Databehandleraftalen

Databehandleraftale

Her kan du se den databehandleraftale, der ligger til grund for behandling af persondata, når du er kunde hos TimeLog.

(Bemærk: Kontaktinformationer udfyldes automatisk, når du godkender aftalen i dit TimeLog-system. TimeLog er en international virksomhed, og derfor får alle kunder en engelsk udgave af aftalen.)

DATABEHANDLERAFTALE

Mellem

[Firma]
[Adresse]
[Postnummer og by]
CVR-nr. []
(herefter den “Dataansvarlige”)

og

TimeLog A/S
Vesterbrogade 149, bygn. 4, 1.
1620 København V
CVR-nr. 25 89 69 39
(herefter “Databehandleren”)

hver for sig benævnt ”Part” og samlet benævnt ”Parterne” er der indgået følgende databehandleraftale (herefter “Databehandleraftalen” eller denne ”Aftale”):

1. Definitioner og fortolkning

1.1 De betegnelser og definitioner, der er angivet i denne Aftale, har følgende betydning:

Ved ”Persondatalovgivningen” forstås den til enhver tid gældende persondatalovgivning i Danmark, herunder men ikke begrænset til love, regler eller bindende vejledninger fra myndigheder, der finder anvendelse på behandlingen af Personoplysninger.

Ved ”Personoplysninger” forstås enhver form for information om en identificeret eller identificerbar fysisk person.

Ved ”Ydelser(ne)” forstås de produkter og/eller services, der skal leveres af Databehandleren i henhold til Kontrakten (som defineret nedenfor).

1.2 Alle henvisninger til lovbestemmelser skal anses for også at omfatte alle efterfølgende videreførte bestemmelser eller ændringsbestemmelser.

2. Baggrund

2.1 Den Dataansvarlige er den person, som med sin underskrift har indgået aftale om at benytte TimeLogs software som beskrevet i Kontrakten mellem den Dataansvarlige og Databehandleren.

2.2 Databehandleren er en virksomhed, som servicerer kunder indenfor især konsulentbranchen. Databehandleren udvikler og sælger egen PSA-software, som benyttes af kunderne til optimering af forretningen igennem struktureret tidsregistrering, økonomisk projektstyring og integration til kundernes øvrige systemer.

2.3 Parterne har indgået en kontrakt om adgang til TimeLogs PSA-software og levering af de ydelser, som er beskrevet i TimeLogs handelsbetingelser (herefter ”Kontrakten”). Som led i leverancen af Ydelserne behandler Databehandleren Personoplysninger på vegne af den Dataansvarlige.

2.4 Parterne ønsker nu at indgå denne Aftale med henblik på at regulere Databehandlerens behandling af Personoplysningerne og sikre, at behandlingen sker i overensstemmelse med Persondatalovgivningen.

3. Generelle krav

3.1 Databehandleren må alene behandle Personoplysningerne i overensstemmelse med den Dataansvarliges dokumenterede skriftlige instrukser. De databehandlingsopgaver, Databehandleren varetager for den Dataansvarlige i henhold til denne Aftale, fremgår af bilag 1.

3.2 Databehandleren er alene berettiget til at behandle Personoplysningerne med det formål at levere Ydelserne samt til at behandle Personoplysningerne i et sådant omfang og på en sådan måde, som er nødvendig for at levere Ydelserne.

3.3 Da Databehandleren er en juridisk person, gælder bestemmelserne i denne Aftale enhver af Databehandlerens medarbejdere. Databehandleren indestår for, at medarbejderne overholder denne Aftale.

4. Videregivelse af Personoplysningerne

4.1 Databehandleren må ikke på nogen måde ændre Personoplysningernes indhold eller videregive Personoplysningerne til tredjemand, medmindre

  1) det konkret fremgår af denne Aftale,
  2) den Dataansvarlige på anden måde skriftligt har givet Databehandleren bemyndigelse dertil og/eller instruks derom, og/eller
  3) videregivelsen er påkrævet i henhold til gældende lovgivning, som Databehandleren er underlagt.

4.2 Er videregivelsen omfattet af punkt 4.1.3), skal Databehandleren give den Dataansvarlige meddelelse derom, inden behandlingen af Personoplysningerne påbegyndes, medmindre orientering af den Dataansvarlige er forbudt i henhold til EU-retten eller lovgivningen i den stat, som Databehandleren er underlagt.

