underdatabehandler, som pålægger Underdatabehandleren samme forpligtelser, som pålægges Databehandleren i henhold til denne Databehandleraftale samt på baggrund den Dataansvarliges dokumenterede instruks. Den Dataansvarlige er til enhver tid efter rimelig forudgående skriftlig meddelelse berettiget til at modtage en kopi af Databehandlerens databehandleraftale med hver Underdatabehandler.

7.2     Databehandleren vil give den Dataansvarlige forudgående meddelelse pr. e-mail om enhver påtænkt tilføjelse eller udskiftning af en Underdatabehandler, som gør det muligt for den Dataansvarlige at gøre indsigelse. Hvis den Dataansvarlige afviser en tilføjelse eller udskiftning af en Underdatabehandler, forudsat at denne afvisning er baseret på en bona fide-grund eller objektiv grund, er Databehandleren berettiget til at opsige Aftalen med øjeblikkelig virkning ved skriftlig meddelelse.

7.3      Hvis en Underdatabehandler ikke opfylder sine databeskyttelsesforpligtelser i henhold til Databehandleraftalen refereret til i dette pkt. 7.1, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for Underdatabehandlerens opfyldelse af sine generelle databeskyttelsesforpligtelser

8.1     Databehandleren skal stille alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i denne Databehandleraftale og Persondatalovgivningen, til rådighed for den Dataansvarlige.

8.2       Med formål at overvåge Databehandlerens opfyldelse af sine forpligtelserne i henhold til denne Databehandleraftale skal Databehandleren give den Dataansvarlige eller en tredjepart bemyndiget af den Dataansvarlige underlagt tavshedspligt mulighed for at foretage revisioner/inspektioner hos Databehandleren og dennes faciliteter og sikkerhedsforanstaltninger relateret til Behandlingen af Personoplysninger i henhold til Databehandleraftalen på baggrund af et rimeligt skriftligt varsel til Databehandleren på mindst 30 dage inden for Kontortid, men uden varsel ved rimelig mistanke om Databehandlerens misligholdelse af denne Databehandleraftale, herunder, men ikke begrænset til:

a) at få adgang til at foretage inspektion og tage kopier af fortegnelserne og øvrige oplysninger, der befinder sig i Databehandlerens lokaler eller på Databehandlerens system, der vedrører Databehandlingsydelserne, og
b) at få adgang til at foretage inspektion af Databehandlerens system.

8.3     Den skriftlige meddelelse angivet i pkt. 8.2 skal indeholde et forslag til en revisionsplan. Databehandleren er berettiget til at foreslå dato og tidspunkt for revisionen for at minimere driftsforstyrrelser og kan foreslå, at denne revision kombineres med andre revisioner for andre dataansvarlige. Den Dataansvarlige kan ikke afvise sådanne forslag fra Databehandleren, medmindre der er en bona fide-grund eller objektiv grund hertil.

8.4     Hvis dele af det anmodede revisionsomfang er dækket af en revisionsrapport udført af en kvalificeret eksterne revisor inden for de seneste 12 måneder, kan Databehandleren anmode den Dataansvarlige om at overveje, hvorvidt denne rapport kan lægges til grund i stedet for en revision.

8.5     Bortset fra i tilfælde af rimelig mistanke om misligholdelse af denne Databehandleraftale begrænses sådanne revisioner til 1 revision for hver periode på 12 måneder, medmindre andet er tilladt eller fremgår af ufravigelig lovgivning.

8.6     Den Dataansvarlige skal afholde alle omkostninger forbundet med udarbejdelse og levering af nødvendig compliance dokumentation samt omkostninger forbundet med revisioner. Databehandleren er berettiget til at opkræve særskilt betaling for de eventuelle omkostninger og tidsforbrug (herunder interne ressourcer til Databehandlerens standardtakster), som Databehandleren afholder i forbindelse med bistanden ved sådanne revisioner.

