Databehandleraftale

Mellem

Den dataansvarlige:

(kunden)

og

Databehandleren

Dania Regnskab ApS
Rådhuspladsen 16
1550 København V
CVR: 35816321

1. Baggrund for databehandleraftalen

1.1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databehandleren
foretager behandling af personoplysninger på vegne af den dataansvarlige.

1.2. Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets
og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse
med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse
af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en
databehandleraftale.

1.3. Databehandlerens behandling af personoplysninger sker med henblik på opfyldelse af parternes
aftale om levering af regnskabsservice – herunder bogføring, udarbejdelse af årsrapport, selvangivelser, lønregnskab m.fl.

1.4. Databehandleraftalen og aftalen om levering af regnskabsservice er indbyrdes afhængige, og kan ikke opsiges
særskilt. Databehandleraftalen kan dog – uden at opsige aftalen om levering af regnskabsservice – erstattes
af en anden gyldig databehandleraftale.

1.5. Denne databehandleraftale har forrang i forhold til eventuelle tilsvarende bestemmelser i andre
aftaler mellem parterne, herunder i aftalen om levering af regnskabsservice.

1.6. Til denne aftale hører fire bilag. Bilagene fungerer som en integreret del af databehandleraftalen.

1.7. Databehandleraftalens Bilag A indeholder nærmere oplysninger om behandlingen, herunder om
behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og
varighed af behandlingen.

1.8. Databehandleraftalens Bilag B indeholder den dataansvarliges betingelser for, at databehandleren
kan gøre brug af eventuelle underdatabehandlere, samt en liste over de eventuelle
underdatabehandlere, som den dataansvarlige har godkendt.

1.9. Databehandleraftalens Bilag C indeholder en nærmere instruks om, hvilken behandling
databehandleren skal foretage på vegne af den dataansvarlige (behandlingens genstand), hvilke
sikkerhedsforanstaltninger, der som minimum skal iagttages, samt hvordan der føres tilsyn med
databehandleren og eventuelle underdatabehandlere.

1.10. Databehandleraftalens Bilag D indeholder parternes eventuelle regulering af forhold, som ikke ellers
fremgår af databehandleraftalen eller parternes aftale om levering af regnskabsservice.

1.11. Databehandleraftalen med tilhørende bilag opbevares elektronisk af begge
parter.

1.12. Denne databehandleraftale frigør ikke databehandleren for forpligtelser, som efter
databeskyttelsesforordningen eller enhver anden lovgivning direkte er pålagt databehandleren.

2. Den dataansvarliges forpligtelser og rettigheder

2.1. Den dataansvarlige har overfor omverdenen (herunder den registrerede) som udgangspunkt
ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af
databeskyttelsesforordningen og databeskyttelsesloven.

2.2. Den dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe beslutninger om, til
hvilke formål og med hvilke hjælpemidler der må foretages behandling.

2.3. Den dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som
databehandleren instrueres i at foretage.

3. Databehandleren handler efter instruks

3.1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den
dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af
hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.

3.2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens
mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret
eller medlemsstaternes nationale ret.

4. Fortrolighed

4.1. Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de
personoplysninger, der behandles på vegne af den dataansvarlige. Adgangen til oplysningerne skal
derfor straks lukkes ned, hvis autorisationen fratages eller udløber.

4.2. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til
personoplysningerne for at kunne opfylde databehandlerens forpligtelser overfor den
dataansvarlige.

4.3. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på
vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende
lovbestemt tavshedspligt.

4.4. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de relevante
medarbejdere er underlagt ovennævnte tavshedspligt.

5. Behandlingssikkerhed

5.1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til
databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det
aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang,
sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers
rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske
foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

5.2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og
herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a., alt
efter hvad der er relevant, være tale om følgende foranstaltninger:

a. Pseudonymisering og kryptering af personoplysninger

b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af
behandlingssystemer og – tjenester

c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde
af en fysisk eller teknisk hændelse

d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de
tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed

5.3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det
sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C.