5. Sikkerhed

5.1 Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte Personoplysningerne mod uautoriseret eller ulovlig behandling og mod hændeligt eller ulovligt tab, tilintetgørelse, beskadigelse, ændring eller videregivelse.

5.2 Fastsættelse af de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger skal ske under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.

5.3 Databehandleren skal overholde og sikre, at Databehandlerens personale overholder de særlige krav til sikkerhedsforanstaltninger, der gælder for Databehandleren, herunder men ikke begrænset til alle krav til sikkerhedsforanstaltninger, som er meddelt Databehandleren skriftligt, (ii) Databehandlerens egne interne sikkerhedsstandarder og (iii) kravene til sikkerhedsforanstaltninger i det land, hvor Databehandleren er etableret, eller i det land hvor databehandlingen finder sted.

5.4 Databehandleren skal holde Personoplysningerne fortrolige. Databehandleren skal tage rimelige skridt til at sikre, at alle medarbejdere, repræsentanter eller kontraktparter, der måtte have adgang til Personoplysningerne, er pålidelige, og at alle disse personer er underlagt fortrolighedsforpligtelser eller erhvervsmæssig eller lovbestemt tavshedspligt. Databehandleren skal tillige sikre, at adgangen til Personoplysningerne i hvert enkelt tilfælde begrænses til de personer, der har behov for adgang til Personoplysningerne som led i den pågældende persons arbejdsopgaver hos Databehandleren, og at dette er nødvendigt for at kunne levere Ydelserne.

5.5 Den fysiske placering af Databehandlerens servere, servicecenter mv., som anvendes i forbindelse med databehandlingen, fremgår af denne Aftales bilag 1. Databehandleren er berettiget til uden forudgående varsel at ændre den fysiske placering af Databehandlerens servere, servicecenter mv. Dette kan bl.a. ske i forbindelse med driftsnedbrud, hvor Databehandleren vurderer at forsat drift på eksisterende fysiske adresse ikke længere er muligt, eller Databehandleren vurderer, at det vil være i den Dataansvarliges interesse at flytte den fysiske placering med henblik på hurtigst muligt at gøre data tilgængelig for Dataansvarlig. Den fysiske placering skal altid være inden for EU eller EØS.


6. Overførsel af oplysninger til tredjelande

6.1 Databehandleren er berettiget til at behandle, tilgå eller overføre Personoplysningerne til et tredjeland uden den Dataansvarliges forudgående skriftlige samtykke. Dette kan bl.a. ske i forbindelse med support, hvor Personoplysninger, skærmbilleder og vedhæftede filer kan behandles, tilgås og overføres til et tredjeland.

6.2 Hvis Databehandleren overfører Personoplysninger til et tredjeland, påhviler det Databehandleren at sikre, at der foreligger et lovligt overførselsgrundlag, fx EU-Kommissionens standardkontrakter til overførsel af personoplysninger til tredjelande, før en sådan overførsel må foretages af Databehandleren.

6.3 Den Dataansvarlige bemyndiger Databehandleren til, på den Dataansvarliges vegne, at indgå EU Kommissionens standardkontrakt (decision 2010/87/EU) med Underdatabehandlere (som defineret i punkt 8)  i et tredjeland, og dermed overføre Personoplysninger til disse Underdatabehandlere, forudsat at betingelserne i punkt 8 i øvrigt er opfyldt.

 

7. Bistand

7.1 Databehandleren skal, under hensyntagen til databehandlingens karakter, så vidt muligt assistere den Dataansvarlige med håndteringen af anmodninger fra en registreret i forbindelse med den registreredes udøvelse af sine rettigheder i henhold til Persondatalovgivningen, herunder men ikke begrænset til anmodning om indsigt, berigtigelse, begrænsning af behandling, sletning eller dataportabilitet.

7.2 Databehandleren skal uden ugrundet ophold efter at være blevet opmærksom derpå skriftligt orientere den Dataansvarlige om enhver anmodning fra en registreret om udøvelse af dennes rettigheder modtaget direkte fra den registrerede eller fra tredjemand.

7.3 Databehandleren skal under hensyntagen til databehandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, implementere passende tekniske og organisatoriske foranstaltninger til at bistå den Dataansvarlige med opfyldelse af dennes forpligtelse til at besvare sådanne anmodninger fra de registrerede. Databehandleren skal levere alle de oplysninger, som den Dataansvarlige anmoder om, inden for en rimelig tidsfrist.

