VILKÅR FOR BRUG AF SCANNINGSMOTOR (SaaS)

BILAGSCAN

Disse Vilkår for Brug af Scanningsmotor (SaaS) udgør en integreret del af Order Form og gælder for ethvert mellemværende mellem Bilagscan ApS (Broadway 33 ApS) (”Selskabet”), CVR-nr. 37035785, og den kunde, som er angivet på Order Form (den kunde benævnt ”Kunden”; disse Vilkår for Brug af Scanningsmotor (SaaS) samt Order Form, inkl. alle tillæg og bilag dertil, samlet benævnt ”Aftalen”). Som en integreret del af Aftalen finder definitionerne i Order Form også anvendelse her.

Ved enhver brug af Servicen accepterer Kunden derved automatisk disse Vilkår for Brug af Scanningsmotor (SaaS).

  1. SOFTWARE AS A SERVICE OG SUPPORT

1.1 På betingelse af, at Kunden betaler alle til enhver tid værende Afgifter til Selskabet, vil Selskabet gøre sig alle rimelige bestræbelser på at stille Servicen til rådighed for Kunden i overensstemmelse med de i Bilag 1 beskrevne Service Levels og i det hele i henhold til vilkårene og betingelserne i denne Aftale. Servicen stilles til rådighed for Kundens brug på en ikke-eksklusiv og overdragelig (som nærmere beskrevet i denne Aftale) basis.

1.2 Kunden må overdrage retten til at bruge Servicen til tredjepart (”Tredjepart”) på betingelse af, (i) at alle Tredjeparter overholder samtlige vilkår og betingelser i denne Aftale, (ii) at Kunden betaler alle Afgifter for alle Tredjeparters brug af Servicen i henhold til denne Aftale, og (iii) at Kunden er fuldt og solidarisk ansvarlig for alle sine Tredjeparter og skal skadesløsholde Selskabet ifm. enhver misligholdelse fra en Tredjepart. Det er udtrykkeligt aftalt, at Tredjeparterne aldrig kan opnå bedre ret end Kundens ret, uanset hvad Kunden og Tredjeparterne internt måtte aftale.

1.3 Selskabet vil levere teknisk support til Kunden i overensstemmelse med bestemmelserne i Bilag 2.

  1. BEGRÆNSNINGER OG FORPLIGTELSER

2.1 Kunden må ikke, hverken direkte eller indirekte: foretage reserve engineering, adskille eller på anden måde forsøge at udlede eller opdage kildekoden, objekt-koden eller den underliggende struktur, idéer, know-how eller algoritmer, som er relevant for eller vedrører Servicen, eller nogen software, dokumentation eller data, som er relevant for eller vedrører Servicen (samlet: ”Softwaren”); eller bruge Softwaren eller Servicen til skade for Selskabet ellers Selskabets koncernforbudne selskaber.

2.2 Kunden garanterer og indestår for, at Kunden og enhver Tredjepart alene benytter Servicen i overensstemmelse med gældende love og regler, herunder persondataloven.

2.3 Selskabet er berettiget til (ikke forpligtet til) at overvåge Kundens og enhver Tredjeparts brug af Servicen. Selskabet er berettiget til at nægte eller suspendere adgang til Servicen, hvis Selskabet har rimelig grund til at tro, at Kundens eller en Tredjeparts benyttelse af Servicen strider mod loven eller er uberettiget i henhold til denne Aftale.

2.4 Kunden er selv ansvarlig for at tage backups m.v. af alle Kundedata (defineret nedenfor), og Selskabet skal ikke være forpligtet hertil.

2.5 Kunden er ansvarlig for at have og vedligeholde alt udstyr og tilhørende services, som er nødvendig for at oprette forbindelse til, adgang til eller på anden måde bruge Servicen, herunder bl.a. hardware, servere, software, operativsystemer, netværk, applikationer, API, internetforbindelse, telefonforbindelse, strømforsyning og lignende

(samlet: ”Udstyr”). Kunden er også ansvarlig for at opretholde sikkerheden i relation til Udstyret, herunder adgangskoder m.v.