5.4. Parternes eventuelle regulering/aftale om vederlæggelse eller lignende i forbindelse med den
dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere
sikkerhedsforanstaltninger vil fremgå af parternes aftale om levering af regnskabsservice eller af denne
aftales Bilag D.

6. Anvendelse af underdatabehandlere

6.1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens
artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).

6.2. Databehandleren må således ikke gøre brug af en anden databehandler (underdatabehandler) til
opfyldelse af databehandleraftalen uden forudgående specifik eller generel skriftlig godkendelse fra
den dataansvarlige.

6.3. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om
eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og
derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

6.4. Den dataansvarliges nærmere betingelser for databehandlerens brug af eventuelle
underdatabehandlere fremgår af denne aftales Bilag B.

6.5. Den dataansvarliges eventuelle godkendelse af specifikke underdatabehandlere er anført i denne
aftales Bilag B.

6.6. Når databehandleren har den dataansvarliges godkendelse til at gøre brug af en
underdatabehandler, sørger databehandleren for at pålægge underdatabehandleren de samme
databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraftale, gennem en
kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret,
hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de
passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder
kravene i databeskyttelsesforordningen.
Databehandleren er således ansvarlig for – igennem indgåelsen af en underdatabehandleraftale – at
pålægge en eventuel underdatabehandler mindst de forpligtelser, som databehandleren selv er
underlagt efter databeskyttelsesreglerne og denne databehandleraftale med tilhørende bilag.

6.7. Underdatabehandleraftalen og eventuelle senere ændringer hertil sendes – efter den
dataansvarliges anmodning herom – i kopi til den dataansvarlige, som herigennem har mulighed for
at sikre sig, at der er indgået en gyldig aftale mellem databehandleren og underdatabehandleren.
Eventuelle kommercielle vilkår, eksempelvis priser, som ikke påvirker det databeskyttelsesretlige
indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.

6.8. Databehandleren skal i sin aftale med underdatabehandleren indføje den dataansvarlige som tredjemand i forhold til at kunne instruere i at foretage sletning af eller tilbagelevere oplysninger, i tilfælde af databehandlerens konkurs.

6.9. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver
databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af
underdatabehandlerens forpligtelser.

7. Overførsel af oplysninger til tredjelande eller internationale organisationer

7.1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den
dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern
anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det
kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt;
i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling,
medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige
samfundsmæssige interesser, jf. art 28, stk. 3, litra a.

7.2. Uden den dataansvarliges instruks eller godkendelse kan databehandleren – indenfor rammerne af
databehandleraftalen – derfor bl.a. ikke;

a. videregive personoplysningerne til en dataansvarlig i et tredjeland eller i en international
organisation,

b. overlade behandlingen af personoplysninger til en underdatabehandler i et tredjeland,

c. lade oplysningerne behandle i en anden af databehandlerens afdelinger, som er placeret i et
tredjeland.

7.3. Den dataansvarliges eventuelle instruks eller godkendelse af, at der foretages overførsel af
personoplysninger til et tredjeland, vil fremgå af denne aftales Bilag C.

8. Bistand til den dataansvarlige

8.1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den
dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af
den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes
rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.

Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbindelse med,
at den dataansvarlige skal sikre overholdelsen af:

a. oplysningspligten ved indsamling af personoplysninger hos den registrerede
b. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
c. den registreredes indsigtsret
d. retten til berigtigelse
e. retten til sletning (»retten til at blive glemt«)
f. retten til begrænsning af behandling
g. underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller
begrænsning af behandling
h. retten til dataportabilitet
i. retten til indsigelse
j. retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, herunder
profilering

8.2. Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvarliges
forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensynstagen til
behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, jf. art 28, stk. 3,
litra f.

