Privatlivspolitik

Analytics.iqnordic.com er en hjemmeside, der fremviser vores produkter inden for ”IQN Analytics”. Den relevante persondatalovgivning, der aktuelt gælder for behandling af personoplysninger, er reguleret i Databeskyttelsesforordningen (Forordning nr. 2016/679 af 27. april 2016).

Denne privatlivspolitik omhandler behandlingen af personoplysninger i tilfælde, hvor vi enten er dataansvarlig eller databehandler i forbindelse med besøg på vores hjemmeside og brug af vores webbaserede platform: https://analytics.iqnordic.com/

I denne henseende er vi forpligtede, jf. Databeskyttelsesforordningen (herefter ”GDPR”) artikel 13, til at informere dig som registreret om dine rettigheder og andre relevante oplysninger, du har ret til at kende.

1. Hvem behandler dine personoplysninger?

IQ nordic ApS (herefter ”os” og ”vi”) ejer IQN Analytics og er i de fleste tilfælde databehandlere på vegne af vores kunder. Vi er dataansvarlige, og du kan kontakte os via kontaktoplysningerne nedenfor.

Hvis du ikke ved, hvem du skal kontakte, opfordrer vi dig til at kontakte os ved at bruge følgende kontaktoplysninger:

• Adresse: Esperlundvej 6
• Postnummer: 8653 Them
• Land: Danmark
• CVR: 43180703
• E-mail: kontakt@iqnordic.com
• Telefon: +45 40 63 13 00
• Att.: Michael Sønderskov Andersen

2. Hvilke personoplysninger behandler vi?

Personoplysninger omfatter enhver information om en identificerbar person.

2.1 Hjemmeside

Vi behandler personoplysninger, når du besøger vores hjemmeside. Dette inkluderer placeringsdata og IP-adresse.

2.2 Nyhedsbreve

Hvis du accepterer at modtage nyhedsbreve, vil vi behandle din e-mail i denne forbindelse.

2.3 Undersøgelse (IQN Analytics) - Business to Business

Hvis du vælger at indgå en kontrakt med IQ nordic, vil du indgå en databehandleraftale. Når du bruger IQN Analytics, behandler vi dit navn, e-mail og arbejdsplads/organisation. Derudover behandler vi de personoplysninger, du vælger at indtaste i fritekstfeltet.

3. Formålet med at behandle dine personoplysninger

3.1 Hjemmeside

Formålet med at behandle dine personoplysninger, når du besøger hjemmesiden, er at forbedre vores indhold og funktioner. Hvis du ikke ønsker, at vi indsamler dine personoplysninger, bør du slette dine cookies.

3.2 Nyhedsbreve

Formålet med at sende nyhedsbreve er vores interesse i at reklamere og sende markedsføringsmateriale.

4. Vores juridiske grundlag for at behandle dine personoplysninger

Vi behandler ikke følsomme personoplysninger i henhold til GDPR artikel 9.

4.1 Hjemmeside

Når du besøger vores hjemmeside, er det relevante juridiske grundlag GDPR artikel 6(1)(a) og (f). Dit samtykke i henhold til artikel 6(1)(a) kan altid trækkes tilbage. Når du besøger vores hjemmeside, gøres dette ved at ændre indstillingerne for cookies. I nogle tilfælde opbevarer vi dine personoplysninger. Hvis vi gør det, er det juridiske grundlag GDPR artikel 6(1)(f). Vores legitime interesse i henhold til artikel 6(1)(f) er forbedringer af vores hjemmeside, hvilket betyder, at personoplysninger til dette formål kan behandles, selvom samtykket trækkes tilbage.

4.2 Nyhedsbreve

Vores juridiske grundlag for at sende nyhedsbreve er GDPR artikel 6(1)(a). Du kan afmelde nyhedsbreve i de nyhedsbreve, du modtager fra os.

4.3 Undersøgelse (IQN Analytics) - Business to Business

Vores juridiske grundlag for at behandle dine data, når du indgår en aftale med os, er GDPR artikel 6(1)(b).

5. Hvem deler vi dine personoplysninger med?

Vi deler dine data med følgende tredjeparter/underbehandlere:

6. Cookies, vi bruger

6.1 Vores hjemmeside bruger cookies

En cookie er en lille tekstfil, der kan bruges af hjemmesider for at gøre brugerens oplevelse mere effektiv. Cookies gør det muligt for hjemmesiden at genkende din computer, indsamle oplysninger om, hvilke sider og funktioner der besøges med din browser, og sikre, at hjemmesiden er teknisk funktionel. Cookies er den eneste måde at få hjemmesiden til at fungere som tiltænkt. Cookies bruges af stort set alle hjemmesider.

6.2 Lovgivningen

Loven siger, at vi kan gemme cookies på din enhed, hvis de er strengt nødvendige for driften af vores hjemmeside. For alle andre typer cookies skal vi have dit samtykke. Du kan til enhver tid ændre eller trække dit samtykke tilbage fra cookieerklæringen på vores hjemmeside.

