Handels & databehandlingsaftale

Herunder, kan du læse vilkår og betingelser

SAMHANDELS- OG DATABEHANDLERAFTALE

Mellem parterne: Penneo ApS

CVR nr. 35633766

Gyngemose Parkvej 50

DK-2860 Søborg

(Herefter kaldet “Penneo”)

&

KUNDENAVN

CVR nr. XXXXXXXX

Gadenavn og nummer

DK-Postnummer og bynavn

(Herefter kaldet “Kunden”).

(Penneo og Kunden herefter hver for sig kaldet ”Part” og i forening ”Parterne”)

er der indgået nærværende Samhandels- og databehandleraftale (herefter ”Aftalen”).

1. Anvendelse og Omfang

1.1  Aftalen gælder for salg af Servicen fra Penneo ApS (”herefter “Penneo”) til kunden, medmindre den udtrykkeligt er fraveget eller modificeret ved anden skriftlig aftale og det med sikkerhed kan fastslås,at det har været hensigten at fravige nærværende aftale.

1.2  Parterne ønsker at indlede et samarbejde, hvor Penneo skal levere Servicen til Kunden.

1.3  Aftalen har til formål at fastsætte vilkårene for Penneos levering af Servicen til Kunden.

 

2. Servicen

2.1  Servicen (”Servicen”) gør det muligt at underskrive dokumenter samt foretage valideringer ved hjælp af elektronisk ID.

2.2  Servicen (”Servicen”) tilbydes som Software as a Service (”SaaS”), således at Kunden via internettet og/eller API kald, kan koble sig op på Penneos server, eller en server hos en af Penneos samarbejdspartnere, og få adgang til Servicen.

2.3  Det er en forudsætning for adgang til Servicen, at Kunden leverer Dokumenterne i standard PDF- format. Dokumenterne, som leveres tilbage af Penneo efter alle parters underskrift, vil derimod være i formatet PAdES-PDF. De tilbageleverede filer indeholder alle signaturbeviser, er låste for redigering, og er på tidspunktet for tilbagelevering til Kunden og Tredjepart aktiveret til langtidsopbevaring (LTV).

 

3. Varighed og ophør af aftalen

3.1   Aftalen træder i kraft ved Parternes underskrift af Aftalen  (”Ikrafttrædelsestidspunktet”).

3.2  Der gælder en bindingsperiode for Servicen på 12 måneder fra Ikrafttrædelsestidspunktet at regne.

3.3  Hver af Parterne kan opsige Aftalen med skriftligt varsel på 3 måneder til udløbet af bindingsperioden. Såfremt Aftalen ikke opsiges senest 3 måneder før bindingsperiodens udløb, udløses en ny bindingsperiode på 12 måneder.

3.4  Signatur pakken i Aftalen har en gyldighedsperiode på 36 måneder. Det betyder, at alle signaturer i den valgte pakke skal være anvendt/ aktiveret inden for 36 måneder, dog således at ubrugte signeringer kan overføres til en ny bindingsperiode. Såfremt Aftalen ophører, uanset årsag, inden udløbet af 36 måneders perioden bortfalder eventuelle ubrugte signeringer uden kompensation.

3.5  Når en signaturpakke er opbrugt faktureres automatisk en ny tilsvarende signaturpakke, medmindre andet skriftligt er aftalt.

3.6  Ved Aftalens ophør forpligter Penneo sig til at opbevare samtlige Kundens Data, som Penneo er i besiddelse af, i en periode på 90 dage.

3.7  Kunden har til enhver tid i den i pkt. 3.6. anførte periode adgang til selv fra sin konto hos Penneo at udlevere Kundens Data eller slette Kundens Data helt eller delvist. Kundens Data udleveres i de formater, der anvendes i Penneos eller dennes underleverandørers system(er), og der sker således ingen bearbejdning/konvertering af data, medmindre andet udtrykkeligt aftales mellem Kunden og Penneo.

3.8  Udlevering af Kundens Data i bearbejdet eller konverteret form kan aftales særskilt mod betaling.

 

4. Pris og betalingsbetingelser

4.1. De aftalte priser for Penneos ydelser til Kunden er fastsat nedenfor. Regulering af priser kan ske i henhold til Aftalens pkt. 4.3.

Årligt abonnement

Antal brugere

X.XXX DKK
Signatur pakke: XX Underskrifter á XX kr. stk. X.XXX DKK
Opstartsforløb: Online opstart support/ workshop X.XXX DKK
Total pris ved indgåelse af aftale X.XXX DKK
(alle priser ekskl. moms.)

 

4.2 Priserne er inkluderet de på tidspunktet for Aftalens ikrafttræden gældende afgifter bortset fra moms.

4.3 Penneo kan varsle prisændringer med 3 måneders varsel ved indførelse af nye eller forhøjede danske skatter og afgifter eller ændringer i tjenesteudbyderaftalen mellem Penneo og udbydere af elektroniske ID systemer.