Dette indebærer, at databehandleren under hensynstagen til behandlingens karakter skal bistå den
dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:

a. forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger for at
sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen

b. forpligtelsen til at anmelde brud på persondatasikkerheden til tilsynsmyndigheden
(Datatilsynet) uden unødig forsinkelse og om muligt senest 72 timer, efter at den
dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet
på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller
frihedsrettigheder.

c. forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om brud på
persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske
personers rettigheder og frihedsrettigheder

d. forpligtelsen til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis en type
behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og
frihedsrettigheder

e. forpligtelsen til at høre tilsynsmyndigheden (Datatilsynet) inden behandling, såfremt en
konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i
mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen

8.3. Parternes eventuelle regulering/aftale om vederlæggelse eller lignende i forbindelse med
databehandlerens bistand til den dataansvarlige vil fremgå af parternes aftale om levering af regnskabsservice
levering af regnskabsservice eller af denne aftales Bilag D.

9. Underretning om brud på persondatasikkerheden

9.1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet
opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en
eventuel underdatabehandler.
Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 24 timer efter at
denne er blevet bekendt med bruddet, sådan at den dataansvarlige har mulighed for at efterleve sin
eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden indenfor 72 timer.

9.2. I overensstemmelse med denne aftales afsnit 9.2., litra b, skal databehandleren – under
hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for denne – bistå den
dataansvarlige med at foretage anmeldelse af bruddet til tilsynsmyndigheden.
Det kan betyde, at databehandleren bl.a. skal hjælpe med at tilvejebringe nedenstående oplysninger,
som efter databeskyttelsesforordningens artikel 33, stk. 3, skal fremgå af den dataansvarliges
anmeldelse til tilsynsmyndigheden:

a. Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne
og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal
berørte registreringer af personoplysninger

b. Sandsynlige konsekvenser af bruddet på persondatasikkerheden

c. Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på
persondatasikkerheden, herunder hvis det er relevant, foranstaltninger for at begrænse dets
mulige skadevirkninger

10. Sletning og tilbagelevering af oplysninger

10.1. Ved ophør af tjenesterne vedrørende behandling forpligtes databehandleren til, efter den
dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den dataansvarlige, samt
at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af
personoplysningerne.

11. Tilsyn og revision

11.1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise databehandlerens
overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den
dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages
af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.

11.2. Den nærmere procedure for den dataansvarliges tilsyn med databehandleren fremgår af denne
aftales Bilag C.

11.3. Den dataansvarliges tilsyn med eventuelle underdatabehandlere sker som udgangspunkt gennem
databehandleren. Den nærmere procedure herfor fremgår af denne aftales Bilag C.

11.4. Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende
lovgivning har adgang til den dataansvarliges og databehandlerens faciliteter, eller repræsentanter,
der optræder på myndighedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig
legitimation.

12. Parternes aftaler om andre forhold

12.1. En eventuel (særlig) regulering af konsekvenserne af parternes misligholdelse af
databehandleraftalen vil fremgå af parternes aftale om levering af regnskabsservice eller af denne aftales
Bilag D.

12.2. En eventuel regulering af andre forhold mellem parterne vil fremgå af parternes aftale om levering af regnskabsservice eller af denne aftales Bilag D.

13. Ikrafttræden og ophør

13.1. Denne aftale træder i kraft ved underskrift af begge parter, eller ved indgåelse af aftale om levering af regnskabsservice.

13.2. Aftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i
aftalen giver anledning hertil.

13.3. Parternes eventuelle regulering/aftale om vederlæggelse, betingelser eller lignende i forbindelse
med ændringer af denne aftale vil fremgå af parternes aftale om levering af regnskabsservice eller af denne
aftales Bilag D.

13.4. Opsigelse af databehandleraftalen kan ske i henhold til de opsigelsesvilkår, inkl. opsigelsesvarsel, som
fremgår af aftalen om levering af regnskabsservice.

13.5. Aftalen er gældende, så længe behandlingen består. Uanset aftalerne om levering af regnskabsservice
og/eller databehandleraftalens opsigelse, vil databehandleraftalen forblive i kraft frem til
behandlingens ophør og oplysningernes sletning hos databehandleren og eventuelle
underdatabehandlere.