8.7     Revisioner skal foretages i overensstemmelse med Databehandlerens interne politikker, og alle deltagere er underlagt en passende, skriftlig tavshedspligt. I det omfang det er tilladt efter gældende lovgivning, skal den Dataansvarlige udlevere en kopi af revisionsrapporten til Databehandleren, og Databehandleren er berettiget til at anvende rapporten uden beregning over for andre Databehandlere.

8.8     Den Dataansvarlige må kun bruge de oplysninger, som den Dataansvarlige er kommet i besiddelse af i forbindelse med en revision, herunder en eventuel revisionsrapport, med henblik på at opfylde sine revisionsforpligtelser i henhold til Persondatalovgivningen. Det bemærkes for god ordens skyld, at den Dataansvarlige ikke er berettiget til at videregive nogen del af revisionsrapporten til offentligheden uden Databehandlerens forudgående, skriftlige samtykke, medmindre dette er påkrævet ved ufravigelig lovgivning.

8.9    Databehandleren er forpligtet til i nødvendigt omfang at bistå med at foretage sådanne revisioner i Databehandleraftalens aftaleperiode (som anført i pkt. 11).

9.1     Databehandleren må kun Behandle Personoplysninger i lande uden for EU og EØS eller til en international organisation efter dokumenteret instruks fra den Dataansvarlige, som anført i Bilag A, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret, som Databehandleren er underlagt. I så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden Behandlingen, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.

9.2     Hvis Databehandleren har til hensigt at Behandle Personoplysninger i et andet tredjeland, skal Databehandleren underrette den Dataansvarlige om denne påtænkte overførsel på forhånd, hvilket giver den Dataansvarlige mulighed for at gøre indsigelse.

10.1     Alle oplysninger, herunder Personoplysninger, der relaterer sig til denne Databehandleraftale skal Behandles og opbevares fortroligt. Databehandleren må ikke offentliggøre eller videregive nogen Personoplysninger til en tredjepart, medmindre det er baseret på den Dataansvarliges samtykke eller dokumenterede instruks, medmindre andet følger af præceptiv lovgivning.

10.2     Databehandleren skal sikre, at de personer, der er autoriseret til at Behandle Personoplysningerne, har påtaget sig fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, herunder omfattende alle informationer der vedrører Aftalen og Parternes virksomheder.

10.3 .  Fortrolighedsbestemmelserne skal fortsat være gældende efter ophøret af denne Databehandleraftale.

11.1     Denne Databehandleraftale træder i kraft fra ikrafttrædelsestidspunktet angivet i Aftalen eller datoen for den Dataansvarliges underskrift på Databehandleraftalen, afhængig af hvilken der er tidligst, og forbliver i kraft i Aftaleperioden, som anført i Aftalen.

11.2     Ved ophør af Aftalen ophører Databehandleraftalen ligeledes.

11.3     Uanset pkt. 11.2 ovenfor bortfalder Databehandleraftalen ikke, før den Dataansvarlige har modtaget og accepteret dokumentationen vedrørende sletning som beskrevet i pkt. 11.6(b), medmindre den Dataansvarlige specifikt accepterer andet.

11.4     Enhver bestemmelse i denne Databehandleraftale, som udtrykkeligt eller forudsætningsvist har til formål at træde i kraft ved eller forblive i kraft efter ophøret af denne Databehandleraftale, skal fortsat være fuldt gyldig.

11.5     Ophøret af denne Databehandleraftale, uanset årsag, har ingen betydning for Parternes opståede rettigheder, misligholdelsesbeføjelser, forpligtelser eller hæftelser, der bestod på tidspunktet for ophøret af Databehandleraftalen.

