Databehandleraftaler

Databehandleraftale med EasyMe

Databehandleraftale

Denne databehandleraftale er indgået dags dato mellem:

DødsboRådgivningen (CVR: 37015199)
DødsboRådgivningen v/ Katrine Ridstrøm
(3ph213d5.easyme.dk)
Egevangen 3F (Synergia)
2980 Kokkedal
(herefter kaldet "Kunden")

og

EasyMe ApS (CVR: 28 71 26 18)
Schlegels Allé 5, 4. tv.
DK-1807 Frederiksberg C
(herefter kaldet "Databehandleren")

(Kunden og Databehandleren herefter hver for sig kaldet ”en Part” eller ”Parten” og tilsammen
”Parter” eller ”Parterne”)

1. Baggrund og formål
1. Databehandleren bistår behandlere, undervisere, konsulenter og foreninger (herunder
Kunden) med at håndtere bookinger, betalinger, faktureringer, journalisering og
elektronisk kommunikation med deres kunder. Denne bistand nødvendiggør, at
Databehandleren har adgang til de oplysninger, som Kunden indtaster i Kundens
webløsning.

2. Denne aftale vedrører Databehandlerens forpligtelse til at efterleve de krav om
sikkerhed, fortrolighed mv., der fremgår af databeskyttelsesforordningen og øvrig
persondataretlig lovgivning og regulering.

3. I forbindelse med sin bistand behandler Databehandleren til enhver tid
personoplysninger i overensstemmelse med god databehandlingsskik og i henhold til
de til enhver tid gældende regler og forskrifter, herunder særligt
databeskyttelsesforordningen og den relevante danske lovgivning.

4. I forbindelse med leveringen af sin bistand kommer Databehandleren til at behandle
Kundens data, og som følge deraf er der krav om, at denne databehandleraftale
udarbejdes, idet Parterne heri fastlægger vilkår og betingelser for Databehandlerens
bistand, særligt sikring af personoplysninger.

2. Formål
1. Databehandleren bistår som anført Kunden med at håndtere bookinger, betalinger,
faktureringer, journalisering og elektronisk kommunikation med deres kunder via den
onlineplatform, Databehandleren har udviklet (herefter kaldet ”Ydelserne”), og de
modtagne data anvendes således alene i forbindelse med leveringen af Ydelserne.

2. Som følge af de leverede Ydelser sker Databehandlerens behandling af
personoplysninger på vegne af kunden primært ved, at Databehandleren har adgang
til alle Kundens oplysninger om Kunden selv og om Kundens kunder, der er indtastet
på platformen. Databehandleren har derfor adgang til de fleste elektroniske
oplysninger om Kunden, og om Kundens kunder. Der behandles således oplysninger
om såvel Kunden som Kundens kunder.

3. Da Databehandleren har adgang til stort set alle Kundens data, herunder tillige i givet
fald Kundens journaloplysninger om Kundens kunder (der er indtastet via platformen),
har Databehandleren adgang til såvel almindelige som følsomme oplysninger.
Databehandleren vil ofte ikke have viden om omfanget af personoplysninger, der er
adgang til, da Databehandleren som udgangspunkt ikke undersøger de enkelte data i
Kundens system, men hovedsageligt arbejder med selve systemet.

4. I forbindelse med sin bistand behandler Databehandleren til enhver tid
personoplysninger i overensstemmelse med god databehandlingsskik og i henhold til
de til enhver tid gældende regler og forskrifter, herunder særligt
databeskyttelsesforordningen og den relevante danske lovgivning.

3. Kundens pligter
1. Kunden er dataansvarlig for de personoplysninger, som Kunden instruerer
Databehandleren om at behandle. Det er således Kunden, der har ansvaret for, at de
personoplysninger, som Kunden instruerer Databehandleren om at behandle, må
behandles af Databehandleren, herunder at behandlingen er nødvendig og saglig i
forhold til Kundens virksomhed. Databehandleren har med andre ord intet ansvar i
forhold til, om Kunden lovligt må behandle de oplysninger, Kunden har.

4. Databehandlerens pligter
1. Databehandleren er databehandler for de personoplysninger, som behandles på
vegne af Kunden. Databehandleren er underlagt de forpligtelser, som er pålagt en
databehandler i medfør af lovgivningen samt denne databehandleraftale.

2. Databehandleren behandler alene de overladte personoplysninger efter instruks fra
Kunden og alene med henblik på at levere Ydelserne. Databehandleren må således
ikke under nogen omstændigheder anvende Kundens data til andre formål og må ikke
uden Kundens forudgående skriftlige samtykke videregive personoplysninger fra
Kunden til tredjemand.

3. Databehandleren skal løbende føre en fortegnelse over behandlingen af
personoplysninger samt en fortegnelse over alle sikkerhedsbrud.

4. Databehandleren sikrer personoplysningerne via passende tekniske og
organisatoriske sikkerhedsforanstaltninger.

5. Databehandleren skal hjælpe med at opfylde Kundens forpligtelser i forhold til den
registreredes rettigheder, herunder besvarelse af anmodninger om indsigt i egne
oplysninger, udlevering af oplysninger, rettelse og sletning af oplysninger,
begrænsning af behandling, samt Kundens forpligtelser i forhold til underretning afden registrerede ved sikkerhedsbrud. Ved eventuelle sikkerhedsbrud er
Databehandleren tillige forpligtet til at bistå Kunden aktivt i forhold til Datatilsynet mv.

6. Databehandleren bistår Kunden med at sikre overholdelse af dennes forpligtelser efter
Databeskyttelsesforordningens artikel 32-36 under hensyntagen til behandlingens
karakter og de oplysninger, der er tilgængelige for Databehandleren, jf. art 28, stk. 3,
litra f.

7. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt
Kunden ved hjælp af passende tekniske og organisatoriske foranstaltninger, med
opfyldelse af Kundens forpligtelse til at besvare anmodninger om udøvelsen af de
registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.

8. Databehandleren har tilstrækkelig ekspertise, pålidelighed og ressourcer til at
implementere passende tekniske og organisatoriske foranstaltninger sådan, at
Kundens behandling af Kundens personoplysninger opfylder kravene i
databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.

9. Databehandleren er forpligtet til at oplyse med præcis adresseangivelse, hvor
Kundens personoplysninger opbevares. Databehandleren skal ajourføre
oplysningerne over for Kunden ved enhver ændring.

