Dette dokument er SimplyBook.me Ltd's databehandlingsaftale ("DPA"), udarbejdet i henhold til artikel 28 i EU's generelle databeskyttelsesforordning ("GDPR"). Det er en juridisk bindende aftale mellem SimplyBook.me Ltd og dig, brugeren af SimplyBook.me-softwareløsningen.
It is recommended that You read this document carefully, together with our:
Note 1
Du kan downloade og få en underskrevet
kopi af denne DPA.
Note 2
Du forstår, at vi kan foretage rimelige ændringer af nedenstående bestemmelser for at afspejle ændringer i GDPR eller andre relevante love og/eller identitetsændringer i vores forretningsdrift, og vi vil underrette dig om eventuelle større ændringer.
Note 3
Hvis du har spørgsmål om denne DPA, bedes du kontakte os
Version: 2.3
Sidst opdateret: 11.01.2022 01/11/2022
Dato for ikrafttræden: 01/11/2022
1.1. Ud over de udtryk, der er defineret andetsteds i denne aftale og hovedaftalen, skal udtrykkene i bilag 1 ("Definitioner") have den betydning, der er angivet heri, for alle formål vedrørende emnet herfor.
1.2. Parterne er gensidigt enige om og forstår, at alle definitioner i de europæiske databeskyttelseslove er vedtaget med henblik på denne aftale.
2.1. I overensstemmelse med bestemmelserne i denne DPA og hovedaftale er du som dataansvarlig ansvarlig for at overholde alle krav, der gælder for dine aktiviteter i henhold til gældende databeskyttelseslove, til behandling af personoplysninger.
2.2. Du accepterer og anerkender, uden at det berører det generelle i nedenstående, at du er ansvarlig for: (i) nøjagtigheden, kvaliteten og lovligheden af de personoplysninger, du giver virksomheden med henblik på tjenesterne, samt midlerne og metoderne til at erhverve dem; (ii) overholdelse af alle nødvendige krav til gennemsigtighed og lovlighed i henhold til gældende databeskyttelseslove, herunder europæiske databeskyttelseslove; (iii) for indsamling og brug af personoplysningerne, herunder indhentning af eventuelle nødvendige samtykker og tilladelser, især til brug af brugeren til markedsføringsformål; (iv) at sikre, at du har ret til at overføre eller give adgang til personoplysningerne til os med henblik på behandling i overensstemmelse med vilkårene i denne DPA og hovedaftalen; (v) at sikre, at du overholder alle love, der gælder for dig, herunder, men ikke begrænset til, databeskyttelseslove, for alle e-mails eller andet indhold, der oprettes, sendes eller på anden måde administreres via vores tjenester.
2.3. Du bekræfter og accepterer hermed at informere virksomheden straks og uden unødig forsinkelse, hvis du ikke er i stand til at overholde dine forpligtelser heri, og specifikt i henhold til de gældende databeskyttelseslove.
2.4. Du anerkender og forstår hermed, at bestemmelserne heri og alle relevante bestemmelser i hovedaftalen og enhver yderligere skriftlig anmodning i din egenskab af registreret; skal udgøre de fuldstændige og endelige instruktioner fra dig som dataansvarlig i forbindelse med denne DPA for og i relation til behandlingen af dine personoplysninger.
2.5.Du anerkender, forstår og accepterer hermed, at enhver yderligere instruktion uden for anvendelsesområdet heri kræver din forudgående skriftlige anmodning.
3.1. Virksomheden må kun behandle personoplysninger med det formål, der er beskrevet i denne DPA og i overensstemmelse med bilag 2 heri ("Detaljer om behandling") eller som ellers aftalt inden for rammerne af dine lovlige instruktioner, undtagen hvor og i det omfang andet kræves af databeskyttelseslovene, herunder, men ikke begrænset til, europæiske databeskyttelseslove og andre gældende love og regler, der er relevante for parterne.
