Databehandleraftale
Sidst opdateret:
Databehandleraftale
Denne Databehandleraftale ("Databehandleraftale") er indgået på den (sidste) dag for underskrift af og mellem:
1. [indsæt virksomhedens fulde navn], med registreret kontor i [indsæt adresse og land] og med virksomhedsregistreringsnummer [indsæt CVR-nummer] ("Dataansvarlig"); og
2. Solace Care, med registreret kontor på Luntmakargatan 26, 111 37 Stockholm, Sverige, og med virksomhedsregistreringsnummer 559519-7079 ("Databehandleren");
herefter i fællesskab benævnt Parten eller Parterne.
BAGGRUND
1. Den Dataansvarlige fastsætter formålene og hjælpemidlerne til Behandlingen af Personoplysninger (som defineret nedenfor).
2. Parterne har indgået en serviceaftale. I forbindelse med leveringen af Tjenesten vil Databehandleren behandle personoplysninger på vegne af den Dataansvarlige. Parterne er blevet enige om at levere Tjenesterne (som defineret nedenfor) på de vilkår, der er fastsat i Serviceaftalen (som defineret nedenfor).
3. Parterne ønsker at supplere Serviceaftalen med denne Databehandleraftale med henblik på at formalisere de vilkår og betingelser, der gælder for Behandlingen af Personoplysninger.
4. Formålet med denne Databehandleraftale er at sikre tilstrækkelige garantier til beskyttelse af privatlivets fred og at sikre Behandlingen af Personoplysninger.
1. AFTALEN
1. Ud over selve aftalens hoveddel indeholder denne Databehandleraftale også følgende dokumenter:
Bilag 3.1 Behandlingsinstruktioner
Bilag 3.2 Tekniske og organisatoriske sikkerhedsforanstaltninger
Bilag 3.3 Underdatabehandlere
1. Hvis en bestemmelse i denne Databehandleraftale er uoverensstemmende med vilkårene og betingelserne i Serviceaftalen, har bestemmelserne i denne Databehandleraftale forrang. Begreber med stort begyndelsesbogstav, som ikke er defineret heri (hvis nogen), har den betydning, der er fastsat i Serviceaftalen.
1. DEFINITIONER
1. Begreber, der er defineret i EU's generelle databeskyttelsesforordning, GDPR, har i denne Aftale den betydning, der er fastsat i forordningen.
2. I denne Databehandleraftale har nedenstående begreber følgende betydning:
| Gældende lovgivning | Alle love og regler, der finder anvendelse på Behandlingen af Personoplysninger i henhold til denne Databehandleraftale og Serviceaftalen, herunder, men ikke begrænset til, GDPR. |
| Godkendt formål | Databehandlerens Behandling af Personoplysninger i overensstemmelse med denne Databehandleraftale på vegne af den Dataansvarlige (i) som nødvendigt for at opfylde formålet med Serviceaftalen eller (ii) som på anden måde skriftligt defineret af den Dataansvarliges kontaktperson fra tid til anden; |
| Godkendte underdatabehandlere | Alle underdatabehandlere anført i bilag 3.1; |
| Kontrakt | Serviceaftalen om levering af visse professionelle tjenester fra Databehandleren til den Dataansvarlige indgået mellem Parterne på den dato, der er angivet i Bilag 3.1; |
| Dataansvarlig | En enhed, der fastsætter formålene og hjælpemidlerne til behandlingen af Personoplysninger. |
| Databehandler | En enhed, der behandler Personoplysninger på vegne af en Dataansvarlig. |
| Databehandleraftale (DPA) | Denne Databehandleraftale – herunder eventuelle efterfølgende ændringer dertil – som omfatter vilkårene i selve hoveddokumentet, sammen med bilagene og eventuelle dokumenter, der udtrykkeligt er indarbejdet ved reference |
| Registreret | Den identificerede eller identificerbare fysiske person, som oplysningerne vedrører. |