5. Underdatabehandlere
1. Ved underdatabehandler forstås en underleverandør, til hvem Databehandleren har
overladt hele eller dele af den behandling, som Databehandleren foretager på vegne
af Kunden. Det er i den forbindelse et krav, for at Databehandleren kan gøre brug af
en underdatabehandler, at Databehandleren opfylder de betingelser, der fremgår af
databeskyttelsesforordningen art. 28, stk. 2 og 4, for at gøre brug af en
underdatabehandler.

2. Kunden giver Databehandleren samtykke til anvendelse af underdatabehandlere,
forudsat at de i denne aftale stillede betingelser for dette er opfyldt. Databehandleren
underretter den Dataansvarlige om sådanne underdatabehandlere. På tidspunktet for
denne aftales underskrift anvendes følgende underdatabehandlere:
PIL: F.G.E. Rostrups Vej 2, 8000 Århus C, info@pil.dk
Postmark: 225 Chestnut St., Philadelphia, PA, 19106, natalie@wildbit.com
Sparkpost: 9160 Guilford Road, Columbia, MD 21046, legal@sparkpost.com
Twilio: 375 Beale Street, Suite 300 San Francisco, CA 94105, help@twilio.com
AWS: P.O. Box 81226 Seattle, WA 98108-1226,
https://pages.awscloud.com/compliance-contact-us.html
Intercom: 2nd Floor, Stephen Court, 18-21 St. Stephen's Green, Dublin,
compliance@intercom.com

3. Ved planlagte ændringer om tilføjelse eller erstatning af underdatabehandlere
underretter Databehandleren Kunden herom. Kunden kan herefter gøre indsigelse
mod sådanne ændringer indenfor 14 dage efter underretning.

4. Når Databehandleren overlader behandlingen af personoplysninger, som Kunden erdataansvarlig for, til underdatabehandlere, skal Databehandleren indgå en skriftlig
(under)databehandleraftale med underdatabehandleren.

5. Underdatabehandleraftalen skal pålægge underdatabehandleren de samme
databeskyttelsesforpligtelser, som Databehandleren er pålagt efter denne
databehandleraftale, databeskyttelsesforordningen eller anden gældende lovgivning,
herunder særligt at også underdatabehandleren skal stille de fornødne garantier for,
at underdatabehandleren vil gennemføre passende tekniske og organisatoriske
foranstaltninger på en sådan måde, at behandlingen opfylder kravene i
databeskyttelsesforordningen.

6. Når Databehandleren overlader behandlingen af personoplysninger, som Kunden er
dataansvarlig for, til underdatabehandlere, har Databehandleren over for Kunden det
fulde ansvar for underdatabehandlernes overholdelse af gældende regler og
forpligtelser.

7. Al kommunikation mellem Kunden og underdatabehandleren sker via
Databehandleren.

6. Instrukser
1. Databehandlerens behandling af personoplysninger på vegne af Kunden sker
udelukkende efter skriftlig instruks, jf. det aftalte formål ovenfor, medmindre det
kræves i henhold til lovgivning, som Databehandleren er underlagt. I så fald
underretter Databehandleren Kunden om dette retlige krav inden behandling,
medmindre lovgivningen forbyder en sådan underretning af hensyn til vigtige
samfundsmæssige interesser, jf. databeskyttelsesforordningen art 28, stk. 3, litra a.

2. Såfremt en instruks efter Databehandlerens opfattelse er i strid med gældende regler,
underrettet Databehandleren straks Kunden.

7. Tekniske og organisatoriske sikkerhedsforanstaltninger
1. Databehandleren skal iværksætte alle sikkerhedsforanstaltninger, der kræves for at
sikre et passende sikkerhedsniveau, og skal i øvrigt mindst én gang årligt gennemgå
sine interne sikkerhedsforskrifter og retningslinjer for behandlingen af
personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger
til stadighed er iagttaget.

2. Databehandleren samt dennes eventuelle ansatte er underlagt forbud mod at skaffe
sig oplysninger af enhver art, som ikke har betydning for udførelsen af den
pågældendes opgaver.

8. Overførsel til tredjelande udenfor EU/SØS
1. Kunden giver ved underskrift på denne aftale Databehandleren samtykke til at
foretage behandling af personoplysninger udenfor det Europæiske Økonomiske
Samarbejde (EØS) forudsat, at Databehandleren garanterer, at der foreligger
tilstrækkelig hjemmel til overførslen, herunder ved at det pågældende tredjeland har et
tilstrækkeligt beskyttelsesniveau, eller ved at Databehandleren på vegne af denDataansvarlige

indgår aftale med underdatabehandleren ved anvendelse af de af EU Kommissionen vedtagne

standardkontraktbestemmelser om overførsel til tredjelande.

9. Tavshedspligt og fortrolighed
1. Parterne har – under denne aftales forløb og efter dens ophør – gensidigt fuld
tavshedspligt omkring alle oplysninger, de bliver bekendte med gennem samarbejdet.

2. Databehandleren skal sikre, at alle, der er autoriseret til at behandle Kundens
personoplysninger, herunder ansatte, tredjeparter (f.eks. en reparatør) og
underdatabehandlere, forpligter sig til fortrolighed eller er underlagt en passende
lovbestemt tavshedspligt.

10. Kontroller
1. Kunden, en repræsentant for Kunden eller dennes revision (såvel intern som ekstern)
har adgang til med et passende varsel at foretage inspektioner og revision hos
Databehandleren, at få udleveret dokumentation, herunder logs, stille spørgsmål m.v.
med henblik på at konstatere, at Databehandleren overholder de krav, der følger af
lovgivningen og denne aftale.

2. I tilfælde af, at Kunden og/eller relevante offentlige myndigheder, særligt Datatilsynet,
ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne
aftale, forpligter Databehandleren sig til uden yderligere omkostninger for Kunden at
stille tid og ressourcer til rådighed herfor.

11. Sletning af data
1. Kunden træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af
personoplysningerne efter, at behandlingen af personoplysningerne er ophørt. I det
tilfælde, hvor personoplysningerne tilbageleveres til Kunden, skal Databehandleren
ligeledes slette eventuelle kopier. Databehandleren skal sikre, at eventuelle
underdatabehandlere ligeledes efterlever Kundens meddelelse.