3.2. Virksomheden holdes ikke ansvarlig og ansvarlig for overholdelse af gældende databeskyttelseslove, der udelukkende gælder for dig og / eller din branche og ikke er lovligt gældende for SimplyBook.me Ltd's operationer.
3.3. Virksomheden skal straks og uden unødig forsinkelse underrette dig, i det omfang loven tillader det, hvis det vurderes, at sidstnævnte ikke er i stand til at behandle personoplysninger i overensstemmelse med bestemmelserne i denne DPA og på grund af juridiske krav i gældende love og/eller regler.
3.4. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og arten, omfanget, konteksten og formålene med behandling af personoplysninger i henhold til bestemmelserne i denne DPA samt risikoen for varierende sandsynlighed og alvor for fysiske personers rettigheder og friheder, skal virksomheden implementere og opretholde passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau i forhold til denne risiko i henhold til bestemmelserne i bilag 3 heri (samlet "sikkerhedsforanstaltninger").
3.5. Virksomheden skal sikre, at sikkerhedsforanstaltningerne udgør en del af dens implementerede styringssystem for informationssikkerhed ("ISMS") i overensstemmelse med ISO/IEC 27001:2013-standarden og et certifikat udstedt af et akkrediteret certificeringsorgan.
3.6. Uden at tilsidesætte nogen bestemmelse om det modsatte kan virksomheden ændre eller opdatere sikkerhedsforanstaltningerne efter eget skøn, forudsat at en sådan ændring eller opdatering ikke resulterer i en væsentlig forringelse af den beskyttelse, der tilbydes af sikkerhedsforanstaltningerne og/eller overholder relevante love og juridiske forpligtelser.
3.7. Virksomheden sikrer hermed, at enhver medarbejder eller udpeget person, der er autoriseret til at behandle personoplysninger for og på vores vegne, er underlagt passende fortrolighedsforpligtelser, kontraktlige og lovbestemte forpligtelser med hensyn til disse personoplysninger.
3.8. Virksomheden accepterer hermed at underrette straks og uden unødig forsinkelse, når den bliver opmærksom på ethvert brud på personoplysninger, i henhold til bestemmelserne i gældende databeskyttelseslove og om nødvendigt give dig oplysninger, når de bliver kendt eller med rimelighed anmodet om af dig.
3.9. Virksomheden accepterer hermed straks at give dig en sådan rimelig assistance, som er nødvendig for at gøre det muligt at underrette relevante brud på personoplysninger til kompetente myndigheder og/eller berørte registrerede i henhold til de gældende databeskyttelseslove og med forbehold for din skriftlige anmodning.
3.10. Virksomheden accepterer hermed at slette eller returnere til dig alle personoplysninger, der vedrører hovedaftalen og denne DPA, herunder men ikke begrænset til kopier af personoplysninger, der blev behandlet med henblik på denne DPA, ved opsigelse eller udløb af tjenester, i overensstemmelse med de relevante bestemmelser i hovedaftalen.
3.11. Kravet heri skal udøves i henhold til enhver gældende lov, der kan kræve at opbevare nogle eller alle personoplysninger, med forbehold for yderligere sikkerhedsforanstaltninger såsom isolering og beskyttelse mod yderligere behandling.
4.1. Du anerkender, accepterer og accepterer hermed, at virksomheden skal give dig kontroller i softwaren, hvorigennem du kan hente, rette, slette eller begrænse personoplysninger for at hjælpe dig i forbindelse med kravene i databeskyttelseslovgivningen.
4.2. Virksomheden kan, med forbehold af en skriftlig anmodning fra dig, yde rimelig bistand til at besvare anmodninger fra registrerede eller anmodninger fra databeskyttelsesmyndigheder vedrørende behandling af personoplysninger i henhold til denne DPA, med forbehold af enhver refusion, der anses for nødvendig.
