Prosessoravtale

introduksjon

Autosoft BV behandler blant annet personopplysninger for og på vegne av kunden. Autosoft BV og kunden er derfor forpliktet i henhold til General Data Protection Regulation (GDPR) til å inngå en prosessoravtale. I følge GDPR er Autosoft BV en 'behandler' og kunden er en 'kontrollør'. Denne prosessoravtalen beskriver også hvordan Autosoft BV håndterer varslingsplikten for databrudd.

Prosessoravtale

Bestående av:
Del 1: Data Pro-erklæring
Del 2: Standard behandlingsklausuler

Del 1: Data Pro-erklæring

Generell informasjon

1). Denne Data Pro-erklæringen er utarbeidet av følgende databehandler (behandler):

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

For spørsmål om denne Data Pro-erklæringen eller databeskyttelse, vennligst kontakt:
Arthur van der Lek: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Denne Data Pro-erklæringen gjelder fra 1. august 2021
Vi justerer regelmessig denne Data Pro-erklæringen og sikkerhetstiltakene beskrevet i den for å sikre at vi alltid er forberedt og oppdatert med hensyn til databeskyttelse. Vi vil holde deg informert om nye versjoner gjennom våre vanlige kanaler.

3). Denne Data Pro-erklæringen gjelder for følgende databehandlerprodukter og -tjenester

• AutoWebsite
• Autohandel

4). Beskrivelse Bil nettside
Bilselskaper bruker Autowebsite. Med Autowebsite kan bilselskaper presentere seg på internett.

5). Tiltenkt bruk Bil-nettstedet
Autowebsite er designet og utstyrt for å behandle følgende typer data:
Besøkende på nettsider utviklet av Autosoft med Autowebsite har mulighet til å legge igjen kontaktopplysningene sine der slik at bilfirmaet har mulighet til å henvende seg til den besøkende for ytterligere tjenester. Disse kontaktopplysningene lagres ikke hos Autosoft, men videresendes direkte via e-post til e-postadressen til bilselskapet.

• Denne tjenesten tar ikke hensyn til behandling av spesielle personopplysninger, eller data om straffedommer og lovbrudd eller personnummer utstedt av myndighetene.

6). Beskrivelse Autocommerce
Bilselskaper bruker Autocommerce. Med Autocommerce kan bilselskaper administrere og presentere kjøretøyene sine på deres egen nettside og internettsøkeportaler til tredjeparter.

7). Tiltenkt bruk Autohandel
Autocommerce er designet og utstyrt for å behandle følgende typer data:
Bilselskaper kan plassere sine registrerte kjøretøy via Autocommerce på sin egen Bil-nettside. Disse registrerte kjøretøyene inneholder ingen data som kan spores tilbake til personopplysninger i noen form. Besøkende på Bil-nettstedet har mulighet til å legge igjen kontaktopplysningene sine der slik at bilfirmaet har mulighet til å henvende seg til den besøkende for ytterligere tjenester. Kontaktdetaljene som er lagt igjen av den besøkende på deres egen Auto-nettside, lagres i Autocommerce.

• Denne tjenesten tar ikke hensyn til behandling av spesielle personopplysninger, eller data om straffedommer og lovbrudd eller personnummer utstedt av myndighetene.

8). Databehandler bruker standardklausulene for behandling for Autowebsite og Autocommerce, som finnes som vedlegg til Avtalen.

9). Databehandler behandler personopplysningene til sine kunder innenfor EU/EØS for Autowebsite og Autocommerce.

10). Databehandler bruker følgende underbehandlere for autohandel:
I noen tilfeller sender Autosoft sine registrerte kjøretøyer via Autocommerce til internettsøkeportalene til tredjeparter eller underbehandlere på vegne av bilselskapet. En liste over underbehandlere er tilgjengelig på forespørsel på support@autosoft.eu.

11). Etter oppsigelse av Avtalen med en klient vil databehandleren i utgangspunktet fjerne personopplysningene som den behandler for klienten innen 3 måneder på en slik måte at de ikke lenger kan brukes og ikke lenger er tilgjengelige (gjøre utilgjengelige).

