Handels & databehandlingsaftale

Herunder, kan du læse vilkår og betingelser

SAMHANDELS- OG DATABEHANDLERAFTALE

Mellem parterne: Penneo ApS

CVR nr. 35633766

Enghavevej 40, 4. sal

DK-1674 København V

(Herefter kaldet “Penneo”)

&

Kunden

(Herefter kaldet “Kunden”).

Penneo og Kunden (herefter hver for sig kaldet ”Part” og i forening ”Parterne”) har indgået nærværende Samhandels- og databehandleraftale (herefter ”Aftalen”):

 

DEFINITIONER:

  • "Kunden" betyder en virksomhed, en organisation eller anden juridisk enhed for hvilken en medarbejder i virksomheden, organisationen eller anden juridisk enhed har accepteret denne Aftale enten direkte eller ved at acceptere Penneo´s ordrebekræftelse.
  • “Platformen” betyder Penneos systemer og services.

 

1. ANVENDELSE OG OMFANG

1.1  Denne aftale giver Kunden adgang til Penneos, hvor Kunden kan tilgå aftalte services. Med Platformen har Kunden mulighed for at processe egne dokumenter og/eller data til underskrift/godkendelse i henhold til den valgte abonnementstype.

1.2  Aftalen gælder for levering af Platformen og tillægsydelser fra Penneo til Kunden, medmindre den udtrykkeligt er fraveget eller modificeret ved anden skriftlig aftale og det med sikkerhed kan fastslås, at det har været hensigten at fravige nærværende aftale.

1.3  Parterne ønsker at indlede et samarbejde, hvor Penneo skal levere Platformen til Kunden.

1.4. Aftalen har til formål at fastsætte vilkårene for leveringen af Platformen til Kunden.

 

2. PLATFORMEN

2.1  Platformen tilbydes til Kunden som Software as a Service (”SaaS”), således at Kunden via internettet og/eller Penneo’s API, kan koble sig op på Penneos server, eller en server hos en af Penneos samarbejdspartnere, og få adgang til Platformen.

2.2  Det er en forudsætning for brug af Platformen, at Kunden uploader dokumenterne i standard PDF-format. Dokumenterne, som leveres tilbage af Penneo efter underskriftsprocessen er afsluttet, vil derimod være i formatet PAdES-PDF. De tilbageleverede filer indeholder alle signaturbeviser, er låste for redigering, og er på tidspunktet for tilbagelevering til Kunden og Tredjepart aktiveret til langtidsopbevaring (LTV).

 

3. VARIGHED OG OPHØR AF AFTALEN

3.1   Aftalen træder i kraft den dag, hvor kunden acceptere Penneos ordrebekræftelse eller på anden måde tiltræder Aftalen (”Ikrafttrædelsestidspunktet”).

3.2  Der gælder en bindingsperiode for adgang til Platformen (abonnement) på 12 måneder fra Ikrafttrædelsestidspunktet at regne.

3.3  Hver af Parterne kan opsige Aftalen med skriftligt varsel på 3 måneder til udløbet af abonnementets bindingsperiode. Såfremt Aftalen ikke opsiges senest 3 måneder før bindingsperiodens udløb, udløses en ny bindingsperiode på 12 måneder.

3.4  Ved ophør af dokument opbevaringsperioden (Data retention - afhænger af den valgte abonnementstype) forpligter Penneo sig til at opbevare samtlige Kundens Data, som Penneo er i besiddelse af, i en yderligere periode på 90 dage.

3.5  Kunden har til enhver tid i den i pkt. 3.4. anførte periode adgang til selv fra sin konto hos Penneo at udlevere Kundens Data eller slette Kundens Data helt eller delvist. Kundens Data udleveres i de formater, der anvendes i Penneos eller dennes underleverandørers system(er), og der sker således ingen bearbejdning/konvertering af data, medmindre andet udtrykkeligt aftales mellem Kunden og Penneo.

3.6  Udlevering af Kundens Data i bearbejdet eller konverteret form kan aftales særskilt mod betaling.

 

4. PRIS OG BETALINGSBETINGELSER

4.1. Priser for Kundens anvendelse af Platformen samt evt. onboarding og øvrige ydelser fra Penneo er fastsat i den af Penneo til Kunden senest fremsendte ordrebekræftelse eller faktura, der er accepteret af Kunden enten ved underskrift af ordrebekræftelsen eller betaling af fakturaen.
Eventuelle rabatter i ordrebekræftelsen eller fakturaen er alene gældende for første års abonnementsperiode, medmindre andet er særskilt aftalt.

4.2. Konsulentydelser kan aftales særskilt mod betaling, og afregnes til Penneos til enhver tid gældende timepris på aftaletidspunktet for konsulentydelsen.

4.3. Priserne er inkluderet de på tidspunktet for Aftalens ikrafttræden gældende afgifter bortset fra moms.

4.4. Forbrug ud over det maksimale antal klienter / ansatte / færdigbehandlede case files (afhængig af abonnementspakke) faktureres i henhold til bilag 2. Kundens anvendelse af Platformen skal svare til de i pkt. 4.1 aftalte abonnementer og tillægsydelser. Misbrug af Platformen betragtes som væsentlig misligholdelse i henhold til pkt. 18.1.

4.5. Betalingsbetingelser er netto kontant +14 dage fra fakturadato på det af Penneo anviste betalingssted. Betaling skal ske gebyr- og omkostningsfrit for Penneo. Ved betaling efter forfald skal Kunden svare rente med 1,5 % pr. påbegyndt måned af den forfaldne saldo fra seneste rettidige betalingsdato og indtil betaling sker. Kunden kan ikke foretage modregning i vederlaget for ydelsen hidrørende fra angivne krav fra andre retsforhold.

