Betingelser for brug af Intras
Aftalens indgåelse
Om Intras
INTRAS er ejet af Intras ApS (CVR-nr. 37 30 88 38) og har til hensigt at hjælpe små og mellemstore virksomheder med at oprette et prisbilligt og let anvendeligt Intranet på abonnementsbasis.
Om produktet
INTRAS tilbyder et online Intranet (Applikationen), der forefindes som flere forskellige betalingsversioner. Som udgangspunkt oprettes en 30 dages prøveversion af betalingsversionerne, som efter prøveversion skal konverteres til den valgte betalingsversion på abonnementsbasis for at kunden opretholder adgang til Applikationen.
Aftalen
Ved at indgå en aftale med INTRAS om brugen af Applikationen – uanset version – accepterer du (Kunden) betingelser og vilkår i denne aftale. INTRAS giver Kunden en ikke-eksklusiv og tidsbegrænset ret til at anvende Applikationen.
Pris og betalingsbetingelser (Betalingsversioner)
Alle priserne er angivet i danske kroner og er inkl. afgifter. Ændringer i valutakurser, afgifter, forsikring, nettoprisindekset, fragt og indkøbsomkostninger medfører, at INTRAS kan justere priserne, således at INTRAS stilles uændret.
Ved indgåelse af en abonnementsordning (tilkøb af betalingsversion) giver kunden automatisk INTRAS lov til løbende og forud at trække abonnementsbeløbet ved hjælp af kundens kort.
Ved overgang fra den 30-dages prøveversion til en betalingsversion, har kunden mulighed for at angive abonnementsperioden som kunden ønsker at forudbetale for. Dette angiver også hvornår en abonnementsperiode automatisk fornyes med mindre kunden i mellemtiden aktivt har opsagt abonnementet.
Den valgte abonnementsperiode er lig med kundens bindingsperiode.
Ved trækning på kundens kort i forbindelse med abonnementsstart og abonnementsfornyelse vil der blive sendt en faktura for købet til kundens e-mail.
Udskiftning/sletning af betalingskort
Kunden kan til enhver tid udskifte eller slette betalingskort under “Indstillinger” -> “Abonnement”.
Det er kundens ansvar at vedligeholde kortoplysninger som gør det muligt automatisk at forny abonnement til Applikationen og automatisk forlænge adgangen til Applikationen.
Kreditkortbetaling
Vi tager følgende betalingskort: Dankort, Visa, MasterCard, Maestro og Diners Club
Aftalens varighed
Denne aftale gælder så længe Kunden har en konto, der giver adgang til Applikationen. En Kunde får adgang til Applikationen ved at oprette en konto på www.Intras.dk. Kundens adgang til Applikationen styres, af abonnementets udløbsdato. Hvis udløbsdatoen ikke er overskredet har Kunden fuld adgang og kan se tidligere indtastede data, samt indtaste nye data. Hvis abonnementets udløbsdatoen overskrides lukkes adgangen Applikationen.
Ingen refundering eller fortrydelsesret
Ydelsen er ikke omfattet af den lovpligtige 14 dages fortrydelsesret, da leveringen sker digitalt og ydelsen dermed bliver leveret på tidspunktet for betalingen.
Opsigelse af abonnement midt i en abonnementsperiode giver ikke kunden ret til refusion eller delrefusion af allerede foretaget betaling.
Opsigelse
Du kan opsige dit abonnement på INTRAS via fanebladet “Abonnement” under “Indstillinger”. Opsigelse skal ske senest dagen før en ny abonnementsperiode automatisk påbegyndes. Opsiges abonnement midt i en abonnementsperiode lukkes først for adgangen ved udløb af den abonnementsperiode som kunden har betalt for.
Kundens data
De informationer Kunden indtaster i systemet behandles fortroligt og videregives under ingen omstændigheder til tredjemand i en form, der er identificerbar med mindre vi bliver pålagt at gøre det ved lov. INTRAS kræver, at enhver offentlig instans, der anmoder om kundedata, følger alle gældende love, regler og procedurer for anmodningen.
Data kan dog bruges i statistisk øjemed naturligvis uden, at det kan identificeres, hvorfra oplysningerne kommer.
Information udledt af det statistisk indsamlede materiale kan i særlige tilfælde sælges til tredjemand. Specifikt skal nævnes, at der i den forbindelse på intet tidspunkt vil være tale om, at information om Kunden eller dennes data vil komme til tredjemands kundskab, således at Kunden kan identificeres.