Sikkerhetspolitikk

Oppsummering av følgende sikkerhetstiltak som databehandler har tatt for å beskytte sitt produkt eller tjeneste:

Hendelseshåndtering og responspolicy
Hendelseshåndtering og responspolitikk innen informasjonssikkerhet inkluderer overvåking og oppdagelse av sikkerhetshendelser på en datamaskin eller IT-infrastruktur, men også observasjon av mistenkelige aktiviteter fra personellet, og implementering av riktige reaksjoner på disse hendelsene.

Hovedmålet med denne policyen er å utvikle en godt forstått og forutsigbar respons på ondsinnede hendelser og datainntrenging i ordets videste forstand.

Hendelseshåndtering og responspolicy er prosessen med å administrere og beskytte datamaskiner, nettverk og informasjonssystemer og informasjonen som er lagret der. Autosoft er klar over sitt ansvar når det gjelder å beskytte denne informasjonen til fordel for sine kunder og leverandørkjedepartnere. Dette ansvaret strekker seg til å ha en hendelsesprosedyre. Hendelseshåndtering er et sett med aktiviteter som definerer og implementerer en prosess som en organisasjon kan bruke for å fremme sin egen velvære og sikkerheten til publikum.

IT og sikkerhet
IKT-strukturen til Autosoft BV er tilstrekkelig sikret med en brannmur og programvaren for virusskanning holdes oppdatert. Hver ansatt har en påloggingsprofil. Ved oppstart av datamaskin skal de ansatte oppgi innloggingsnavn og passord og der det er mulig med 2-trinns autentisering.

Visse programvarer ber også om et påloggingsnavn og passord og der det er mulig med 2-trinns autentisering. Bevissthet blant ansatte om å arbeide trygt stimuleres, som å gjøre oppmerksom på at man ikke åpner mistenkelige e-poster, ikke klikker på mistenkelige lenker, logger ut når man forlater arbeidsplassen i lang tid, og så videre.

Filene sikkerhetskopieres i løpet av dagene og hver natt. Av sikkerhetsgrunner er den videre lagringsprosedyren rundt sikkerhetskopien konfidensiell. Autosoft BV har inngått servicekontrakter for dette med dataleverandører og internettleverandører.

Retningslinjer for databeskyttelse
Autosoft BV tar passende tekniske og organisatoriske tiltak for å beskytte kundens personopplysninger mot tap eller enhver form for ulovlig behandling. Disse tekniske og organisatoriske tiltakene anses som et passende sikkerhetsnivå i henhold til artikkel 1 i GDPR og lagres som dokumenter i den sentrale Basecamp (Prosjekt: Organisasjon / Databeskyttelsespolicy) til Autosoft BV

Teknisk og organisatorisk

1. Tiltak for å sikre at kun autorisert personell har tilgang til personopplysningene som behandles i forbindelse med prosessoravtalen;
2. Tiltak for å beskytte personopplysningene spesielt mot utilsiktet eller ulovlig ødeleggelse, tap, utilsiktet endring, uautorisert eller ulovlig lagring, tilgang eller avsløring;
3. Tiltak for å beskytte personopplysningene spesielt mot utilsiktet eller ulovlig ødeleggelse, tap, utilsiktet endring, uautorisert eller ulovlig lagring, tilgang eller avsløring under datautveksling/transport;
4. Tiltak for å sikre muligheten til å sikre konfidensialitet, integritet, tilgjengelighet og motstandskraft for redigeringssystemene og -tjenestene på løpende basis;
5. Tiltak for å gjenopprette tilgjengeligheten og tilgangen til personopplysningene i rett tid i tilfelle en fysisk eller teknisk hendelse;
6. Tiltak for å identifisere sårbarheter med hensyn til behandling av personopplysninger i systemene som brukes til å levere tjenestene under kontrakten;

Organisatorisk som:

• Begrense kretsen av tjenestemenn som har tilgang til visse personopplysninger til de personene som trenger dataene for å utføre sine oppgaver;
• gi disse personene tilgang til kun personopplysninger som de trenger for å utføre sine oppgaver;
• avtale en konfidensialitetsklausul med en straffeklausul med alle personer som skal gis tilgang til personopplysninger;
• lagring av personlige data på servere i et lukket rom;
• oppbevaring av papirfiler i låsbare skap;
• skape bevissthet om informasjonssikkerhet blant ansatte;
• etablere klare protokoller og prosedyrer for rettidig og effektiv håndtering av informasjonssikkerhetshendelser og sikkerhetssårbarheter;

Databehandler bruker egne metoder og prosedyrer for ledelse som passer inn i organisasjonens arbeidsmetode:

• Relevante dokumenter administreres og evalueres med jevne mellomrom i Basecamp.