4.6. Faktura skal sendes i elektronisk form til den e-mail adresse eller det EAN nummer, der er oplyst af Kunden til Penneo.

4.7. Penneo har ret til at fakturere fornyelse af abonnement op til 62 dage (2 måneder) forud for starten af en ny bindingsperiode.

4.8. Penneo kan varsle prisændringer med 4 måneders varsel forud for starten af en ny bindingsperiode.

 

5. DRIFTSSTABILITET OG SUPPORT

5.1. Penneo sikrer stabil drift, men er uden ansvar for driftsforstyrrelser forårsaget af faktorer uden for Penneos kontrol. Penneo genskaber normal drift hurtigst muligt.
5.2. Penneo opfylder tilgængelighed til Platformen i Aftalens løbetid som anført nedenfor:
5.2.1. Oppetid på 99,9%;
5.2.2. Oppetiden måles og beregnes pr. kalendermåned baseret på driftstid 24/7. Ved beregning af oppetid medregnes ikke nedetid som er varslet lovligt i medfør af Aftalen eller i øvrigt er udtrykkeligt accepteret af Kunden;
5.2.3. Kunden kan til enhver tid se status for Penneos oppetid på status.penneo.com.

 

6. SIKKERHEDSFORESKRIFTER

6.1. Alle dokumenter opbevares krypteret og al kommunikation til og fra Penneos server(e) foregår krypteret, ligesom der er etableret firewalls til sikring af Softwaren. Penneo kan dog ikke garantere mod hacker-angreb, som forårsager systemnedbrud og/eller tab af data.

 

7. OPBEVARING OG BACKUP

7.1. Kundens Data og backup medier er placeret hos Penneos samarbejdspartner (Amazon Web Services, Inc. (“AWS”)). Alle Data opbevares indenfor EU hhv. EU (Dublin) Region og EU (Frankfurt) Region.

7.2. Penneo anvender to backup strategier for separate data klasser, som nærmere beskrevet i pkt. 7.3. og 7.4.:

  • Kundens data
  • System data

7.3. Kundens Data opbevares på flere separate fysiske lokationer. Kundens dokumenter versioneres med henblik på at kunne rulle ændringer tilbage. Sletning af dokumenter inklusive versioneringer kan alene foretages af mindst to personer i forening.
7.4. Penneo foretager daglig inkremental backup af System data. Backups opbevares i mindst 14 dage. Alle data i Penneos produktionsmiljø opbevares på mindst to separate fysiske lokationer.
7.5. Alle Kundens dokumenter gemmes i Platformen i henhold til dokument opbevaringsperioden (data retention) i det valgte abonnement, med mindre Aftalen opsiges i mellemtiden. I givet fald finder bestemmelserne i pkt. 3.4. til 3.6. anvendelse. Kundens dokumenter opbevares kun ud over opbevaringsperioden, hvis der er indgået særskilt aftale mellem Kunden og Penneo om sådan arkivering.
7.6. Såfremt et systemnedbrud - uanset årsag - medfører tab eller beskadigelse af Kundens Data, vil Penneo, efter at nedbruddet/beskadigelsen er konstateret, enten af egen drift eller efter henvendelse fra Kunden, påbegynde reetablering af Kundens Data fra den/de relevante backup lokation(er). I dette tidsrum kan Kundens data være utilgængelige, dog maksimalt i 24 timer.

 

8. VEDLIGEHOLDELSE

8.1. For at yde den bedst mulige service er det nødvendigt periodisk at udbygge/udskifte teknisk udstyr og at foretage softwareopdateringer m.v. Penneo foretager derfor løbende vedligeholdelse og opdatering af Platformen.
8.2. Vedligeholdelse og/eller opdatering varsles over for Kunden via Penneos hjemmeside.
8.3. Penneos API udbydes i forskellige versioner. Når en ny version udgives tilstræber Penneo, at den nye version ikke har indvirkning på tidligere versioner. Penneo kan dog ikke garantere, at nye versioner af API’er ikke kræver ny udvikling hos Kunden. I tilfælde hvor Penneo ikke længere understøtter en API-version, skal Penneo varsle dette minimum 6 måneder inden den pågældende API-version sættes ud af drift.
8.4. I forbindelse med vedligeholdelse kan det være nødvendigt at afbryde adgangen til Platformen. Sådanne afbrydelser vil fortrinsvis blive placeret i tidsrummet kl. 21.00 – 06.00 CET. Såfremt det bliver nødvendigt at afbryde adgangen til Platformen uden for det anførte tidsrum, vil dette blive varslet forinden, medmindre tekniske eller sikkerhedsmæssige årsager gør det nødvendigt at ændre systemet med øjeblikkeligt varsel.

 

9. FEJLMELDING

9.1. Konstaterer Kunden fejl, nedbrud eller uregelmæssigheder kan Kunden undersøge om forholdet er registreret på status.penneo.com.

9.2. Er forholdet ikke allerede registreret skal Kunden kontakte Penneo uden ugrundet ophold, jf. pkt. 9.3.

9.3. Kunden skal ved fejlmelding skriftligt beskrive fejlen ved at benytte Penneos online fejlmeldingsprocedure, kaldet support, således at Penneo modtager de nødvendige informationer til straks at lokalisere fejlen.