Kundens adgang til egne data
Kunden har til enhver tid fuld adgang til sin egen konto og alt data hertil, hvis kunden vælger at opsige sit betalings-abonnement har kunden dog ikke længere adgang til data ved abonnementsperiodens udløb. I en periode på 3 måneder efter lukning for adgang til Applikationen, kan kunden få adgang til disse data igen ved at købe den pågældende betalingsversion.
Hvis INTRAS ønsker at lukke adgangen til applikationen kan dette ske uden skellig grund, men varsles pr. e-mail 3 måneder inden lukningen. Kunden har i denne periode mulighed for at hente indtastede data ud af systemet. Dette gælder dog ikke, hvis Kunden ikke har betalt for adgang til Applikationen.
Opdateringer og driftsstabilitet
INTRAS forbeholder sig retten til at opdatere og ændre på Applikationen. Det tilstræbes at udføre disse opdateringer, så de ikke er til gene for Kunden. I enkelte tilfælde vil det være nødvendigt at lukke for adgangen til Applikationen, mens opdateringer foretages. INTRAS tilstræber højest mulig driftsstabilitet for Applikationen, men garanterer ikke for denne.
E-mail udsendelse
INTRAS forbeholder sig retten til at sende e-mails ud til Kunden, når der kommer opdateringer til applikationen, eller hvis der bliver udviklet nye applikationer, som vurderes interessante for kunden. INTRAS forbeholder sig ligeledes retten til at sende reklamer for tredjemand med ud i disse e-mails. Modtagelsen af e-mails kan til en hver tid afmeldes ved at klikke på ’afmeld linket’ i de fremsendte e-mails.
Ansvar
Brugen af Applikationen foregår helt på eget ansvar og INTRAS kan ikke holdes ansvarlig for hverken direkte eller indirekte tab, der måtte opstå pga. manglende adgang til Applikationen uanset årsag eller fejl ved denne, der kan medføre datatab. INTRAS gør naturligvis sit bedste for at sikre, at Kundens data ikke mistes eller uvedkommende får kendskab til dem. Alle sider kører på SSL-krypterede websider, for at forebygge at uvedkommende får adgang til data. INTRAS er endvidere ikke ansvarlig for problemer, der opstår pga. forhold, der er uden for INTRAS’s kontrol. Dette gælder fx. strømafbrydelser, problemer med internet forbindelser, problemer med hardware, hacker-angreb, vira eller anden form for force majeure. INTRAS hæfter alene for forsætlige eller groft uagtsomme forhold. INTRAS’s maksimale erstatningsansvar overfor Kunden kan uanset årsagen ikke overstige et beløb svarende til Kundens samlede betaling af vederlag i et år for brugen af Applikationen.
Brug af Intras support, eller anden vejledning fra Intras, skal kun ses som vejledende og Intras kan ikke stilles til ansvar. Vi gør vores bedste for at vejlede dig så godt vi kan, men fejl kan ske.
Ophavsret
Medmindre andet er angivet, er Intras ApS indehaver af ophavsretten til alt materiale på Intras.dk.
Ændringer og opdateringer
INTRAS kan til enhver tid ændre og opdatere disse betingelser og oplysninger om rettigheder.
Tvister
Opstår der uenighed mellem kunden og INTRAS skal uenigheden afgøres efter dansk ret med Byretten i Holstebro som første instans.
Databehandleraftale
Imellem:
Dataansvarlig:
#CLIENT_NAME#
#CLIENT_ADDRESS#
#CLIENT_ZIPCITY#
#CLIENT_CVR#
Kontaktperson:
#CLIENT_CONTACT#
#CLIENT_CONTACTEMAIL#
(herefter ”den Dataansvarlige”)
og
Databehandler:
Intras ApS
Nupark 51
DK-7500 Holstebro
CVR: 37308838
(herefter ”Databehandleren”)
Dags dato er der indgået denne databehandleraftale mellem Databehandleren og den Dataansvarlige. Aftalen vedrører parternes persondataretlige forpligtelser og rettigheder i forhold til den Dataansvarliges køb af Databehandlerens ydelser.
1 Bilagsfortegnelse:
1.1 Følgende bilag er en del af nærværende aftale:
- 1.1.1 Bilag 1 – Instruks til Databehandleren
- 1.1.2 Bilag 2 – Minimumskrav til Databehandlerens sikkerhed
2 Baggrund og formål
2.1 Den Dataansvarlige har købt Databehandlerens ydelse i medfør af den kommercielle ho-vedaftale mellem parterne, der indebærer behandling af personoplysninger. Parterne har derfor dags dato indgået denne databehandleraftale.