7.4 Databehandleren skal straks efter at være blevet opmærksom derpå skriftligt orientere den Dataansvarlige om enhver mistanke om eller konstatering af (i) brud på informationssikkerheden eller (ii) hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til Personoplysninger, der behandles af Databehandleren i henhold til denne Aftale. Databehandleren skal samarbejde med og yde bistand til den Dataansvarlige i forbindelse med afhjælpningen af brud på informationssikkerheden.

7.5 Databehandleren skal under hensyntagen til databehandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, assistere den Dataansvarlige med at overholde de øvrige forpligtelser, der måtte påhvile den Dataansvarlige i henhold til Persondatalovgivningen, herunder men ikke begrænset til på anmodning at give den Dataansvarlige alle nødvendige oplysninger til brug for udarbejdelse af en konsekvensanalyse.

7.6 Databehandlerens ydelser i relation til dette punkt 7 vederlægges i henhold til Databehandlerens til enhver tid gældende timesatser.

8. Underdatabehandling

8.1 Databehandleren er berettiget til at udpege tredjemand som databehandler til at behandle Personoplysninger på Databehandlerens vegne (”Underdatabehandler”) uden den Dataansvarliges forudgående skriftlige samtykke.

8.2 Datahandlerens udpegelse af underdatabehandlere i henhold til punkt 8.1 er betinget af, at Databehandleren

  1) gennemfører tilstrækkelig due diligenceundersøgelse af den enkelte Underdatabehandler med henblik på at sikre, at denne er i stand til at yde det beskyttelsesniveau i forhold til behandling af Personoplysninger, som kræves i denne Aftale og Persondatalovgivningen,
  2) i kontrakten mellem Databehandleren og den enkelte Underdatabehandler medtager vilkår, der som minimum pålægger Underdatabehandleren de samme forpligtelser som vilkårene i denne Aftale, og
  3) hæfter fuldt ud over for den Dataansvarlige for den enkelte Underdatabehandlers eventuelle manglende opfyldelse af dennes forpligtelser i forbindelse med behandlingen af Personoplysninger.

8.3 Databehandleren skal skriftligt underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af Underdatabehandlere med et varsel på tre måneder før ændringen træder i kraft.

8.4 Den Dataansvarlige er berettiget til på anfordring at få udleveret en kopi af de dele af Databehandlerens kontrakt med Underdatabehandleren, der vedrører Underdatabehandlerens forpligtelser i forbindelse med behandlingen af Personoplysninger.

9. Overholdelse af lovgivning, erstatning mv.

9.1 Den Dataansvarlige skal sikre, at der er hjemmel til de behandlinger af Personoplysninger, som er indeholdt i instruksen til Databehandleren, jf. bilag 1.

9.2 Den Dataansvarlige er bekendt med, at Databehandleren er afhængig af den Dataansvarliges anvisninger om, i hvilket omfang Databehandleren er berettiget til at anvende og behandle personoplysningerne på den Dataansvarliges vegne. Databehandleren hæfter derfor ikke for krav, som udspringer af Databehandlerens handlinger eller undladelser, i det omfang disse handlinger eller undladelser er en direkte følge af leveringen af persondatabehandlingen i overensstemmelse med den Dataansvarliges instrukser.

9.3 Databehandlerens ansvar over for den Dataansvarlige kan i intet tilfælde overstige et beløb svarende til den Dataansvarliges samlede betaling i henhold til Kontrakten de sidste 12 måneder fra skadens indtræden. De øvrige begrænsninger af Databehandlerens erstatningsansvar, der er gældende i henhold til Kontrakten, finder også anvendelse for så vidt angår denne Aftale.

10. Kontroller og erklæringer

10.1 Databehandleren skal på anmodning fra den Dataansvarlige inden for en rimelig frist stille alle oplysninger til rådighed, som er nødvendige, for at den Dataansvarlige, en anden kontrolperson med bemyndigelse fra den Dataansvarlige eller en myndighed kan påse, at Persondatalovgivningen er overholdt.

10.2 Databehandleren er forpligtet til én gang årligt og med et rimeligt skriftligt varsel at medvirke til kontrol, inspektion og/eller revision udført af den Dataansvarlige, en anden kontrolperson med bemyndigelse fra den Dataansvarlige eller af en myndighed vedrørende Databehandlerens og eventuelle Underdatabehandleres behandling af Personoplysninger i henhold til denne Aftale.