11.6     Ved ophør af Databehandleraftalen, uanset årsag:

a) er Databehandleren forpligtet til hurtigst muligt at Tilbagelevere eller Tilintetgøre (efter den Dataansvarliges anvisninger) alle Personoplysninger og alle oplysninger og øvrigt materiale, som Databehandleren har fået leveret fra eller på vegne af den Dataansvarlige i forbindelse med denne Databehandleraftale,

b) er den Dataansvarlige, hvis den Dataansvarlige vælger Tilintetgørelse frem for Tilbagelevering af materiale i henhold til pkt. 11.6(a), forpligtet til hurtigst muligt at sikre, at det Tilintetgøres, og at alle Personoplysninger slettes fra Softwaren og Planday-systemet.
Uanset ovenstående må Tilintetgørelse ikke finde sted, før Databehandleren har underrettet den Dataansvarlige om den påtænkte fremgangsmåde for Tilintetgørelse og har modtaget den Dataansvarliges bekræftelse på, at Tilintetgørelsen finder sted i overensstemmelse med denne fremgangsmåde. Hvis den Dataansvarlige ikke synes, at den påtænkte fremgangsmåde for Tilintetgørelsen er tilstrækkelig effektiv, vil den Dataansvarlige underrette Databehandleren om, hvilken fremgangsmåde der anses for at være tilstrækkelig effektiv.

11.7     Databehandleren er forpligtet til at give skriftlig bekræftelse på overholdelse af pkt. 11.6(a) senest 14 dage efter ophøret af Databehandleraftalen.

12.1     Hvis der er ændring af ufravigelig Persondatalovgivning, er Databehandleren berettiget til at ændre Databehandleraftalen tilsvarende.

13.1     Denne Databehandleraftale er underlagt og skal fortolkes i henhold til dansk ret. Der skal dog ses bort fra dansk rets internationale, privatretlige regler, i det omfang disse regler er fravigelige.

13.2     Enhver tvist i forbindelse med denne Databehandleraftale, herunder tvister om denne Databehandleraftales eksistens eller gyldighed, skal indbringes for de danske domstole.

Bilag A til Databehandleraftalen

1. Instruks

Dette Bilag A udgør Kundens instruks til Databehandleren i relation til Databehandlerens behandlingsaktiviteter for Kunden, og er en integreret del af Databehandleraftalen.

2. Generel beskrivelse af og formål med behandlingsaktiviteter

Databehandleren behandler Kundens personoplysninger i forbindelse med levering og drift af Planday-systemet og relaterede IT-ydelser, herunder fx hosting, back-up, support og vedligeholdelse i relation hertil som yderligere beskrevet i IT-aftalen mellem parterne.

2. Kategorier af De Registrerede

Kategorierne af De Registrerede kan til enhver tid justeres, i det omfang at behandlingen af Personoplysninger og formålet hermed fortsætter med at falde ind under den generelle beskrivelse.

• Medarbejdere
• Potentielle medarbejdere
• Tidligere medarbejdere

3. Typer af Personoplysninger

Beskrivelsen af typerne af Personoplysninger for hver kategori af De Registrerede

• Navn og initialer
• Telefon- og mobilnummer
• E-mailadresse
• Køn
• Fødselsdato
• Address
• Oplysninger om løn, herunder lønsedler, oplysninger om måneds- timeløn samt arbejdstider. 

4. Hvem hos Databehandleren har adgang til Personoplysninger?

Kun de personer, der beskæftiger sig med de formål, som Personoplysningerne Behandles med, er autoriserede til at tilgå og Behandle Personoplysningerne, herunder de medarbejdere, der leverer:

• Support,
• Vedligeholdelse og backup,
• Driftssystemer/support medarbejdere

5. Hvilke eksterne parter (uden for Databehandleren) har adgang til alle eller dele af Personoplysningerne (underdatabehandlere), til hvilke formål og deres geografiske placering (herunder hvis sådanne er uden for EU/ EØS)?