Datainnbruddsprotokoll

I tilfelle noe går galt, bruker databehandleren følgende datalekkasjeprotokoll for å sikre at klienten er klar over hendelser:

Autosoft BV – Prosedyre for databrudd

Hva er et datainnbrudd og når må jeg rapportere det til AP?
Et databrudd er en informasjonssikkerhetshendelse som involverer et brudd på sikkerheten til personopplysninger gjennom eksponering for tap eller ulovlig behandling som (men ikke uttømmende):

• Justering og/eller endring av personopplysninger og uautorisert tilgang til disse personopplysningene;
• Ved et innbrudd av en hacker;
• Å miste en USB-pinne, tyveri av en bærbar datamaskin;
• Sende sensitive data til feil e-postadresse;

Ifølge loven skal et «alvorlig» databrudd rapporteres til det nederlandske datatilsynet uten unødig forsinkelse, og om mulig senest 72 timer etter oppdagelsen.

Autosoft BV trenger ikke å rapportere til den nederlandske datatilsynet hvis faktisk identifikasjon av individuelle fysiske personer er rimelig utelukket.
Alle mistanker om en informasjonssikkerhetshendelse behandles i første omgang support@autosoft.eu rapportert og registrert. Support rapporterer hendelsen til ledergruppen og bestemmer hvilke oppfølgingstiltak som skal iverksettes.

Oppfølgingsprosedyre

Når må jeg varsle de registrerte?
Et databrudd skal meldes til den registrerte dersom det ved brudd er stor risiko for at bruddet vil få uheldige konsekvenser for hans eller hennes privatliv. Ugunstige konsekvenser for den registrerte er: skade på hans omdømme og rykte, identitetssvindel eller diskriminering. Hvis Autosoft BV har iverksatt passende tekniske beskyttelsestiltak, som gjør de aktuelle personopplysningene uforståelige eller utilgjengelige, er varslingen til den registrerte ikke nødvendig. Meldingen til den registrerte skal inneholde en beskrivelse, i et klart og tydelig språk, av arten av personopplysningsbruddet og minst:

• navn og kontaktinformasjon til personvernombudet eller annet kontaktpunkt der mer informasjon kan fås;
• de sannsynlige konsekvensene av bruddet på personopplysninger;
• tiltakene som er foreslått eller iverksatt av den behandlingsansvarlige for å håndtere bruddet på personopplysninger, inkludert, der det er hensiktsmessig, tiltak for å dempe eventuelle negative effekter av dette. Vurderingen av om et databrudd må rapporteres til den nederlandske datatilsynet og/eller de berørte personene er alltid opp til Autosoft BV. For å avgjøre om en hendelse må rapporteres, har den nederlandske datatilsynet utarbeidet retningslinjer (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) og arbeidsgruppe 29 i de europeiske tilsynsretningslinjene publisert om rapporteringsplikten i GDPR. Hvis Autosoft BV ikke har rapportert databruddet, kan den nederlandske datatilsynet kreve at Autosoft BV fortsatt rapporterer. Manglende rapportering kan straffes med en administrativ bot.