12. Ikrafttræden og varighed
1. Denne databehandleraftale indgås ved begge Parters underskrift og fortsætter indtil
den opsiges af én af Parterne. Behandlingen af data fortsætter således også i en
eventuel opsigelsesperiode.

2. Aftalen kan af begge Parter opsiges med 3 måneders varsel til udløbet af en måned

Databehandleraftale med Dinero

Parterne kaldes i det følgende henholdsvis den "Dataansvarlige" og "Databehandleren", og "Part" eller tilsammen "Parterne".

Introduktion
Ved brug af regnskabsprogrammet Dinero Regnskab og ethvert modul eller funktion i forbindelse med applikationen (i det hele benævnt "Applikationen"), vil den Dataansvarlige være ansvarlig for sin Behandling af Personoplysninger i Applikationen.

Databehandleren vil behandle personoplysninger på vegne af den Dataansvarlige.

For at sikre, at Parterne lever op til sine forpligtelser under nationale databeskyttelsesregler samt Europa-Parlamentet og Rådets forordning (EU) 2016/279 ("GDPR"), har Parterne indgået denne databehandleraftale ("Aftalen"), som udgør instruksen fra den Dataansvarlige til Databehandleren og dermed regulerer Databehandlerens Behandling af personoplysninger på
vegne af den Dataansvarlige.

Begge Parter bekræfter, at de har fuldmagt til at underskrive Aftalen.

Databehandleren behandler desuden udelukkende Personoplysninger i overensstemmelse med Dinero Regnskabs Privatlivspolitik.

Definitioner
Definitionen af Personoplysninger, Særlige Kategorier af Data (Følsomme Oplysninger), Behandling, den Registrerede, Dataansvarlig og Databehandler er den samme som den relevante persondatalovgivning, herunder GDPR.

Aftalen regulerer Databehandlerens Behandling af Personoplysninger på vegne af den Dataansvarlige, og beskriver, hvordan Databehandleren skal medvirke til at beskytte privatliv på vegne af den Dataansvarlige og dennes Registrerede gennem tekniske og organisatoriske foranstaltninger som er krævet under den gældende databeskyttelseslovgivning, herunder GDPR fra den 25. maj 2018.

Formålet med Databehandlerens Behandling af Personoplysninger på vegne af den Dataansvarlige er at sikre, den Dataansvarliges brug af Applikationen og opfyldelsen af denne Aftale. Aftalen har forrang for andre modstridende bestemmelser vedrørende Behandling af Personoplysninger for så vidt angår vilkår for brugen af Applikationen eller i andre aftaler gældende Parterne imellem. Aftalen er gyldig, så længe den Dataansvarlige har en konto i Applikationen, og Databehandleren derfor skal behandle Personoplysninger på vegne af
den Dataansvarlige. Aftalen har dog ikke forrang, såfremt Parterne har indgået en anden databehandleraftale, hvoraf fremgår, at den databehandleraftale har forrang frem for denne Aftale.

Databehandlerens forpligtelser
Databehandleren skal udelukkende behandle Personoplysninger på vegne af og som følge af den Dataansvarliges instruktioner. Ved at indgå denne Aftale, instruerer den Dataansvarlige Databehandleren i at behandle Personoplysninger på følgende måder:

i) i overensstemmelse med gældende lovgivning,

ii) for at opfylde sine
forpligtelser i henhold til abonnementsvilkår for Applikationen,

iii) som yderligere specificeret ved den Dataansvarliges
normale brug af Applikationen, og

iv) som beskrevet i denne Aftale.

Kategorierne af Registrerede og Personoplysninger som behandles i henhold til denne Aftale er beskrevet i Bilag A og B.

Som en del af at kunne levere Applikationen er Databehandleren forpligtet til enhver tid at give den Dataansvarlige gode og konkurrencedygtige løsninger der følger med udviklingen. Databehandleren kan tilbyde bedre løsninger, som er tilpasset den enkelte Dataansvarliges behov, ved at registrere hvordan Dataansvarlig og dennes repræsentanter bruger
Applikationen. Dette gør Databehandler for at kunne lave en bedre version af Applikationen, og generelt yde bedre tjenester og give mere relevant kommunikation til den Dataansvarlige og dennes repræsentanter.

Målet er at Dataansvarlig skal løse så mange udfordringer som muligt på et sted. I den grad at personoplysninger fra Applikationen indgår i dette arbejde, behandles disse i henhold til denne Aftale og gældende lovgivning, og kan deles med selskaber i Visma koncernen med henblik på dette arbejde.

Databehandleren har ikke nogen grund til at tro, at gældende lovgivning forhindrer Databehandleren i at efterleve instruktionerne gengivet ovenfor. Databehandleren skal, hvis denne bliver opmærksom på det, give den Dataansvarlige besked om instruktioner eller andre Behandlingsaktiviteter udført af den Dataansvarlige, som efter Databehandlerens
opfattelse strider imod den gældende databeskyttelseslovgivning.

Under hensyntagen til den teknologi, der er tilgængelig, og omkostningerne ved implementeringen, samt omfanget, konteksten og formålet med Behandlingen, er Databehandleren forpligtet til at foretage alle rimelige foranstaltninger, herunder tekniske og organisatoriske, for at sikre et tilstrækkeligt sikkerhedsniveau i forhold til den risiko og kategorien af Personoplysninger, der skal beskyttes.

Databehandleren skal bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, som dette er muligt og under hensyntagen til Behandlingens art og kategorien af oplysninger, der er tilgængelige for Databehandleren, for at sikre overholdelse af den Dataansvarliges forpligtelser i henhold til gældende Databeskyttelseslovgivning, herunder for så vidt angår bistand i forhold til opfyldelse af anmodninger fra Registrerede samt generel overholdelse af bestemmelserne under GDPR artikel 32-36.

Databehandleren skal underrette den Dataansvarlige uden unødig forsinkelse via kontaktperson oplyst i Databehandleraftalen, hvis Databehandleren bliver bekendt med sikkerhedsbrist.
Endvidere skal Databehandleren så vidt muligt og lovligt underrette den Dataansvarlige, hvis;
1. En anmodning om indsigt i Personoplysninger modtages direkte fra den Registrerede
2. En anmodning om indsigt i Personoplysninger modtages direkte fra statslige myndigheder, herunder politiet.