| GDPR | EU's generelle databeskyttelsesforordning (Forordning (EU) 2016/679); |
| Personoplysninger | enhver information, der vedrører (i) en identificeret eller identificerbar fysisk person og, (ii) en identificeret eller identificerbar juridisk enhed (hvor sådanne oplysninger er beskyttet på lignende vis som personoplysninger eller personligt identificerbare oplysninger i henhold til gældende databeskyttelseslove og -regler), hvor sådanne data for hver (i) eller (ii) er Kundedata. |
| Tjenester | De Tjenester, der skal leveres af Databehandleren i henhold til Serviceaftalen; |
| Standardkontraktbestemmelser | EU's modelkontrakter, de EU-godkendte (beslutning 2010/87/EU) Standardkontraktbestemmelser for overførsel af Personoplysninger fra Dataansvarlige til Databehandlere etableret i tredjelande uden for Det Europæiske Økonomiske Samarbejdsområde, hvor databeskyttelsesreglerne anses for utilstrækkelige, herunder eventuelle instrumenter godkendt af Europa-Kommissionen, der erstatter eller efterfølger sådanne kontraktbestemmelser; |
1. GENERELT
1. Denne Databehandleraftale regulerer Databehandlerens Behandling of Personoplysninger på vegne af den Dataansvarlige med henblik på at udføre sine Tjenester i henhold til Serviceaftalen. Databehandleren må kun Behandle Personoplysningerne til det Godkendte formål og i overensstemmelse med Gældende lovgivning, denne Databehandleraftale og Serviceaftalen. Databehandleren skal straks informere den Dataansvarlige, hvis denne mener, at en instruks er i strid med Gældende lovgivning.
2. Den Dataansvarlige bevarer den formelle kontrol over og ejerskabet til Personoplysningerne. Databehandleren har ingen andre rettigheder til Personoplysningerne end den ikke-eksklusive, tilbagekaldelige og tidsbegrænsede ret til at Behandle Personoplysningerne til det Godkendte formål.
3. Der skal ikke betales gebyrer eller omkostninger i forbindelse med Databehandlerens opfyldelse af sine forpligtelser i henhold til denne Databehandleraftale ud over gebyrerne for Tjenesterne fastsat i Serviceaftalen eller eventuelle særlige tjenestetillæg/bilag knyttet dertil.
1. GODKENDTE STEDER FOR BEHANDLINGEN
Databehandleren må kun Behandle Personoplysningerne til det Godkendte formål. Behandling af Personoplysninger til ethvert andet formål er forbudt og vil blive betragtet som en overtrædelse af denne Databehandleraftale og Serviceaftalen.
1. GODKENDTE STEDER FOR BEHANDLINGEN
1. Behandlingen af Personoplysningerne må kun finde sted i tekniske miljøer kontrolleret af den Dataansvarlige, Databehandleren og/eller den Godkendte underdatabehandler inden for det Godkendte område.
2. Hvis der er adgang til Personoplysninger fra en lokation, betragtes dette som en overførsel af Personoplysninger til en sådan lokation. Personoplysninger må ikke være tilgængelige på lokationer uden for det Godkendte område.
1. BISTAND
1. Databehandleren skal uden unødig forsinkelse bistå den Dataansvarlige og sikre, at Databehandlerens underdatabehandler bistår den Dataansvarlige med at besvare eller give oplysninger til Registrerede og de nationale tilsynsmyndigheder vedrørende den Behandling, der udføres af Databehandleren og dennes Godkendte underdatabehandlere på vegne af den Dataansvarlige. Databehandleren skal give sådanne oplysninger og støtte, som den Dataansvarlige med rimelighed anmoder om, for at den Dataansvarlige kan overholde Gældende lovgivning og påbud fra relevante myndigheder.