4.4 Betalingsbetingelser er netto kontant +14 dage fra fakturadato på det af Penneo anviste betalingssted. Betaling skal ske gebyr- og omkostningsfrit for Penneo. Ved betaling efter forfald skal Kunden svare rente med 1,5 % pr. påbegyndt måned af den forfaldne saldo fra seneste rettidige betalingsdato og indtil betaling sker. Kunden kan ikke foretage modregning i vederlaget for ydelsen hidrørende fra angivne krav fra andre retsforhold.

4.5 Faktura skal sendes i elektronisk form til følgende e-mail adresse eller EAN nummer:
E-mail adresse
EAN nummer

 

5. Driftsstabilitet og support

5.1. Penneo sikrer stabil drift, men er uden ansvar for driftsforstyrrelser forårsaget af faktorer uden for Penneos kontrol. Penneo genskaber normal drift hurtigst muligt.

5.2. Penneo opfylder tilgængelighed til Servicen i Aftalens løbetid som anført nedenfor:

5.2.1. Oppetid på 99,9%;

5.2.2  Oppetiden måles og beregnes pr. kalendermåned baseret på driftstid 24/7. Ved beregning af oppetid medregnes ikke nedetid som er varslet lovligt i medfør af Aftalen eller i øvrigt er udtrykkeligt accepteret af Kunden;

5.2.3 Kunden kan til enhver tid se status for Penneo’s oppetid på www.penneo.com under support, driftsstatus, jf. pkt. 9.1. og 9.2.

 

6. Sikkerhedsforeskrifter

6.1. Alle dokumenter opbevares krypteret og al kommunikation til og fra Penneos server(e) foregår krypteret, ligesom der er etableret firewalls til sikring af Softwaren. Penneo kan dog ikke garantere mod hacker-angreb, som forårsager systemnedbrud og/eller tab af data.

 

7. Opbevaring og Backup

7.1. Kundens Data og back-up medier er placeret hos Penneos samarbejdspartner (Amazon Web Services, Inc. (“AWS”)). Alle Data opbevares indenfor EU hhv. EU (Dublin) Region og EU (Frankfurt) Region.

7.2. Penneo anvender to backup strategier for separate data klasser, som nærmere beskrevet i pkt. 7.3. og 7.4.:

  • Kundens data
  • System data

7.3 Kundens Data opbevares på flere separate fysiske lokationer. Kundens dokumenter versioneres med henblik på at kunne rulle ændringer tilbage. Sletning af dokumenter inklusive versioneringer kan alene foretages af mindst to personer i forening.

7.4 Penneo foretager daglig inkremental backup af System data. Backups opbevares i mindst 14 dage. Alle data i Penneos produktionsmiljø opbevares på mindst to separate fysiske lokationer.

7.5 Alle Kundens dokumenter gemmes i Servicen i 5 år fra oprettelsestidspunktet, med mindre Aftalen opsiges i mellemtiden. I givet fald finder bestemmelserne i pkt. 3.5. til 3.7. anvendelse. Penneo garanterer alene sikringen af dokumenternes bevisværdi i den periode, hvor de opbevares i Servicen. Kundens dokumenter opbevares kun ud over 5 års perioden, hvis der er indgået særskilt aftale mellem Kunden og Penneo om sådan arkivering.

7.6 Såfremt et systemnedbrud - uanset årsag - medfører tab eller beskadigelse af Kundens Data, vil Penneo, efter at nedbruddet/beskadigelsen er konstateret, enten af egen drift eller efter henvendelse fra Kunden, påbegynde reetablering af Kundens Data fra den/de relevante backup lokation(er). I dette tidsrum kan Kundens data være utilgængelige, dog maksimalt i 24 timer.

 

8. Vedligeholdelse

8.1. For at yde den bedst mulige service er det nødvendigt periodisk at udbygge/udskifte teknisk udstyr og at foretage softwareopdateringer m.v. Penneo foretager derfor løbende vedligeholdelse og opdatering af Servicen.

8.2 Vedligeholdelse og/eller opdatering varsles over for Kunden via Penneos hjemmeside.

8.3 Penneos API udbydes i forskellige versioner. Når en ny version udgives tilstræber Penneo, at den nye version ikke har indvirkning på tidligere versioner. Penneo kan dog ikke garantere, at nye versioner af API’er ikke kræver ny udvikling hos Kunden. I tilfælde hvor Penneo ikke længere understøtter en API-version, skal Penneo varsle dette minimum 6 måneder inden den pågældende API-version sættes ud af drift.

8.4 I forbindelse med vedligeholdelse kan det være nødvendigt at afbryde adgangen til Servicen. Sådanne afbrydelser vil fortrinsvis blive placeret i tidsrummet kl. 21.00 – 06.00 CET. Såfremt det bliver nødvendigt at afbryde adgangen til Servicen uden for det anførte tidsrum, vil dette blive varslet forinden, medmindre tekniske eller sikkerhedsmæssige årsager gør det nødvendigt at ændre systemet med øjeblikkeligt varsel.

 

9. Fejlmelding

9.1. Konstaterer Kunden fejl, nedbrud eller uregelmæssigheder kan Kunden undersøge om forholdet er registreret på status.penneo.com.