2.2 Aftalen skal regulere de to parters persondataretlige pligter og rettigheder, som deres for-hold giver anledning til.
2.3 Samarbejdet omhandler Databehandlerens intranettjeneste ”Intras”, der stilles til rådighed for den Dataansvarlige.
3 Behandling af personoplysninger
3.1 Denne aftale omfatter al behandling af personoplysninger, Databehandleren foretager på vegne af den Dataansvarlige i medfør af den kommercielle hovedaftale mellem parterne om den Dataansvarliges køb og brug af internettjenesten ”Intras”.
3.1.1 Personoplysninger forstås i overensstemmelse med persondataforordningens art. 4, nr. 1. Behandling forstås i overensstemmelse med persondataforordningens art. 4, nr. 2.
3.2 Databehandleren må kun foretage de behandlinger af personoplysninger, der fremgår af instruksen i bilag 1 eller efterfølgende konkrete instrukser udstedt af den Dataansvarlige, medmindre andet er påkrævet af gældende ret.
3.3 Den Dataansvarlige har ansvaret for, at behandlingen lever op til lovgivningen på området, herunder persondataforordningens og databeskyttelseslovens regler.
4 Fortrolighed
4.1 De omfattede personoplysninger betragtes som fortrolige og vil kun blive videregivet, hvis det er nødvendigt for at løse de i denne aftale beskrevne opgaver, eller det er påkrævet af gældende ret.
4.2 Databehandlerens personale er forpligtet til fortrolighed med hensyn til de omfattede personoplysninger.
5 De registreredes rettigheder
5.1 Databehandleren skal under hensyntagen til behandlingens karakter så vidt muligt bistå den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i persondataforordningens kapitel III.
5.2 Databehandleren er ikke forpligtet til at opfylde den Dataansvarliges oplysningspligt.
5.3 Databehandleren er ikke forpligtet til at dataminimere eller slette data på vegne af den Dataansvarlige.
5.4 Databehandleren har altid krav på et rimeligt vederlag for den tid, Databehandleren bruger på at bistå den Dataansvarlige med hjælp efter dette afsnit. Databehandlerens til enhver tid almindelige timetakst anses for at være et rimeligt vederlag.
6 Behandlingssikkerhed
6.1 Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varie-rende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal Databehandleren gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er rele-vant:
- 6.1.1 pseudonymisering og kryptering af personoplysninger
- 6.1.2 evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behand-lingssystemer og -tjenester
- 6.1.3 evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i til-fælde af en fysisk eller teknisk hændelse
- 6.1.4 en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
6.2 Databehandleren skal overholde de konkrete krav til Databehandlerens sikkerhedsforanstaltninger, der fremgår af bilag 2 – Minimumskrav til Databehandlerens sikkerhed.
6.3 Databehandleren skal bistå den Dataansvarlige med at sikre overholdelse af forpligtelserne i medfør af persondataforordningens art. 32-36 under hensyntagen til behandlingens karak-ter og de oplysninger, der er tilgængelige for Databehandleren. Databehandleren har altid krav på et rimeligt vederlag for den tid, Databehandleren bruger på at bistå den Dataan-svarlige med overholdelse af persondataforordningens art. 32-36. Databehandlerens til en-hver tid almindelige timetakst anses for at være et rimeligt vederlag.7 Dokumentationskravet
7 Vederlag
7.1 Databehandleren har altid krav på et rimeligt vederlag for den tid, Databehandleren bruger på at imødekomme enhver anmodning fra den Dataansvarlige vedr. persondatalovgivningen. Databehandlerens til enhver tid almindelige timetakst anses for at være et rimeligt vederlag. Dette gælder alle henvendelser, hvad enten den vedkommer forhold beskrevet i selve databehandleraftalen, bilag 1 eller bilag 2.
7.2 Ovenstående pkt. vil altid gælde, også selvom den Dataansvarlige er af den opfattelse, at databehandleren er påkrævet at foretage en bestemt handling efter gældende ret.
8 Dokumentationskravet
8.1 Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i persondataforordningens art. 28, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige. Databehandleren har krav på et rimeligt vederlag for den tid, Databehandleren bruger på at indhente og stille disse oplysninger til rådighed for den Dataansvarlige. Databehandlerens til enhver tid almindelige timetakst anses for at være et rimeligt vederlag.
