Databehandleraftale

 

MELLEM [Kunde]

(CVR-nr. [Kundens CVR-nr.])

[Kundens adresse]

[Kundens postnr./by]

(den “Dataansvarlige”)

OG Health Group A/S

(CVR-nr. 30273893)

Kongevejen 377

2840 Holte

(“Databehandleren”)

(den Dataansvarlige og Databehandleren tilsammen benævnt “Parterne” og hver for sig en “Part”)

1. BAGGRUND

1.1 Parterne har ved underskriftsdatoen indgået en aftale (“Hovedaftalen“) om Databehandlerens levering af [Databehandlerens ydelse i henhold til Hovedaftalen] til den Dataansvarlige (“Ydelserne“).

1.2 Som led i Databehandlerens levering af Ydelserne til den Dataansvarlige i henhold til Hovedaftalen behandler Databehandleren på vegne af den Dataansvarlige visse personoplysninger (“Personoplysningerne”) om den Dataansvarliges medarbejdere (de “Registrerede”).

1.3 Nærværende databehandleraftale (“Databehandleraftalen”) fastlægger rettigheder og forpligtelser for henholdsvis den Dataansvarlige og Databehandleren med henblik på at sikre, at Parterne i forbindelse med den omhandlede behandling af Personoplysningerne opfylder kravene i den til enhver tid gældende persondataretlige regulering (“Persondatareguleringen”), navnlig forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger m.v. (“Persondataforordningen“) og den danske følgelovgivning til Persondataforordningen.

1.4 Databehandleraftalen udgør et tillæg til Hovedaftalen. De i Hovedaftalen indeholdte rammevilkår, herunder eventuelle ansvarsfraskrivelser og ‑begrænsninger, finder således også anvendelse mellem Parterne i relation til Databehandleraftalen, herunder i forbindelse med en eventuel misligholdelse af Databehandleraftalens vilkår. I tilfælde af uoverensstemmelse mellem vilkår om behandling af Personoplysninger i Hovedaftalen hhv. i Databehandleraftalen har Databehandleraftalen vilkår forrang frem for vilkårene i Hovedaftalen.

2. PERSONOPLYSNINGERNE

2.1 Personoplysningerne er af de nedenfor afkrydsede typer:

Almindelige oplysninger, jf. Persondataforordningens artikel 6: Navn, telefonnummer, e-mailadresse, fødselsdato, afdeling.

Særlige kategorier af personoplysninger, jf. Persondataforordningens artikel 9: Svar fra spørgeskemadata, helbredsoplysninger (blodtryk, kolesterol, kondital mm), samt journaldata fra fysioterapeutisk behandling.

3. DEN DATAANSVARLIGES ANSVAR

3.1 Den Dataansvarlige har det ansvar, som påhviler en dataansvarlig i henhold til Persondatareguleringen, herunder for at sikre, at der er fornøden hjemmel i henhold til Persondatareguleringen til den af Databehandleraftalen omhandlede behandling af Personoplysningerne. Databehandleren informerer medarbejderne (samtykkeerklæring) på vegne af den dataansvarlige med mindre andet aftales. Samtykkeerklæringen kan læses her: Læs her

4. FORMÅL OG KARAKTER AF BEHANDLINGEN; INSTRUKS

4.1 Behandlingen sker med Databehandlerens levering af Ydelserne i henhold til Hovedaftalen som formål. Databehandleren må ikke anvende Personoplysningerne til andre formål. Behandlingens karakter følger af Hovedaftalen.

4.2 Databehandleren må alene behandle Personoplysningerne efter dokumenteret instruks fra den Dataansvarlige med henblik på levering af Ydelserne, herunder for så vidt angår overførsel af Personoplysninger til et tredjeland eller en international organisation. Dog må Databehandleren altid foretage behandling, som kræves i henhold til EU-ret eller en medlemsstats nationale ret, som Databehandleren er underlagt; i så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandlingen, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.

4.3 Hovedaftalen samt senere ændringer dertil skal anses at udgøre en dokumenteres instruks fra den Dataansvarlige, og Databehandleren må således foretage sådan behandling, som er nødvendig for Databehandlerens opfyldelse af sine forpligtelser i henhold til Hovedaftalen, herunder for leveringen af Ydelserne.

4.4 Databehandleren skal omgående underrette den Dataansvarlige, såfremt en instruks fra den Dataansvarlige efter Databehandlerens mening er i strid med Persondataforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

5. SIKKERHED OG BISTAND 

5.1 Databehandleren skal sikre, at de personer, der er autoriseret til at behandle Personoplysningerne, har påtaget sig en fortrolighedsforpligtelse eller er underlagt en passende lovbestemt tavshedspligt.