Databehandleren må ikke besvare sådanne anmodninger fra Registrerede, medmindre denne er autoriseret af den Dataansvarlige til at gøre det. Databehandleren vil endvidere ikke videregive information om denne Aftale til statslige myndigheder såsom politiet, herunder Personoplysninger, medmindre Databehandleren er forpligtet til det i medfør af lovgivningen, såsom ved en retskendelse eller lignende.

Hvis den Dataansvarlige kræver information eller assistance omkring sikkerhedsforanstaltninger, dokumentation eller information om, hvordan Databehandleren behandler Personoplysninger generelt, og en sådan anmodning indeholder information, som går ud over, hvad der er nødvendigt ifølge gældende Databeskyttelseslovgivning, må Databehandleren
kræve betaling for sådanne yderligere services.

Databehandleren og dennes ansatte skal sikre fortrolighed i forhold til Personoplysninger, som behandles i henhold til Aftalen. Denne bestemmelse skal ligeledes gælde efter ophør af Aftalen.

Den Dataansvarliges forpligtelser
Den Dataansvarlige bekræfter ved indgåelse af denne aftale, at:

• Den Dataansvarlige skal ved brug af Applikationen stillet til rådighed af Databehandleren, udelukkende behandle Personoplysninger i overensstemmelse med kravene i den gældende Databeskyttelseslovgivning.

• Den Dataansvarlige har et lovligt grundlag for at behandle og videregive Personoplysninger til Databehandleren (herunder til underdatabehandlere som Databehandleren anvender).

• Den Dataansvarlige har ansvaret for nøjagtigheden, integriteten, indholdet af pålideligheden og lovligheden af de Personoplysninger som behandles af Databehandleren.

• Den Dataansvarlige har opfyldt alle obligatoriske krav og pligter i forhold til anmeldelse hos eller opnåelse af tilladelse fra de relevante offentlige myndigheder for så vidt angår Behandlingen af Personoplysninger.

• Den Dataansvarlige har opfyldt sin oplysningsforpligtelser over for de Registrerede vedrørende behandlingen af Personoplysninger i henhold til gældende databeskyttelseslovgivning.

• Den Dataansvarlige er enig i, at Databehandleren har givet de relevante garantier for så vidt angår implementeringen af tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre de Registreredes rettigheder og deres Personoplysninger.

• Den Dataansvarlige skal ved brug af Applikationens ikke behandle Følsomme oplysninger, ud over de som specificeret i bilag A og B.

• Den Dataansvarlige skal have en opdateret liste over de kategorier af Personoplysninger, som denne behandler, dette gælder særligt i det omfang sådan Behandling indeholder personfølsomme oplysninger.

Brug af underdatabehandlere og videregivelse af data
Som en del af driften af Applikationen anvender Databehandleren underleverandører ("Underdatabehandlere"). Sådanne Underdatabehandlere kan være andre selskaber inden for Visma-koncernen, som Dinero Regnskab er en del af, eller tredjepartsleverandører i og uden for EU/EØS.

Databehandlerens underleverandører er oplistet i den til enhver tid opdaterede liste over underdatabehandlere, som kan ses her: https://dinero.dk/sikkerhed/underleverandoerer/.
Databehandleren skal sikre sig, at dennes Underdatabehandlere skal overholde tilsvarende forpligtelser og krav, som er beskrevet i Aftalen. Al brug af Underdatabehandlere er endvidere underlagt Visma-koncernens Privacy Statement.

Denne Aftale udgør den Dataansvarliges forudgående generelle og specifikke skriftlige godkendelse af Databehandlerens brug af Underdatabehandlere.
Hvis en Underdatabehandler er etableret uden for eller Personoplysninger opbevares uden for EU/EØS, giver den Dataansvarlige Databehandleren autorisation til at sikre et tilstrækkeligt grundlag for overførsel af Personoplysninger til tredjeland på vegne af den Dataansvarlige, herunder ved anvendelse af EU Kommissionens Standardkontrakter eller i overensstemmelse med Privacy Shield.

Den Dataansvarlige skal orienteres, inden Databehandlere udskifter sine Underdatabehandlere. Den Dataansvarlige har dog kun ret til at protestere imod en ny Underdatabehandler, som behandler Personoplysninger på vegne af den Dataansvarlige, hvis denne ikke behandler data i overensstemmelse med gældende databeskyttelseslovgivning. I en sådan situation skal Databehandleren demonstrere overensstemmelse ved at give den Dataansvarlige adgang til
Databehandlerens databeskyttelsesvurdering af Underdatabehandleren. Hvis der stadig er uenighed om anvendelsen af Underdatabehandleren kan den Dataansvarlige anmode om sletning af sin konto i Applikationen, at den Dataansvarliges Personoplysninger ikke behandles af den pågældende Underdatabehandler.

Sikkerhed
Databehandleren er forpligtet til at sikre et højt sikkerhedsniveau i sine produkter og services, hvilket sikres ved relevante organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger, som er påkrævede i henhold til information om sikkerhedsforanstaltninger som beskrevet i GDPR artikel 32.

Endvidere har Visma-koncernens interne databeskyttelses politikker til formål at sikre fortrolighed, integritet, modstandsdygtigheden og adgangen til Personoplysninger.

De følgende foranstaltninger er særligt væsentlige:

• Klassificering af Personoplysninger for at sikre implementering af sikkerhedsforanstaltninger relevante i forhold til risikovurderinger.

• Vurdering af kryptering og pseudonymisering som risikoreducerende faktorer

• Begrænse adgangen til Personoplysninger til de relevante personer, der skal til for at overholde krav og forpligtelser i Aftalen eller i henhold til Parternes aftale om anvendelse af Applikationen.

• Kortlægge sikkerheds strukturen samt hvordan Personoplysninger overføres imellem Parterne.

• Foretage vurdering af eget sikkerhedsniveau for at sikre, at nuværende tekniske og organisatoriske foranstaltninger er tilstrækkelige til beskyttelse af Personoplysninger, herunder i henhold til GDPR artikel 32 om behandlingssikkerhed samt artikel 25 om privacy by design og default.

Adgang til revision
Den Dataansvarlige er berettiget til at igangsætte en revision af Databehandlerens forpligtelser i henhold til Aftalen én gang årligt. Hvis den Dataansvarlige er forpligtet hertil efter gældende lovgivning, kan der foretages revision oftere end én gang årligt. Den Dataansvarlige skal i forbindelse med anmodning om en revision medsende en detaljeret revisionsplan med en beskrivelse af omfang, varighed og startdato minimum fire uger forud for den foreslåede startdato.