4.3. Du påtager dig det fulde, eksklusive og eneste ansvar for at svare på anmodninger om registrerede eller anden kommunikation vedrørende behandling af personoplysninger fra enkeltpersoner, der er identificeret som din klient og kan adresseres til virksomheden, med forbehold for hurtig meddelelse om en sådan anmodning fra os til dig.
5.1. Du anerkender, accepterer og godkender hermed udnævnelsen af underdatabehandlere til behandling af personoplysninger i henhold til denne DPA og hovedaftalen, der er inkluderet i bilag 4, listen over underdatabehandlere.
5.2. Virksomheden sikrer hermed, at hvis der udpeges en underdatabehandler, skal den relevante juridiske aftale, der skal indgås mellem disse, indeholde passende databeskyttelsesvilkår, der er underlagt passende databeskyttelseslove og pålægger mindst det samme beskyttelsesniveau for personoplysninger som bestemmelserne i denne DPA og, hvor det anses for nødvendigt, indeholde den seneste version af standardkontraktbestemmelser, som udstedt af Europa-Kommissionen.
5.3. Virksomheden forbliver ansvarlig for hver underdatabehandlers overholdelse af forpligtelserne i denne DPA og for enhver handling eller undladelse fra en sådan underdatabehandler, der får os til at overtræde nogen af dens forpligtelser i henhold til denne DPA.
6.1. Du anerkender, samtykker og autoriserer hermed virksomheden, med forbehold af bestemmelserne heri, til at udføre nødvendige dataoverførsler til interne og eksterne forretningsoperationer til tredjeparter, der er identificeret som underbehandlere heri, og som kan være placeret uden for EU og/eller EØS.
6.2. I henhold til punkt 6.1. ovenfor bekræfter og accepterer begge parter hermed, at enhver dataoverførsel udelukkende vil blive udført med henblik på hovedaftalen, denne DPA og eventuelle yderligere skriftlige instruktioner, der er meddelt fra dig til virksomheden, kun for emnet.
6.3. Parten accepterer hermed gensidigt, at virksomheden i henhold til punkt 6 heri skal udføre alle dataoverførsler i henhold til bestemmelserne i kapitel 5 (artikel 44-50) i GDPR og altid i overensstemmelse med kravene i gældende databeskyttelseslovgivning i løbet af denne DPA og hovedaftalen.
6.4. I henhold til punkt 6.3 ovenfor må virksomheden ikke udføre nogen dataoverførsel af europæiske data til et land eller en modtager, der ikke er anerkendt som et tilstrækkeligt beskyttelsesniveau for personoplysninger i overensstemmelse med bestemmelserne i de europæiske databeskyttelseslove; medmindre der først træffes sådanne foranstaltninger for at sikre, at overførslen er i overensstemmelse med gældende europæiske databeskyttelseslove.
6.5. I henhold til punkt 6.4 ovenfor skal virksomheden ikke godkende nogen dataoverførsel til et land, der ikke er anerkendt som et tilstrækkeligt beskyttelsesniveau via:
6.5.1. en gyldig afgørelse om tilstrækkelighed udstedt af Europa-Kommissionen, med forbehold af artikel 45 i GDPR, og som dette kan illustreres på Europa-Kommissionens officielle websted ( afgørelser om tilstrækkelighed ); og/eller
6.5.2. godkendte og autoriserede bindende virksomhedsregler, med forbehold af artikel 47 i GDPR; og/eller
6.5.3. indgåelse af og tillid til godkendte standardkontraktbestemmelser, underlagt relevant europæisk databeskyttelseslovgivning og i henhold til Europa-Kommissionens officielle websted ( Standardkontraktbestemmelser (SCC) ).
6.6. Parterne anerkender og accepterer hermed, at SimplyBook.me ikke skal stole på EU-US Privacy Shield og relaterede principper med henblik på overførsel af personoplysninger og sikre, at der træffes passende foranstaltninger for at overholde gældende databeskyttelseslove, som kan ændres fra tid til anden.