3 . FORTROLIGHED

3.1 Partnerne vil, eller kan, hver især (som ”Informationsmodtager”) modtage eller få indsigt i informationer eller oplysninger om den anden part (som ”Informationsafgiver”), som er af fortrolig, erhvervsmæssig, økonomisk, proprietær, ikke-offentlig eller personlig karakter (samlet: ”Fortroligt Materiale”). Fortroligt Materiale omfatter også de data, som Kunden leverer til Selskabet for at muliggøre leveringen af Servicen (samlet: ”Kundedata”). Informationsmodtageren skal behandle og opbevare alt Fortroligt Materiale strengt fortroligt og må ikke videregive, kopiere, distribuere eller videreformidle, hverken direkte eller indirekte og hverken helt eller delvist, dette til nogen person (hverken fysisk eller juridisk person) uden Informationsafgiverens forudgående skriftlige samtykke. Uanset den forudgående sætning må Informationsmodtageren dog videregive, kopiere, distribuere eller videreformidle Fortroligt Materiale, (i) når dette direkte er påkrævet eller forudsat i forbindelse med det til enhver tid værende samarbejde mellem partnerne, herunder samarbejdet i medfør af denne Aftale, de konkrete opgaver, tjenester eller virke, som Informationsmodtageren udfører for eller på vegne af Informationsafgiveren, eller (ii) såfremt Informationsmodtageren af en domstol eller myndighed lovligt måtte blive pålagt at fremlægge eller oplyse Fortroligt Materiale, dog skal Informationsmodtageren i sådanne tilfælde om muligt først informere Informationsafgiveren herom.

3.2 Informationsmodtageren er uberettiget til på nogen måde og på noget tidspunkt at udnytte, misbruge eller drage fordel af Fortroligt Materiale til skade eller ugunst for Informationsafgiveren eller dennes koncernforbundene selskaber.

3.3 Informationsmodtageren skal til enhver tid efter Informationsafgiverens anmodning returnere alt Fortroligt Materiale uden at beholde kopier heraf, dog således, at den del af det Fortrolige Materiale, som i sagens natur ikke kan tilbageleveres, skal tilintetgøres. Selskabet skal på Kundens anmodning slette alt data indlæst af Kunden på enten alle Kundens kunder eller på enkelte af Kundens udvalgte kunder.

3.4 Fortrolighedsforpligtelserne er fra Informationsmodtagerens side uigenkaldelige og uopsigelige og skal fortsætte med at være i kraft efter opsigelse, ophævelse eller udløb af denne Aftale indtil det tidspunkt, hvor det pågældende Fortrolige Materiale bliver offentligt tilgængeligt.

4 . EJENDOMSRETTIGHEDER

4.1 Kunden ejer og bevarer den fulde ejendomsret til alle Kundedata.

4.2 Selskabet ejer og bevarer den fulde ejendomsret i og til (a) Servicen og Softwaren, (b) alle forbedringer og modifikationer dertil, (c) software, applikationer, API, opfindelser eller anden teknologi, der er udviklet i forbindelse med Implementeringsservicen, support eller andre serviceydelser og leverancer m.v. leveret til Kunden, og (d) alle intellektuelle ejendomsrettigheder relateret til alt det i underpunkt (a)-(d) nævnte.

4.3 Uanset de øvrige bestemmelser i denne Aftale så skal Selskabet – under iagttagelse af gældende ret, herunder psersondataloven – have ret og licens til at indsamle og bruge data fra Kunden, herunder Kundedata samt data udledt fra Kundedata, fx i anonymiseret form, til at optimere og forbedre Servicen og de til Servicen beslægtede systemer, herunder APIs, og til korrigering, diagnosticering og udvikling i relation til Servicen og de til Servicen beslægtede systemer.

  1. DATABEHANDLERAFTALE

5.1 Partnerne accepterer hver
databehandleraftale, der er vedlagt som Bilag 3, er en del af denne Aftale og skal finde anvendelse i relation til Selskabets behandling af Kundens persondata eller behandling af persondata fra Tredjeparter.