Det skal besluttes i fællesskab mellem Parterne, hvis en tredjepart skal foretage revisionen. Imidlertid kan den Dataansvarlige lade Databehandleren bestemme, at revisionen af sikkerhedsårsager skal foretages af en neutral tredjepart efter Databehandlerens valg, såfremt der er tale om et behandlingsmiljø, hvor flere dataansvarliges data er anvendt.

Hvis det foreslåede omfang for revisionen følger en ISAE, ISO eller lignende certificeringsrapport udført af en kvalificeret tredjepartsrevisor inden for de forudgående tolv måneder, og Databehandleren bekræfter, at der ikke har været nogen materielle ændringer i de foranstaltninger, som har været under revision, skal den Dataansvarlige acceptere denne
revision i stedet for at anmode om en ny revision af de foranstaltninger, som allerede er dækket.

Under alle omstændigheder skal revision finde sted i normal kontortid på den relevante facilitet i overensstemmelse med Databehandlerens politikker og må ikke på urimelig vis forstyrre Databehandlerens sædvanlige kommercielle aktiviteter.

Den Dataansvarlige er ansvarlig for alle omkostninger i forbindelse med anmodningen om revision. Databehandlerens assistance i forbindelse hermed, som overskrider den almindelige service som Databehandleren og/eller Vismakoncernen skal stille til rådighed som følge af gældende databeskyttelseslovgivning, afregnes særskilt.

Varighed og ophør
Aftalen er gældende, så længe Databehandleren behandler Personoplysninger på vegne af den Dataansvarlige i forbindelse med den Dataansvarliges brug af Applikationen.
Denne Aftale vil automatisk ophøre ved sletning af den Dataansvarliges konto i Applikationen. Ved ophør af kontoen vil Databehandleren slette alle Personoplysninger, som Databehandleren har behandlet på vegne af den Dataansvarlige under Aftalen.

Databehandleren er berettiget til at beholde Personoplysninger efter ophør af Aftalen i det omfang, det er nødvendigt i henhold til gældende lov, hvilket i så fald vil ske i overensstemmelse med de tekniske og organisatoriske sikkerhedsforanstaltninger, som er beskrevet i Aftalen.

Ændringer
Ændringer til Aftalen skal vedlægges i et særskilt bilag til Aftalen.
Hvis nogen af bestemmelserne i Aftalen er ugyldige, får dette ikke indvirkning på de resterende bestemmelser. Parterne skal erstatte ugyldige bestemmelser med en lovlig bestemmelse, som afspejler formålet med den ugyldige bestemmelse.

Ansvar
Ansvar for handlinger i strid med bestemmelserne i denne Aftale reguleres af ansvars- og erstatningsbestemmelser i betingelserne for brug af Dinero Regnskab. Dette gælder ligeledes for enhver overtrædelse, som foretages af Databehandlerens Underdatabehandlere.

Lovvalg og værneting
Aftalen er underlagt dansk ret og enhver tvist skal forelægges en dansk domstol.

Bilag A – Kategorier af Personoplysninger og Registrerede
1. Kategorier af Registrerede og Personoplysninger som behandles i henhold til Aftalen

a. Kategorier af Registrerede:

1. Den Dataansvarliges slutbrugere
2. Den Dataansvarliges medarbejdere
3. Den Dataansvarliges kontaktpersoner
4. Den Dataansvarliges kunder og kunders slutbrugere
5. Den Dataansvarliges kunders medarbejdere
6. Den Dataansvarliges kunders kontaktpersoner
7. Evt.

b. Kategorier af Personoplysninger:
1. Navn
2. Titel
3. Telefonnummer
4. E-mail
5. Adresse
6. CPR nummer via EAN-fakturering (behandles som fortrolig oplysning)
7. Evt.

Databehandleraftale med One.com

Databehandleraftale

Dataansvarlig: kunde, der befinder sig i EU (den “dataansvarlige“) DødsboRådgivningen v/ Katrine Bosmann Ridstrøm og

Databehandleren:
One.com Group AB
559205-2400
Malmö
Sverige

(the “databehandleren“)
(omtales enkeltvis som (en) “part” og ved flere som “parter(ne)“)
have concluded this:

Databehandleraftale

(herefter benævnt “aftalen“)
vedrørende databehandlerens behandling af personoplysninger på vegne af den dataansvarlige.

1. De behandlede personoplysninger

1.1 Denne aftale er indgået i forbindelse med den dataansvarliges brug af databehandlerens tjenester som en del af abonnementet og yderligere tjenester som beskrevet i “one.com Vilkår og betingelser” (“hovedaftalen“).

1.2 Databehandleren behandler typerne af personoplysninger på vegne af den dataansvarlige i forhold til de relevante registrerede som angivet i Skema 1. Personoplysningerne vedrører de registrerede anført i Skema 1.

1.3 Databehandleren kan påbegynde behandling af personoplysninger på vegne af den dataansvarlige efter aftalens ikrafttræden. Behandlingen har den varighed, der er angivet i instruktionerne i aftalens Skema 1.

1.4 Aftalen og hovedaftalen er indbyrdes afhængige og kan ikke opsiges separat. Aftalen kan dog erstattes med en anden gyldig databehandleraftale uden opsigelse af hovedaftalen.

2. Formål

2.1 Databehandleren må kun behandle personoplysninger til formål, der er nødvendige for at opfylde databehandlerens forpligtelser, og i den forbindelse levere de tjenester, der er fastsat i hovedaftalen.

3. Den dataansvarliges forpligtelser

3.1 Den dataansvarlige garanterer, at personoplysningerne behandles med legitime og objektive formål og at databehandleren ikke behandler flere personoplysninger, end det er nødvendigt for at opfylde sådanne formål.

3.2 Den dataansvarlige er ansvarlig for at sikre, at der findes et gyldigt retsgrundlag for behandling på tidspunktet for overførsel af personoplysninger til databehandleren. Efter anmodning fra databehandleren forpligter den dataansvarlige sig skriftligt til at redegøre for og/eller levere dokumentation for grundlaget for behandlingen.

3.3 Den dataansvarlige garanterer desuden, at de registrerede, som personoplysningerne vedrører, er blevet oplyst tilstrækkeligt om behandlingen af deres personoplysninger.