 

10. SUPPORT

10.1. Softwareopdateringer er inkluderet i abonnementsprisen. Penneo stiller flere supportmuligheder til rådighed. Adgang hertil afhænger af den valgte abonnementstype. Særlige supporthenvendelser eller individuelle systemtilpasninger faktureres særskilt. Dette gælder såvel telefonisk, som skriftlig support.

 

11. ANSVAR OG ANSVARSBEGRÆNSNING

11.1. Hver af Parterne er erstatningsansvarlig efter dansk rets almindelige regler med nedenstående begrænsninger, dog således at begrænsningerne kun gælder, såfremt tabet ikke kan henføres til grov uagtsomhed eller forsætlige forhold hos den skadevoldende Part.

11.2. Penneo fraskriver sig erstatningsansvar for ethvert indirekte tab eller følgeskade, herunder, men ikke begrænset til, driftstab, mistet avance, tab af Kundens Data og goodwill hos Kunden.

11.3. Bortset fra produktansvar, jf. pkt. 11.4, er det samlede erstatningsbeløb, som Kunden kan gøre gældende mod Penneo i henhold til Aftalen, begrænset til det mindste af følgende:
- den samlede betaling som Penneo har modtaget fra Kunden i henhold til denne Aftale på skadestidspunktet, eller
- DKK 25.000 pr. skade pr. år.

11.4. Penneo er ansvarlig for produktansvar efter dansk rets almindelige erstatningsretlige regler. Penneos erstatningsansvar er dog i hvert tilfælde beløbsmæssigt begrænset til det beløb, som udbetales i henhold til Penneos til enhver tid gældende produktansvarsforsikring.

11.5. Penneo er forpligtet til at opretholde sædvanligt og forsvarligt forsikringsniveau, herunder som minimum en produktansvarsforsikring og en erhvervsansvarsforsikring til dækning af Penneos ansvar i overensstemmelse med Aftalen.

 

12. RETTEN TIL DATA

12.1. Kunden bevarer ejendomsretten til Kundens Data og resultater af behandlingen heraf.

12.2. Penneo kan ikke udøve tilbageholdsret i Kundens Data.

 

13. BEHANDLING AF TREDJEPARTS DATA

13.1. Til anvendelse af Platformen opretter Kunden en profil med en tilhørende konto hos Penneo, og Kunden uploader herefter løbende dokumenter og øvrige data, herunder personoplysninger, til sin konto hos Penneo til brug for underskrift af Kundens dokumenter (herefter tilsammen benævnt ”Kundens Data”).
13.2. De tredjeparter, som skal underskrive Kundens dokumenter (herefter ”Tredjepart”), tildeles som led i underskriftsprocessen en selvstændig konto hos Penneo. Tredjepart uploader sine data, herunder personoplysninger, til sin konto hos Penneo i forbindelse med underskriften af Kundens dokument(er) (herefter tilsammen benævnt ”Tredjeparts Data”).
13.3. Kunden og alle Tredjeparter modtager en kopi af de underskrevne dokumenter, ligesom dokumenterne lagres og opbevares af Penneo. Såvel Kunden som alle Tredjeparter har via deres respektive konti hos Penneo selvstændig adgang til de underskrevne dokumenter hos Penneo.
13.4. I forholdet mellem Kunden og Penneo er Penneo databehandler og Kunden er dataansvarlig. Penneo og Kunden har indgået den i Bilag 1 vedhæftede databehandleraftale (herefter ”Databehandleraftalen”), der regulerer Penneos behandling af de af Kundens Data som udgør personoplysninger.

 

14. FORCE MAJEURE

14.1. Såfremt Penneo ikke kan præstere sine ydelser efter Aftalen som følge af force majeure, kan Penneo ikke gøres ansvarlig som følge af tab i den anledning, ligesom Kunden ikke kan hæve Aftalen, jf. dog pkt. 14.3.

14.2. Penneo skal orientere Kunden uden ugrundet ophold, såfremt der indtræder en force majeure-situation. Force majeure er et forhold, som Penneo ikke har nogen indflydelse på, og som Penneo ikke inden for rimelige økonomiske og praktiske foranstaltninger kan omgå. Force majeure er f.eks. krig, mobilisering, terrorangreb, svigt/nedbrud i offentlig elforsyning, strejke, brand, oversvømmelse m.v.

14.3. Såfremt tilgængeligheden til Platformen i det væsentligste er umulig som følge af force majeure, og dette varer i mere end 30 dage, kan hver af Parterne skriftligt opsige Aftalen med øjeblikkelig virkning, men kan ikke i den forbindelse gøre krav gældende mod den anden Part.

 

15. IMMATERIELLE RETTIGHEDER

15.1. Kunden er gjort bekendt med, at Platformen er ophavsretligt beskyttet og Kunden erhverver alene en ikke eksklusiv, betinget brugsret til Platformen. Brugsretten er betinget af Kundens betaling og overholdelse af Aftalen, og Kunden er gjort udtrykkeligt opmærksom på, at brugsretten er tidsbegrænset, således at denne automatisk bortfalder ved ophør af Aftalen, uanset årsagen hertil. Brugsretten er uoverdragelig.

15.2. Kunden er alene berettiget til at anvende Platformen til brug for Kundens egen virksomhed.

15.3. Kunden erklærer sig indforstået med at ville respektere ophavsrettighederne. Kunden hæfter for Kundens ansatte samt eksterne rådgiveres overholdelse af rettighederne til Platformen ved brug, og Kunden er forpligtet til at drage omsorg for, at Kundens ansatte samt eksterne rådgivere gøres udtrykkeligt opmærksom på, at Platformen er ophavsretligt beskyttet og alene må anvendes i overensstemmelse med vilkårene i Aftalen.