2. Databehandleren skal bistå den Dataansvarlige med at overholde kapitel 3 i GDPR, herunder især:
* Berigtige eller slette uakkurate Personoplysninger;
* Udlevere en kopi af de Personoplysninger, der opbevares i enhver form for genopretnings- eller lagringsfacilitet, der besiddes eller kontrolleres af Databehandleren eller en Godkendt underdatabehandler;
* Give oplysninger om Behandlingen af Personoplysninger;
* Bistå ved enhver anmodning eller henvendelse, eller forventet anmodning eller henvendelse, fra eller på vegne af en Registreret eller de nationale tilsynsmyndigheder i forhold til Personoplysninger; og
* Ellers yde al nødvendig og passende støtte til den Dataansvarlige, for at denne kan overholde sine juridiske forpligtelser, såsom artikel 32-36 i GDPR, og træffe passende tekniske og organisatoriske foranstaltninger for at yde en sådan støtte.
1. BRUG AF UNDERDATABEHANDLERE
1. Databehandleren må kun benytte en underdatabehandler, der er en Godkendt underdatabehandler, til at udføre opgaver i henhold til denne Databehandleraftale på sine vegne. Databehandleren skal i den underbehandleraftale, der er nævnt i afsnit 7.2, sikre, at al Behandling af Personoplysninger, der udføres af en Godkendt underdatabehandler, opfylder kravene i denne Databehandleraftale. Dette omfatter, men er ikke begrænset til, at kontrollere, at de sikkerhedsforanstaltninger, der implementeres af en Godkendt underdatabehandler, sikrer mindst et beskyttelsesniveau, der svarer til det, der kræves af Databehandleren under denne Databehandleraftale.
2. Databehandleren skal sikre, at der indgås en skriftlig underdatabehandleraftale mellem Databehandleren og en Godkendt underdatabehandler, før den Godkendte underdatabehandler Behandler Personoplysninger. Aftalen/aftalerne om Behandling of Personoplysninger skal sikre, at en sådan Godkendt underdatabehandler er underlagt krav, der er mindst lige så strenge, og som giver den Dataansvarlige og de Registrerede et tilsvarende minimumsniveau af beskyttelse som de krav, der stilles til Databehandleren under denne Databehandleraftale og Gældende lovgivning i forbindelse med dens behandlingsaktiviteter.
3. Databehandleren skal informere den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere og give den Dataansvarlige tredive (30) dages varsel for at give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. Hvis den Dataansvarlige gør indsigelse mod sådanne ændringer, må den pågældende underdatabehandler ikke deltage i Behandlingen af Personoplysninger på vegne af den Dataansvarlige.
4. Den Dataansvarlige kan tilbagekalde en eller flere godkendelser givet til brug af en bestemt Godkendt underdatabehandler. I sådanne tilfælde skal den Dataansvarlige give Databehandleren en forklaring med begrundelsen for tilbagekaldelsen. I det omfang tilbagetrækningen forhindrer Databehandleren i at levere Tjenesten, skal Parterne i god tro drøfte, hvilke alternative løsninger og/eller underdatabehandlere der kan bruges til at fortsætte med at levere Tjenesten.
2. BEHANDLING AF PERSONOPLYSNINGER I VISSE JURISDIKTIONER
1. Hvis Behandlingen of Personoplysninger ikke finder sted
1. inden for Det Europæiske Økonomiske Samarbejdsområde, eller
2. i et område, som Europa-Kommissionen har vurderet som et område, der garanterer et tilstrækkeligt beskyttelsesniveau;
skal en sådan behandling af Personoplysninger ske i overensstemmelse med gældende EU-modelkontrakter for overførsel af Personoplysninger til tredjelande (Standardkontraktbestemmelser). Hvis den Dataansvarlige godkender en overførsel til et land uden for a. eller b. ovenfor, eller tillader adgang til Personoplysninger fra et land uden for a. eller b. ovenfor, skal Parterne indgå EU's standardkontraktbestemmelser (SCC) forud for en sådan overførsel eller adgang. Hvis en sådan overførsel involverer overførsel af Personoplysninger til en Godkendt underdatabehandler, skal Databehandleren sikre, at vilkårene i standardkontraktbestemmelserne pålægges den pågældende Godkendte underdatabehandler ved at kræve, at den Godkendte underdatabehandler underskriver vilkårene i standardkontraktbestemmelserne med den Dataansvarlige som "Eksportør af Personoplysninger" i henhold til standardkontraktbestemmelserne inden en sådan overførsel eller adgang.