9.2. Er forholdet ikke allerede registreret skal Kunden kontakte Penneo uden ugrundet ophold, jf. pkt. 9.3.

9.3. Kunden skal ved fejlmelding skriftligt beskrive fejlen ved at benytte Penneos fejlmeldingsprocedure online, kaldet support, således at Penneo modtager de nødvendige informationer til straks at lokalisere fejlen.

 

10. Support

10.1. 24 timers support, slutbrugerhjælp og softwareopdateringer er inkluderet i abonnementsprisen. Særlige supporthenvendelser eller individuelle systemtilpasninger faktureres særskilt. Dette gælder såvel telefonisk, som skriftlig support.

 

11. Ansvar og ansvarsbegrænsning

11.1. Hver af Parterne er erstatningsansvarlig efter dansk rets almindelige regler med nedenstående begrænsninger, dog således at begrænsningerne kun gælder, såfremt tabet ikke kan henføres til grov uagtsomhed eller forsætlige forhold hos den skadevoldende Part.

11.2. Penneo fraskriver sig erstatningsansvar for ethvert indirekte tab eller følgeskade, herunder, men ikke begrænset til, driftstab, mistet avance, tab af Kundens Data og goodwill hos Kunden.

11.3. Bortset fra produktansvar, jf. pkt. 11.4, er det samlede erstatningsbeløb, som Kunden kan gøre gældende mod Penneo i henhold til Aftalen, begrænset til det mindste af følgende:
- den samlede betaling som Penneo har modtaget fra Kunden i henhold til denne Aftale på skadestidspunktet, eller
- DKK 25.000 pr. skade pr. år.

11.4 Penneo er ansvarlig for produktansvar efter dansk rets almindelige erstatningsretlige regler. Penneos erstatningsansvar er dog i hvert tilfælde beløbsmæssigt begrænset til det beløb, som udbetales i henhold til Penneos til enhver tid gældende produktansvarsforsikring

11.5 Penneo er forpligtet til at opretholde sædvanligt og forsvarligt forsikringsniveau, herunder som minimum en produktansvarsforsikring og en erhvervsansvarsforsikring til dækning af Penneos ansvar i overensstemmelse med Aftalen.

 

12. Retten til data

12.1. Kunden bevarer ejendomsretten til Kundens Data og resultater af behandlingen heraf.

12.2. Penneo kan ikke udøve tilbageholdsret i Kundens Data.

 

13. Behandling af tredieparts data

13.1. Til anvendelse af Servicen opretter Kunden en profil med en tilhørende konto hos Penneo, og Kunden uploader herefter løbende dokumenter og øvrige data, herunder personoplysninger, til sin konto hos Penneo til brug for underskrift af Kundens dokumenter (herefter tilsammen benævnt ”Kundens Data”).

13.2. De tredjeparter, som skal underskrive Kundens dokumenter (herefter ”Tredjepart”), opretter en selvstændig profil med tilhørende konto hos Penneo. Tredjepart uploader sine data, herunder personoplysninger, til sin konto hos Penneo i forbindelse med underskriften af Kundens dokument(er) (herefter tilsammen benævnt ”Tredjeparts Data”).

13.3. Kunden og alle Tredjeparter modtager en kopi af de underskrevne dokumenter, ligesom dokumenterne lagres og opbevares af Penneo. Såvel Kunden som alle Tredjeparter har via deres respektive konti hos Penneo selvstændig adgang til de underskrevne dokumenter hos Penneo.

13.4. I forholdet mellem Kunden og Penneo er Penneo databehandler og Kunden er dataansvarlig. Penneo og Kunden har indgået den i Bilag 1 vedhæftede databehandleraftale (herefter ”Databehandleraftalen”), der regulerer Penneos behandling af de af Kundens Data som udgør personoplysninger.

 

14. Force Majeure

14.1. Såfremt Penneo ikke kan præstere sine ydelser efter Aftalen som følge af force majeure, kan Penneo ikke gøres ansvarlig som følge af tab i den anledning, ligesom Kunden ikke kan hæve Aftalen, jf. dog pkt. 14.3.

14.2. Penneo skal orientere Kunden uden ugrundet ophold, såfremt der indtræder en force majeure-situation. Force majeure er et forhold, som Penneo ikke har nogen indflydelse på, og som Penneo ikke inden for rimelige økonomiske og praktiske foranstaltninger kan omgå. Force majeure er f.eks. krig, mobilisering, terrorangreb, svigt/nedbrud i offentlig elforsyning, strejke, brand, oversvømmelse m.v.

14.3. Såfremt tilgængeligheden til Servicen i det væsentligste er umulig som følge af force majeure, og dette varer i mere end 30 dage, kan hver af Parterne skriftligt opsige Aftalen med øjeblikkelig virkning, men kan ikke i den forbindelse gøre krav gældende mod den anden Part.