Bilag B til Databehandleraftalen 

Sikkerhedsforanstaltninger

Databehandleren vil implementere passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der svarer til de risici, der er ved behandlingen. Disse foranstaltninger omfatter blandt andet:

1. Adgangskontrol i lokaler og anlæg (fysiske)
   1.1. Databehandleren vil opretholde forretningsmæssigt rimelige, fysiske sikkerhedssystemer på alle Databehandlerens steder, som anvendes til Behandling af Personoplysninger.
   1.2. Der skal etableres fysisk adgangskontrol i alle datacentre, så uautoriseret personale ikke har adgang. . Der er etableret biometrisk scanning eller tv-overvågning (24 timer i døgnet, 7 dage om ugen).
   1.3. Databehandleren vil opretholde procedurer for udstedelse af ID-kort til bemyndiget personale og for styring af fysisk adgang til systemer, som er under Databehandlerens kontrol.
   1.4. Korsbom integreres med adgangskontrollæsere for at styre den fysiske adgang til alle steder til enhver tid ved at kræve, at personalet fremviser billede ID-kort, før de får adgang til Databehandlerens steder.
   1.5. Besøgende skal forhåndsgodkendes, før de ankommer til Databehandlerens steder, som anvendes til Behandling af Personoplysninger, og skal fremvise ID, indskrive sig i en gæstejournal og ledsages under hele besøget.
2. Adgangskontrol i systemer (virtuelt)
   2.1. Databehandleren vil etablere og opretholde sikkerhedsforanstaltninger mod utilsigtet eller uberettiget adgang til eller destruktion, tab eller ændring af Personoplysningerne på Databehandlerens systemer, som anvendes til Behandling af Personoplysninger:
   2.1.1. Adgang gives til personalet via dokumenterede procedurer for anmodning om adgang. Medarbejdernes ledere eller andre ansvarlige personer skal give tilladelse til eller godkendelse af adgangen, før de får adgang.
   2.1.2. Adgangskontrol er aktiveret på styresystemniveau, databaseniveau eller applikationsniveau.
   2.1.3. Administrativ adgang begrænses for at forhindre, at systemer eller applikationer ændres.
   2.1.4. Brugere tildeles en individuel konto og forbydes at dele konti.
3. Adgangskontrol i enheder og bærbare computere
   3.1. Databehandleren vil etablere og opretholde forretningsmæssigt rimelige sikkerhedsforanstaltninger på mobilenheder og bærbare computere, som anvendes til Behandling af Personoplysninger.
4. Adgangskontrol til Personoplysninger
   4.1. Der gives kun adgang efter Behandling af en godkendt “adgangskontrolform”, dvs. LAN logon-ID, applikationsadgangs-ID eller lignende identifikation.
   4.2. Der udstedes unikke brugernavne og adgangskoder til brugerne.
   4.3. Når brugerne er godkendt, vil de være godkendt på adgangsniveau med udgangspunkt i deres stilling.
5. Styring af transmission og videregivelse
   5.1. Databehandleren vil etablere og opretholde forebyggende foranstaltninger mod uberettiget læsning, kopiering, ændring eller fjernelse af Personoplysninger i forbindelse med elektronisk transmission eller transport samt foranstaltninger, der gør det muligt at kontrollere og identificere de organer, som overførslen af Personoplysninger via datatransmissionssystemer er tiltænkt.
   5.2. Databehandleren vil opretholde teknologier og processer, som er beregnet til at mindske adgangen til uberettiget Behandling, herunder teknologier til kryptering af Personoplysninger.
6. Registreringsstyring
   6.1. Databehandleren vil føre system- og databaselogger over adgangen til alle Personoplysninger, som er under Databehandlerens kontrol.
   6.2. Alle Databehandlerens systemer skal konfigureres til at logge hændelser for at konstatere systemkompromittering, uberettiget adgang eller andre sikkerhedsbrud. Loggerne skal være beskyttet mod uberettiget adgang og uberettigede ændringer.
   6.3. Databehandleren vil opretholde registreringsstyring på sine systemer.
7. Opgavestyring