1. Den Dataansvarlige giver hermed sin godkendelse til, at Databehandleren kan indgå SCC-aftaler med relevante Godkendte underdatabehandlere på den Dataansvarliges vegne til de ovennævnte formål.
2. For at undgå enhver tvivl fritager kravet om at sikre, at den Godkendte underdatabehandler indgår en aftale om Behandling af Personoplysninger ved hjælp af SCC-aftalerne, når det kræves i henhold til dette afsnit 8, ikke Databehandleren for sine forpligtelser i henhold til afsnit 7, herunder, men ikke begrænset til, forpligtelsen til at sikre, at de sikkerhedsforanstaltninger, der er etableret af den relevante Godkendte underdatabehandler, tilbyder den Dataansvarlige og de Registrerede mindst et tilsvarende beskyttelsesniveau som de krav, der stilles til Databehandleren under denne Databehandleraftale.
1. TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER
1. Databehandleren skal udføre sine forpligtelser og handlinger i henhold til denne Databehandleraftale med al fornøden ekspertise, omhu og nøjagtighed. Databehandleren skal anvende passende tekniske og organisatoriske sikkerhedsforanstaltninger med henblik på at forhindre skader, der måtte opstå som følge af uautoriseret eller ulovlig Behandling, tab, tilintetgørelse, beskadigelse, ændring eller videregivelse af Personoplysninger, under hensyntagen til arten af de Personoplysninger, der skal beskyttes.
2. Bilag 3.2 "Tekniske og organisatoriske sikkerhedsforanstaltninger" giver yderligere instruktioner vedrørende tekniske og organisatoriske sikkerhedsforanstaltninger.
2. FORTROLIGHED
1. Databehandleren skal sikre, at denne og dennes medarbejdere samt underdatabehandlerne og deres medarbejdere behandler alle Personoplysninger fortroligt, og at Personoplysningerne kun er tilgængelige for Databehandlerens medarbejdere ud fra et reelt behov ("need-to-know"-princip). Databehandleren skal især sikre, at alt personale, der er involveret i Behandlingen af Personoplysninger, har gennemgået uddannelse.
2. Personoplysningerne skal betragtes som fortrolige oplysninger tilhørende den Dataansvarlige og skal, ud over vilkårene i denne Databehandleraftale, behandles fortroligt i overensstemmelse med de fortrolighedsforpligtelser, der er aftalt mellem Parterne i Serviceaftalen eller på anden vis.
3. Fortrolighedsforpligtelserne i dette afsnit 10, herunder forpligtelsen for medarbejdere, konsulenter mv. til at holde Personoplysningerne fortrolige, gælder fortsat, selv efter at denne Databehandleraftale udløber eller ophører.
3. REVISION
1. Den Dataansvarlige er berettiget til, efter at have informeret Databehandleren skriftligt med mindst ti (10) hverdages varsel, at gennemgå Databehandlerens (og eventuelle underdatabehandleres) overholdelse af denne Databehandleraftale. Hvis den Dataansvarlige har rimelig mistanke om et brud på sikkerheden for personoplysninger, gælder et varsel på mindst fireogtyve (24) timer. Databehandleren skal give alle oplysninger, der er nødvendige for at påvise overholdelse af denne Databehandleraftale. Hvis en revision (eller et andet forhold) viser, at denne Databehandleraftale ikke overholdes, skal Databehandleren udbedre forholdet.