Hvordan rapporterer jeg et databrudd?
Den nederlandske datatilsynet gjør et nettskjema tilgjengelig som må brukes for å rapportere datainnbrudd (https://dataleks.autoriteitpersoonsgegevens.nl/). Den nederlandske datatilsynet fører et register over varslene om databrudd som er mottatt. Dette registeret er ikke offentlig. Hvis en bot ilegges av det nederlandske datatilsynet som følge av databruddet, vil denne avgjørelsen bli offentliggjort. Et databrudd offentliggjøres også når registrerte må informeres om databruddet. Meldingen til den registrerte skal uansett angi overtredelsens art og hvilke myndigheter den registrerte kan få mer informasjon om overtredelsen. Det skal også fremgå hva den registrerte selv kan gjøre for å begrense de negative konsekvensene av databruddet. For eksempel å endre brukernavn og passord når de kan ha blitt kompromittert av bruddet.

Hva skal jeg rapportere?
En melding til den nederlandske datatilsynet inkluderer:

• Melderen av datainnbruddet.
• Personen som det nederlandske datatilsynet kan kontakte for ytterligere informasjon om rapporten.
• Et sammendrag av hendelsen der bruddet på personopplysningssikkerheten skjedde.
• Tidspunktet for overtredelsen.
• Arten av overtredelsen.
• Hvilken type personopplysninger det gjelder.
• Konsekvensene som krenkelsen kan få for personvernet til de involverte.
• De tekniske og organisatoriske tiltakene som Autosoft BV har tatt for å takle overtredelsen og for å forhindre ytterligere krenkelser.
• Hvorvidt Autosoft BV har rapportert databruddet til de registrerte, og hvis ikke, om Autosoft BV har til hensikt å gjøre dette:
• I så fall innholdet i meldingen til de registrerte.
• Hvis ikke, årsaken til at Autosoft BV avstår fra å rapportere databruddet til de registrerte.
• Har personopplysningene blitt kryptert, hashet eller på annen måte gjort uforståelig eller utilgjengelig for uvedkommende?

Del 2: Standard behandlingsklausuler

Versjon: september 2019
Utgjør sammen med Data Pro-erklæringen behandlingsavtalen og er et vedlegg til avtalen og de medfølgende vedleggene som gjeldende generelle vilkår og betingelser.

Artikkel 1. Definisjoner

Begrepene nedenfor har følgende betydninger i disse standardklausulene for behandling, i Data Pro-erklæringen og i avtalen:

• 1.1 Nederlandsk datatilsyn (AP): tilsynsmyndighet, som beskrevet i artikkel 4 nr. 21 i Avg.
• 1.2 AVG: den generelle databeskyttelsesforordningen.
• 1.3 Databehandler: part som som IKT-leverandør behandler personopplysninger til fordel for sin klient i forbindelse med gjennomføringen av avtalen.
• 1.4 Data Pro-erklæring: erklæring fra databehandler der den gir informasjon med hensyn til tiltenkt bruk av produktet eller tjenesten, sikkerhetstiltak som er tatt, underbehandlere, datalekkasjer, sertifiseringer og håndtering av rettigheter til registrerte.
• 1.5 Registrert subjekt (registrert): en identifisert eller identifiserbar fysisk person.
• 1.6 Klient: part på hvis vegne Databehandler behandler personopplysninger. Klienten kan enten være en kontroller ("kontrollør") eller en annen prosessor.
• 1.7 Avtale: avtalen mellom Oppdragsgiver og Databehandler, på grunnlag av hvilken IKT-leverandøren leverer tjenester og/eller produkter til Oppdragsgiver, som databehandleravtalen er en del av.
• 1.8 Personopplysninger: all informasjon om en identifisert eller identifiserbar fysisk person, som beskrevet i artikkel 4, under 1 AVG, som databehandler behandler i forbindelse med utførelsen av sine forpliktelser som følger av avtalen.
• 1.9 Behandleravtale: disse standardklausulene for behandling, som sammen med Data Pro Statement (eller sammenlignbar informasjon) fra Databehandler utgjør behandlingsavtalen som referert til i artikkel 28, nr. 3 i GDPR.