 

15. Immaterielle rettigheder

15.1. Kunden er gjort bekendt med, at Servicen er ophavsretligt beskyttet og Kunden erhverver alene en ikke eksklusiv, betinget brugsret til Servicen. Brugsretten er betinget af Kundens betaling og overholdelse af Aftalen, og Kunden er gjort udtrykkeligt opmærksom på, at brugsretten er tidsbegrænset, således at denne automatisk bortfalder ved ophør af Aftalen, uanset årsagen hertil. Brugsretten er uoverdragelig.

15.2. Kunden er alene berettiget til at anvende Servicen til brug for Kundens egen virksomhed.

15.3. Kunden erklærer sig indforstået med at ville respektere ophavsrettighederne. Kunden hæfter for Kundens ansatte samt eksterne rådgiveres overholdelse af rettighederne til Servicen ved brug, og Kunden er forpligtet til at drage omsorg for, at Kundens ansatte samt eksterne rådgivere gøres udtrykkeligt opmærksom på, at Servicen er ophavsretligt beskyttet og alene må anvendes i overensstemmelse med vilkårene i Aftalen.

 

16. Fortrolighed og tavshedspligt

16.1. Parterne forpligter sig til i Aftalens løbetid og efter dennes ophør over for uvedkommende at hemmeligholde alle oplysninger modtaget fra og om den anden Part, som en Part får kendskab til i forbindelse med Aftalen og levering af Servicen til Kunden. Parterne må alene benytte sådanne oplysninger i overensstemmelse med Aftalen, og må ikke videregive oplysningerne, medmindre videregivelse er påkrævet i henhold til lov, retskendelse eller pålæg fra offentlig myndighed. Foranstående gælder dog ikke oplysninger, der er alment kendte eller offentligt tilgængelige, og som ikke i henhold til Lovgivningen er underlagt sådanne begrænsninger.

 

17. Markedsføring og kommunikation mellem parterne

17.1. Penneo er berettiget til at anvende Kunden som reference, medmindre Kunden har givet udtrykkelig og skriftlig indsigelse herimod.

17.2. Ved sin underskrift af Aftalen giver Kunden Penneo ret til via elektronisk post at fremsende service- og informations meddelelser til Kunden, som kan indeholde nyhedsbreve og anden markedsføring og information vedrørende Servicen og Penneos til enhver tid værende øvrige produkter og services.

17.3. Kunden kan til enhver tid framelde nyhedsmails og anden markedsføring.

17.4. Mails, som indeholder driftsinformationer, er obligatoriske, da de kan have betydning for Kundens brug af Servicen.

17.5. Parterne kan benytte e-mail til at fremsende påkrav og andre skriftlige meddelelser i relation til Aftalen.

17.6. En e-mail er kommet frem, når den er modtaget i modtagerens e-mail-system, og den under normale omstændigheder vil være tilgængelig for modtageren. At en e-mail på grund af problemer i modtagerens e-mail-system konkret ikke er tilgængelig, er således modtagerens risiko. Det er Parternes ansvar at oplyse ændringer i ovenstående kontaktoplysninger.

 

18. Misligeholdelse

18.1. I tilfælde af en af Parternes væsentlige misligholdelse af Aftalen, kan den ikke-misligholdende Part ophæve Aftalen uden yderligere varsel, såfremt forholdet ikke er bragt til ophør inden 10 hverdage regnet fra afgivelse af skriftligt påkrav til den misligholdende Part.

18.2. I tilfælde af konkurs, rekonstruktion, likvidation, tvangsopløsning, indgåelse af tvangsakkord, indgåelse af frivillig tvangsakkord eller lignende, er den anden Part berettiget til at ophæve Aftalen med øjeblikkelig virkning.

18.3. Betaler Kunden ikke for Servicen i overensstemmelse med Aftalens pkt. 4., har Penneo ret til med 20 dages forudgående varsel at lukke for adgang til Servicen. Kundens adgang etableres først på ny, når forfaldne beløb er modtaget hos Penneo.

18.4. Ophæver Penneo Aftalen som følge af Kundens misligholdelse, herunder misligholdelse af betaling, er Penneo berettiget til at beholde den allerede erlagte forudbetaling. Ophæver Kunden Aftalen som følge af Penneos misligholdelse, sker ophævelsen alene for fremtiden, og Kunden kan kræve betaling tilbagebetalt fra og med den måned, hvori misligholdelsen finder sted.

 

19. Tvister

19.1. Parterne er enige om, at Aftalen er indgået i henhold til dansk ret, og at enhver tvist mellem Parterne skal afgøres efter dansk ret.

19.2. Tvister skal forsøges henlagt i mindelighed ved forhandling mellem Parterne. Såfremt en tvist ikke kan løses i mindelighed, er begge Parter berettiget til at indbringe sagen for Københavns Byret i første instans.

 

20. Øvrige bestemmelser

20.1. Såfremt en bestemmelse i Aftalen erklæres lovstridig, ugyldig eller uden retskrav, skal bestemmelsen desuagtet håndhæves i størst mulig udstrækning efter gældende lov, således at Parternes oprindelige hensigt afspejles. En sådan bestemmelse berører ikke andre bestemmelsers lovlighed og gyldighed.