7.1. Parterne er hermed enige om, at hvis de indgår standardkontraktbestemmelser i henhold til hovedaftalen om levering af tjenester og som en del af denne DPA, gælder bestemmelserne i bilag 5 heri, som automatisk kan ændres for at afspejle eventuelle ændringer i de europæiske databeskyttelseslove.
7.2. I henhold til punkt 7.1. forstår og accepterer parterne hermed gensidigt, at virksomheden påtager sig dataimportørens rettigheder og forpligtelser, og du dataeksportørens rettigheder og forpligtelser, som defineret i standardkontraktbestemmelserne, og disse træder i kraft på det seneste tidspunkt, hvor en af parterne bliver part i dem, og påbegyndelsen af den relevante dataoverførsel.
7.3. Parterne aftaler hermed gensidigt, at hvis standardkontraktbestemmelserne er gældende, og der er en konflikt med en bestemmelse i denne DPA, vil standardkontraktbestemmelserne have forrang i det omfang, der er en sådan konflikt for emnet.
8.1. English: This part of the DPA applies to European Data for the purposes of the Main Agreement.
8.2. Parterne er hermed enige om, at når du behandler europæiske data i overensstemmelse med instruktionerne, er du den ansvarlige for europæiske data, og SimplyBook.me Ltd er processoren.
8.3. SimplyBook.me forbeholder sig ret til at informere dig, hvor instruktioner overtræder europæiske databeskyttelseslove, som og når det er relevant, uden unødig forsinkelse.
8.4. Virksomheden vil foretage alle nødvendige ændringer i bilag 4 vedrørende de udpegede underdatabehandlere og give dig mulighed for at blive underrettet via e-mail, i hvilket tilfælde du har mulighed for at gøre indsigelse mod engagementet af rimelige grunde i forbindelse med denne DPA og inden for 30 (tredive) dage efter en sådan meddelelse.
8.5. Virksomheden skal, i det omfang de krævede oplysninger er rimeligt tilgængelige, og du ikke på anden måde har adgang til de krævede oplysninger, yde rimelig assistance til dig med enhver konsekvensanalyse af databeskyttelse ("DPIA") og forudgående konsultationer med tilsynsmyndigheder eller andre kompetente databeskyttelsesmyndigheder i det omfang, det kræves i henhold til europæiske databeskyttelseslove.
8.6. SimplyBook.me skal gøre alle oplysninger, der med rimelighed er nødvendige for at demonstrere overholdelse af bestemmelserne heri, tilgængelige for dig og kan give mulighed for revisioner, herunder men ikke begrænset til inspektioner.
8.7. Databehandleren har udpeget en databeskyttelsesansvarlig ("DPO") i overensstemmelse med de europæiske databeskyttelseslove og kan kontaktes med henblik på denne DPA og hovedaftale via e-mail: dpo@simplybook.me.
8.8. Denne del af DPA'en gælder for andre personlige data end europæiske data i henhold til bestemmelserne i gældende databeskyttelseslove.
8.9. Parterne er enige om, at SimplyBook.me Ltd skal behandle sådanne personlige data strengt i overensstemmelse med gældende databeskyttelseslove og udelukkende med det formål at levere tjenesterne i henhold til bestemmelserne i hovedaftalen.
8.10. Parterne skal indgå alle yderligere aftaler, der kræves i henhold til loven, med henblik på at overholde de gældende databeskyttelseslove.
9.1. Når du tilmelder dig og accepterer SimplyBook.me Online Solution Terms & Conditions for SimplyBook.me Software Solution, indgår du som bruger af systemet denne DPA på vegne af dig selv, og hvor det er relevant og i det omfang, det er tilladt ved lov og gældende databeskyttelseslove, i navnet og på vegne af dine tilladte tilknyttede virksomheder, der etablerer en separat DPA mellem os og hver sådan tilladt tilknyttet virksomhed, der er underlagt aftalen og bestemmelserne heri.