8.2 Ønsker den Dataansvarlige, at der indhentes en revisionserklæring vedr. Databehandlerens sikkerhed eller generel efterlevelse af denne databehandleraftale eller persondatalovgivningen i øvrigt, er det for den Dataansvarliges egen regning. Databehandleren har krav på et rimeligt vederlag for den tid, Databehandleren bruger på at medvirke til en sådan revisionserklæring. Databehandlerens til enhver tid almindelige timetakst anses for at være et rimeligt vederlag.
9 Ikrafttræden, ændring og ophør af aftalen
9.1 Aftalen træder i kraft på datoen for begge parters underskrivelse.
- 9.1.1 Parterne er bevidste om, at persondataforordningen først anvendes fra d. 25. maj 2018. Ingen af parterne er forpligtet til at overholde reglerne i persondataforordningen før denne dato. Hver part forpligter sig til at foretage de nødvendige implementeringsforanstaltninger i deres organisation frem til forordningens anvendelse d. 25. maj 2018.
9.2 Parterne kan til enhver tid ændre aftalen ved enighed. Ændringerne skal være skriftlige.
9.3 Den Dataansvarlige kan derudover inden for rammerne af den kommercielle hovedaftale og databehandleraftalen give Databehandleren konkrete instrukser vedr. behandling af personoplysninger mod et rimeligt vederlag til Databehandleren. Databehandlerens til enhver tid almindelige timetakst anses for at være et rimeligt vederlag.
- 9.3.1 Databehandleren skal straks underrette den Dataansvarlige, hvis en instruks opfattes af databehandleren som værende i strid med gældende ret.
9.4 Databehandleraftalen ophører ved ophør af alle aftaler mellem parterne, der involverer behandling af personoplysninger.
- 9.4.1 Ved databehandleraftalens ophør kan den Dataansvarlige kræve alle de omfattede personoplysninger slettet eller tilbageleveret, medmindre gældende ret kræver, de fortsat holdes opbevaret. Databehandleren har dog ret til at anonymisere oplysningerne inden sletning eller tilbagelevering. Databehandleren har den fulde ejendomsret til de anonymiserede oplysninger og kan videregive dem, herunder til offentlige myndigheder.
10 Lovvalg og værneting
10.1 Denne aftale reguleres og fortolkes efter gældende dansk ret.
10.2 Tvister vedrørende aftalen skal afgøres efter dansk ret ved den ret, hvor sagsøgte har hjemting. Parterne kan aftale et andet værneting i forbindelse med en retlig tvist.
Bilag 1- Instruks til Databehandleren
1 Baggrund og rækkevidde
1.1 Dette bilag udgør den Dataansvarliges instruks til Databehandleren og er en fast del af da-tabehandleraftalen.
- 1.1.1 Denne instruks gælder for alle behandlinger, der er omfattet af databehandleraftalen.
2 Hvilke behandlinger skal Databehandleren foretage
2.1 Begrebet behandlinger skal forstås i overensstemmelse med definitionen i persondataforordningens art. 4, nr. 2.
2.2 De af aftalen omfattede personoplysninger kan udsættes for en lang række forskellig behandlinger, herunder: indsamling, registrering, systematisering, opbevaring, ændring, søgning, brug, videregivelse, overdragelse, profilering, sammenstilling eller samkøring, sletning, anonymisering samt blokering.
2.3 Den Dataansvarlige har bestemt, at Databehandleren skal foretage følgende behandlinger:
- 2.3.1 Databehandleren skal stille intranettjenesten ”Intras” til rådighed for den Dataansvarlige i overensstemmelse med den kommercielle hovedaftale mellem parterne.
- 2.3.2 Som en sikkerhedsprocedure skal der tages løbende backups af personoplysningerne.
- 2.3.3 Databehandleren skal løbende vedligeholde, teste og drive sine systemer. Dette kan betyde, at personoplysninger behandles, herunder søgning, ændring og sletning af personoplysninger.
- 2.3.4 Den Dataansvarlige styrer selv, hvornår personoplysninger bliver slettet ved at benytte Intras’ slettefunktioner.
- 2.3.5 Databehandleren kan foretage andre behandlinger end de nævnte, såfremt behandlingerne er tæt knyttet til løsningen af den af den Dataansvarlige pålagte opgave.
2.4 Databehandleren kan altid foretage enhver form for behandling af en hvilken som helst personoplysning, herunder følsomme personoplysninger efter persondataforordningens art. 9, stk. 1, såfremt dette er påkrævet af gældende ret, herunder hvis det er endeligt og bindende påbudt af en offentlig myndighed.