6 . AFGIFT

6.1 Som betaling for Kundens brug af, og ret til at bruge, Servicen og de rettigheder m.v., som tilkommer Kunden i henhold til denne Aftale, skal Kunden betale den afgift (”Afgift”), der fremgår af Order Form (inkl. Tillæg A dertil), og som udgør en integreret del af denne Aftale. Afgiften vil være helt eller delvist forbrugsbaseret som nærmere angivet i Order Form (inkl. Tillæg A dertil). Afgiften afregnes månedsvis bagud. Selskabet sender sammen med sin faktura en opgørelse over beregningen af Afgiften baseret på det faktiske forbrug m.v. i forudgående måned. Afgiften skal betales senest 7 dage efter Kundens modtagelse af en faktura fra Selskabet. Alle priser angivet i denne Aftale er angivet uden moms, og Kunden er forpligtet til at betale enhver moms i tillæg til alle de anførte priser m.v. Selskabet er berettiget til at ændre Afgifterne og priserne med 3 måneds skriftligt varsel til udgangen af en måned. Såfremt Kunden eller en Tredjepart fortsat benytter Servicen efter en ny Afgift eller pris er behørigt varslet, så er det hermed aftalt, at dette skal tages som udtryk for Kundens accept af den/de nye Afgift(er) eller pris(er).

  1. OPSIGELSE M.V.

7.1 Parterne kan hver især til enhver tid opsige Aftalen med mindst 3 måneder skriftligt varsel til udgangen af en kalendermåned.

7.2 Parterne kan hver især til enhver tid ophæve Aftalen, hvis den anden part væsentligt misligholder Aftalen, forudsat at den misligholdende part ikke har afhjulpet misligholdelsen senest 20 dage efter modtagelsen af skriftligt påkrav herom, dog kan der gives mindst 10 dages forudgående skriftligt påkrav, hvis misligholdelsen baserer sig på manglende betaling. Det skriftlige påkrav skal beskrive misligholdelsen samt tydeligt angive, at manglende afhjælpning vil medføre, at Aftalen ophæves.

7.3 Alle bestemmelser, som i sagens natur skal forblive i kraft efter opsigelse/ophævelse, skal fortsat være i kraft efter enhver opsigelse/ophævelse, inkl. følgende bestemmelser:

dette punkt 7.3 og punkt 2.1, punkt 3, punkt 4, punkt 10 og punkt11.

  1. GARANTI OG FRASKRIVELSER

8.1 Selskabet skal i overensstemmelse med almindelige branchestandarder gøre sig rimelige bestræbelser på at opretholde Servicen på en måde, der minimerer fejl og afbrydelser, og Selskabet skal udføre eventuelle Implementeringsservices på en professionel måde. Servicen kan være midlertidigt utilgængelig i forbindelse med planlagt vedligeholdelse eller ved akut eller ikke-planlagt nød- vedligeholdelse eller på grund af andre forhold uden for Selskabets kontrol. Selskabet vil gøre sig alle rimelige bestræbelser på at give meddelelse via e-mail på forhånd i forbindelse med planlagte forstyrrelser i Servicen eller planlagt nedetid. Uanset det forudgående afgiver Selskabet ikke nogen garantier for, at Servicen altid fungerer uden afbrydelser eller er fejlfri, og Servicen leveres som beset. Kunden anerkender, at computer- og telekommunikationssystemer, herunder API, ikke er fejlfrie, og at der kan forekomme lejlighedsvis nedetid. Desuden afgiver Selskabet ikke nogen garantier i relation til de Kundedata, som Kunden transmitterer til Selskabet.