9.2. Du accepterer og anerkender hermed, at hvert tilladt datterselskab accepterer at være bundet af forpligtelserne i denne DPA og som gældende for hovedaftalen.
9.3. Du accepterer og anerkender hermed, at i det omfang loven tillader det, vil "bruger", "du" og "din" i forbindelse med denne DPA og medmindre andet er angivet heri, omfatte dig og sådanne tilladte associerede selskaber.
9.4. The legal entity agreeing to this DPA as User represents that it is authorized to agree to and enter into this DPA for and on behalf of itself and, as applicable, each of its Permitted Affiliates.
10.1. Denne DPA forbliver i kraft fra ikrafttrædelsesdatoen, og indtil den dataansvarlige eller databehandleren opsiger hovedaftalen i overensstemmelse med gældende bestemmelser.
10.2. Denne DPA kan opsiges af begge parter med 30 (tredive) dages skriftligt varsel i henhold til bestemmelserne i hovedaftalen og ved at annullere systemet i systemindstillingerne.
10.3. Ikke med stående noget andet modsat i denne DPA og hovedaftale, forbeholder SimplyBook.me sig retten til at foretage opdateringer og ændringer af denne DPA underlagt eventuelle yderligere vilkår heri.
10.4. Hvis enkelte bestemmelser i denne DPA anses for at være ugyldige eller ikke kan håndhæves, vil gyldigheden og håndhævelsen af de øvrige bestemmelser i denne DPA ikke blive påvirket.
10.5. Ingen af parterne må uden forudgående skriftligt samtykke fra den anden part overdrage, opkræve, licensere eller på anden måde handle med eller afhænde kontraktlige rettigheder eller forpligtelser i henhold til denne aftale.
10.6. Parternes og de tilladte associerede selskabers ansvar, der opstår som følge af eller i forbindelse med denne DPA i sin helhed, uanset om der er tale om kontrakt, erstatning eller anden form for ansvar, vil være underlagt de ansvarsbegrænsninger og -fritagelser, der er anført i hovedaftalen.
10.7. Parterne er hermed enige om og accepterer valget af den jurisdiktion, der er angivet i hovedaftalen med hensyn til denne DPA.
Dette bilag 2: Detaljer om behandling er en del af DPA.
"Dataansvarlig": betyder den fysiske eller juridiske person, offentlige myndighed, agentur eller andet organ, der alene eller i fællesskab med andre bestemmer formålene med og midlerne til behandling af personoplysninger.
“Data Protection Laws”: means all applicable worldwide legislation relating to data protection and privacy which applies to the respective Party in the role of Processing Personal Data in question under the Agreement, including without limitation: (1) the European Data Protection Laws; (2) the California Consumer Privacy Act of 2018 (“CCPA”); (3) the data protection and privacy laws of Australia and Singapore; (4) and other; in each case as amended, repealed, consolidated or replaced from time to time.
"Denregistrerede": betyder den person, som personoplysningerne vedrører.
"Databehandler": betyder en fysisk eller juridisk person, offentlig myndighed, agentur eller andet organ, der behandler personoplysninger på vegne af den dataansvarlige.
"Europe": means the European Union, the European Economic Area and/or their member states.
"Europæiske data": betyder personlige data, der er underlagt beskyttelsen af europæiske databeskyttelseslove, defineret nedenfor.
"Europæiske databeskyttelseslove": betyder databeskyttelseslove, der gælder i Europa, herunder: (1) Forordning 2016/679 - EU's generelle databeskyttelsesforordning ("GDPR"); (2) Direktiv 2002/58/EF - direktivet om privatlivets fred og elektronisk kommunikation; (3) gældende nationale implementeringer af 1 og 2 punkter ovenfor; (4) enhver gældende national lovgivning, der erstatter eller konverterer GDPR eller enhver anden lov vedrørende data og privatlivets fred som følge af Det Forenede Kongeriges udtræden af Den Europæiske Union; i hvert tilfælde som ændret, afløst eller erstattet.