 

16. FORTROLIGHED OG TAVSHEDSPLIGT

16.1. Parterne forpligter sig til i Aftalens løbetid og efter dennes ophør over for uvedkommende at hemmeligholde alle oplysninger modtaget fra og om den anden Part, som en Part får kendskab til i forbindelse med Aftalen og levering af Platformen til Kunden. Parterne må alene benytte sådanne oplysninger i overensstemmelse med Aftalen, og må ikke videregive oplysningerne, medmindre videregivelse er påkrævet i henhold til lov, retskendelse eller pålæg fra offentlig myndighed. Foranstående gælder dog ikke oplysninger, der er alment kendte eller offentligt tilgængelige, og som ikke i henhold til Lovgivningen er underlagt sådanne begrænsninger.

 

17. MARKEDSFØRING OG KOMMUNIKATION MELLEM PARTERNE

17.1. Penneo er berettiget til at anvende Kunden som reference, medmindre Kunden har givet udtrykkelig og skriftlig indsigelse herimod.

17.2. Ved sin underskrift af Aftalen giver Kunden Penneo ret til via elektronisk post at fremsende service- og informations meddelelser til Kunden, som kan indeholde nyhedsbreve og anden markedsføring og information vedrørende Platformen og Penneos til enhver tid værende øvrige produkter og services.

17.3. Kunden kan til enhver tid framelde nyhedsmails og anden markedsføring.

17.4. Mails, som indeholder driftsinformationer, er obligatoriske, da de kan have betydning for Kundens brug af Platformen.

17.5. Parterne kan benytte e-mail til at fremsende påkrav og andre skriftlige meddelelser i relation til Aftalen.

17.6. En e-mail er kommet frem, når den er modtaget i modtagerens e-mail-system, og den under normale omstændigheder vil være tilgængelig for modtageren. At en e-mail på grund af problemer i modtagerens e-mail-system konkret ikke er tilgængelig, er således modtagerens risiko. Det er Parternes ansvar at oplyse ændringer i ovenstående kontaktoplysninger.

 

18. MISLIGHOLDELSE

18.1. I tilfælde af en af Parternes væsentlige misligholdelse af Aftalen, kan den ikke-misligholdende Part ophæve Aftalen uden yderligere varsel, såfremt forholdet ikke er bragt til ophør inden 10 hverdage regnet fra afgivelse af skriftligt påkrav til den misligholdende Part.

18.2. I tilfælde af konkurs, rekonstruktion, likvidation, tvangsopløsning, indgåelse af tvangsakkord, indgåelse af frivillig tvangsakkord eller lignende, er den anden Part berettiget til at ophæve Aftalen med øjeblikkelig virkning.

18.3. Betaler Kunden ikke for Platformen i overensstemmelse med Aftalens pkt. 4., har Penneo ret til med 20 dages forudgående varsel at lukke for adgang til Platformen. Kundens adgang etableres først på ny, når forfaldne beløb er modtaget hos Penneo.

18.4. Ophæver Penneo Aftalen som følge af Kundens misligholdelse, herunder misligholdelse af betaling, er Penneo berettiget til at beholde den allerede erlagte forudbetaling. Ophæver Kunden Aftalen som følge af Penneos misligholdelse, sker ophævelsen alene for fremtiden, og Kunden kan kræve betaling tilbagebetalt fra og med den måned, hvori misligholdelsen finder sted.

 

19. TVISTER

19.1. Parterne er enige om, at Aftalen er indgået i henhold til dansk ret, og at enhver tvist mellem Parterne skal afgøres efter dansk ret.

19.2. Tvister skal forsøges henlagt i mindelighed ved forhandling mellem Parterne. Såfremt en tvist ikke kan løses i mindelighed, er begge Parter berettiget til at indbringe sagen for Københavns Byret i første instans.

20. ØVRIGE BESTEMMELSER

20.1. Såfremt en bestemmelse i Aftalen erklæres lovstridig, ugyldig eller uden retskrav, skal bestemmelsen desuagtet håndhæves i størst mulig udstrækning efter gældende lov, således at Parternes oprindelige hensigt afspejles. En sådan bestemmelse berører ikke andre bestemmelsers lovlighed og gyldighed.

20.2. Enhver bestemmelse i Aftalen, som efter sin natur strækker sig ud over det tidspunkt, hvor Aftalen ophører helt eller delvist, skal fortsat være gældende og bindende for Parterne.

 

21. BEKRÆFTELSE OG UNDERSKRIFT

21.1. Aftalen og den i bilag 1 vedlagte Databehandleraftale bekræftes hermed af de to Parter ved anvendelse af digital underskrift. Underskrivere af Aftalen erklærer samtidig at være underskriftsberettigede i medfør af Parternes respektive tegnings- og dispositionsregler. Det print- og læsbare bevis for signeringen vil fremgå af det færdige dokuments sidste side, som fremsendes til alle parter, når alle parter har underskrevet Aftalen.