9 . INDESTåELSER

9.1 Selskabet skal i aftaleperioden skadesløsholde Kunden for ansvar over for tredjemand som følge af, at Servicen krænker tredjemands rettighed i EU som afgjort i en endelig dom fra en domstol inden for EU. Den forudgående skadesløsholdelse skal dog ikke finde anvendelse i relation til dele eller komponenter af Servicen, (i) som ikke er leveret af Selskabet, (ii) er helt eller delvist udarbejdet i overensstemmelse med Kundens specifikationer, (iii) som er modificeret efter levering fra Selskabet, (iv) er kombineret med andre produkter, teknologi eller processer, (v) hvor Kunden fortsætter med den krænkende adfærd efter at have fået meddelelse herom eller meddelelse om, at ændringer eller opdateringer ville kunne have undgået den påståede overtrædelse/krænkelse, eller (vi) hvor Kundens brug af Servicen ikke sker i overensstemmelse med vilkårene og bestemmelserne i denne Aftale, herunder hvis Kunden ikke rettidigt betaler Afgifterne, eller hvis Kundens brug af Servicen strider mod gældende lov.

10 . ANSV ARSBEGRÆNSNINGER

10.1 Uanset de øvrige bestemmelser i denne Aftale så er det aftalt, at parterne hver især ikke er ansvarlige over for den anden part eller over for en hvilken som helst tredjemand for indirekte tab eller følgeskader eller direkte eller indirekte tab i form driftstab, tabt fortjeneste, rentetab, mistede besparelser, tab som følge af, at Servicen eller Implementeringsservicen ikke kan benyttes som forudsat (afsavn), tabt fortjeneste, herunder som følge af, at en kontrakt med tredjemand falder bort eller ikke opfyldes korrekt, eller tab forbundet med en parts eller en hvilken som helst tredjemands tab af data eller korrumperede data.

10.2 Uanset de øvrige bestemmelser i denne Aftale så er det aftalt, at en parts samlede erstatningsansvar i henhold til denne Aftale eller for forhold, der vedrører eller udspringer af denne Aftale eller af Servicen, Implementeringsservicen eller en parts eller hvilken som helst tredjemands brug af Servicen, er begrænset til et beløb svarende til det samlede beløb (ekskl. moms), som Kunden har betalt til Selskabet i de seneste 12 måneder umiddelbart inden kravet opstod.

  1. GENERELLE BESTEMMELSER

11.1 Denne Aftale kan gyldigt underskrives digitalt.

11.2 Alle meddelelser m.v. til Kunden i henhold til denne Aftale kan med frigørende virkning afgives via e-mail til den af Kunden oplyste e-mailadresse.

11.3Denne Aftale er underlagt og skal fortolkes i overensstemmelse med dansk ret. Enhver tvist, som måtte vedrøre eller udspringe af denne Aftale eller af en parts eller en tredjemands brug af Servicen, er underlagt de danske domstoles eksklusive jurisdiktion og skal anlægges ved Københavns Byret som første instans.

BILAG 1

SERVICE LEVELS

Servicen skal være tilgængelig 99,00 % målet på kalendermåned-basis uanset ugedag. Nedetid som følge af strømafbrydelse, afbrydelser i kommunikations- og internetforbindelser eller anden forsyningsvirksomhed eller som følge af andre årsager uden for Selskabets kontrol vil ikke indgå i beregningen af Service Levels.

BILAG 2

SUPPORT

Ved nedbrud eller kritisk behov for support har Selskabet 24 timer i reaktionstid på enten e-mail eller telefonisk kontakt. Til kontakt kan bruges følgende e-mail-adresser: support@bilagscan.dk og kontakt@bilagscan.dk. For telefonisk kontakt kan følgende telefonnumre bruges: +45 31 32 33 55 og +45 51 95 75 15. Telefonen besvares i tidsrummet 8.00-17.00 i hverdage. Telefonnumre og e-mails kan ændres men forudsætter skriftlig underretning til Kunden. Såfremt reaktionstiden er mere end 18 timer, kan Selskabet kontaktes på telefon via opkald eller SMS, samt e- mail alle ugens 7 dage året rundt.