"EU-US Privacy Shield": det selvcertificeringsprogram, der drives af det amerikanske handelsministerium og er godkendt af Europa-Kommissionen, som kan ændres, erstattes eller erstattes.
"Instruktioner": enhver skriftlig, dokumenteret instruktion udstedt af den dataansvarlige til databehandleren og instruerer denne om at udføre en specifik eller generel handling med hensyn til personoplysninger, herunder, men ikke begrænset til, afpersonificering, blokering, sletning, tilgængeliggørelse.
"Tilladte datterselskaber": skal omfatte ethvert af dine datterselskaber, der har tilladelse til at få tjenesterne på dine vegne i henhold til hovedaftalen, men ikke har underskrevet deres egen separate aftale med os og ikke er brugere og kvalificerer sig som en controller af personoplysninger, der behandles af os, og kan være underlagt europæiske databeskyttelseslove.
"Personlige data": betyder alle oplysninger vedrørende en identificeret eller identificerbar person, hvor sådanne oplysninger er indeholdt i kontoen (som defineret i hovedaftalen) og er beskyttet som andre personlige oplysninger eller personligt identificerbare oplysninger i henhold til gældende databeskyttelseslovgivning.
"Brud på persondatasikkerheden": betyder et brud på sikkerheden, der fører til utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til persondata, der overføres, opbevares eller på anden måde behandles af os og/eller vores underbehandlere i forbindelse med levering af tjenesterne, men omfatter ikke mislykkede forsøg eller aktiviteter, der ikke kompromitterer persondatasikkerheden, herunder mislykkede log-in-forsøg, pings, portscanninger, denial of service-angreb og andre netværksangreb på firewalls eller netværkssystemer.
"Behandling": skal betyde enhver operation eller sæt af operationer, der udføres på personoplysninger, der omfatter indsamling, registrering, organisering, strukturering, opbevaring, tilpasning eller ændring, hentning, konsultation, brug, offentliggørelse ved transmission, formidling eller på anden måde tilgængeliggørelse, justering eller kombination, begrænsning eller sletning af personoplysninger, og udtrykkene "behandle", "behandler" og "behandlet" vil blive fortolket i overensstemmelse hermed.
“Services”: shall have the same meaning as in the Main Agreement.
"Standardkontraktbestemmelser": betyder standardkontraktbestemmelserne for databehandlere, der er godkendt i henhold til Europa-Kommissionens relevante beslutning, og som er inkluderet i bilag 5, der udgør en del af aftalen, og som kan ændres, afløses eller erstattes.
“Sub-Processor”: means any Data Processor engaged by us to assist fulfilling our obligations with respect to the provision of the Services under the Main Agreement and may include third parties, excluding any employee or consultant of SimplyBook.me Ltd.
Dette bilag 2: Detaljer om behandling er en del af DPA.
Processens art og formål: Virksomheden vil behandle personoplysninger som påkrævet med henblik på at levere tjenesterne i henhold til hovedaftalen og som yderligere specificeret i yderligere dokumentation, der udgør en del af hovedaftalen og DPA.
Behandlingens varighed: Med forbehold for eventuelle bestemmelser heri, der angiver andet, skal behandling af personoplysninger finde sted i hovedaftalens varighed, medmindre andet er aftalt skriftligt.
Kategorier af registrerede: I henhold til bestemmelserne i hovedaftalen skal de registrerede omfatte alle typer af brugerens kunder og kan derfor variere efter den dataansvarliges systembrug.