 

BILAG 1 TIL SAMHANDELS- OG DATABEHANDLERAFTALE

MELLEM

Penneo ApS

(Databehandler)

OG

Kunden

(Dataansvarlig)

 

DATABEHANDLERAFTALE

A. BAGGRUND OG FORMÅL

a. Den Dataansvarlige og Databehandleren har indgået Samhandels- og databehandleraftale (Aftalen) om levering af digitale services i form af en Digital Signatur- og Valideringsplatform (CPR- samt CVR-validering) baseret på nationale elektroniske ID systemer, hvortil der ved Aftalens ikrafttræden anvendes NemID eller BankID (herefter ”Platformen”).

b. I henhold til Aftalen skal Databehandleren behandle personoplysninger på den Dataansvarliges vegne i forbindelse med levering af Platformen.

c. Denne databehandleraftale (herefter ”Databehandleraftalen”) fastsætter betingelser og vilkår for Databehandlerens behandling af de personoplysninger (som defineret i Lovgivningen, jf. pkt. A.d.), som Den Dataansvarlige i medfør af Aftalen overlader til Databehandleren ved brug af Platformen (herefter ”Personoplysningerne”). Med mindre andet udtrykkeligt fremgår af Databehandleraftalen finder Aftalens bestemmelser i øvrigt anvendelse.

d. Databehandleraftalen har til formål at sikre overholdelse af den til enhver tid gældende persondatalovgivning, herunder Europa Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (”Persondataforordningen”), der trådte i kraft den 25. maj 2018 (herefter tilsammen benævnt ”Lovgivningen”).

 

B. TYPER AF PERSONOPLYSNINGER OG DATABEHANDLERENS GENERELLE FORPLIGTELSER

a. De typer af Personoplysninger og kategorier af registrerede, som Databehandleren skal behandle for den Dataansvarlige som led i opfyldelsen af Aftalen og Databehandleraftalen er anført i pkt. Q.

b. Det er alene den Dataansvarlige, der træffer beslutning om, hvilke Personoplysninger, der behandles af Databehandleren, samt til hvilke formål disse personoplysninger må behandles.

c. Databehandleren behandler alene Personoplysningerne efter dokumenteret instruks fra den Dataansvarlige.

d. Databehandleren skal behandle Personoplysningerne i overensstemmelse med gældende Lovgivning. Den Dataansvarlige skal sikre, alle Personoplysninger, som den Dataansvarlige overlader til Databehandleren sker via funktioner i Platformen og ikke sendes via usikker e-mail eller på anden måde, som er i strid med Lovgivningen.

e. I tilfælde af at Datatilsynet retter henvendelse vedrørende behandlingen af Personoplysningerne, skal den Dataansvarlige og Databehandleren samarbejde om besvarelse af spørgsmål, afgivelse af oplysninger eller opfyldelse af eventuelle krav.

 

C. FORTEGNELSER OVER BEHANDLINGSAKTIVITETER

a. Databehandleren skal føre en fortegnelse over alle kategorier af behandlinger, der foretages af Databehandleren på vegne af den Dataansvarlige. Fortegnelsen, der føres elektronisk f.eks. som logfiler, skal indeholde:

i. navn på og kontaktoplysninger for Databehandleren, Underdatabehandlere, jf. pkt. D.a., den Dataansvarlige og en eventuel databeskyttelsesrådgiver;

ii. kategorierne af de behandlinger, som Databehandleren eller Underdatabehandlere foretager for den Dataansvarlige; og

iii. en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, jf. pkt. E.

b. Fortegnelsen skal foreligge skriftligt, herunder elektronisk. Databehandleren skal efter anmodning fra den Dataansvarlige eller Datatilsynet stille fortegnelsen til rådighed for den Dataansvarlige og/eller Datatilsynet.

 

D. DATABEHANDLERENS ANVENDELSE AF UNDERLEVERANDØRER

a. Den Dataansvarlige giver herved samtykke til, at Databehandleren kan anvende underdatabehandlere (”Underdatabehandlere”) til opfyldelse af Databehandlerens ydelser i henhold til Aftalen. Det er Databehandlerens ansvar, at Underdatabehandlere opfylder sine databeskyttelsesforpligtelser efter Lovgivningen.

b. Ved Aftalens indgåelse anvender Databehandleren Amazon Web Services, Inc. (”AWS”) som Underdatabehandler til opbevaring af Personoplysningerne. AWS anvender autoriserede underleverandører til levering af ydelsen til Databehandleren. Link til AWS’s hjemmeside med al information om AWS’s overholdelse af Lovgivningen (herunder Persondataforordningen) forefindes på https://aws.amazon.com/compliance/gdpr-center/.

c. Databehandleren underretter den Dataansvarlige om eventuelle planlagte ændringer i brugen af Underdatabehandlere, herunder tilføjelse eller udskiftning af Underdatabehandlere samt anvendelse af nye Underdatabehandlere, som ikke er omfattet af pkt. D.b.

d. Såfremt den Dataansvarlige ikke kan acceptere ændringer omfattet af pkt. D.b. eller D.c., kan den Dataansvarlige opsige Databehandleraftalen med 14 dages skriftligt varsel. Uanset bestemmelsen i Aftalens pkt. 3.3. ophører Aftalen automatisk samtidig med opsigelsen af Databehandleraftalen. Bestemmelserne i Aftalens pkt. 3. finder i øvrigt uændret anvendelse. Erlagte betalinger fra Kunden refunderes ikke.

e. Såfremt en Underdatabehandler er etableret i et tredjeland uden for EU/EØS, påhviler det Databehandleren at sikre, at Personoplysningerne opbevares indenfor EU/EØS og ikke overføres til det pågældende tredjeland, medmindre overførsel er nødvendig til opfyldelse af gældende lovgivning, der finder anvendelse på Databehandlerens eller dennes Underdatabehandlere, eller som følge af krav fra en kompetent offentlig myndighed, som er bindende for Databehandleren eller dennes Underdatabehandlere. Databehandleren vil give den Dataansvarlige rimeligt varsel, hvis sådanne krav fremsættes over for Databehandleren eller dennes Underdatabehandlere, og vil tilstræbe at give Kunden mulighed for at gøre indsigelse eller anvende relevante retsmidler, medmindre Databehandleren eller dennes Underdatabehandlere er forhindret i dette i henhold til gældende lovgivning.