4. Databehandlerens forpligtelser

4.1 Al behandling, som databehandleren foretager af de personoplysninger, der er leveret af den dataansvarlige, skal ske i overensstemmelse med de instruktioner, som den dataansvarlige har udarbejdet, og databehandleren er desuden forpligtet til at overholde al til enhver tid gældende databeskyttelseslovgivning. Hvis EU-retten eller national lovgivning i en EU-medlemsstat, som databehandleren er underlagt, foreskriver, at databehandleren skal behandle personoplysningerne anført i Skema 1, skal databehandleren underrette den dataansvarlige om dette juridiske krav, før personoplysningerne behandles. Dette gælder dog ikke, hvis denne lovgivning forbyder sådanne oplysninger af hensyn, der er vigtige for den offentlige interesse. Databehandleren skal straks underrette den dataansvarlige, hvis en instruktion efter databehandlerens opfattelse krænker EU’s generelle databeskyttelsesforordning eller databeskyttelsesbestemmelserne i en EU-medlemsstat.

4.2 Databehandleren skal træffe alle nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger, herunder alle yderligere foranstaltninger, der er nødvendige for at sikre, at personoplysningerne ikke utilsigtet eller ulovligt tilintetgøres, mistes eller forringes, eller at de bringes til uautoriserede tredjeparters kendskab, misbruges eller behandles på en måde, der strider mod den til enhver tid gældende databeskyttelseslovgivning. Disse foranstaltninger er nærmere beskrevet i Skema 2.

4.3 Databehandleren skal sikre, at medarbejdere, der er autoriseret til at behandle personoplysninger, har underskrevet en fortrolighedserklæring eller er underlagt den relevante lovfæstede tavshedspligt.

4.4 Hvis den dataansvarlige anmoder derom, skal databehandleren erklære og/eller dokumentere, at databehandleren efterlever kravene i gældende databeskyttelseslovgivning, herunder dokumentation vedrørende databehandlerens datastrømme samt procedurer/politikker for behandling af personoplysninger.

4.5 Under hensyntagen til behandlingens art skal databehandleren så vidt muligt bistå den dataansvarlige med passende tekniske og organisatoriske foranstaltninger med henblik på at opfylde den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af den registreredes rettigheder, som fastsat i kapitel 3 i den generelle databeskyttelsesforordning.

4.6 Databehandleren eller en anden databehandler (underdatabehandler) skal sende anmodninger og indsigelser fra de registrerede til den dataansvarlige med henblik på dennes videre behandling deraf, medmindre databehandleren selv er berettiget til at behandle en sådan anmodning. Hvis den dataansvarlige beder om det, skal databehandleren hjælpe den dataansvarlige med at besvare sådanne anmodninger og/eller indsigelser.

4.7 Hvis databehandleren behandler personoplysninger i et andet EU-land, skal databehandleren overholde det pågældende lands lovgivning om sikkerhedsforanstaltninger.

4.8 Databehandleren skal underrette den dataansvarlige, hvis der sker en driftsafbrydelse, en mistanke om, at databeskyttelsesreglerne er blevet overtrådt, eller der opstår andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandleren har en frist på 24 timer fra det øjeblik, vedkommende bliver opmærksom på et sikkerhedsbrud, til at oplyse den dataansvarlige om et sikkerhedsbrud. Databehandleren skal efter anmodning fra den dataansvarlige bistå den dataansvarlige med henblik på at klarlægge omfanget af sikkerhedsbruddet, herunder udarbejdelse af en notifikation til det relevante databeskyttelsesagentur og/eller de registrerede.

4.9 Databehandleren skal stille alle oplysninger til rådighed for den dataansvarlige, som er nødvendige for at påvise overensstemmelse med artikel 28 i den generelle databeskyttelsesforordning og aftalen. I denne forbindelse giver databehandleren mulighed for og bidrager til revisioner, herunder inspektioner, der udføres af den dataansvarlige eller en anden revisor, som er udpeget af den dataansvarlige.

4.10 Ud over ovennævnte skal databehandleren bistå den dataansvarlige med at sikre, at den dataansvarliges forpligtelser i henhold til artikel 32-36 i den generelle databeskyttelsesforordning overholdes. Denne bistand tager hensyn til arten af behandlingen og de oplysninger, der er tilgængelige for databehandleren.

5. Overførsel af data til underdatabehandlere eller tredjeparter

5.1 Databehandleren skal opfylde betingelserne i artikel 28, stk. 2 og 4, i den generelle databeskyttelsesforordning for at kunne benytte sig af en anden databehandler (underdatabehandler). Dette indebærer, at databehandleren ikke benytter sig af en anden databehandler (underdatabehandler) til udførelse af aftalen uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige.

5.2 Den dataansvarlige giver herved databehandleren en generel fuldmagt til at indgå aftaler med underdatabehandlere. Databehandleren skal underrette den dataansvarlige om eventuelle ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere senest 30 dage før en ny underdatabehandler påbegynder behandlingen af personoplysningerne. Den dataansvarlige kan fremsætte rimelige og relevante indsigelser mod sådanne ændringer inden for 14 dage fra modtagelsen af meddelelsen. Hvis databehandleren fortsat ønsker at benytte en underdatabehandler, som den dataansvarlige har gjort indsigelse mod, har parterne ret til at opsige aftalen, jf. punkt 7.

5.3 Når den dataansvarlige har godkendt, at databehandleren kan bruge en underdatabehandler, skal databehandleren pålægge underdatabehandleren de samme forpligtelser som fastsat i aftalen. Dette sker gennem en kontrakt eller et andet retsligt dokument i henhold til EU-retten eller en medlemsstats nationale lovgivning. Det skal fx sikres, at underdatabehandleren stiller tilstrækkelige garantier for at kunne gennemføre passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i den generelle databeskyttelsesforordning (“back-to-back”-vilkår).

5.4 Hvis underdatabehandleren ikke opfylder sine forpligtelser vedrørende databeskyttelse, er databehandleren fuldt ud ansvarlig over for den dataansvarlige for udførelsen af underdatabehandlerens forpligtelser.