  1. Indhold
  2. Baggrund for databehandleraftalen.
    3. Den dataansvarliges forpligtelser og rettigheder.
    4. Databehandleren handler efter instruks.
    5. Fortrolighed.
    6. Behandlingssikkerhed.
    7. Anvendelse af underdatabehandlere.
    8. Overførsel af oplysninger til tredjelande eller internationale organisationer.
    9. Bistand til den dataansvarlige.
    10. Underretning om brud på persondatasikkerheden.
    11. Sletning og tilbagelevering af oplysninger.
    12. Tilsyn og revision.
    13. Parternes aftaler om andre forhold.
    14. Ikrafttræden og ophør.
    15. Kontaktpersoner/kontaktpunkter hos den dataansvarlige og databehandleren.
    Bilag A Oplysninger om behandlingen.
    Bilag B Betingelser for databehandlerens brug af underdatabehandlere og liste over godkendte underdatabehandlere
    Bilag C Instruks vedrørende behandling af personoplysninger.

2. Baggrund for databehandleraftalen

  1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige.

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.

3. Databehandleraftalen og “hovedaftalen” er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog å uden at opsige “hovedaftalen” å erstattes af en anden gyldig databehandleraftale.

  1. Denne databehandleraftale har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne, herunder i “hovedaftalen”.
  2. Til denne aftale hører tre bilag. Bilagene fungerer som en integreret del af databehandleraftalen.
  3. Databehandleraftalens Bilag A indeholder nærmere oplysninger om behandlingen, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
  4. Databehandleraftalens Bilag B indeholder den dataansvarliges betingelser for, at databehandleren kan gøre brug af eventuelle underdatabehandlere, samt en liste over de eventuelle underdatabehandlere, som den dataansvarlige har godkendt.
  5. Databehandleraftalens Bilag C indeholder en nærmere instruks om, hvilken behandling databehandleren skal foretage på vegne af den dataansvarlige (behandlingens genstand), hvilke sikkerhedsforanstaltninger, der som minimum skal iagttages, samt hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere.
  6. Databehandleraftalens Bilag D indeholder parternes eventuelle regulering af forhold, som ikke ellers fremgår af databehandleraftalen eller parternes “hovedaftale”.
  7. Databehandleraftalen med tilhørende bilag opbevares skriftligt, herunder elektronisk af begge parter.
  8. Denne databehandleraftale frigør ikke databehandleren for forpligtelser, som efter databeskyttelsesforordningen eller enhver anden lovgivning direkte er pålagt databehandleren.

3. Den dataansvarliges forpligtelser og rettigheder

  1. Den dataansvarlige har overfor omverdenen (herunder den registrerede) som udgangs-punkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven.
  2. Den dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling.
  3. Den dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som databehandleren instrueres i at foretage.

4. Databehandleren handler efter instruks

  1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
  2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

5. Fortrolighed

  1. Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.
  2. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde databehandlerens forpligtelser overfor den dataansvarlige.
  3. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
  4. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de relevante medarbejdere er underlagt ovennævnte tavshedspligt.

6. Behandlingssikkerhed

  1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
  2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger:
  • a. Pseudonymisering og kryptering af personoplysninger
  • b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og å tjenester
  • c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
  • d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed
  1. Databehandleren skal i forbindelse med ovenstående å i alle tilfælde å som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C.
  2. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sikkerhedsforanstaltninger vil fremgå af parternes “hovedaftale” eller af denne aftales bilag D.

7. Anvendelse af underdatabehandlere

  1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).
  2. Databehandleren må således ikke gøre brug af en anden databehandler (underdatabehandler) til opfyldelse af databehandleraftalen uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige.
  3. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
  4. Den dataansvarliges nærmere betingelser for databehandlerens brug af eventuelle underdatabehandlere fremgår af denne aftales Bilag B.
  5. Den dataansvarliges eventuelle godkendelse af specifikke underdatabehandlere er anført i denne aftales Bilag B.
  6. Når databehandleren har den dataansvarliges godkendelse til at gøre brug af en underdatabehandler, sørger databehandleren for at pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraftale, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen.

Databehandleren er således ansvarlig for å igennem indgåelsen af en underdatabehandleraftale å at pålægge en eventuel underdatabehandler mindst de forpligtelser, som databehandleren selv er underlagt efter databeskyttelsesreglerne og denne databehandleraftale med tilhørende bilag.