10.3 Databehandleren underretter omgående den Dataansvarlige, hvis en instruks efter denne Aftales punkt 10.1 og/eller punkt 10.2 efter Databehandlerens mening er i strid med Persondatalovgivningen.

10.4 Den Dataansvarlige har ret til for egen regning at udpege en uafhængig ekspert, som skal have adgang til Databehandlerens fysiske faciliteter, hvor Personoplysningerne behandles, samt modtage de nødvendige informationer til kontrol af, hvorvidt Databehandleren overholder sine forpligtelser i henhold til denne Aftale. Den uafhængige ekspert skal på Databehandlerens anmodning underskrive en sædvanlig fortrolighedserklæring.

10.5 Databehandlerens ydelser i relation til dette punkt 10 vederlægges i henhold til Databehandlerens til enhver tid gældende timesatser.

11. Varighed og ophør

11.1 Denne Aftale træder i kraft ved kontraktens indgåelse, dog tidligst d. 25. maj 2018, og er gældende indtil Kontrakten ophører.

11.2 Begge Parter er berettigede til at opsige denne Aftale efter samme vilkår, som er gældende for Kontrakten.

11.3 Aftalen skal være gældende mellem Parterne, så længe Databehandleren behandler Personoplysninger på vegne af den Dataansvarlige.

11.4 Ved ophør af denne Aftale, uanset årsag, skal Databehandleren

  1) med undtagelse af punkt 3) nedenfor ophøre med at behandle Personoplysningerne,

  2) efter den Dataansvarliges ønske (i) tilbagelevere alle Personoplysninger, som Databehandleren er i besiddelse af eller har kontrol over, samt alle kopier deraf til den Dataansvarlige eller (ii) destruere alle kopier deraf og over for den Dataansvarlige bekræfte, at dette er sket, medmindre Databehandleren i medfør af gældende lovgivning er afskåret fra eller af en myndighed forhindres i at destruere eller tilbagelevere alle eller dele af Personoplysningerne; i så fald skal Databehandleren behandle disse oplysninger fortroligt, fortsat behandle dem i overensstemmelse med vilkårene i denne Aftale og ikke behandle dem i videre omfang, end hvad der kræves for at opfylde kravene i den pågældende lovgivning eller fra den pågældende myndighed, og

  3) efter den Dataansvarliges ønske mod særskilt vederlag yde de fornødne overgangstjenesteydelser til den Dataansvarlige, herunder loyalt og hurtigst muligt at medvirke til, at databehandlingen overgår til en anden databehandler eller tilbageføres til den Dataansvarlige.

11.5 Foreligger der ikke senest tre (3) måneder efter ophør af denne Aftale instruks fra den Dataansvarlige angående tilbagelevering eller sletning af Personoplysningerne, er Databehandleren berettiget til uden forudgående varsel at slette Personoplysningerne.

11.6 Efter denne Aftales ophør, uanset årsag, består Aftalens punkt 5.4, 9.2, 11.3 og 16 uden tidsbegrænsning.

12. Overdragelse

12.1 Databehandleren skal i forbindelse med en overdragelse af sine rettigheder eller forpligtelser i henhold til denne Aftale til tredjemand give den Dataansvarlige besked om overdragelsen uden ugrundet ophold.


13. Aftalens fuldstændighed

13.1 Parterne er enige om, at denne Aftale er den fulde aftale mellem Parterne vedrørende de heri omhandlede forhold. Aftalen erstatter således alle tidligere aftaler mellem Parterne om de i Aftalen omhandlede forhold.

13.2 I tilfælde af uoverensstemmelse mellem bestemmelserne i denne Aftale og bestemmelserne i Kontrakten eller andre skriftlige eller mundtlige aftaler mellem Parterne skal bestemmelserne i denne Aftale have forrang. Bestemmelserne i denne Aftale finder dog ikke anvendelse, i det omfang der er fastsat strengere forpligtelser for Databehandleren, fx ved brug af EU-Kommissionens standardkontrakter til overførsel af personoplysninger til tredjelande.

14. Ændringer

14.1 Der kan alene gyldigt gives afkald på eller ske ændringer i vilkår, bestemmelser, forpligtelser eller betingelser i denne Aftale, i det omfang dette sker skriftligt og underskrives af begge Parter.