2. Parterne afholder deres egne omkostninger i forbindelse med revisioner udført eller nævnt i dette afsnit 11.
4. ANMELDELSE AF ET BRUD PÅ SIKKERHEDEN FOR PERSONOPLYSNINGER
1. Hvis Databehandleren har mistanke om eller bliver opmærksom på et brud på sikkerheden for personoplysninger, skal Databehandleren uden unødig forsinkelse (og under alle omstændigheder senest otteogfyrre (48) timer efter at have fået kendskab til det) underrette den Dataansvarlige herom ved at sende en e-mail til kundens angivne kontaktperson i Serviceaftalen. Databehandleren er forpligtet til at samarbejde om at afhjælpe problemet, så snart det er rimeligt og praktisk muligt. Meddelelsen skal, såfremt oplysningerne er tilgængelige, indeholde følgende oplysninger:
1. Beskrivelse af bruddet på sikkerheden for personoplysninger, herunder så vidt muligt kategorierne og det omtrentlige antal Registrerede, der er berørt, et resumé af den hændelse, der forårsagede bruddet på sikkerheden, dato og klokkeslæt for den pågældende hændelse og karakteren af og indholdet af de berørte Personoplysninger samt bruddets fysiske karakter og de berørte lagringsmedier;
2. Beskrivelse af arten af bruddet på sikkerheden for personoplysninger (f.eks. tab, tyveri, kopiering);
3. Beskrivelse af de sandsynlige konsekvenser og den potentielle risiko, som bruddet kan medføre for de berørte Registrerede;
4. Beskrivelse af de foranstaltninger, som Databehandleren og/eller en Godkendt underdatabehandler har foreslået eller iværksat for at håndtere og afbøde virkningerne af bruddet;
5. Kontaktoplysninger til Databehandlerens databeskyttelsesrådgiver eller en anden kontaktperson.
1. Afhængigt af karakteren af bruddet på sikkerheden for personoplysninger kan den Dataansvarlige være forpligtet til at rapportere til datatilsynet i det land, hvor denne er etableret. Databehandleren skal derfor på anmodning af den Dataansvarlige udlevere enhver anden oplysning, som den Dataansvarlige med rimelighed anmoder om, for at overholde den relevante databeskyttelseslovgivning og/eller anmodninger fra Datatilsynet.
1. ANDRE INDBERETNINGER
1. Databehandleren skal uden unødig forsinkelse videresende en Registrerets anmodning om indsigt i sine Personoplysninger til den Dataansvarlige. Databehandleren skal henvise alle forespørgsler fra registrerede til den Dataansvarlige og give den Dataansvarlige rimelig bistand, som denne måtte have brug for i forbindelse med en sådan klage;
2. Databehandleren skal underrette den Dataansvarlige uden unødig forsinkelse, hvis denne modtager en anmodning fra et datatilsyn eller en anden myndighed, der kræver, at Databehandleren eller en af dennes Godkendte underdatabehandlere giver tilsynet eller myndigheden adgang til den Dataansvarliges Personoplysninger. En sådan meddelelse skal om muligt, og i det omfang det er tilladt efter gældende lovgivning, gives inden Databehandleren udleverer oplysningerne.
3. Hvis lovgivning, regulering eller en myndighed kræver, at Databehandleren opbevarer dokumenter eller materiale, som denne ellers ville være forpligtet til at tilbagelevere eller slette i henhold til afsnit 17, skal denne, i det omfang lovgivningen tillader det, underrette den Dataansvarlige skriftligt og give detaljerede oplysninger om de dokumenter eller materialer, denne er forpligtet til at beholde. Databehandleren overtræder ikke afsnit 17 med hensyn til de opbevarede dokumenter eller materialer, men afsnit 10 gælder fortsat for dem.
2. GYLDIGHEDSPERIODE
1. Denne Databehandleraftale træder i kraft på datoen for (sidste) underskrift og forbliver i kraft, så længe Databehandleren eller Godkendte underdatabehandlere Behandler eller har adgang til Personoplysningerne (Løbetid).
3. MISLIGHOLDELSE
1. Enhver manglende overholdelse af kravene i denne Databehandleraftale betragtes som en misligholdelse af kontrakten fra Databehandlerens side. Databehandleren skal sikre, at alle overtrædelser afhjælpes hurtigst muligt. Databehandleren skal løbende opdatere den Dataansvarlige om udviklingen og dokumentere alle foranstaltninger, der er truffet for at afhjælpe misligholdelsen.
2. Uanset ovenstående kan den Dataansvarlige med øjeblikkelig virkning instruere Databehandleren (og for at undgå enhver tvivl herunder eventuelle Godkendte underdatabehandlere) om at indstille eller afbryde al yderligere Behandling of Personoplysningerne, hvis der sker en overtrædelse af denne Databehandleraftale.