20.2. Enhver bestemmelse i Aftalen, som efter sin natur strækker sig ud over det tidspunkt, hvor Aftalen ophører helt eller delvist, skal fortsat være gældende og bindende for Parterne.

 

21. Bekræftelse og underskrift

21.1. Aftalen og den i bilag 1 vedlagte Databehandleraftale bekræftes hermed af de to Parter ved anvendelse af digital underskrift. Underskrivere af Aftalen erklærer samtidig at være underskriftsberettigede i medfør af Parternes respektive tegnings- og dispositionsregler. Det print- og læsbare bevis for signeringen vil fremgå af det færdige dokuments sidste side, som fremsendes til alle parter, når alle parter har underskrevet Aftalen.

 

BILAG 1 TIL SAMHANDELS- OG DATABEHANDLERAFTALE

MELLEM

PENNEO APS

OG

KUNDENAVN

DATABEHANDLERAFTALE

 

A. Baggrund og formål

a. Den Dataansvarlige (Kundenavn) og Databehandleren (Penneo) har indgået Samhandels- og databehandleraftale (Aftalen) om levering af digitale services i form af en Digital Signatur- og ValideringsService (CPR- samt CVR-validering) baseret på de nordiske elektroniske ID systemer, hvortil der ved Aftalens ikrafttræden anvendes NemID eller BankID (herefter ”Servicen”).

b. I henhold til Aftalen skal Databehandleren behandle personoplysninger på den Dataansvarliges vegne i forbindelse med levering af Servicen.

c. Denne databehandleraftale (herefter ”Databehandleraftalen”) fastsætter betingelser og vilkår for Databehandlerens behandling af de personoplysninger (som defineret i Lovgivningen, jf. pkt. A.d.), som Den Dataansvarlige i medfør af Aftalen overlader til Databehandleren ved brug af Servicen (herefter ”Personoplysningerne”). Med mindre andet udtrykkeligt fremgår af Databehandleraftalen finder Aftalens bestemmelser i øvrigt anvendelse.

d. Databehandleraftalen har til formål at sikre overholdelse af den til enhver tid gældende persondatalovgivning, herunder Europa Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (”Persondataforordningen”), der træder i kraft den 25. maj 2018 (herefter tilsammen benævnt ”Lovgivningen”).

 

B. Typer af personoplysninger og databehandlerens generelle forpligtelser

a. De typer af Personoplysninger og kategorier af registrerede, som Databehandleren skal behandle for den Dataansvarlige som led i opfyldelsen af Aftalen og Databehandleraftalen er anført i pkt. Q.

b. Det er alene den Dataansvarlige, der træffer beslutning om, hvilke Personoplysninger, der behandles af Databehandleren, samt til hvilke formål disse personoplysninger må behandles.

c. Databehandleren behandler alene Personoplysningerne efter instruks fra den Dataansvarlige.

d. Databehandleren skal behandle Personoplysningerne i overensstemmelse med den til enhver tid gældende Lovgivning. Den Dataansvarlige skal sikre, alle Personoplysninger, som den Dataansvarlige overlader til Databehandleren sker via funktioner i Servicen og ikke sendes via usikker e-mail eller på anden måde, som er i strid med Lovgivningen.

e. I tilfælde af at Datatilsynet retter henvendelse vedrørende behandlingen af Personoplysningerne, skal den Dataansvarlige og Databehandleren samarbejde om besvarelse af spørgsmål, afgivelse af oplysninger eller opfyldelse af eventuelle krav.

 

C. Fortegnelser over behandlingsaktiviteter

a. Senest når Persondataforordningen træder i kraft skal Databehandleren føre en fortegnelse over alle kategorier af behandlinger, der foretages af Databehandleren på vegne af den Dataansvarlige. Fortegnelsen, der føres elektronisk f.eks. som logfiler, skal indeholde:

i. navn på og kontaktoplysninger for Databehandleren, Underdatabehandlere, jf. pkt. D.a., den Dataansvarlige og en eventuel databeskyttelsesrådgiver;

ii. kategorierne af de behandlinger, som Databehandleren eller Underdatabehandlere foretager for den Dataansvarlige; og

iii. en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, jf. pkt. E.

b. Fortegnelsen skal foreligge skriftligt, herunder elektronisk. Databehandleren skal efter anmodning fra den Dataansvarlige eller Datatilsynet til enhver tid stille fortegnelsen til rådighed for den Dataansvarlige og/eller Datatilsynet.