14.2 Såfremt en bestemmelse i denne Aftale erklæres ugyldig, ulovlig eller uden retskraft, udskilles bestemmelsen fra de øvrige vilkår og betingelser, som fortsat opretholdes efter deres indhold i det efter loven videst mulige omfang.

15. Meddelelser

15.1 Alle meddelelser, der skal gives i henhold til denne Aftale, skal være skriftlige.

16. Lovvalg

16.1 Denne Aftale er underlagt og skal fortolkes i overensstemmelse med dansk ret med undtagelse af dansk rets internationale lovvalgsregler.

16.2 Enhver tvist som måtte opstå i forbindelse med denne Aftale, skal afgøres ved Københavns Byret som rette værneting.


BILAG 1
BESKRIVELSE AF BEHANDLING AF PERSONOPLYSNINGER

Dette bilag udgør den Dataansvarliges instruks til Databehandleren.


Behandlingens genstand og varighed

Den Dataansvarlige instruerer hermed Databehandleren om at indhente og behandle oplysninger til brug for tidsregistrering, analyse samt viderebehandling af disse og evt. integration til den Dataansvarliges øvrige systemer.

Ved aftalens ophør nedlægges den Dataansvarliges samt dennes repræsentanters adgang til den i Kontrakten beskrevne software. Den underliggende database gemmes i backupsystemet i op til 6 måneder, hvorefter alle kopier af den Dataansvarliges persondata er slettet.

Adgang til og genskabelse af backup kan kun ske efter skriftlig instruks fra den Dataansvarlige.

Backup af data udleveres til den Dataansvarlige efter skriftlig anmodning herom. Omkostninger hertil vederlægges i henhold til Databehandlerens til enhver tid gældende timesatser.


Behandlingens karakter og formål

Databehandleren må indhente og behandle Personlysningerne med følgende formål:

(i) at opfylde de ydelser, der er beskrevet i Kontrakten for brugen af Databehandlerens software,

(ii) andre formål, som den Dataansvarlige skriftligt instruerer om.


Kategorier af Personoplysninger

Behandlingerne indeholder Personoplysninger i de følgende kategorier. Databehandlerens og eventuelle Underdatabehandleres niveau for behandlingssikkerhed skal afspejle Personoplysningernes følsomhed. 


Almindelige personoplysninger

  • Navn
  • Titel
  • E-mail
  • Adresse
  • Telefon
  • Sociale medier
  • Fødselsdag
  • Udgiftsregistreringer
  • Rejseoplysninger
  • Timeregistreringer om udført arbejde samt almindeligt fravær


Følsomme personoplysninger

  • Helbredsoplysninger
  • Timeregistreringer om fravær pga. af sygdom


Kategorier af registrerede

  • Den Dataansvarliges slutbrugere
  • Den Dataansvarliges medarbejdere
  • Den Dataansvarliges kunder
  • Den Dataansvarliges kunders medarbejdere
  • Den Dataansvarliges kunders kontaktpersoner


Lokation(er) for behandlingen

Vesterbrogade 149, bygning 4, 1. sal, 1620 København V, Danmark
Hørskætten 3-5, 2630 Taastrup og Herstedvang 4, 2620 Albertslund, Danmark

Level 22, Menara Binjai, Jalan Binjai, 50450 Kuala Lumpur, Malaysia. Behandlingsaktivitet: Udvikling og support. Er dækket af SCC (Standard Contractual Clause).


Underdatabehandlere

Den Dataansvarlige giver samtykke til anvendelsen af følgende Underdatabehandlere:

Nedenfor beskrives per databehandler: Databehandler, adresse for aktiviteten, lovgrundlag hvis uden for EU, behandlingsaktivitet.

GlobalConnect A/S, Hørskætten 3, 2630 Taastrup, Danmark, CVR-nr. 267597222, Hosting center

Zendesk Inc., 1019 Market St., SanFrancisco, CA 94103, USA , EU-US Privacy Shield, Helpdesk software

WalkMe Ltd.,3 Kremenetski St., Tel Aviv, 6789903, Israel, EU-US Privacy Shield, interaktiv hjælp i software købt i henhold til
Kontrakten

InScale, Bredgade 30, 1260 København V, CVR-nr. 33355416, SCC, Offshore udvikling og support

HubSpot Ireland Limited, One Dockland Central, Guild Street, Dublin 1, Ireland, EU-US Privacy Shield, CRM-system

Amazon Webservice, One Burlington Plaza, Burlington Road, Dublin 4, Ireland, e-mailservice

Microsoft Ireland, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Ireland, Azure (data processing)

 

BILAG 2
BESKRIVELSE AF TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER

Dette bilag indeholder en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som Databehandleren i medfør af Databehandleraftalen har ansvar for at gennemføre, overholde og sikre overholdelse af hos dennes Underdatabehandlere.