5.2 Databehandleren skal iværksætte passende tekniske og organisatoriske foranstaltninger for at sikre et sådant sikkerhedsniveau, som kræves af hensyn til behandlingssikkerheden i medfør af Persondataforordningens artikel 32. DNV GL har screenet Databehandlerens datasikkerhed, og der er udarbejdet et ”Verification Statement” som dokumenterer ovenstående overholdelse, samt generel overholdelse af EU´s persondataforordning. Dokumentet kan hentes her: http://healthgroup.dk/auditrapporter/

5.3 Databehandleren skal under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, bistå den Dataansvarlige med at sikre overholdelse af forpligtelserne i medfør af Persondataforordningens artikel 32-36. Ved brud på persondatasikkerheden skal Databehandleren underrette den Dataansvarlige uden unødig forsinkelse efter at være blevet opmærksom herpå.

5.4 Databehandleren skal så vidt muligt, ved hjælp af passende tekniske og organisatoriske foranstaltninger, bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de Registreredes rettigheder efter Persondataforordningens kapitel III.

5.5 Databehandleren skal efter anmodning fra den Dataansvarlige stille alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i Persondataforordningens artikel 28, til rådighed for den Dataansvarlige og give mulighed for og bidrage til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige.

5.6 Databehandleren er berettiget til at kræve, at den Dataansvarlige betaler Databehandleren efter medgået tid, i henhold til Databehandlerens til enhver tid gældende almindelige timetakster, for Databehandlerens indsats med opfyldelse af forpligtelserne i henhold til pkt. 5.3-5.5 ovenfor.

6. DATABEHANDLERENS BRUG AF UNDERDATABEHANDLERE 

6.1 Den Dataansvarlige har godkendt generelt, at Databehandleren må gøre brug af underdatabehandlere i forbindelse med behandlingen af Personoplysninger på vegne af den Dataansvarlige, herunder specifikt, at Databehandleren kan anvende:  

Zitcom, Højvangen 4, 8660 Skanderborg, cvr. 29412006 

For ovenstående gælder, at data er behandlet i Microsoft Sharepoint løsning. Microsofts datacentre er lokaliseret på følgende adresser:

Microsoft Sharepoint (Primært datacenter) Microsoft Amsterdam, Agriport 601, 1775 TK Middenmeer, Nederlandene.

Microsoft Sharepoint (Sekundært datacenter) Microsoft Ireland, 1, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland

Datacentre kan lokaliseres her afhængig af service: https://products.office.com/en-us/where-is-your-data-located?geo=Europe#Europe

6.2 Databehandleren skal underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af underdatabehandlere og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

6.3  Databehandleren skal via en skriftlig aftale pålægge underdatabehandlere de samme forpligtelser med hensyn til persondatabeskyttelse, som Databehandleren selv er underlagt i medfør af Databehandleraftalen. Databehandleren forbliver fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.

7. IKRAFTTRÆDEN, VARIGHED OG OPHØR

7.1 Databehandleraftalen træder i kraft på datoen for den seneste af Parternes underskrifter, dog tidligst på Hovedaftalens ikrafttrædelsesdato.

7.2 Varigheden af behandlingen følger Hovedaftalens bestemmelser. Idet Databehandleraftalen er et tillæg til Hovedaftalen, ophører den samtidig med Hovedaftalen, hvad enten Hovedaftalen måtte ophøre ved udløb, opsigelse, ophævelse eller af anden grund.

7.3 Efter at Databehandlerens Ydelser vedrørende behandling af Personoplysningerne er ophørt, skal Databehandleren efter den Dataansvarliges valg enten slette eller tilbagelevere alle Personoplysningerne, samt slette eksisterende kopier, medmindre der gælder en forpligtelse for Databehandleren efter EU-ret eller national ret til fortsat at opbevare Personoplysningerne. Ofte opbevares data i en længere årrække grundet behovet for sammenligningsgrundlag.

8. ÆNDRINGER 

8.1 Såfremt Databehandleraftalens indhold viser sig at være, eller som følge af ændringer i Persondatareguleringen bliver, utilstrækkeligt til at opfylde Persondatareguleringens krav til indholdet af databehandleraftaler, skal Parterne gennemføre forhandlinger om tilpasning af Databehandleraftalen i forhold til disse krav. Databehandleren er berettiget til at kræve eventuelt forøgede omkostninger forbundet med opfyldelse af fornødne ændringer af Databehandlerens forpligtelser under Databehandleraftalen dækket af den Dataansvarlige.

9. UNDERSKRIFTER

9.1 Underskrift på Hovedaftale er samtidigt en accept af nærværende Databehandleraftale.

 

Med ønske om et godt samarbejde
Tim Herbst, adm. direktør

Ring til os