  1. Underdatabehandleraftalen og eventuelle senere ændringer hertil sendes å efter den dataansvarliges anmodning herom – i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at der er indgået en gyldig aftale mellem databehandleren og underdatabehandleren. Eventuelle kommercielle vilkår, eksempelvis priser, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.
  2. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.

8. Overførsel af oplysninger til tredjelande eller internationale organisationer

  1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
  2. Uden den dataansvarliges instruks eller godkendelse kan databehandleren å indenfor rammerne af databehandleraftalen – derfor bl.a. ikke;
  • a. videregive personoplysningerne til en dataansvarlig i et tredjeland eller i en international organisation,
  • b. overlade behandlingen af personoplysninger til en underdatabehandler i et tredjeland,
  • c. lade oplysningerne behandle i en anden af databehandlerens afdelinger, som er placeret i et tredjeland.
  1. Den dataansvarliges eventuelle instruks eller godkendelse af, at der foretages overførsel af personoplysninger til et tredjeland, vil fremgå af denne aftales Bilag C.

9. Bistand til den dataansvarlige

  1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.

Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:

  • a. oplysningspligten ved indsamling af personoplysninger hos den registrerede
  • b. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
  • c. den registreredes indsigtsret
  • d. retten til berigtigelse
  • e. retten til sletning (»retten til at blive glemt«)
  • f. retten til begrænsning af behandling
  • g. underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
  • h. retten til dataportabilitet
  • i. retten til indsigelse
  • j. retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, herunder profilering
  1. Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, jf. art 28, stk. 3, litra f.

Dette indebærer, at databehandleren under hensynstagen til behandlingens karakter skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:

  • a. forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen
  • b. forpligtelsen til at anmelde brud på persondatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
  • c. forpligtelsen til å uden unødig forsinkelse å at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder
  • d. forpligtelsen til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder
  • e. forpligtelsen til at høre tilsynsmyndigheden (Datatilsynet) inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen
  1. Parternes eventuelle regulering/aftale om vederlæggelse eller lignende i forbindelse med databehandlerens bistand til den dataansvarlige vil fremgå af parternes “hovedaftale” eller af denne aftales bilag D.

10. Underretning om brud på persondatasikkerheden

  1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en eventuel underdatabehandler.

Databehandlerens underretning til den dataansvarlige skal om muligt ske uden unødigt ophold efter at denne er blevet bekendt med bruddet, sådan at den dataansvarlige har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden indenfor 72 timer.

Den dataansvarlige har pligt til at underrette databehandleren om brud på persondatasikkerhed, hvis viden om bruddet findes hos dataansvarlige og ikke databehandleren. Dette gælder uanset hvad bruddet skyldes.

  1. I overensstemmelse med denne aftales afsnit 10.2., litra b, skal databehandleren – under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for denne å bistå den dataansvarlige med at foretage anmeldelse af bruddet til tilsynsmyndigheden. Det kan betyde, at databehandleren bl.a. skal hjælpe med at tilvejebringe nedenstående oplysninger, som efter databeskyttelsesforordningens artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse til tilsynsmyndigheden:
  • a. Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
  • b. Sandsynlige konsekvenser af bruddet på persondatasikkerheden
  • c. Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden, herunder hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger

11. Sletning og tilbagelevering af oplysninger

  1. Ved ophør af tjenesterne vedrørende behandling forpligtes databehandleren til, efter den dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.

12. Tilsyn og revision

  1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
  2. Den nærmere procedure for den dataansvarliges tilsyn med databehandleren fremgår af denne aftales Bilag C.
  3. Den dataansvarliges tilsyn med eventuelle underdatabehandlere sker som udgangspunkt gennem databehandleren. Den nærmere procedure herfor fremgår af denne aftales Bilag C.
  4. Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til den dataansvarliges og databehandlerens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig legitimation.

13. Parternes aftaler om andre forhold

  1. En eventuel (særlig) regulering af konsekvenserne af parternes misligholdelse af databehandleraftalen vil fremgår af parternes “hovedaftale” eller af denne aftales Bilag D.
  2. En eventuel regulering af andre forhold mellem parterne vil fremgå af parternes “hovedaftale” eller af denne aftales Bilag D.