- 2.4.1 Den Dataansvarlige skal underrettes om en retligt påkrævet behandling, inden behandlingen foretages, medmindre en sådan underretning er i strid med gældende ret.
3 Hvilke personoplysninger skal Databehandleren behandle
3.1 Begrebet personoplysninger skal forstås i overensstemmelse med definitionen i persondataforordningens art. 4, nr. 1.
3.2 Databehandleren skal behandle de personoplysninger, som den Dataansvarlige vælger at uploade i systemet. Der vil primært være tale om almindelige oplysninger om den Dataansvarliges ansatte. Der kan dog i sjældne tilfælde også opbevares følsomme personoplysninger om en ansats helbred eller fagforeningsmæssige tilhørsforhold.
- 3.2.1 Databehandleren skal endvidere behandlere yderligere personoplysninger, såfremt det er påkrævet for at løse den af den Dataansvarlige pålagte opgave. Disse yderligere personop-lysninger må ikke være følsomme personoplysninger, sådan som disse defineres i persondataforordningens art. 9, stk. 1.
3.3 Personoplysningerne omhandler de kategorier af registrerede, som den Dataansvarlige vælger at uploade i Intras. Intras er dog primært rettet mod behandling af oplysninger om følgende kategorier af registrerede:
- 3.3.1 jobansøgere,
- 3.3.2 ansatte,
- 3.3.3 tidligere ansatte.
4 Hvor skal behandlingerne foregå
4.1 Databehandleren skal opbevare personoplysningerne på underdatabehandleren AWS hardware eller lokalt på sin hardware beliggende på adressen Nupark 51, 7500 Holstebro.
4.2 Der tages desuden backups af oplysningerne, der ligeledes befinder sig på en server tilhørende underdatabehandleren AWS.
4.3 Databehandleren er berettiget til at flytte hardware til en anden beliggenhed i EU, så længe dette ikke frembyder en uforholdsmæssig stor sikkerhedsrisiko.
4.4 Databehandleren er ligeledes berettiget til tage nyt hardware i brug, så længe dette ikke frembyder en uforholdsmæssig stor sikkerhedsrisiko.
5 Varigheden af behandlingerne
5.1 Databehandleren skal fortsætte behandlingerne, så længe databehandleraftalen er i kraft.
6 Underdatabehandlere
6.1 Databehandleren må antage underdatabehandlere, såfremt der indgås en databehandleraftale mellem Databehandleren og underdatabehandleren, der har de samme eller skærpede databeskyttelsesforpligtelser som dem, der er fastsat i databehandleraftalen.
6.2 Såfremt en underdatabehandler antages, skal Databehandleren underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af underdatabehandlere og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. Underretning af den Dataansvarlige kan ske ved offentliggørelse på Databehandlerens hjemmeside.
6.3 Overholder underdatabehandleren ikke sine forpligtelser, er Databehandleren fuldt ud ansvarlig herfor over for den Dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.
6.4 Databehandleren benytter underdatabehandleren "Amazon Web Services" (CVR: 39009323) til opbevaring af oplysningerne.
7 Tredjelandsoverførsel
7.1 Den Dataansvarlige godkender, at Databehandleren kan foretage tredjelandsoverførsler, såfremt kravene hertil i lovgivningen er opfyldt.
Bilag 2 – Minimumskrav til databehandlerens sikkerhed
1 Baggrund og rækkevidde
1.1 Dette bilag udgør den dataansvarliges minimumskrav til databehandlerens sikkerhed og er en fast del af databehandleraftalen.
1 Sikkerhedspolitik
1.1 Databehandleren skal udarbejde en sikkerhedspolitik.
1.2 Sikkerhedspolitikken skal sikre en tilstrækkelig sikkerhed under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.
1.3 Sikkerhedspolitikken skal gennemgøre de sikkerhedsforanstaltninger, der fremgår af dette bilag.
2 Personale
2.1 Databehandlerens personale skal være underkastet fortrolighed i overensstemmelse med databehandleraftalens punkt ”Fortrolighed”.
2.2 Personalet skal have en tilstrækkelig instruktion af, hvordan personoplysninger skal behandles i overensstemmelse med den vedtagne sikkerhedspolitik.
3 Risikovurdering
3.1 Databehandleren skal vurdere eventuelle risici i sin behandling af personoplysninger.
3.2 Vurderes en bestemt risiko til at være høj, skal databehandleren i vurderingen redegøre for, hvordan risikoen kan formindskes.