 

E. KRAV TIL INFORMATIONSSIKKERHED OG DATABESKYTTELSE

a. Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at Personoplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med Lovgivningen. Sådanne tekniske og organisatoriske sikkerhedsforanstaltninger omfatter:

i. Certificering, herunder at Databehandleren er certificeret til ISAE 3000 standarden af KPMG, hvilket betyder, at KPMG har revideret Databehandlerens interne sikkerhedspolitikker og sikkerhedsprocedurer med henblik på optimal sikring af den Dataansvarliges dokumenter;

ii. Netværkssikkerhed, transmission og opbevaring, herunder etablering af login- og adgangskode procedure (to-faktor autentifikation) samt firewalls og antivirus software. Alle dokumenter opbevares krypteret og al kommunikation til og fra Databehandlerens server(e) foregår krypteret. Databehandleren følger de krypteringsstandarder, som er defineret af National Institute of Standards and Technologies (NIST). Databehandleren anvender alene krypteringsalgoritmer som er godkendt af Federal Information Processing Standards (FIPS) og anbefalet af NIST;

iii. Medarbejderforhold, herunder at alene medarbejdere, der er autoriseret hertil, har adgang til Personoplysningerne, og at medarbejdere modtager passende uddannelse, fyldestgørende instruktioner i og retningslinjer for behandlingen af personoplysningerne, jf. tillige pkt. G.;

iv. Fysisk sikkerhed, herunder at adgang til bygninger og systemer, der anvendes i forbindelse med databehandlingen er sikret på forsvarlig vis, således at disse ikke er tilgængelige for uvedkommende tredjemand.

b. Databehandleren skal implementere og overholde en sikkerhedspolitik og retningslinjer for behandling af Personoplysninger i Databehandlerens organisation, der overholder og opfylder de betingelser og vilkår, som til enhver tid fremgår af denne Databehandleraftale og/eller den Dataansvarliges instruks.

c. Databehandleren foretager løbende evaluering af sikkerhedsniveauet med henblik på at iværksætte nødvendige tiltag for at opretholde tilstrækkelig datasikkerhed til enhver tid.

 

F. SIKKERHEDSHÆNDELSER

a. Databehandleren skal oprette og implementere procedurer for håndtering af brud på persondatasikkerheden, jf. Persondataforordningen art. 4 (12) og art. 33. stk. 2.

b. Databehandleren skal uden unødig forsinkelse efter at være blevet opmærksom herpå skriftligt underrette den Dataansvarlige om et brud på persondatasikkerheden, herunder oplysning om, hvem der har behandlet den Dataansvarliges oplysninger og hvornår, med henblik på, at den Dataansvarlige har mulighed for at foretage politimæssig efterforskning af disse.

c. Databehandleren skal i tilfælde af et brud på persondatasikkerheden, uden unødigt ophold, dog senest 36 timer efter at Databehandleren er blevet opmærksom på bruddet på persondatasikkerheden, skriftligt underrette den Dataansvarlige herom og som minimum oplyse følgende:

i. en beskrivelse af karakteren af bruddet på persondatasikkerheden, herunder – hvis det er muligt - kategorierne og det omtrentlige antal berørte registrerede personer samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger;

ii. en beskrivelse af de sandsynlige konsekvenser af bruddet på persondatasikkerheden;

iii. en beskrivelse af de foranstaltninger, som Databehandleren har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder foranstaltninger for at begrænse dets mulige skadevirkninger;

iv. Navn og kontaktoplysninger på databeskyttelsesrådgiveren, hvis en sådan er udpeget af Databehandleren, eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes.

d. Når og for så vidt som det ikke er muligt at give oplysningerne samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.

e. Databehandlerens underretninger til den Dataansvarlige om et brud på persondatasikkerheden i henhold til dette pkt. F. indebærer ikke, at Databehandleren hermed har anerkendt at være i misligholdelse af Aftalen eller at være erstatningsansvarlig overfor den Dataansvarlige for det pågældende brud på persondatasikkerheden.

 

G. HJEMMEARBEJDSPLADSER

a. Alle arbejdspladser hos Databehandleren er bærebare PC’ere eller lignende. Uanset fysisk placering er medarbejdernes adgang til Platformen og Databehandlerens systemer sikret på samme måde. Det indebærer blandt andet, at login og adgang til Databehandlerens produktionsmiljø altid kræver to-faktor autentifikation og følgende operationer kræver, at mindst to personer arbejder sammen:
- ændringer af firewalls
- tildeling og fratagelse af privilegier
- adgang til backup
Adgang til den virtuelle infrastruktur sker alene gennem krypterede kanaler. Adgang på OS niveau sker via SSH og det primære formål er at supportere software udviklingsprocessen.

b. Databehandleren skal fastsætte retningslinjer for medarbejdernes behandling af Personoplysninger.