Artikkel 2. Generelt

• 2.1 Disse standardbehandlingsklausulene gjelder for all behandling av personopplysninger som databehandler gjør i forbindelse med levering av sine produkter og tjenester og for alle avtaler og tilbud. Anvendeligheten av Kundens behandlingsavtaler avvises uttrykkelig.
• 2.2 Data Pro-erklæringen, og spesielt sikkerhetstiltakene i den, kan endres av databehandler fra tid til annen for å gjenspeile endrede omstendigheter. Databehandler vil informere Kunden om vesentlige endringer. Dersom Kunden ikke med rimelighet kan godta justeringene, har Kunden rett til å si opp behandlingsavtalen skriftlig innen 30 dager etter varsel om justeringene.
• 2.3 Databehandler behandler personopplysningene på vegne av og på vegne av Kunden i samsvar med de skriftlige instruksjonene fra Kunden som er avtalt med Databehandleren.
• 2.4 Kunden, eller dens kunde, er behandlingsansvarlig i henhold til GDPR, har kontroll over behandlingen av personopplysningene og har bestemt formålet med og måten å behandle personopplysningene på.
• 2.5 Databehandler er en databehandler i henhold til GDPR og har derfor ingen kontroll over formålet og midlene for å behandle personopplysningene og tar derfor ingen beslutninger om blant annet bruken av personopplysningene.
• 2.6 Databehandler implementerer GDPR som nedfelt i disse standardklausulene for behandling, Data Pro-erklæringen og avtalen. Det er opp til Kunden å vurdere på bakgrunn av denne informasjonen om Databehandler gir tilstrekkelige garantier med hensyn til anvendelse av hensiktsmessige tekniske og organisatoriske tiltak slik at behandlingen oppfyller kravene i GDPR og beskyttelse av de registrertes rettigheter. er tilstrekkelig garantert.
• 2.7 Kunden garanterer overfor databehandleren at den handler i samsvar med GDPR, at den til enhver tid beskytter sine systemer og infrastruktur tilstrekkelig og at innholdet, bruken og/eller behandlingen av personopplysningene ikke er ulovlige og ikke krenker noen rettigheter. av en tredjepart.
• 2.8 En administrativ bot pålagt Kunden av AP kan ikke inndrives fra Databehandler.

Artikkel 3. Sikkerhet

• 3.1 Databehandler tar de tekniske og organisatoriske sikkerhetstiltakene, som beskrevet i Data Pro-erklæringen. Når databehandleren har tatt de tekniske og organisatoriske sikkerhetstiltakene, har databehandleren tatt hensyn til den nyeste teknologien, implementeringskostnadene for sikkerhetstiltakene, arten, omfanget og konteksten av behandlingen, formålene og den tiltenkte bruken av produktene og tjenestene. , behandlingsrisikoene og risikoene som er forskjellige i sannsynlighet og alvorlighetsgrad for rettighetene og frihetene til datasubjekter som han kunne forvente i lys av den tiltenkte bruken av produktene og tjenestene hans.
• 3.2 Med mindre annet er uttrykkelig angitt i Data Pro-erklæringen, er ikke databehandlerens produkt eller tjeneste utformet for å behandle spesielle kategorier av personopplysninger eller data angående straffedommer eller lovbrudd eller offentlig utstedte personnumre.
• 3.3 Databehandler etterstreber å sikre at sikkerhetstiltakene som skal iverksettes er hensiktsmessige for den tiltenkte bruken av produktet eller tjenesten av Databehandleren.
• 3.4 Etter kundens mening tilbyr de beskrevne sikkerhetstiltakene, med hensyn til faktorene nevnt i artikkel 3.1, et sikkerhetsnivå skreddersydd for risikoen ved behandlingen av personopplysningene som brukes eller leveres av den.
• 3.5 Databehandler kan foreta endringer i sikkerhetstiltakene som er iverksatt dersom dette etter hans mening er nødvendig for fortsatt å gi et passende sikkerhetsnivå. Databehandler vil registrere viktige endringer, for eksempel i en endret Data Pro Statement, og vil informere Kunden om disse endringene der det er relevant.
• 3.6 Kunden kan be Databehandler om å ta ytterligere sikkerhetstiltak. Databehandler er ikke forpliktet til å gjøre endringer i sine sikkerhetstiltak på en slik forespørsel. Databehandler kan belaste kostnadene knyttet til endringene som gjøres på forespørsel fra Kunden til Kunden. Først etter at de endrede sikkerhetstiltakene Kunden ønsker er skriftlig avtalt og signert av Partene, er Databehandler forpliktet til å faktisk gjennomføre disse sikkerhetstiltakene.

