Databehandleraftale

Baggrund for databehandleraftalen

  1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når Previsto foretager behandling af personoplysninger på vegne af Kunden.

  2. Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.

  3. Databehandleraftalen og betingelser for anvendelse af Previstos er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog erstattes af en anden gyldig databehandleraftale.

  4. Denne databehandleraftale har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne, herunder betingelser for anvendelse af Previstos.

  5. Til denne aftale hører 2 bilag. Bilagene fungerer som en integreret del af databehandleraftalen.

  6. Kunden godkender at Previsto kan involvere underdatabehandlere til at behandle personlige data på kundens vegne. Databehandleraftalens Bilag A indeholder en liste over de eventuelle underdatabehandlere, som Kunden har godkendt.

  7. Databehandleraftalens Bilag B indeholder en nærmere af Previstos sikkerhedsforanstaltninger.

  8. Denne databehandleraftale frigør ikke Previsto for forpligtelser, som efter databeskyttelsesforordningen eller enhver anden lovgivning direkte er pålagt Previsto.

  9. Kundens forpligtelser: Kunden har (i) overfor omverdenen (herunder den registrerede) som udgangs-punkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven, (ii) både rettighederne og forpligtelserne til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling, (iii) ansvar for, at der foreligger hjemmel til den behandling, som Previsto instrueres i at foretage.

  10. Dataprocessering: Previsto behandler kun personoplysninger efter instruks fra Kunden, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Previsto er underlagt.

Behandlingssikkerhed

  1. Sikkerhedsforanstaltninger: Previsto skal sørge for passende tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse af personoplysninger fra sikkerhedshændelser og for sikker og fortrolig opbevaring af personoplysninger i overensstemmelse med Previstos sikkerhedsforanstaltninger som beskrevet i bilag B.

  2. Fortrolighed: Previsto skal sikre, at enhver person som Previsto har bemyndiget til at behandle personoplysninger (herunder dets personale, agenter og underentreprenører), er underlagt en passende fortrolighedsforpligtelse (hvad enten der er tale om en kontraktlig eller lovbestemt tjeneste).

  3. Underretning om sikkerhedsbrud: Efter at være blevet opmærksom på et sikkerhedsbrud skal Previsto underrette Kunden uden unødig forsinkelse og skal fremlægge rettidig information vedrørende sikkerhedshændelsen, efterhånden som den bliver kendt eller anmodet om af kunden.

  4. Opdateringer til sikkerhedsforanstaltninger: Kunden erkender, at sikkerhedsforanstaltningerne er underlagt teknisk udvikling og at Previsto kan opdatere eller ændre sikkerhedsforanstaltningerne fra tid til anden, forudsat at sådanne opdateringer og ændringer ikke medfører forringelse af den samlede sikkerhed for de tjenester som Kunden køber.

Overførsel af oplysninger til tredjelande eller internationale organisationer

  1. Behandlingssteder: Previsto gemmer og behandler EU-data (defineret nedenfor) i datacentre beliggende inden for EU.

Bistand til Kunden

  1. I det omfang kunden ikke er i stand til selvstændigt at få adgang til de relevante personoplysninger inden for tjenesterne, skal Previsto (på Kundens bekostning) tilbyde et rimeligt samarbejde for at bistå kunden med passende tekniske og organisatoriske foranstaltninger så vidt muligt, samt reagere på anmodninger fra enkeltpersoner eller gældende databeskyttelsesmyndigheder vedrørende behandling af personoplysninger i henhold til aftalen. I tilfælde af, at en sådan anmodning rettes direkte til Previsto, skal Previsto ikke svare direkte på denne meddelelse uden Kundens forudgående tilladelse, medmindre det er tvunget ved lov. Hvis Previsto skal svare på en sådan anmodning, skal Previsto straks underrette Kunden og give denne en kopi af anmodningen, medmindre det er forbudt ved lov.

  2. I det omfang det kræves af Previsto i henhold til databeskyttelsesloven, skal Previsto (på Kundens bekostning) give adgang til oplysninger om Previstos behandling af personoplysninger i henhold til aftalen, for at gøre det muligt for kunden at udføre konsekvensanalyser for databeskyttelse eller konsultationer med databeskyttelsesmyndigheder som krævet i henhold til loven.

Sletning og tilbagelevering af oplysninger

  1. Ved ophør af tjenesterne vedrørende behandling forpligtes Previsto til, efter Kundens valg, at slette eller tilbagelevere alle personoplysninger til Kunden, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.

Bilag A - Liste over underdatabehandlere

Forklaring

Leverandørens Software er afhængig af en række underleverandører for at kunne operere. Sådanne ”underdatabehandlere” er tredjepartsleverandører i og uden for EU/EØS. Leverandørens underleverandører er oplistet i den til enhver tid opdaterede liste over underdatabehandlere. Leverandøren skal sikre sig, at dennes Underdatabehandlere skal overholde tilsvarende forpligtelser og krav, som er beskrevet i Aftalen. Al brug af Underdatabehandlere er endvidere underlagt Leverandørens Generelle Forretningsbetingelser.

Underleverandører

Leverandør Persondatakategori Formål
Postmark
WildBit, LLC
225 Chewstnut Street
Philadelphia, PA 191106
Registrerede data:
Kundens kunder

Kategorier
Navn, e-mail
Afsendelse af transaktionelle e-mails
Gateway API
Onlinecity Aps
Buchwaldsgade 50
5000 Odense C
Registrerede data:
Kundens kunder

Kategorier
Navn, telefonnummer
Afsendelse af transaktionelle sms’er
Stripe
North Wall Quay Dublin 1.
Dublin 1
Dublin
Registrerede data:
Kundens virksomhed

Kategorier
Navn, adresse, virksomhed, betalingsoplysninger
Gennemførelse af kreditkortbetalinger
Digital Ocean101 Avenue of the Americas
10th Floor New York
NY 10013
Registrerede data:
Kundens kunder og evt. aftaler og opgaver, kundens virksomhed, kundens ansatte, kundens notater, kundens notifikationer

Kategorier:
Navn, adresse, telefonnummer, e-mail, CVR
Hosting

Bilag B - Sikkerhedsforanstaltninger

Netværkssikkerhed

Dette afsnit beskriver hvilken form for sikkerhed der er fastlagt for Previsto’s servere.

Kryptering

Alle forbindelser til og fra Previsto’s servere er krypterede http-forbindelser(https) og certificeret med certifikater fra LetsEncrypt som opdateres hver måned. Dog modtages også ukrypterede http-forbindelser, men disse omdirigeres til krypterede forbindelser i yderste led.

Firewall

Alle netværksporte til Previsto’s servere er spærret på nær port 80 og 443. Følgende tabel beskriver den enkelte ports formål.

Port Formål
80 HTTP. Omdirigeres omgående til HTTPS.
443 HTTPS. Al data serveres via denne port.

Datasikkerhed

Dette afsnit beskriver datasikkerheden for vores kundedata.

Opbevaring

Alle data opbevares I en database som kun kan tilgås via Previsto’s interne netværk fra udvalgte servere samt med korrekt authentication. Sårbare data som f.eks. kodeord opbevares så vidt muligt med envejskryptering og er ikke mulig at genetablere, men kan kun bruges til validering.

Vores kunder

Her er nogle af vores kunder som hjælper os ved at bruge Previsto

  • Byens polering
  • Puds Nord
  • Northply
Kontakt os