 

H. DATABEHANDLERENS FORPLIGTELSE TIL AT BISTÅ DEN DATAANSVARLIGE

a. Databehandleren skal under hensyntagen til behandlingens karakter og de Personoplysninger, der behandles af Databehandleren, bistå den Dataansvarlige med at sikre overholdelse af Lovgivningens bestemmelser om de registreredes rettigheder vedrørende Personoplysninger. Databehandleren skal herunder ved hjælp af passende tekniske og organisatoriske foranstaltninger bistå den Dataansvarlige med håndtering af henvendelser fra en registreret, herunder, men ikke begrænset til, anmodning om indsigt, berigtigelse, blokering eller sletning af Personoplysninger. I det omfang den Dataansvarlige selv kan håndtere henvendelser fra en registreret via funktioner i Platformen skal den Dataansvarlige benytte sig af disse.

b. Databehandleren skal endvidere under hensyntagen til behandlingens karakter og de Personoplysninger, der behandles af Databehandleren, bistå den Dataansvarlige med at overholde øvrige forpligtelser, der påhviler den Dataansvarlige efter Lovgivningen, hvor dette er forudsat eller nødvendigt for, at den Dataansvarlige kan overholde sine forpligtelser. Databehandleren skal som led heri bistå den Dataansvarlige med at sikre overholdelse bl.a. af forpligtelserne i medfør af Persondataforordningen artikel 32-36.

 

I. AUDIT OG REVISIONSERKLÆRING

a. Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige sådanne oplysninger, som er nødvendige til at denne kan påse, at Databehandleren og dennes Underdatabehandlere overholder de krav, som er fastsat i Databehandleraftalen, herunder at disse har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger og, at foranstaltningerne overholdes.

b. Databehandleren skal på den Dataansvarliges skriftlige anmodning tilvejebringe dokumentation for, at sikkerhedsforanstaltninger er gennemført hos Databehandleren.

c. Den Dataansvarlige kan via en revisor eller anden betroet part, som er godkendt af den Dataansvarlige og Databehandleren, foretage kontrol (indenfor normal arbejdstid) af, at Databehandleren overholder sine forpligtelser.

d. En gang årligt giver Databehandleren den Dataansvarlige adgang til revisorerklæringen ISAE 3000 (type 2). Erklæringen skal afgives efter udgangen af hvert kalenderår, således at erklæringen er tilgængelige for den Dataansvarlige senest den 31. marts.

e. Den Dataansvarlige er desuden berettiget til for egen regning at lade en uafhængig tredjepart foretage en årlig revision af Databehandlerens behandling af Personoplysninger.

f. Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til den Dataansvarliges og Databehandlerens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til Databehandlerens fysiske faciliteter mod behørig legitimation og forudgående underskrift af tavshedserklæring.

 

J. DEN DATAANSVARLIGES FORPLIGTELSER OG ANSVAR

a. Det er den Dataansvarliges ansvar at sikre, at det fornødne grundlag i henhold til Lovgivningen for behandling af Personoplysningerne foreligger, og den Dataansvarlige skal ved behandlingen af Personoplysningerne overholde og opfylde Lovgivningen.

b. Den Dataansvarlige skal overholde de til enhver tid gældende sikkerhedsforskrifter, som Databehandleren måtte oplyse til den Dataansvarlige vedrørende adgang til og anvendelse af Platformen.

c. Den Dataansvarlige skal skadesløsholde Databehandleren for sagsanlæg, krav, omkostninger (herunder rimelige udgifter til advokatbistand), tab, ansvar, udgifter eller skader, som er en følge af den Dataansvarliges manglende overholdelse af Lovgivningen eller de af Databehandleren oplyste sikkerhedsforskrifter vedrørende adgang til eller anvendelse af Platformen, eller anden misligholdelse af denne Databehandleraftale. Der henvises endvidere til pkt. N.c.

 

K. OMKOSTNINGER OG BETALING

a. Ydelser, som Databehandleren leverer til den Dataansvarlige i henhold til denne Databehandleraftale, er Databehandleren kun berettiget til at kræve betaling for, såfremt det forudgående er aftalt mellem Parterne.

 

L. ÆNDRING AF DATABEHANDLERAFTALEN

a. Hver af Parterne kan til enhver tid med et rimeligt forudgående skriftligt og begrundet varsel kræve Databehandleraftalen ændret, hvis ændringen er nødvendig for at overholde den til enhver tid gældende Lovgivning.

b. Databehandleraftalen kan endvidere til enhver tid justeres med et skriftligt varsel på 30 (tredive) kalenderdage, såfremt den Dataansvarlige ønsker at justere de i pkt. Q anførte typer af Personoplysninger eller kategorier af registrerede.

c. Hvis der sker en væsentlig ændring eller justering af Databehandleraftalen i medfør af pkt. L.a. eller L.b. til ugunst for Databehandleren, kan Databehandleren opsige Databehandleraftalen med 3 måneders varsel til udløbet af en måned, uanset Aftalens pkt. 3.3. Erlagte betalinger fra Kunden refunderes ikke.

 

M. HÅNDTERING AF DATA EFTER DATABEHANDLERAFTALENS OPHØR

a. Ved Databehandleraftalens ophør, uanset årsag, finder bestemmelserne i Aftalens pkt. 3.4. – 3.6. anvendelse.

b. Hvis der efter Databehandleraftalens ophør opstår tvivl om, hvorvidt der er sket sletning af alle Personoplysninger, kan den Dataansvarlige anmode om, at Databehandleren for den Dataansvarliges regning indhenter en revisorerklæring om, at Personoplysningerne er slettet fra Databehandlerens IT-systemer.