5.5 Videregivelse, overførsel og intern brug af den dataansvarliges personoplysninger til tredjelande eller internationale organisationer må kun ske i overensstemmelse med dokumenterede instruktioner fra den dataansvarlige – medmindre dette er fastsat i EU-retten eller i den nationale lovgivning i en medlemsstat, som databehandleren er underlagt. I så fald skal databehandleren underrette den dataansvarlige om dette juridiske krav før behandlingen, medmindre loven forbyder en sådan meddelelse af hensyn til vigtige offentlige interesser.

5.6 Hvis de personoplysninger, der er anført i Skema 1, overføres til underdatabehandlere uden for EU/EØS, skal det i den nævnte aftale anføres, at databeskyttelseslovgivningen i den dataansvarliges land gælder for underdatabehandlere. Hvis den modtagende underdatabehandler er etableret i EU/EØS, skal det i den nævnte databehandlingsaftale anføres, at det modtagende EU-lands specifikke lovfæstede krav til databehandlere, fx vedrørende krav om notifikation af nationale myndigheder, skal efterleves.

5.7 Databehandleren er forpligtet til at indgå skriftlige aftaler om databehandling med underdatabehandlere i EU/EØS. Hvad angår underdatabehandlere uden for EU/EØS, skal databehandleren sikre de nødvendige overførselsmekanismer og indgå en underdatabehandlingsaftale ved indgåelse af standardaftaler i overensstemmelse med EUKommissionens standardkontraktbestemmelser (“Standardkontrakter”) baseret på 2021/914/EU af 4. juni 2021.

5.8 På tidspunktet for undertegnelsen af denne aftale benytter databehandleren sig af de underdatabehandlere, der er anført i Skema 3.

6. Ansvar

6.1 Parternes ansvar er underlagt hovedaftalen.

6.2 Parternes erstatningsansvar i henhold til denne aftale er underlagt hovedaftalen.

7. Ikrafttrædelsesdato og opsigelse

7.1 Denne aftale træder i kraft samtidigt med hovedaftalen. I tilfælde af opsigelse af hovedaftalen opsiges ligeledes denne aftale. Databehandleren er dog fortsat underlagt de forpligtelser, der er fastsat i denne aftale, så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige.

7.2 Efter afslutning af behandlingstjenesterne er databehandleren forpligtet til, efter anmodning fra den dataansvarlige, at slette eller returnere alle personoplysninger til den dataansvarlige samt at slette eksisterende kopier, medmindre opbevaring af personoplysningerne er foreskrevet i EU-retten eller den nationale lovgivning.

8. Gældende lovgivning og anvendt jurisdiktion

8.1 Ethvert krav eller enhver tvist, der opstår som følge af eller i forbindelse med denne aftale, skal afgøres af en kompetent ret i første instans i samme jurisdiktion og med samme lovvalg som fastsat i hovedaftalen.

Underskrifter

For den dataansvarlige:

__________________________
[Navn] [Titel]

For databehandleren:

__________________________
Ronni Engelhardt CEO

Skema 1

Kategorier af registrerede, typer af personoplysninger og instruktioner

Kategorier af registrerede:

• Databehandleren vil behandle kontaktoplysninger om den dataansvarliges faktiske, potentielle eller tidligere kunder og/eller medlemmer, medarbejdere, leverandører, forretnings- og samarbejdspartnere samt associerede selskaber.
• Databehandleren har sat sit system til den dataansvarliges disposition som en hostet tjeneste, og databehandleren kan ikke bestemme alle kategorier af registrerede. Hvis den dataansvarlige hoster data om yderligere kategorier af registrerede hos databehandleren, er det den dataansvarliges pligt at registrere disse oplysninger.                                             

Typer af personoplysninger:

• Kontakt- og identifikationsoplysninger, herunder e-mail.
• IP-adresser
• Domænenavne
• Brugernavne
• Oplysninger om medlemskab
• Analyser og brugsdata
• Ordrehistorik og -oplysninger
• Kontrakter
• Kommunikation
• Support 6
• Billeder
• Der kan forekomme andre typer af personoplysninger

Instruktioner

Service

Databehandleren kan behandle personoplysninger vedrørende de registrerede med det formål at levere, udvikle, håndtere, administrere og styre tjenesterne i hovedaftalen, herunder sikre stabilitet og oppetid for vores servere og opfylde juridiske krav.

Opbevaringsperiode

De personoplysninger, der er gemt/hostet i vores systemer, slettes eller anonymiseres inden for et rimeligt tidsrum, efter at den dataansvarlige har opsagt hovedaftalen fuldstændigt. Undtagelser er data, hvor der er et lovkrav om, at databehandleren skal gemme dem længere. Denne type data vil typisk blive slettet inden for otte uger, men kan slettes tidligere. Andre typer data, der er gemt i logfiler osv., slettes efter et rimeligt tidsrum, typisk inden for 8 uger, hvorefter de slettes hos databehandleren.

Sted for behandlingen

Behandling af personoplysninger, der er omfattet af aftalen, må ikke uden den dataansvarliges forudgående skriftlige samtykke foretages andre steder end på databehandlerens adresse og adressen på de underdatabehandlere, der er anført i Skema 3.

Inspektion af databehandler

Databehandleren skal for egen regning en gang om året lade en revisions-/inspektionsrapport udarbejde af en tredjepart vedrørende databehandlerens efterlevelse af denne aftale og disse skemaer. Rapporten eller et andet revisionsformat skal sendes til den dataansvarlige eller offentliggøres på den dataansvarliges websted så hurtigt som muligt efter udarbejdelsen.

Skema 2

Sikkerhedsforanstaltninger

Domæne

Domæne Fremgangsmåder

Organisering af informationssikkerhed

Ejerskab af sikkerhed. one.com har udpeget en sikkerhedsansvarlig, der skal koordinere og overvåge sikkerhedsregler og -procedurer. En ledelse bestående af enkeltpersoner på c-niveau bistår og vejleder den sikkerhedsansvarlige.

Sikkerhedsroller og ansvarsområder. one.com-personale med adgang til kundedata er underlagt fortrolighedsforpligtelser, som understreges ved ansættelsen, og holdes løbende bevidste herom.

Risikoledelse.

one.com udfører løbende risikovurdering, der er en del af risikoledelsen, før behandling af kundedata eller lancering af services. Risikoledelsessporet gør det muligt at fokusere på relevante trusler ved at prioritere, strukturere og mindske risici ud over det, der kan accepteres. Der er implementeret sikkerhedskopiering. Databehandleren opbevarer sine sikkerhedsdokumenter i henhold til vedkommendes opbevaringskrav, efter at de ikke længere er i kraft.