3. Hver Part er ansvarlig for administrative bøder, der pålægges denne af et datatilsyn eller en kompetent domstol som følge af denne Parts manglende overholdelse af sine forpligtelser i henhold til Gældende lovgivning, eller hvis denne på anden måde Behandler Personoplysninger i strid med Gældende lovgivning eller denne Databehandleraftale. Hvis den Dataansvarlige imidlertid pålægges en bøde, fordi Databehandleren har overtrådt Gældende lovgivning eller denne Databehandleraftale, skal Databehandleren kompensere den Dataansvarlige for denne omkostning samt for alle relaterede skader, tab eller udgifter. En sådan kompensation er ikke underlagt beløbsgrænserne fastsat i afsnit 14 i Serviceaftalen.
4. Ansvaret over for en Registreret, der har lidt skade som følge af en overtrædelse af GDPR, deles mellem den Dataansvarlige og Databehandleren i overensstemmelse med artikel 82 i GDPR.
4. TILBAGELEVERING ELLER SLETNING AF DATA
1. Ved ophør eller uopsigelighed af Serviceaftalen skal Databehandleren slette alle personoplysninger, der er blevet behandlet på vegne af den Dataansvarlige, og bekræfte over for den Dataansvarlige, at dette er sket, medmindre EU-ret eller medlemsstaternes nationale lovgivning kræver, at personoplysningerne opbevares. Alternativt skal Databehandleren, efter instruks fra den Dataansvarlige, tilbagelevere personoplysningerne i et passende standardformat til den Dataansvarlige og/eller en tredjepartsudbyder.
5. GYLDIGHEDSPERIODE OG OPHØR OSV.
1. Denne Databehandleraftale forbliver i fuld kraft, så længe Databehandleren (eller en eventuel underdatabehandler) Behandler Personoplysninger på vegne af den Dataansvarlige, eller indtil den erstattes af en ny Databehandleraftale. Ingen ændring af denne Databehandleraftale er gyldig, medmindre den sker skriftligt og underskrives af autoriserede repræsentanter.
2. Personoplysninger må ikke opbevares længere end nødvendigt for at opfylde det oprindelige formål med Behandlingen i overensstemmelse med denne Databehandleraftale. Databehandleren skal følge processerne og procedurerne for løbende sletning af data, som er beskrevet i Bilag 3.1.
3. Databehandleren har ret til at slette Personoplysningerne tredive (30) dage efter, at Serviceaftalen er udløbet eller blevet opsagt. Den Dataansvarlige har ret til at anmode om en forlængelse af denne Databehandleraftale for Behandlingen af Personoplysninger, så længe dette er nødvendigt for at beskytte den Dataansvarliges og/eller de Registreredes forpligtelser og rettigheder.
6. TVISTELØSNING
1. Enhver tvist, uoverensstemmelse eller ethvert krav, der måtte opstå på grundlag af eller i relation til denne Aftale, eller overtrædelse, ophør eller ugyldighed heraf, skal løses i overensstemmelse med vilkårene i Serviceaftalen.
BILAG 3.1 - BEHANDLINGSINSTRUKTIONERPersonoplysninger, der skal behandles
Personoplysninger inden for følgende kategorier vil blive behandlet.