Artikkel 4. Brudd på personopplysninger

• 4.1 Databehandler garanterer ikke at sikkerhetstiltakene er effektive under alle omstendigheter. Hvis databehandler oppdager et brudd i forbindelse med personopplysninger (som henvist til i artikkel 4 under 12 Avg), vil den informere kunden uten unødig forsinkelse. Data Pro Statement (under datalekkasjeprotokoll) angir hvordan Databehandler informerer Kunden om brudd i forbindelse med Personopplysninger.
• 4.2 Det er opp til behandlingsansvarlig (klient, eller dennes kunde) å vurdere om personopplysningsbruddet som databehandler har informert om skal rapporteres til AP eller den registrerte. Rapportering av brudd i forbindelse med personopplysninger, som må rapporteres til AP og/eller registrerte i henhold til artikkel 33 og 34 GDPR, forblir den behandlingsansvarliges (klienten eller dennes kunde) ansvaret til enhver tid. Databehandler er ikke forpliktet til å rapportere brudd på personopplysninger til AP og/eller den registrerte.
• 4.3 Databehandler vil, om nødvendig, gi ytterligere informasjon om bruddet i forbindelse med personopplysninger og vil samarbeide med nødvendig informasjonsutlevering til Kunden med henblikk på en melding som referert til i artikkel 33 og 34 Avg.
• 4.4 Databehandler kan belaste Kunden for de rimelige kostnadene den pådrar seg i denne sammenhengen til gjeldende priser.

Artikkel 5. Konfidensialitet

• 5.1 Databehandler garanterer at de som behandler personopplysninger under dens ansvar har taushetsplikt.
• 5.2 Databehandler har rett til å utlevere personopplysningene til tredjeparter, dersom og i den grad det er nødvendig i henhold til rettsavgjørelse, lovforskrift eller på grunnlag av autorisert pålegg fra myndighet.
• 5.3 All tilgangs- og/eller identifikasjonskoder, sertifikater, informasjon angående tilgang og/eller passordpolicy gitt av databehandler til klient og all informasjon gitt av databehandler til klient som implementerer de tekniske og organisatoriske sikkerhetstiltakene som er inkludert i Data Pro-erklæringen, er konfidensielle. og vil bli behandlet som sådan av klienten og kun gjort kjent for autoriserte ansatte hos klienten. Kunden sikrer at dens ansatte overholder forpliktelsene i denne artikkelen.

Artikkel 6. Varighet og oppsigelse

• 6.1 Denne prosessoravtalen utgjør en del av avtalen og enhver ny eller ytterligere avtale som følger av den, trer i kraft på tidspunktet for inngåelse av avtalen og inngås på ubestemt tid.
• 6.2 Denne prosessoravtalen opphører ved lov ved oppsigelse av avtalen eller enhver ny eller ytterligere avtale mellom partene.
• 6.3 Ved utløp av behandlingsavtalen vil Databehandler slette alle Personopplysninger som er i sin besittelse og mottatt fra Kunden innenfor vilkåret som er inkludert i Data Pro Statement på en slik måte at de ikke lenger kan brukes og ikke lenger er tilgjengelig (gjør utilgjengelig). , eller, hvis avtalt, returner den til klienten i et maskinlesbart format.
• 6.4 Databehandler kan belaste kunden for eventuelle kostnader den pådrar seg i forbindelse med bestemmelsene i artikkel 6.3. Nærmere avtaler om dette kan nedfelles i Data Pro Statement.
• 6.5 Bestemmelsene i artikkel 6.3 gjelder ikke dersom en lovbestemt forskrift hindrer databehandleren i å helt eller delvis fjerne eller returnere personopplysningene. I et slikt tilfelle vil databehandler kun fortsette å behandle personopplysningene i den grad det er nødvendig i henhold til sine juridiske forpliktelser. Bestemmelsene i artikkel 6.3 gjelder heller ikke dersom databehandleren er behandlingsansvarlig i henhold til GDPR med hensyn til personopplysningene.