Kategorier af personoplysninger: I henhold til bestemmelserne i hovedaftalen kan kategorierne af personoplysninger variere i overensstemmelse med brugen af systemet og omfatter nedenstående:
- navn og efternavn
- email address
- telefonnumre
- oplysninger, som den dataansvarlige anmoder om gennem brug af yderligere felter
- oplysninger, som den dataansvarlige giver som kommentarer til individuelle bookinger, der vedrører en person
- medicinsk relaterede personlige oplysninger vedrørende evaluering af patienter, som kan krypteres i hvile på databehandlerens servere efter den dataansvarliges valg
- information om status for bookinger, om de deltog eller betalte for booking
- medical related information field on subject used for non medical informational purposes by the Data Controller (felt med medicinske oplysninger om personen, som den dataansvarlige bruger til ikke-medicinske informationsformål)
- den dataansvarliges kommentarer til den registreredes bookinger, der kan vedrøre krævede tjenester eller personlige oplysninger om emnet; og ovenstående skal variere efter systemet
- brug fra den dataansvarlige og er ikke absolut.
Special Categories of Personal Data (where applicable): may include Medical and Health information which relate to SOAP information and medical histories, provided that the custom feature is enabled; and/or transactional information about a User’s purchases and/or income.
Behandlingsoperationer: omfatter de standardiserede interne processer, hvor systembrugernes data løbende eller systematisk indsamles, opbevares og bruges til levering af tjenesterne i overensstemmelse med hovedaftalen. Databehandleren vil behandle personoplysninger på vegne af den dataansvarlige med henblik på at bruge aftaleplanlægningssystemet og acceptere aftaler, sende påmindelser, behandle betalinger, sælge produkter, lave kampagner og andre relaterede aktiviteter, der er tilladt af vores brugerdefinerede funktioner.
1. Dette bilag 3 Sikkerhedsforanstaltninger udgør en del af DPA'en, og alle udtryk med stort begyndelsesbogstav, som ikke er defineret på anden vis heri, har samme betydning som i hovedaftalen.
2. Foranstaltningerne heri udgør en del af ISMS, som skal opretholdes i overensstemmelse med bedste praksis og standarder.
Virksomheden har truffet passende foranstaltninger for at forhindre uautoriseret adgang til systemet, netværket, applikationer og i sidste ende personlige data som f.eks:
Implementering og vedligeholdelse af politikker og procedurer for adgangskontrol som en del af det interne system til styring af informationssikkerhed ("ISMS");
Opfølgning af adgangsregler baseret på "need-to-know" og "least privileged";
Begrænsningsprincipper for direkte adgang til databaser;
2FA-godkendelse bruges af medarbejderne, når de får adgang til systemet til behandling af personoplysninger;
2FA-sikkert login er tilgængeligt med "Google Authenticator" og "HIPAA"-tilpassede funktioner for brugeren;
Password Management is available with the “Strict Password” custom feature for the User.
Virksomheden skal bruge passende krypteringsteknologier til at beskytte personoplysninger, og hvor det er relevant for data i transit (for al kommunikation mellem slutbrugere og server) og for data i hvile (tilgængelig for SOAP-data og sygehistorie med den tilpassede funktion "SOAP med datakryptering").
Virksomheden skal have en passende fortegnelse over behandlingsaktiviteter, en procedure for håndtering af aktiver og en politik for acceptabel brug, som alle sikrer, at alle oplysninger, herunder persondata, klassificeres i overensstemmelse med deres kritikalitet og følsomhed over for uautoriseret adgang, videregivelse eller ændring.
Virksomheden har truffet rimelige foranstaltninger for at sikre, at dens medarbejdere og entreprenører, som har adgang til personoplysninger, er opmærksomme på og overholder sikkerheds- og privatlivspolitikkerne og -procedurerne.
Foranstaltningerne omfatter: (a) baggrundskontrol, såsom kontrol af straffeattester for alle medarbejdere og entreprenører med adgang til persondata; (b) indgåelse af fortrolighedsaftale og databehandlingsaftale for alle medarbejdere og entreprenører; (c) medarbejderes og entreprenørers deltagelse i uddannelses- og bevidsthedsprogrammer med fokus på beskyttelse af persondata, privatliv og sikkerhed.