14. Underskrift

Databehandleraftalen er underskrevet digitalt på vegne af:

14.1. Den dataansvarlige

14.2. Databehandleren

Bilag A: Oplysninger om behandlingen (Version 1)

A. Oplysninger om behandlingen

Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er:

• At den dataansvarlige kan få udarbejdet sit regnskab – herunder bogføring, årsrapport, selvangivelse, forskudsopgørelse, lønregnskab og budget.

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært
om (karakteren af behandlingen):

• At databehandleren yder den dataansvarlige assistance med bogføring, årsregnskab, selvangivelse, forskudsopgørelse, lønregnskab og budget.
• Der behandles data som navn, adresse, e-mailadresse, telefonnummer, CVR-nummer på virksomhed og kunder, samt CPR-nummer på ledelse, indehaver, kapitalejere og medarbejdere.

Behandlingen omfatter følgende kategorier af registrerede:

• Personer, som er eller har været medarbejdere eller kunder hos den dataansvarlige, samt indehaver, kapitalejere ledelse.

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes
efter denne aftales ikrafttræden.

Behandlingen har følgende varighed:
Behandlingen er ikke tidsbegrænset og varer indtil aftalen opsiges af en af parterne.

B. Betingelser for databehandlerens brug af underdatabehandlere og liste over godkendte underdatabehandlere

B.1 Betingelser for databehandlerens brug af eventuelle underdatabehandlere

Databehandleren har den dataansvarliges generelle godkendelse til at gøre brug af underdatabehandlere.
Databehandleren skal dog underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende
tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre
indsigelse mod sådanne ændringer. En sådan underretning skal være den dataansvarlige i hænde minimum
3 måneder før anvendelsen eller ændringen skal træde i kraft. Såfremt den dataansvarlige har indsigelser
mod ændringerne, skal den dataansvarlige give meddelelse herom til databehandleren inden 30 dage efter
modtagelsen af underretningen. Den dataansvarlige kan alene gøre indsigelse, såfremt den dataansvarlige
har rimelige, konkrete årsager hertil.

B.2 Godkendte underdatabehandlere

Den dataansvarlige har ved databehandleraftalens ikrafttræden godkendt anvendelsen af følgende
underdatabehandlere:

1:

Dania Accounting Poland sp. z o.o.
Polen

Underdatabehandleren udfører følgende behandling af data:

Bogføring
Årsregnskab
Selvangivelse
Forskudsopgørelse
Lønregnskab
Budget

2:

International Accounting Services LLC
Ukraine

Underdatabehandleren udfører følgende behandling af data:

Bogføring
Årsregnskab
Selvangivelse
Forskudsopgørelse
Lønregnskab
Budget

3:

Dania Management Hong Kong Limited
Hong Kong

Underdatabehandleren udfører følgende behandling af data:

Bogføring
Årsregnskab
Selvangivelse
Forskudsopgørelse
Lønregnskab
Budget

Den dataansvarlige har ved databehandleraftalens ikrafttræden specifikt godkendt anvendelsen af
ovennævnte underdatabehandlere til netop den behandling, som er beskrevet ud for parten.
Databehandleren kan ikke – uden den dataansvarliges specifikke og skriftlige godkendelse – anvende den
enkelte underdatabehandler til en “anden” behandling and aftalt eller lade en anden underdatabehandler
foretage den beskrevne behandling.

Bilag C: Instruks vedrørende behandling af personoplysninger

C. Instruks vedrørende behandling af personoplysninger

C.1 Behandlingens genstand/instruks
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at
databehandleren udfører følgende:

• Databehandleren yder den dataansvarlige assistance med bogføring, årsregnskab, selvangivelse, forskudsopgørelse, budget og lønregnskab

C.2 Behandlingssikkerhed
Databehandleren er forpligtet til at sikre et højt sikkerhedsniveau i sin levering af regnskabsservice, hvilket sikres
ved relevante organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger.
Endvidere har vore interne databeskyttelsespolitikker til formål at sikre fortrolighed, integritet,
modstandsdygtigheden og adgangen til personoplysninger. De følgende foranstaltninger er særligt
væsentlige:

• Vurdering af kryptering som risikoreducerende faktorer
• Drift og implementering af systemer der kan opdage, genoprette, imødegå og rapportere hændelser i
forhold til personoplysninger.
• Kortlægge sikkerhedsstrukturen samt hvordan personoplysninger overføres imellem Parterne.