 

D. Databehandlerens anvendelse af underleverandører

a. Den Dataansvarlige giver herved samtykke til, at Databehandleren kan anvende underdatabehandlere (”Underdatabehandlere”) til opfyldelse af Databehandlerens ydelser i henhold til Aftalen. Det er Databehandlerens ansvar, at Underdatabehandlere opfylder sine databeskyttelsesforpligtelser efter Lovgivningen.

b. Ved Aftalens indgåelse anvender Databehandleren Amazon Web Services, Inc. (”AWS”) som Underdatabehandler til opbevaring af Personoplysningerne. AWS anvender autoriserede underleverandører til levering af ydelsen til Databehandleren. Link til AWS’s hjemmeside med al information om AWS’s overholdelse af Lovgivningen (herunder Persondataforordningen) forefindes på https://aws.amazon.com/compliance/gdpr-center/.

c. Databehandleren underretter den Dataansvarlige om eventuelle planlagte ændringer i brugen af Underdatabehandlere, herunder tilføjelse eller udskiftning af Underdatabehandlere samt anvendelse af nye Underdatabehandlere, som ikke er omfattet af pkt. D.b.

d. Såfremt den Dataansvarlige ikke kan acceptere ændringer omfattet af pkt. D.b. eller D.c., kan den Dataansvarlige opsige Databehandleraftalen med 14 dages skriftligt varsel. Uanset bestemmelsen i Aftalens pkt. 3.3. ophører Aftalen automatisk samtidig med opsigelsen af Databehandleraftalen. Bestemmelserne i Aftalens pkt. 3. finder i øvrigt uændret anvendelse. Erlagte betalinger fra Kunden refunderes ikke.

e. Såfremt en Underdatabehandler er etableret i et tredjeland uden for EU/EØS, påhviler det Databehandleren at sikre, at Personoplysningerne opbevares indenfor EU/EØS og ikke overføres til det pågældende tredjeland, medmindre overførsel er nødvendig til opfyldelse af gældende lovgivning, der finder anvendelse på Databehandlerens eller dennes Underdatabehandlere, eller som følge af krav fra en kompetent offentlig myndighed, som er bindende for Databehandleren eller dennes Underdatabehandlere.  Databehandleren vil give den Dataansvarlige rimeligt varsel, hvis sådanne krav fremsættes over for Databehandleren eller dennes Underdatabehandlere, og vil tilstræbe at give Kunden mulighed for at gøre indsigelse eller anvende relevante retsmidler, medmindre Databehandleren eller dennes Underdatabehandlere er forhindret i dette i henhold til gældende lovgivning.

 

E. Krav til informationssikkerhed og databeskyttelse

a. Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at Personoplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med Lovgivningen. Sådanne tekniske og organisatoriske sikkerhedsforanstaltninger omfatter:

i. Certificering, herunder at Databehandleren er certificeret til ISAE 3000 standarden af KPMG, hvilket betyder, at KPMG har revideret Databehandlerens interne sikkerhedspolitikker og sikkerhedsprocedurer med henblik på optimal sikring af den Dataansvarliges dokumenter;

ii. Netværkssikkerhed, transmission og opbevaring, herunder etablering af login- og adgangskode procedure (to-faktor autentifikation) samt firewalls og antivirus software. Alle dokumenter opbevares krypteret og al kommunikation til og fra Databehandlerens server(e) foregår krypteret. Databehandleren følger de krypteringsstandarder, som er defineret af National Institute of Standards and Technologies (NIST). Databehandleren anvender alene krypteringsalgoritmer som er godkendt af Federal Information Processing Standards (FIPS) og anbefalet af NIST;

iii. Medarbejderforhold, herunder at alene medarbejdere, der er autoriseret hertil, har adgang til Personoplysningerne, og at medarbejdere modtager passende uddannelse, fyldestgørende instruktioner i og retningslinjer for behandlingen af personoplysningerne, jf. tillige pkt. G.;

iv. Fysisk sikkerhed, herunder at adgang til bygninger og systemer, der anvendes i forbindelse med databehandlingen er sikret på forsvarlig vis, således at disse ikke er tilgængelige for uvedkommende tredjemand.

b. Databehandleren skal implementere og overholde en sikkerhedspolitik og retningslinjer for behandling af Personoplysninger i Databehandlerens organisation, der overholder og opfylder de betingelser og vilkår, som til enhver tid fremgår af denne Databehandleraftale og/eller den Dataansvarliges instruks.

c. Databehandleren foretager løbende evaluering af sikkerhedsniveauet med henblik på at iværksætte nødvendige tiltag for at opretholde tilstrækkelig datasikkerhed til enhver tid.

 

F. Sikkerhedshændelser

a. Databehandleren skal oprette og implementere procedurer for håndtering af brud på persondatasikkerheden, jf. Persondataforordningen art. 4 (12) og art. 33. stk. 2.

b. Databehandleren skal uden unødig forsinkelse efter at være blevet opmærksom herpå skriftligt underrette den Dataansvarlige om et brud på persondatasikkerheden, herunder oplysning om, hvem der har behandlet den Dataansvarliges oplysninger og hvornår, med henblik på, at den Dataansvarlige har mulighed for at foretage politimæssig efterforskning af disse.

c. Databehandleren skal i tilfælde af et brud på persondatasikkerheden, uden unødigt ophold, dog senest 36 timer efter at Databehandleren er blevet opmærksom på bruddet på persondatasikkerheden, skriftligt underrette den Dataansvarlige herom og som minimum oplyse følgende:

i. en beskrivelse af karakteren af bruddet på persondatasikkerheden, herunder – hvis det er muligt - kategorierne og det omtrentlige antal berørte registrerede personer samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger;

ii. en beskrivelse af de sandsynlige konsekvenser af bruddet på persondatasikkerheden;

iii. en beskrivelse af de foranstaltninger, som Databehandleren har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder foranstaltninger for at begrænse dets mulige skadevirkninger;

iv. Navn og kontaktoplysninger på databeskyttelsesrådgiveren, hvis en sådan er udpeget af Databehandleren, eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes.