Databehandleren gennemfører som minimum følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau.


Generelle sikkerhedsforanstaltninger

Databehandleren skal sikre implementering af sikkerhedsforanstaltninger, som er relevante i forhold til risikovurdering for de klassificerede personoplysninger.

Databehandleren skal implementere kryptering og pseudonymisering af personoplysninger som risikoreducerende faktorer, hvor Databehandleren vurderer, at det er relevant.

Databehandleren skal begrænse adgangen til Personoplysninger til de relevante personer for at overholde krav og forpligtelser i Aftalen og i Kontrakten.

Databehandleren skal implementere systemer, der kan opdage, genoprette, imødegå og rapportere hændelser i forhold til Personoplysninger.

Databehandleren skal sikre at overførsel af Personoplysninger til underdatabehandlere sker på forsvarlig vis.

Databehandleren skal løbende vurdere, om de tekniske og organisatoriske foranstaltninger er tilstrækkelige til beskyttelse af Personoplysninger, herunder i henhold til GDPR-artikel 32 om behandlingssikkerhed samt artikel 25 om privacy by design og default.

Databehandleren har sikret, at al tilgang til Personoplysninger fra den Dataansvarlige eller dennes repræsentanter sker via SSL-kryptering.

Den i Kontrakten leverede software indeholder et rollestyringssystem, der gør det muligt for den Dataansvarlige at styre den Dataansvarliges repræsentanters adgang til Personoplysninger.

Databehandler har etableret en hosting platform, der sikrer, at alle Persondata er forsvarligt gemt, at data ikke tilgås utilsigtet samt tilhørende backupsystemer, som sikrer at alle oplysninger kan genskabes ved hændelser på hosting platformen.

Der er etableret pseudonymisering af Personoplysninger i databaser, når Databehandleren tilgår den Dataansvarliges data i forbindelse med support.

Databehandleren har implementeret software og procedurer til løbende at sikre, at den interne IT-sikkerhed er på et højt niveau.
Yderligere information om sikkerhed kan findes på TimeLogs hjemmeside.


Autorisation og adgangskontrol

Enhver tilgang til Personoplysninger sker via autorisation med personligt brugernavn og password i de interne systemer, som Databehandler har etableret til at opfylde sine forpligtelser i henhold til Aftalen og Kontrakten.
Databehandler har sikret sig at underdatabehandlere benytter personlig autorisation og adgangskontrol i forbindelse med deres ydelser.


Eksterne kommunikationsforbindelser

Al adgang til Personoplysninger sker via SSL-kryptering eller VPN.


Kontrol med afviste adgangsforsøg

Der føres løbende kontrol med afviste adgangsforsøg for at sikre, at der ikke forsøges utilsigtet adgang til den Dataansvarliges data.


Logning

Der føres log over dato, årsag og Databehandlerens repræsentant, når Personoplysninger tilgås som led i forpligtelser for Databehandler i henhold til Aftalen og Kontrakten.

Der udtages løbende stikprøvekontroller af overstående log for at sikre at tilgang til Personoplysninger kun sker i overensstemmelse med de instrukser, som medarbejderen arbejder under.

Der føres løbende stikprøvekontroller med at Underdatabehandlere og deres repræsentanters tilgang til Personoplysninger kun sker, når det er relevant i henhold til den ydelse de leverer eller under direkte instruks fra Databehandleren.


Hjemme- og/eller fjernarbejdspladser

Databehandlerens behandling af Personoplysninger sker helt eller delvist ved anvendelse af hjemme- og/eller fjernarbejdspladser.

Tilgang til Personoplysninger sker via personlig VPN-forbindelse til Databehandlerens netværk eller via SSL og personligt login til Helpdesk Software.


Kryptering af Personoplysningerne

Der sker kryptering af passwords for den Dataansvarliges repræsentanter.

Udarbejdelse af databehandleraftalen

TimeLogs databehandleraftale er udarbejdet med juridisk rådgivning af DLA Piper Denmark Advokatpartnerselskab

Aftalen som PDF