C.3 Opbevaringsperiode/sletterutine

Data, som den dataansvarlige stiller til rådighed for databehandleren til brug for en opgave,
slettes senest 3 måneder efter den dato, hvor det ikke længere er påkrævet at opbevare data i henhold til regnskabslovgivningen. Hvis den dataansvarlige påtager sig at overtage alle data, kan data dog slettes uden yderligere ophold. Dette skal aftales særskilt mellem parterne, for at undgå at vigtige regnskabsoplysninger ikke slettes hos begge parter, før regnskabslovgivningen tillader dette. Hvis der ikke aftales noget, så opbevarer databehandler data i henhold til myndigheders krav om at gemme regnskabsoplysninger – dvs. 5 år efter udløb af regnskabsår. Herefter slettes data.

C.4 Lokalitet for behandling
Alle arbejdspladser hos databehandleren er statinoære og bærebare PC’ere eller lignende. Uanset fysisk placering er
medarbejdernes adgang til levering af regnskabsservice og databehandlerens systemer sikret på samme måde. Det indebærer
blandt andet, at login og adgang til databehandlerens produktionsmiljø altid kræver to-faktor
autentifikation.

C.5 Instruks eller godkendelse vedrørende overførsel af personoplysninger til tredjelande
Som det fremgår af Bilag B er to underdatabehandlere etableret uden for EU/EØS land. Den dataansvarlige
giver databehandleren autorisation til at sikre et tilstrækkeligt grundlag for overførsel af personoplysninger
til tredjeland på vegne af den dataansvarlige, herunder ved anvendelse af EU-Kommissionens
Standardkontrakter eller i overensstemmelse med Privacy Shield.

C.6 Audit

a. Databehandleren skal på den dataansvarliges anmodning give den dataansvarlige sådanne oplysninger,
som er nødvendige til at denne kan påse, at databehandleren og dennes underdatabehandlere
overholder de krav, som er fastsat i databehandleraftalen, herunder at disse har truffet de fornødne
tekniske og organisatoriske sikkerhedsforanstaltninger og, at foranstaltningerne overholdes.

b. Databehandleren skal på den dataansvarliges skriftlige anmodning tilvejebringe dokumentation for, at
sikkerhedsforanstaltninger er gennemført hos databehandleren.

c. Den dataansvarlige kan for egen regning via en revisor eller anden betroet part, som er godkendt af
den dataansvarlige og databehandleren, foretage uanmeldt kontrol (indenfor normal arbejdstid) af, at
databehandleren overholder sine forpligtelser, herunder kontrol af og eventuel opfølgning på
brugeradgange og rettigheder.

d. Den dataansvarlige er desuden berettiget til for egen regning at lade en uafhængig tredjepart foretage
en årlig revision af databehandlerens behandling af personoplysninger.

e. Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning
har adgang til den dataansvarliges og databehandlerens faciliteter, eller repræsentanter, der optræder
på myndighedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig legitimation og
forudgående underskrift af tavshedserklæring.

C.7 Nærmere procedurer for tilsynet med den behandling, som foretages hos eventuelle
underdatabehandlere

Databehandleren eller en repræsentant for databehandleren har herudover adgang til at føre tilsyn,
herunder fysisk tilsyn, hos underdatabehandleren, når der efter databehandlerens vurdering opstår et
behov herfor.

Databehandleren skal sikre, at underdatabehandlere, der bistår databehandleren i forbindelse med
opfyldelse af aftalen om levering af regnskabsservice og databehandleraftalen, er underlagt forpligtelser, som
svarer til forpligtelserne heri.

C.8 Tavshedspligt
Medarbejdere hos databehandler og underdatabehandlere er underlagt tavshedspligt.

Bilag D: Parternes regulering af andre forhold

1. Andre forhold
1.1. Der er ikke aftalt yderligere.