14. Ikrafttræden og ophør

  1. Denne aftale træder i kraft ved begge parters underskrift heraf.
  2. Aftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i aftalen giver anledning hertil.
  3. Parternes eventuelle regulering/aftale om vederlæggelse, betingelser eller lignende i forbindelse med ændringer af denne aftale vil fremgå af parternes “hovedaftale” eller af denne aftales bilag D.
  4. Opsigelse af databehandleraftalen kan ske i henhold til de opsigelsesvilkår, inkl. opsigelsesvarsel, som fremgår af “hovedaftalen”.
  5. Aftalen er gældende, så længe behandlingen består. Uanset “hovedaftalens” og/eller databehandleraftalens opsigelse, vil databehandleraftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos databehandleren og eventuelle underdatabehandlere.
  6. Underskrift

Recipients

 

15. Kontaktpersoner/kontaktpunkter hos den dataansvarlige og databehandleren

  1. Parterne kan kontakte hinanden via nedenstående kontaktpersoner/kontaktpunkter:
  2. Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktpersonen/kontaktpunktet.
Navn:[Angiv navn]
Stilling:[Angiv stilling]
Telefonnummer:[Angiv telefonnummer]
Email:[Angiv email]
Navn:[Angiv navn]
Stilling:[Angiv stilling]
Telefonnummer:[Angiv telefonnummer]
Email:[Angiv email]

Bilag A Oplysninger om behandlingen

Formålet med databehandlerens behandling af data på vegne af den dataansvarlige er at identificerer datapunkter på regnskabrelaterede bilag. Det er ikke formålet at identificere personfølsomme, data men persondata kan optræde på bilag. Det den dataansvarliges ansvar at, dataansvarlige eller dennes kunder ikke sender persondata, som denne ikke vil have behandlet af dataansvarlige.

På dataansvarliges opfordring kan andre regnskabrelaterede data identificeres af databehandler.

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om:

Databehandleren opbevarer i ustruktureret format de persondata som optræder på de af dataansvarlige indsendte bilag. Persondata behandles ikke men da de optræder på bilag i nogle tilfælde ligger dataene opbevaret i form af billeder af bilag og tekster som er aflæst fra bilag.

Behandlingen omfatter følgende typer af personoplysninger om de registrerede:

Persondataene er typisk, Navn og e-mail. Der kan dog forekomme andet data, da dataansvarlige kan sende databehandler bilag med andre persondata.

Behandlingen omfatter følgende kategorier af registrerede:

Personer som står som står som afsender eller modtager på fakturaer og andre regnskabsbilag.

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter denne aftales ikrafttræden. Behandlingen har følgende varighed:

Behandlingen er ikke tidsbegrænset og varer indtil aftalen opsiges eller ophæves af en af parterne.

Bilag B Betingelser for databehandlerens brug af underdatabehandlere og liste over godkendte underdatabehandlere

B.1 Betingelser for databehandlerens brug af eventuelle underdatabehandlere

Databehandleren har den dataansvarliges generelle godkendelse til at gøre brug af underdatabehandlere. Databehandleren skal dog underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. En sådan underretning skal være den dataansvarlige i hænde minimum 1 måned før anvendelsen eller ændringen skal træde i kraft. Såfremt den dataansvarlige har indsigelser mod ændringerne, skal den dataansvarlige give meddelelse herom til databehandleren inden 14 dage efter modtagelsen af underretningen. Den dataansvarlige kan alene gøre indsigelse, såfremt den dataansvarlige har rimelige, konkrete årsager hertil.”