| Behandling af personoplysninger | Formål | Kategorier af personoplysninger | Kategorier af registrerede | Lagring/opbevaringstid |
| Brugerprofil (standard) | At give brugere en konto og personalisering. | Navn og andre personoplysninger. Følsomme personoplysninger: | Bruger | 2 år |
| Arveplanlægning | Brugere kan uploade dokumenter og udfylde oplysninger i relation til deres arveplanlægning, som det vil være værdifuldt for deres familiemedlemmer at kende til efter deres død. | Brugeres uploadede dokumenter og oplysninger vedrørende deres arveplanlægning. | Bruger | 10 år |
| Sorgstøtte | Brugere får adgang til en tjekliste med opgaver, der skal fuldføres. | Brugerens fremskridt i tjeklisten. | Bruger | 2 år |
| AI Chat-support | At levere AI-funktioner, som kan guide brugere gennem indholdet. | Chatlogs i tekstformat. | Brugere | 30 dage |
| Deling med familien | Brugere kan give udvalgte brugere adgang til deres personoplysninger på platformen samt samarbejde om at uploade oplysninger. | Navn og e-mail. | Familiemedlemmer | 2 år |
| Kontaktoplysninger på modtagere | Brugere kan definere modtagere, som kan anmode om adgang til arveplanlægningsdataene, efter at brugeren er gået bort. | Navn og e-mail. | Modtagere | 10 år |
BILAG 3.2 - TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER
Databehandleren skal træffe passende tekniske og organisatoriske foranstaltninger for at beskytte Personoplysningerne på en sådan måde, at behandlingen opfylder kravene i databeskyttelseslovgivningen og sikrer, at de registreredes rettigheder i henhold til databeskyttelseslovgivningen beskyttes.
Databehandleren garanterer foranstaltninger, der sikrer et passende sikkerhedsniveau under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne samt Behandlingens art, omfang, sammenhæng og formål, samt sandsynligheden for og alvoren af risici for de Registreredes rettigheder og frihedsrettigheder. Hvor det er nødvendigt, skal foranstaltningerne omfatte:
1. Foranstaltninger til pseudonymisering og kryptering af personoplysninger.
Solace opbevarer Kundedata i et krypteret format, når de ikke er i brug (at rest) ved hjælp af Advanced Encryption Standard, og i transit ved hjælp af TLS 1.2 eller højere.
1. Foranstaltninger til sikring af vedvarende fortrolighed, integritet, tilgængelighed og robusthed i behandlingssystemer og -tjenester.
Solace forpligter sig til strenge fortrolighedsforpligtelser. Derudover kræver Solace, at alle underdatabehandlere underskriver fortrolighedsbestemmelser.
1. Foranstaltninger til sikring af evnen til at genoprette tilgængeligheden og adgangen til personoplysninger rettidigt i tilfælde af en fysisk eller teknisk hændelse.
Solace foretager regelmæssig backup af Kundedata, som hostes i AWS-datacentre. Backups opbevares på tværs af flere regioner og krypteres under transport og opbevaring (at rest) ved hjælp af Advanced Encryption Standard (AES-256).
1. Procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden.
Solace opretholder et risikobaseret sikkerhedsprogram. Rammerne for Solaces sikkerhedsprogram omfatter administrative, organisatoriske, tekniske og fysiske beskyttelsesforanstaltninger, der er hensigtsmæssigt udformet til at beskytte Tjenesterne samt fortroligheden, integriteten og tilgængeligheden af Kundedata. Solaces sikkerhedsprogram er tilpasset Tjenesternes art samt størrelsen og kompleksiteten af Solaces forretningsaktiviteter.
1. Foranstaltninger til brugeridentifikation og autorisation.
Solaces medarbejdere skal anvende unikke brugeroplysninger og adgangskoder til autorisation. Multi-faktor-godkendelse (MFA) kræves i hele systemet. Solace følger princippet om mindste privilegium gennem rollebaserede og tidsbaserede adgangsmodeller ved tildeling af adgang til systemet. Solaces personale har adgang til Kundedata på baggrund af deres arbejdsfunktion, rolle, ansvarsområder og anciennitet. Adgangen fjernes omgående ved ændring af rolle eller fratrædelse.
1. Foranstaltninger til beskyttelse af data.
Kundedata krypteres, når de overføres mellem Kunden og Solace, ved hjælp af TLS 1.2 eller højere. Kundedata opbevares krypteret ved hjælp af Advanced Encryption Standard.
1. Foranstaltninger til sikring af fysisk sikkerhed på steder, hvor personoplysninger behandles.
Solaces hovedkontor og kontorlokaler har et fysisk sikkerhedsprogram til overvågning af den generelle kontorsikkerhed.
Tjenesterne afvikles på Amazon Web Services (