 

N. MISLIGHOLDELSE

a. Såfremt Databehandleren modtager meddelelse fra den Dataansvarlige, eller Databehandleren bliver bekendt med manglende overholdelse af krav ifølge Lovgivningen eller den Dataansvarliges instruks for behandling af Personoplysninger, skal Databehandleren uden ugrundet ophold afhjælpe den manglende overholdelse.

b. I øvrigt finder bestemmelserne i Aftalens pkt. 18. tilsvarende anvendelse ved en Parts misligholdelse af Databehandleraftalen.

c. En Part er forpligtet til at skadesløsholde den anden Part for udgifter og ressourceforbrug ved opfyldelse af en Parts forpligtelser over for en tilsynsmyndighed eller den registrerede samt bøder pålagt af en tilsynsmyndighed eller en domstol, i det omfang sådanne er forårsaget af den anden Parts misligholdelse.

 

O. TAVSHEDSERKLÆRING

a. Databehandleren sikrer, at dennes medarbejdere, der får adgang til oplysninger fra den Dataansvarlige, har underskrevet en tavshedserklæring om, at de har tavshedspligt over for uvedkommende med hensyn til deres adgang til den Dataansvarliges data. Tavshedspligten er gældende såvel under ansættelsen som efter ansættelsens ophør.

b. Databehandleren skal sikre, at Underdatabehandlere, medarbejdere og andre, der bistår Databehandleren i forbindelse med opfyldelse af Aftalen og Databehandleraftalen, er underlagt forpligtelser, som svarer til forpligtelserne heri.

 

P. ØVRIGE BESTEMMELSER

a. I tilfælde af uoverensstemmelse mellem Databehandleraftalen og Samhandelsaftalen har Databehandleraftalen forrang.

 

Q. TYPER AF PERSONOPLYSNINGER OG DOKUMENTER

a. Aftalen kan omfatte alle typer personoplysninger og alle kategorier af registrerede parter, hvis personoplysninger Databehandleren skal behandle som led i opfyldelsen af Aftalen.

b. For at Platformen kan fungere i henhold til Aftalens pkt. 2 behandles følgende personoplysninger hver gang en af Databehandlerens ansatte eller en tredjepart underskriver:

- navn,
- IP-adresse,
- e-mailadresse,
- Elektroniske ID oplysninger, og
- CPR-nummer, såfremt dette vælges af den Dataansvarlige for hver enkelt fremsendelse af dokumenter til underskrift hos en tredjepart.

c. De kategorier af registrerede parter, hvis personoplysninger Databehandleren skal behandle som led i opfyldelsen af Aftalen omfatter tredjeparter, jf. Aftalens pkt. 13, samt den Dataansvarliges ansatte, der underskriver dokumenter via brug af Platformen.

 

BILAG 1 TIL SAMHANDELS- OG DATABEHANDLERAFTALE

MELLEM

Penneo ApS

(Databehandler)

OG

Kunden

(Dataansvarlig)

 

Udvidelse af Platformen, merforbrug og dokumentopbevaring (data retention)

1. EKSTRA ANVENDELSE

1.1. Kunden kan til enhver tid anvende Platformen udover det i abonnementet indeholdte antal klienter / ansatte / færdigbehandlede case files (afhængig af abonnementspakke). Dette kan enten ske uden forudgående aftale (“merforbrug”) eller ved aftale om udvidelse af Platformen ved tilkøb af Platform Fee.

a. Tilkøb af Platform Fee giver Kunden en udvidelse af Platformen til at tilkoble et bestemt ekstra antal klienter / ansatte / færdigbehandlede case files (afhængig af abonnementspakke) i tillæg til det i abonnementet indeholdte antal klienter / ansatte / færdigbehandlede case files for Platformen. Fakturering af Platform Fee sker samtidig med tilkøbet, uanset hvornår i abonnementsperioden tilkøbet aftales. Ved indgåelse af Aftalen er prisen for en sådan udvidelse tilsvarende den aftalte pris for en klient / ansat / færdigbehandlet case file tillagt 10 % af prisen specificeret i pkt. 4.1. Der faktureres for en fuld abonnementsperiode, uanset hvornår i abonnementsperioden Platform Fee tilkøbes. Ved fornyelse inkluderes de tilkøbte klienter / ansatte / færdigbehandlede casefiles i abonnementet til standardpris uden tillæg af 10 %.

b. Merforbrug på Platformen uden forudgående aftale faktureres ved udgangen af abonnementsperioden til den aftalte pris for en klient / ansat / færdigbehandlet case file (afhængig af abonnementspakke) tillagt 25 % af prisen specificeret i pkt. 4.1. Der faktureres for en fuld abonnementsperiode, uanset hvornår i abonnementsperioden merforbruget er påbegyndt. Ved fornyelse inkluderes de tilkøbte klienter / ansatte / færdigbehandlede casefiles i abonnementet uden tillæg af 25 %.

1.2 Ovennævnte priser for udvidelse af Platformen - både Platform Fee og merforbrug - dækker den samlede anvendelse af systemet og tillægsydelser i henhold til Kundens abonnementstype.

 

2. DATA RETENTION

2.1. Kundens dokumenter og data opbevares i Platformen indtil kunden enten selv sletter eller anmoder Penneo om at slette. Opbevaring af Kundens dokumenter er inkluderet i abonnementsprisen for Platformen i 5 år.

Efter udløbet af data retention perioden på 5 år er Penneo berettiget til at opkræve betaling Kundens opbevaring af dokumenter m.v. i Platformen. Ved indgåelsen af Aftalen er prisen for data retention EUR 1,00 pr. klient pr. år / EUR 1,00 pr. ansat pr. år / EUR 1,00 pr. påbegyndte 100 færdigbehandlede case files.