Artikkel 7. Datasubjekters rettigheter, databeskyttelseskonsekvensvurdering (DPIA) og revisjonsrettigheter

• 7.1 Databehandler vil, der det er mulig, samarbeide med rimelige forespørsler fra Kunden knyttet til rettighetene til Datasubjekter påberopt Kunden av Data Subjekter. Hvis databehandler blir kontaktet direkte av en registrert, vil han henvise denne personen til kunden der det er mulig.
• 7.2 Hvis Kunden er forpliktet til å gjøre det, vil Databehandler samarbeide med en databeskyttelseskonsekvensvurdering (DPIA) eller en påfølgende forhåndskonsultasjon som referert til i Artikkel 35 og 36 Avg.
• 7.3 Databehandler vil samarbeide med forespørsler fra Kunden om fjerning av personopplysninger i den grad Kunden ikke kan utføre dette selv.
• 7.4 På forespørsel fra Kunden vil Databehandler også gjøre all ytterligere informasjon tilgjengelig som er rimelig nødvendig for å påvise samsvar med avtalene som er inngått i denne behandlingsavtalen. Dersom Oppdragsgiver likevel har grunn til å tro at behandlingen av Personopplysninger ikke skjer i henhold til behandlingsavtalen, kan denne konsulteres maksimalt én gang i året av en uavhengig, sertifisert ekstern ekspert som har påviselig erfaring med typen behandling som utføres på grunnlag av Avtalen, få utført revisjon for Kundens regning. Revisjonen vil være begrenset til å kontrollere etterlevelse av avtalene om behandling av personopplysninger som fastsatt i denne Behandleravtalen. Den sakkyndige vil ha taushetsplikt om det han finner og vil kun rapportere til Oppdragsgiver det som medfører en mangel i oppfyllelse av plikter Databehandler har etter denne databehandleravtalen. Eksperten vil gi en kopi av rapporten sin til databehandler. Databehandler kan nekte en revisjon eller instruks fra eksperten dersom dette etter dens mening bryter med GDPR eller annen lovgivning eller utgjør et utillatelig brudd på sikkerhetstiltakene den har iverksatt.
• 7.5 Partene vil så snart som mulig rådføre seg om resultatene av rapporten. Partene vil følge de foreslåtte forbedringstiltakene som er fastsatt i rapporten i den grad dette med rimelighet kan forventes av dem. Databehandler vil implementere de foreslåtte forbedringstiltakene i den utstrekning de er hensiktsmessige etter dens oppfatning, tatt i betraktning behandlingsrisikoen knyttet til produktet eller tjenesten, den nyeste teknologien, implementeringskostnadene, markedet den opererer i, og den tiltenkte bruken av produktet eller tjenesten. tjenesten.
• 7.6 Databehandler har rett til å belaste kunden for kostnadene den pådrar seg i forbindelse med bestemmelsene i denne artikkelen.

Artikkel 8. Underprosessorer

• 8.1 Databehandler har oppgitt i Data Pro-erklæringen om, og i så fall hvilke tredjeparter (underbehandler eller underbehandler) Databehandler engasjerer seg i behandlingen av personopplysningene.
• 8.2 Kunden gir Databehandler tillatelse til å engasjere andre underbehandlere til å utføre sine forpliktelser som følger av Avtalen.
• 8.3 Databehandleren vil informere Kunden om en endring i tredjepartene som er engasjert av Databehandleren, for eksempel ved hjelp av en endret Data Pro Statement. Kunden har rett til å protestere mot ovennevnte endring fra Databehandler. Databehandler sikrer at tredjepartene engasjert av denne forplikter seg til samme sikkerhetsnivå med hensyn til beskyttelse av personopplysninger som det sikkerhetsnivået Databehandler er bundet til overfor Kunden på grunnlag av Data Pro Statement.

Artikkel 9. Annet

Disse standardbehandlingsklausulene, sammen med Data Pro-erklæringen, utgjør en integrert del av avtalen. Alle rettigheter og plikter etter avtalen, inkludert gjeldende generelle vilkår og/eller ansvarsbegrensninger, gjelder derfor også for behandlingsavtalen.