   7.1. Databehandleren vil implementere procedurer for at sikre, at medarbejderne og andre personer under Databehandlerens kontrol, som kan få adgang til og Behandle Personoplysningerne, er pålidelige, fx ved at kræve en straffeattest før tiltrædelsen.
   7.2. Databehandleren vil implementere procedurer for at sikre, at personalet er bekendt med deres ansvar i henhold til Aftalen. Databehandleren skal instruere og uddanne alle de personer, som Databehandleren giver adgang til Personoplysningerne, i Persondatalovgivningen samt i alle relevante sikkerhedsstandarder og skal skriftligt forpligte dem til at overholde tavshedspligten forbundet med Personoplysningerne, Persondatalovgivningen og øvrige relevante sikkerhedsstandarder.
   7.3. Databehandleren skal straks lukke for adgangen til Kundens Personoplysninger som følge af opsigelse, stillingsændring eller efter at have konstateret manglende brugeraktivitet eller forlænget fravær.
   7.4. Databehandleren skal have en databeskyttelsespolitik og en slettepolitik, som Databehandlerens personale skal overholde.
8. Håndtering af hændelser
   8.1. Databehandleren vil implementere og opretholde en procedure for håndtering af hændelser, som giver Databehandleren mulighed for at give den Dataansvarlige meddelelse om et sikkerhedsbrud inden for den påkrævede tidsramme.
   8.2. Hvis et sikkerhedsbrud (potentielt) kan påvirke personoplysninger, skal Databehandleren give den Dataansvarlige meddelelse i henhold til pkt. 4 i Databehandleraftalen.
   8.3. Proceduren for håndtering af hændelser omfatter en periodisk evaluering af tilbagevendende forhold, som kan være udtryk for et sikkerhedsbrud.
   8.4. Databehandleren bør implementere en proces, hvor man tager ved lære af hændelserne/angrebene og forbedrer det eksisterende sikkerhedsniveau.
9. Styring af tilgængelighed
   9.1. Databehandleren vil beskytte Personoplysningerne mod utilsigtet destruktion eller tab ved at sikre følgende:
   9.1.1. Arbejdspladser beskyttes ved hjælp af erhvervsmæssige virus- og malware-beskyttelsesprogrammer, som jævnligt modtager opdateringer.
   9.1.2. Ved konstatering af virus eller malware vil Databehandleren straks træffe foranstaltninger for at forhindre, at virussen eller malwaren spredes og forårsager skade, og for at udrydde virussen eller malwaren.
   9.1.3. Servere beskyttes af firewalls og beskyttelsesprogrammer mod indtrængen.
10. Planlægning af forretningskontinuitet
    10.1. Databehandleren vil implementere og opretholde en forretningskontinuitetsplan.
    10.2. Databehandleren vil regelmæssigt evaluere planen.
11. Ændringshåndtering
    11.1. Databehandleren vil implementere og opretholde en forretningskontinuitetsplan, som blandt andet giver Databehandleren mulighed for rettidigt efter aftale mellem de involverede parter at genoprette tilgængeligheden af og adgangen til Personoplysningerne i tilfælde af en fysisk eller teknisk hændelse.
    11.2. Som led i ændringshåndteringsproceduren vil Databehandleren evaluere indvirkningen på sikkerheden og foretage de tilpasninger af foranstaltningerne, som måtte være nødvendige for at opretholde det aftalte sikkerhedsniveau.
12. Styring af instrukser
    12.1. Databehandleren vil implementere og opretholde procedurer, som sikrer, at Personoplysninger udelukkende behandles i henhold til den Dataansvarliges instrukser.
13. Styring af separat behandling
    13.1. Databehandleren vil implementere og opretholde procedurer, som sikrer, at personoplysninger, som er indsamlet til forskellige formål, Behandles separat, i det omfang Databehandleren har modtaget udtrykkelig meddelelse om sådanne forskellige formål og er blevet anmodet om separat Behandling, og forudsat at Databehandleren kan fakturere sin tid og omkostninger forbundet med en sådan anmodning.
14. Regelmæssig afprøvning af sikkerhedsforanstaltninger
    14.1. Databehandleren vil hyppigt afprøve, vurdere og evaluere effektiviteten af Databehandlerens tekniske og organisatoriske sikkerhedsforanstaltninger.