B.2 Godkendte underdatabehandlere

Den dataansvarlige har ved databehandleraftalens ikrafttræden godkendt anvendelsen af følgende underdatabehandlere:

NavnCVR-nrAdresseBeskrivelse af behandling
Google LLC1600 Amphitheatre Parkway, Mountain View, CA 94043Hosting af database, applikationsservere og filer. Bilagscan benytter Googles tyske dataacenter i Frankfurt.
Microsoft CoporationMicrosoft Corporation

One Microsoft Way

Redmond, Washington 98052 USA

Appliktationsservere og cloud serviceses.
Mailgun Technologies, inc.535 Mission St. San Francisco, CA 94105Mailserver, der modtager indkomne e-mail, leverer dem til Bilagscan og med det samme sletter disse igen.
ExaVault, Inc.344 Thomas L Berkley Way Oakland, CA 94612Hosting af filer, til oversførsel
Bonplan OyFI07673929Langorintie 119, FinlandManuelt arbejde og verificering
Processflows UK (Ltd)GB 631 9976 05Gateway House, Tollgate, Chandlers Ford, HamshireManuelt arbejde og verificering

Bilag C Instruks vedrørende behandling af personoplysninger

C.1 Behandlingens genstand/ instruks

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende:

  • Automatisk afløfter indhold af regnskabsbilag.
  • Verificerer kvaliteten afløftningen

C.2 Behandlingssikkerhed

Sikkerhedsniveauet skal afspejle:

  • Der er tale om meget og regelmæssig data, men dog af meget lav risiko. Dataene er regnskabsdata som i forhold til persondata ikke er af særlig sensitiv karakter, men grundet virksomhedskunders naturlige krav overholder stadig et højt niveau af sikkerhed.

Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne.

Databehandleren skal dog å i alle tilfælde og som minimum å gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget):

  • SSL, VPN begrænset adgang blandt medarbjedere
  • Underdatabehandler er begrænset ved at bruge Databehandlers IT. Databehandlers systemer begrænser deres adgang og vi det er aftalt at de kun må gøre det systemet tillader dem.

C.3 Opbevaringsperiode/sletterutine

Da databehandler i mange tilfælde bruges af dataansvarlige brugere, som et bilagsarkiv til og til at opfylde regnskabsloven krav om opbevaring i f.eks. 5 år. For andre lande end Danmark er det længere tid. Derfor lader databehandler det være op til dataansvarlige at slette persondataene via sin API-adgang.

C.4 Lokalitet for behandling

Behandling af data foregår på følgende lokationer:

  • Serverer, der leverer appliktationsdata, opbevarer filer eller databaser, er på sikre datacentre i EU, primært i Tyskland.
  • Mennesker, der behandler data bruger altid databehandlers lukkede software miljø.
  • Menneskelig behandling kan foregå i tredjelande, men her sikre databehandler en høj sikkerhed, underdatabehandleraftaler og løbende verificeriring af sikkerhed.
  • Dataansvarlige kan under skriftligt aftale med databehandler udelukke menneskelig behandling fra ikke EU-lande.

Ved ændringer gives dataansvarlige mindst en måneds skriftlig.

C.5 Instruks eller godkendelse vedrørende overførsel af personoplysninger til tredjelande

Databehandler benytter som udgangspunkt menneskelig verificering af regnskabsdata i tredjelande. Da der kan opstå persondata på regnskabsbilag, kan disse blive behandlet her.

Dataansvarlige kan vælge ikke at få verificeret sin data. Her vil alt behandling ske i EU.

C.6 Nærmere procedurer for den dataansvarliges tilsyn med den behandling, som foretages hos databehandleren

Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at føre tilsyn, herunder fysisk tilsyn, hos databehandleren, når der efter den dataansvarliges vurdering opstår et behov herfor.

Udover det planlagte tilsyn, kan der føres tilsyn med databehandleren, når der efter den dataansvarliges vurdering opstår et behov herfor.

Den dataansvarliges eventuelle udgifter i forbindelse med et fysisk tilsyn afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig for, at den dataansvarlige kan gennemføre sit tilsyn.

C.7 Nærmere procedurer for tilsynet med den behandling, som foretages hos eventuelle underdatabehandlere

Databehandleren eller en repræsentant for databehandleren har adgang til at føre tilsyn, herunder fysisk tilsyn, hos underdatabehandleren, når der efter databehandlerens (eller den dataansvarliges) vurdering opstår et behov herfor.