4 Adgangskontrol
4.1 Databehandleren skal sikre, at kun databehandlerens personale har adgang til personoplysninger. Tredjemænd kan dog i fornødent omfang få adgang til personoplysninger, hvis det er relevant for varetagelsen af databehandlerens opgaver og driften af databehandlerens systemer.
4.2 Adgangskontrollen skal sikres med brug af kodeord eller lignende.
4.3 Databehandleren skal have passende tekniske foranstaltninger for at hindre uautoriseret adgang, herunder en firewall, antivirus-software eller intrusion detection-software.
5 Bortskaffelse af hardware
5.1 Databehandleren skal sikre, at personoplysninger omfattet af denne databehandleraftale slettes, inden hardware bortskaffes eller overdrages til tredjemand.
6 Sikkerhedskopiering
6.1 Databehandleren skal i tilstrækkeligt omfang tage backups af personoplysninger omfattet af databehandleraftalen.
7 Sikkerhedsbrud
7.1 Databehandlerens sikkerhedspolitik skal indeholde en plan for håndtering af et sikkerhedsbrud.
7.2 Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på informationssikkerheden.
8 Kontrol
8.1 Databehandleren skal på den dataansvarliges anmodning give denne tiltrækkelige oplysninger om sikkerhedsforanstaltningerne til at afgøre, om sikkerhedsniveauet er tilstrækkeligt. Databehandleren har krav på et rimeligt vederlag for den tid, Databehandleren bruger på at medvirke til dette. Databehandlerens til enhver tid almindelige timetakst anses for at være et rimeligt vederlag.
Bilag 2 – Minimumskrav til databehandlerens sikkerhed
Bilag 2 – Minimumskrav til databehandlerens sikkerhed
1 Baggrund og rækkevidde
1.1 Dette bilag udgør den dataansvarliges minimumskrav til databehandlerens sikkerhed og er en fast del af databehandleraftalen.
1 Sikkerhedspolitik
1.1 Databehandleren skal udarbejde en sikkerhedspolitik.
1.2 Sikkerhedspolitikken skal sikre en tilstrækkelig sikkerhed under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.
1.3 Sikkerhedspolitikken skal gennemgøre de sikkerhedsforanstaltninger, der fremgår af dette bilag.
2 Personale
2.1 Databehandlerens personale skal være underkastet fortrolighed i overensstemmelse med databehandleraftalens punkt ”Fortrolighed”.
2.2 Personalet skal have en tilstrækkelig instruktion af, hvordan personoplysninger skal behandles i overensstemmelse med den vedtagne sikkerhedspolitik.
3 Risikovurdering
3.1 Databehandleren skal vurdere eventuelle risici i sin behandling af personoplysninger.
3.2 Vurderes en bestemt risiko til at være høj, skal databehandleren i vurderingen redegøre for, hvordan risikoen kan formindskes.
4 Adgangskontrol
4.1 Databehandleren skal sikre, at kun databehandlerens personale har adgang til personoplysninger. Tredjemænd kan dog i fornødent omfang få adgang til personoplysninger, hvis det er relevant for varetagelsen af databehandlerens opgaver og driften af databehandlerens systemer.
4.2 Adgangskontrollen skal sikres med brug af kodeord eller lignende.
4.3 Databehandleren skal have passende tekniske foranstaltninger for at hindre uautoriseret adgang, herunder en firewall, antivirus-software eller intrusion detection-software.
5 Bortskaffelse af hardware
5.1 Databehandleren skal sikre, at personoplysninger omfattet af denne databehandleraftale slettes, inden hardware bortskaffes eller overdrages til tredjemand.
6 Sikkerhedskopiering
6.1 Databehandleren skal i tilstrækkeligt omfang tage backups af personoplysninger omfattet af databehandleraftalen.
7 Sikkerhedsbrud
7.1 Databehandlerens sikkerhedspolitik skal indeholde en plan for håndtering af et sikkerhedsbrud.
7.2 Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på informationssikkerheden.
8 Kontrol
8.1 Databehandleren skal på den dataansvarliges anmodning give denne tiltrækkelige oplysninger om sikkerhedsforanstaltningerne til at afgøre, om sikkerhedsniveauet er tilstrækkeligt. Databehandleren har krav på et rimeligt vederlag for den tid, Databehandleren bruger på at medvirke til dette. Databehandlerens til enhver tid almindelige timetakst anses for at være et rimeligt vederlag.