Forvaltning af aktiver

Aktivfortegnelse. Databehandleren fører en oversigt over alle medier, som kundedata lagres på. Adgang til fortegnelserne over sådanne medier er begrænset til det af databehandlerens personale, der har skriftlig godkendelse til at have en sådan adgang.

Håndtering af aktiver

– one.com klassificerer kundedata for bedre at kunne identificere dem og for at sikre passende begrænsning af adgangen til dem.

– Databehandlerens personale skal indhente databehandlerens godkendelse, før der gemmes kundedata på bærbare enheder, gives fjernadgang til kundedata eller behandles kundedata uden for databehandlingsvirksomhedens faciliteter.

Sikkerhed for menneskelige ressourcer

Sikkerhedsuddannelse. one.com oplyser personalet om relevante sikkerhedsprocedurer og deres respektive roller samt om nye trusler osv., hvor medarbejderne spiller en afgørende rolle.

Fysisk og miljømæssig sikkerhed

Fysisk adgang til faciliteter. one.com giver kun navngivne godkendte personer adgang til faciliteter, hvor informationssystemer, der behandler kundedata, er placeret.

Fysisk adgang til komponenter. one.com sikrer tilstrækkelige begrænsninger for medier, der indeholder kundedata.

Beskyttelse mod forstyrrelser. one.com bruger en række af branchens standardsystemer til at beskytte mod tab af data på grund af strømsvigt, oversvømmelse, brand eller ledningsforstyrrelser.

Bortskaffelse af komponenter. one.com bruger branchens standardprocesser til at slette kundedata, når der ikke længere er brug for dem.

Kommunikations- og driftsstyring

Driftspolitik. one.com har sikkerhedsdokumenter, der beskriver sikkerhedsforanstaltningerne og de relevante procedurer og ansvarsområder for det personale, der har adgang til kundedata.

Procedurer for gendannelse af data

– one.com gemmer kopier af kundedata og procedurer for gendannelse af data et andet sted end det sted, hvor det primære computerudstyr, der behandler kundedata, er placeret.

– one.com har specifikke procedurer for adgang til kopier af kundedata.

Skadelig software. one.com har anti-malware-kontroller for at undgå, at skadelig software får ikke-godkendt adgang til kundedata, herunder skadelig software, der stammer fra offentlige net. Der er også implementeret antivirus.

Hændelseslogning. one.com logger eller gør det muligt for kunden at logge, tilgå og bruge informationssystemer, der indeholder kundedata, registrere adgangs-id, klokkeslæt, godkendelse givet eller nægtet samt relevant aktivitet.

Kryptering. Kommunikation via internettet mellem systemer, der håndterer personoplysninger, krypteres

Adgangskontrol

Adgangspolitik. one.com fører en fortegnelse over sikkerhedsrettigheder for personer, der har adgang til kundedata.

Adgangsgodkendelse

– one.com deaktiverer godkendelsesrettigheder, der ikke har været brugt i en periode på højst seks måneder.

– one.com identificerer det personale, der kan give, ændre eller annullere godkendt adgang til data og ressourcer.

– one.com sikrer, at når mere end én person har adgang til systemer, der indeholder kundedata, har de enkelte personer egne identifikatorer/logins.

Mindste privilegium

– one.com begrænser adgangen til kundedata til kun at omfatte personer, der har brug for en sådan adgang i forbindelse med deres jobfunktion.

Integritet og fortrolighed

– one.com instruerer personalet om at deaktivere den administrative behandling, når de forlader lokalerne, eller når computere på anden måde efterlades uden opsyn.

– one.com gemmer adgangskoder på en måde, der gør dem ulæselige, mens de er i kraft.

Godkendelse

– one.com anvender branchens standardprocedurer til at identificere og godkende brugere, der forsøger at få adgang til informationssystemerne.

– Hvis godkendelsesmekanismerne er baseret på adgangskoder, kræver databehandleren, at adgangskoderne fornys regelmæssigt.

– one.com sikrer, at deaktiverede eller udløbne identifikatorer ikke tildeles andre personer.

– one.com overvåger eller gør det muligt for kunden at overvåge gentagne forsøg på at få adgang til informationssystemet ved hjælp af en ugyldig adgangskode.

– one.com anvender standardprocedurer for deaktivering af adgangskoder, der er blevet ødelagt eller utilsigtet videregivet.

– one.com anvender branchens standardfremgangsmåder for beskyttelse af adgangskoder, herunder fremgangsmåder, der er udviklet til at bevare adgangskodernes fortrolighed og integritet, når de tildeles og distribueres, og under opbevaring.

Netværksdesign. one.com har kontroller for at undgå, at enkeltpersoner, der antager adgangsrettigheder, som de ikke har fået tildelt, får adgang til kundedata, som de ikke har tilladelse til at få adgang til.

Håndtering af hændelser i forbindelse med informationssikkerhed

Procedure for hændelsesrespons

– one.com fører en fortegnelse over brud på sikkerheden med en beskrivelse af overtrædelsen, tidsrummet, konsekvenserne af bruddet, navnet på indberetteren, og til hvem overtrædelsen blev indberettet, samt proceduren for gendannelse af data.

– For hvert sikkerhedsbrud, der er en sikkerhedsrelateret hændelse, vil one.com give meddelelse herom uden unødig forsinkelse og under alle omstændigheder inden for 72 timer.

– one.com sporer eller sætter kunden i stand til at spore oplysninger om kundedata, herunder hvilke data der er blevet videregivet til hvem og hvornår.

Styring af forretningskontinuitet

– one.com har nød- og beredskabsplaner for de faciliteter, hvor databehandlingssystemets informationssystemer til behandling af kundedata er placeret.

– one.com’s redundante lagring og procedurerne for gendannelse af data er designet til at forsøge at rekonstruere kundedata i deres oprindelige eller senest replikerede tilstand fra før det tidspunkt, hvor de gik tabt eller blev ødelagt.

Skema 3

Liste over underdatabehandlere

Leverandør

Sted

Funktion

Opdateret

Global Connect A/S

DK

Datacenter

20/02/2021

Interxion

DK

Datacenter

12/04/2021

Interxion

DK/UK/NL/FR/DE

PoP (Point of presence)

12/04/2021

Equinix

SE

PoP (Point of presence)

12/04/2021