Databehandleraftale

Sidst opdateret: 15. januar 2024

Denne databehandleraftale indgås mellem dig som dataansvarlig og Wirehub som databehandler.

1. Parter og baggrund

1.1 Parter

Denne databehandleraftale ("Aftalen") indgås mellem:

  • Dataansvarlig: Kunden (som defineret i servicevilkårene)
  • Databehandler: Wirehub ApS, CVR-nr. 43141821

1.2 Baggrund

Databehandleren leverer en software-as-a-service platform til rammeaftale-styring. I forbindelse med leveringen af denne tjeneste behandler Databehandleren personoplysninger på vegne af den Dataansvarlige.

2. Definitioner

Begreber i denne Aftale har samme betydning som i Databeskyttelsesforordningen (GDPR), medmindre andet fremgår:

  • "Personoplysninger": Enhver oplysning om en identificeret eller identificerbar fysisk person
  • "Behandling": Enhver operation med personoplysninger
  • "Registreret": Den person, som personoplysningerne vedrører
  • "Underdatabehandler": En tredjepart, der behandler personoplysninger på Databehandlerens vegne

3. Behandlingens genstand og formål

3.1 Genstand

Databehandleren behandler personoplysninger for at levere Wirehub-tjenesten, herunder men ikke begrænset til:

  • Opbevaring af bruger- og kundedata
  • Email-integration og opgavebehandling
  • Dokumenthåndtering og arkivering
  • Rapportering og analyse

3.2 Varighed

Behandlingen finder sted så længe serviceaftalen er gældende mellem parterne.

4. Kategorier af personoplysninger og registrerede

4.1 Kategorier af personoplysninger

  • Kontaktoplysninger (navn, email, telefon, adresse)
  • Brugeroplysninger (brugernavn, aktivitetslog, IP-adresser)
  • Kommunikationsdata (emails, beskeder)
  • Dokumenter og filer uploadet til tjenesten

4.2 Kategorier af registrerede

  • Den Dataansvarliges medarbejdere
  • Den Dataansvarliges kontaktpersoner hos leverandører og samarbejdspartnere
  • Beboere og lejere i administrerede ejendomme

5. Databehandlerens forpligtelser

Databehandleren forpligter sig til:

  • Kun at behandle personoplysninger i henhold til dokumenterede instrukser fra den Dataansvarlige
  • At sikre, at personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed
  • At træffe alle nødvendige sikkerhedsforanstaltninger jf. GDPR artikel 32
  • At overholde betingelserne for brug af underdatabehandlere
  • At bistå den Dataansvarlige med besvarelse af anmodninger fra registrerede
  • At bistå den Dataansvarlige med at overholde forpligtelser vedrørende sikkerhed og databrud
  • At slette eller returnere alle personoplysninger ved aftalens ophør
  • At stille alle oplysninger til rådighed, der er nødvendige for at påvise overholdelse

6. Sikkerhedsforanstaltninger

Databehandleren har implementeret følgende tekniske og organisatoriske sikkerhedsforanstaltninger:

6.1 Tekniske foranstaltninger

  • Kryptering af data i transit (TLS 1.3)
  • Kryptering af data i hvile (AES-256)
  • Firewalls og intrusion detection systemer
  • Regelmæssig sikkerhedsscanning og penetrationstest
  • Automatiseret backup med krypteret opbevaring
  • Multi-faktor autentificering for systemadgang

6.2 Organisatoriske foranstaltninger

  • Adgangskontrol baseret på need-to-know princippet
  • Regelmæssig sikkerhedsuddannelse af medarbejdere
  • Dokumenterede procedurer for hændelseshåndtering
  • Årlig gennemgang af sikkerhedspolitikker

7. Underdatabehandlere

7.1 Godkendelse

Den Dataansvarlige giver hermed generel godkendelse til, at Databehandleren kan benytte underdatabehandlere. Databehandleren skal informere om ændringer med mindst 30 dages varsel.

7.2 Aktuelle underdatabehandlere

Følgende underdatabehandlere anvendes på tidspunktet for denne Aftales indgåelse:

  • Amazon Web Services (AWS) - Cloud-hosting (EU-regioner)
  • Stripe - Betalingsbehandling (EU)
  • SendGrid - Email-levering (EU)

7.3 Krav til underdatabehandlere

Databehandleren sikrer, at alle underdatabehandlere er underlagt tilsvarende databeskyttelsesforpligtelser.

8. Overførsel til tredjelande

Personoplysninger opbevares primært inden for EU/EØS. Hvis overførsel til tredjelande er nødvendig, sikrer Databehandleren et tilstrækkeligt beskyttelsesniveau gennem:

  • EU-Kommissionens standardkontraktbestemmelser
  • Certificering under EU-U.S. Data Privacy Framework (hvor relevant)
  • Bindende virksomhedsregler (hvor relevant)

9. Databrud

Ved brud på persondatasikkerheden underretter Databehandleren den Dataansvarlige uden unødig forsinkelse og senest inden for 24 timer efter opdagelsen. Underretningen skal indeholde:

  • Beskrivelse af bruddets art og omfang
  • Kontaktoplysninger for yderligere information
  • Sandsynlige konsekvenser af bruddet
  • Trufne og planlagte afhjælpende foranstaltninger

10. Bistand til den Dataansvarlige

Databehandleren bistår den Dataansvarlige med:

  • Besvarelse af anmodninger fra registrerede (indsigt, berigtigelse, sletning mv.)
  • Gennemførelse af konsekvensanalyser (DPIA) hvor relevant
  • Forudgående høring hos Datatilsynet
  • Audit og inspektioner fra den Dataansvarlige eller dennes revisor

11. Sletning af data

Ved denne Aftales ophør sletter Databehandleren alle personoplysninger inden for 90 dage, medmindre lovgivning kræver fortsat opbevaring. Den Dataansvarlige kan anmode om eksport af data inden sletning.

12. Audit

Den Dataansvarlige har ret til at foretage eller lade foretage audit af Databehandlerens overholdelse af denne Aftale. Audit skal varsles mindst 30 dage forinden og gennemføres på en måde, der ikke forstyrrer Databehandlerens normale drift.

13. Ansvar og erstatning

Hver part er ansvarlig for overholdelse af sine forpligtelser under databeskyttelseslovgivningen. Erstatningsansvar reguleres af de generelle servicevilkår mellem parterne.

14. Varighed og ophør

Denne Aftale træder i kraft ved accept og gælder så længe Databehandleren behandler personoplysninger på vegne af den Dataansvarlige. Forpligtelserne vedrørende fortrolighed og databeskyttelse består også efter Aftalens ophør.

15. Kontakt

Spørgsmål vedrørende denne Aftale kan rettes til:

  • Databeskyttelsesansvarlig: dpo@wirehub.dk
  • Generelle henvendelser: privacy@wirehub.dk