d. Når og for så vidt som det ikke er muligt at give oplysningerne samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.

e. Databehandlerens underretninger til den Dataansvarlige om et brud på persondatasikkerheden i henhold til dette pkt. F. indebærer ikke, at Databehandleren hermed har anerkendt at være i misligholdelse af Aftalen eller at være erstatningsansvarlig overfor den Dataansvarlige for det pågældende brud på persondatasikkerheden.

 

G. Hjemmearbejdspladser

a. Alle arbejdspladser hos Databehandleren er bærebare PC’ere eller lignende. Uanset fysisk placering er medarbejdernes adgang til Servicen og Databehandlerens systemer sikret på samme måde. Det indebærer blandt andet, at login og adgang til Databehandlerens produktionsmiljø altid kræver to-faktor autentifikation og følgende operationer kræver, at mindst to personer arbejder sammen:
- ændringer af firewalls
- tildeling og fratagelse af privilegier
- adgang til backup
Adgang til den virtuelle infrastruktur sker alene gennem krypterede kanaler. Adgang på OS niveau sker via SSH og det primære formål er at supportere software udviklingsprocessen.

b. Databehandleren skal fastsætte retningslinjer for medarbejdernes behandling af Personoplysninger.

 

H. Databehandlerens forpligtelse til at bestå den dataansvarlige

a. Databehandleren skal under hensyntagen til behandlingens karakter og de Personoplysninger, der behandles af Databehandleren, bistå den Dataansvarlige med at sikre overholdelse af Lovgivningens bestemmelser om de registreredes rettigheder vedrørende Personoplysninger. Databehandleren skal herunder ved hjælp af passende tekniske og organisatoriske foranstaltninger bistå den Dataansvarlige med håndtering af henvendelser fra en registreret, herunder, men ikke begrænset til, anmodning om indsigt, berigtigelse, blokering eller sletning af Personoplysninger. I det omfang den Dataansvarlige selv kan håndtere henvendelser fra en registreret via funktioner i Servicen skal den Dataansvarlige benytte sig af disse.

b. Databehandleren skal endvidere under hensyntagen til behandlingens karakter og de Personoplysninger, der behandles af Databehandleren bistå den Dataansvarlige med at overholde øvrige forpligtelser, der påhviler den Dataansvarlige efter Lovgivningen, hvor dette er forudsat eller nødvendigt for, at den Dataansvarlige kan overholde sine forpligtelser. Databehandleren skal som led heri bistå den Dataansvarlige med at sikre overholdelse bl.a. af forpligtelserne i medfør af Persondataforordningen artikel 32-36.

c. Databehandleren er kun berettiget til at kræve betaling for ydelser i henhold til dette pkt. H. i overensstemmelse med de på www.penneo.com fastsatte priser.

 

I. Audit og revisionserklæring

a. Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige sådanne oplysninger, som er nødvendige til at denne kan påse, at Databehandleren og dennes Underdatabehandlere overholder de krav, som er fastsat i Databehandleraftalen, herunder at disse har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger og, at foranstaltningerne overholdes.

b. Databehandleren skal på den Dataansvarliges skriftlige anmodning tilvejebringe dokumentation for, at sikkerhedsforanstaltninger er gennemført hos Databehandleren.

c. Den Dataansvarlige kan via en revisor eller anden betroet part, som er godkendt af den Dataansvarlige og Databehandleren, foretage uanmeldt kontrol (indenfor normal arbejdstid) af, at Databehandleren overholder sine forpligtelser, herunder kontrol af og eventuel opfølgning på brugeradgange og rettigheder.

d. En gang årligt giver Databehandleren den Dataansvarlige adgang til revisorerklæringerne ISAE 3000 (type 2) samt adgang til erklæring om overholdelse af gældende Lovgivning til den Dataansvarlige. Erklæringerne skal afgives efter udgangen af hvert kalenderår, således at erklæringerne er tilgængelige for den Dataansvarlige senest den 31. marts.

e. Den Dataansvarlige er desuden berettiget til for egen regning at lade en uafhængig tredjepart foretage en årlig revision af Databehandlerens behandling af Personoplysninger.

f. Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til den Dataansvarliges og Databehandlerens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til Databehandlerens fysiske faciliteter mod behørig legitimation og forudgående underskrift af tavshedserklæring.