Virksomheden er forpligtet til at sikre, at korrekte og sikre faciliteter til behandling af personoplysninger af:
controlling the changes to the processing systems and facilities by implementing and maintaining procedures in line with the internal Change Management Policy;
udføre regelmæssige sikkerhedskopier og test af sikkerhedskopier ved at implementere og vedligeholde procedurer i overensstemmelse med den interne sikkerhedskopieringspolitik;
vedligeholdelse af hændelseslogning med registreringer af brugeraktiviteter, undtagelser, fejl og informationssikkerhedshændelser;
ensure clock synchronisation for all relevant Information Processing Systems.
Virksomheden har implementeret en firewallbeskyttelse, et system til opdagelse af indtrængen og overvåger regelmæssigt netværksaktiviteten.
Virksomheden udfører softwareudvikling og relevante supportprocesser i henhold til vedtagne principper for sikker systemudvikling som f.eks:
Sikkerhed gennem design;
Der skal udføres sikkerhedstest for alle ændringer eller nyudviklinger;
Udviklings-/test-/produktionsmiljøer skal være adskilt.
Virksomheden foretager regelmæssige vurderinger af leverandørtjenester og anerkender ansvaret for at informere den dataansvarlige om eventuelle ændringer i leveringen af tjenester i henhold til hovedaftalen.
Virksomheden sikrer en konsekvent tilgang til håndtering af privatlivs- og sikkerhedshændelser, herunder kommunikation om sikkerhedsbrud og svagheder via:
business Continuity and Incident Management Procedures, som dokumenteres og testes regelmæssigt;
the Personal Data Breach Notification Procedure which is documented and tested regularly.
Virksomheden foretager periodiske vurderinger af risici for persondata og gennemgår effektiviteten af de implementerede sikkerhedspolitikker og -procedurer.
1. Læs dette bilag 4 sammen med paragraf 5 og andre gældende bestemmelser i databeskyttelsesforordningen.
| SUB-PROCESSOR | FORMÅL | LOCATION |
|---|---|---|
| Google Inc. | Hosting og infrastruktur | USA, Canada, Storbritannien, EU, AU |
| Hosting og infrastruktur | USA | |
| Live Agent | Tjenester og support | Europe |
| OVH | Hosting og infrastruktur | Canada, Frankrig & Singapore |
| Amazon Web Services Inc. | Hosting og infrastruktur | Irland |
| Linode | Mail Server | UK |
| Nexmo (Vonage Holdings Corp.) | Tjenester og support | UK |
| Sendinblue | Tjenester og support | France: Frankrig |
| Hotjar | Statistik og analyse | France: Frankrig |
| Piwik | Statistik og analyse | France: Frankrig |
| Twilio Inc. | Services & Support | USA |
| PayPal | Udbyder af betalingsbehandling | USA |
| MaxMind, Inc. | Tjenester og support | USA |
| Borgun | Udbyder af betalingsbehandling | Island |
| SafeCharge | Udbyder af betalingsbehandling | UK, USA, Canada |
| eSignGenie | Tjenester - e-signatur | USA |
| Ansvarligt hovedkvarter | Tjenester - HIPAA Compliance Software og e-signatur | USA |
1. Den seneste version af standardkontraktbestemmelserne, der er tilgængelige på Europa-Kommissionens officielle hjemmeside her, implementeres og følges for emnet.
2. SCC er en del af denne aftale, i det omfang det gælder for parterne i overensstemmelse med de europæiske databeskyttelseslove.
3. Med henblik på denne aftale og parternes kontraktlige forhold vedtages Modul 2: Overførsel mellem dataansvarlig til databehandler.
Få den fulde underskrevne version af vores DPA - den indeholder den fulde version af den seneste SCC her.
Husk, at vi også tilbyder et endnu enklere værktøj, der er beregnet til mødeplanlægning. Tjek det ud, hvis du føler, at SimplyBook.me er for omfattende til dine behov.