 

J. Den dataansvarliges forpligtelser og ansvar

a. Det er den Dataansvarliges ansvar at sikre, at det fornødne grundlag i henhold til Lovgivningen for behandling af Personoplysningerne foreligger, og den Dataansvarlige skal ved behandlingen af Personoplysningerne overholde og opfylde Lovgivningen.

b. Den Dataansvarlige skal overholde de til enhver tid gældende sikkerhedsforskrifter, som Databehandleren måtte oplyse til den Dataansvarlige vedrørende adgang til og anvendelse af Servicen.

c. Den Dataansvarlige skal skadesløsholde Databehandleren for sagsanlæg, krav, omkostninger (herunder rimelige udgifter til advokatbistand), tab, ansvar, udgifter eller skader, som er en følge af den Dataansvarliges manglende overholdelse af Lovgivningen eller de af Databehandleren oplyste sikkerhedsforskrifter vedrørende adgang til eller anvendelse af Servicen, eller anden misligholdelse af denne Databehandleraftale. Der henvises endvidere til pkt. N.c.

 

K. Omkostninger og betaling

a. Ydelser, som Databehandleren leverer til den Dataansvarlige i henhold til denne Databehandleraftale, er Databehandleren kun berettiget til at kræve betaling for i  overensstemmelse med de på www.penneo.com fastsatte priser.

 

L. Ændring af databehandleraftalen

a. Hver af Parterne kan til enhver tid med et rimeligt forudgående skriftligt og begrundet varsel kræve Databehandleraftalen ændret, hvis ændringen er nødvendig for at overholde den til enhver tid gældende Lovgivning.

b. Databehandleraftalen kan endvidere til enhver tid justeres med et skriftligt varsel på 30 (tredive) kalenderdage, såfremt den Dataansvarlige ønsker at justere de i pkt. Q anførte typer af Personoplysninger eller kategorier af registrerede.

c. Hvis der sker en væsentlig ændring eller justering af Databehandleraftalen i medfør af pkt. L.a. eller L.b. til ugunst for Databehandleren, kan Databehandleren opsige Databehandleraftalen med 3 måneders varsel til udløbet af en måned, uanset Aftalens pkt. 3.3. Erlagte betalinger fra Kunden refunderes ikke.

 

M. Håndtering af data efter databehandleraftalens ophør

a. Ved Databehandleraftalens ophør, uanset årsag, finder bestemmelserne i Aftalens pkt. 3.5. – 3.7. anvendelse.

b. Hvis der efter Databehandleraftalens ophør opstår tvivl om, hvorvidt der er sket sletning af alle Personoplysninger, kan den Dataansvarlige anmode om, at Databehandleren for den Dataansvarliges regning indhenter en revisorerklæring om, at Personoplysningerne er slettet fra Databehandlerens IT-systemer.

 

N. Misligeholdelse

a. Såfremt Databehandleren modtager meddelelse fra den Dataansvarlige, eller Databehandleren bliver bekendt med manglende overholdelse af krav ifølge Lovgivningen eller den Dataansvarliges instruks for behandling af Personoplysninger, skal Databehandleren uden ugrundet ophold afhjælpe den manglende overholdelse.

b. I øvrigt finder bestemmelserne i Aftalens pkt. 18. tilsvarende anvendelse ved en Parts misligholdelse af Databehandleraftalen.

c. En Part er forpligtet til at skadesløsholde den anden Part for udgifter og ressourceforbrug ved opfyldelse af en Parts forpligtelser over for en tilsynsmyndighed eller den registrerede samt bøder pålagt af en tilsynsmyndighed eller en domstol, i det omfang sådanne er forårsaget af den anden Parts misligholdelse.

 

O. Tavshedserklæring

a. Databehandleren sikrer, at dennes medarbejdere, der får adgang til oplysninger fra den Dataansvarlige, har underskrevet en tavshedserklæring om, at de har tavshedspligt over for uvedkommende med hensyn til deres adgang til den Dataansvarliges data. Tavshedspligten er gældende såvel under ansættelsen som efter ansættelsens ophør.

b. Databehandleren skal sikre, at Underdatabehandlere, medarbejdere og andre, der bistår Databehandleren i forbindelse med opfyldelse af Aftalen og Databehandleraftalen, er underlagt forpligtelser, som svarer til forpligtelserne heri.

 

P. Øvrige bestemmelser

a. I tilfælde af uoverensstemmelse mellem Databehandleraftalen og Samhandelsaftalen har Databehandleraftalen forrang.

 

Q. Typer af personoplysninger og dokumenter

a. Aftalen kan omfatte alle typer personoplysninger og alle kategorier af registrerede parter, hvis personoplysninger Databehandleren skal behandle som led i opfyldelsen af Aftalen.

b. For at Servicen kan fungere i henhold til Aftalens pkt. 2 behandles følgende personoplysninger hver gang en af Databehandlerens ansatte eller en tredjepart underskriver:

- navn,
- IP-adresse,
- e-mailadresse,
- Elektroniske ID oplysninger, og
- CPR-nummer, såfremt dette vælges af den Dataansvarlige for hver enkelt fremsendelse af dokumenter til underskrift hos en tredjepart.

c. De kategorier af registrerede parter, hvis personoplysninger Databehandleren skal behandle som led i opfyldelsen af Aftalen omfatter tredjeparter, jf. Aftalens pkt. 13, samt den Dataansvarliges ansatte, der underskriver dokumenter via brug af Servicen.