6.3 Typer af cookies

• Nødvendige cookies hjælper med at gøre en hjemmeside brugbar ved at aktivere grundlæggende funktioner som sidenavigation og adgang til sikre områder på hjemmesiden. Hjemmesiden kan ikke fungere korrekt uden disse cookies.
• Præferencecookies gør det muligt for en hjemmeside at huske oplysninger, der ændrer måden, hjemmesiden opfører sig eller ser ud, som dit foretrukne sprog eller den region, du befinder dig i.
• Statistikcookies hjælper hjemmesideejere med at forstå, hvordan besøgende interagerer med hjemmesider ved at indsamle og rapportere oplysninger anonymt.
• Markedsføringscookies bruges til at spore besøgende på tværs af hjemmesider. Hensigten er at vise annoncer, der er relevante og engagerende for den enkelte bruger og dermed mere værdifulde for udgivere og tredjeparts annoncører.

6.4 Cookies, vi bruger på analytics.iqnordic.com

PHPSESSID: Disse cookies genereres af applikationer baseret på PHP-sproget. Dette er en generel identifikator, der bruges til at opretholde brugerens sessionsvariabler. Udløber efter 10 timer.

Prism_611059676: Denne cookie er nødvendig for, at hjemmesiden kan fungere. Udløber efter 1 måned.

YSC: Denne cookie sættes af YouTube for at spore visninger af indlejrede videoer. Udløber efter afsluttet session.

VISITOR_INFO1_LIVE: Denne cookie sættes af YouTube for at holde styr på brugerpræferencer for YouTube-videoer indlejret på hjemmesider. Den kan også afgøre, om hjemmesidens besøgende bruger den nye eller gamle version af YouTube-grænsefladen. Udløber efter 6 måneder.

ac_enable_tracking: Denne cookie sættes af Active Campaign for at bekræfte, at sporing er aktiveret for hjemmesiden. Sporing bruges til at lave rapporter om vores webtrafik. Udløber efter 1 måned.

cookie_notice_accepted: Hjemmesiden gemmer din accept af cookies via en cookie. Udløber efter 1 år.

6.5 Cookies, vi bruger på IQN Analytics

• Når du besvarer spørgeskemaet, gemmer hjemmesiden cookies, der hjælper serveren med at registrere og knytte dine svar samt de spørgsmål, du allerede har besvaret.
• Siden kan indeholde videoer indlejret på siden via YouTube, Vimeo eller andre videotjenester, der bruger cookies til at registrere, hvilken video der vises, og hvor meget af videoen du har set. Disse cookies udløber efter 1-2 år.
• Administratorer, der logger ind på siden, autentificeres via en cookie-token. Hjemmesiden identificerer det passende spørgeskema, skabelon, sprog og opsætning via fire cookies: survey_id, template_id, lang_id og setup_id. Hjemmesiden gemmer din accept af cookies via cookieAccept.

7. Hvor længe opbevarer vi dine personoplysninger?

Vi sletter dine personoplysninger, der er registreret hos os, når de ikke længere er nødvendige for det eller de formål, hvortil dataene blev indsamlet og behandlet.

7.1 Hjemmeside

Vores juridiske grundlag for at gemme og behandle dine personoplysninger er samtykke. Vi forbeholder os retten til at behandle og gemme dine personoplysninger, selvom du trækker dit samtykke tilbage. Vores juridiske grundlag for dette er vores legitime interesse i henhold til GDPR artikel 6(1)(f). Vores specifikke formål er forbedring af vores hjemmesider. Hvis dine data bruges til dette formål, vil de blive slettet, når vores legitime interesse ikke længere er relevant.

7.2 Nyhedsbreve

Vi gemmer og behandler dine personoplysninger, så længe vi har dit samtykke. Hvis du trækker det tilbage, forbeholder vi os retten til en sletteperiode på 2 måneder.

7.3 Undersøgelse (IQN Analytics) - Business to Business

I tilfælde, hvor vi er databehandler, hvis ingen forpligtelse eller instruktion er blevet givet af den dataansvarlige om at slette eller destruere personoplysninger, kan vi som databehandler opbevare personoplysningerne i op til 12 måneder efter ophør.

7.4 Undersøgelse (IQN Analytics) - Gratis prøve

I tilfælde, hvor du vælger ikke at fortsætte dit abonnement, vil vi opbevare dine personoplysninger i op til 3 måneder efterfølgende. Hvis du ønsker at fortsætte samarbejdet, vil dine personoplysninger blive behandlet og gemt i hele kontraktens varighed. Ved ophør forbeholder vi os retten til en sletteperiode på op til 3 måneder.

Uanset slettefristerne i denne privatlivspolitik eller dem, der er angivet i en databehandleraftale, vil vi opbevare kontodata i den periode, der kræves i henhold til national eller international lovgivning. Dette inkluderer de oplysninger, vi skal opbevare i henhold til skatte- og regnskabsregler.

8. Dine rettigheder

GDPR giver dig flere rettigheder i forbindelse med vores behandling af oplysninger om dig. Disse rettigheder afhænger af det juridiske grundlag, jf. artikel 6, hvilket betyder, at du i nogle tilfælde ikke er berettiget til dem alle. Hvis du ønsker at udøve dine rettigheder, bedes du kontakte os. Du kan se vores kontaktoplysninger i afsnit 1.

Dine rettigheder er:

• Ret til at se oplysninger (indsigtsret): Uanset hvilket juridisk grundlag vi bruger, jf. afsnit 4, har du altid ret til at få adgang til de oplysninger, vi behandler om dig.
• Ret til berigtigelse (korrektion): Uanset hvilket juridisk grundlag vi bruger, jf. afsnit 4, har du altid ret til at få urigtige oplysninger om dig selv korrigeret, så de er korrekte.
• Ret til sletning: Du har ret til at få oplysninger om dig slettet, før datoen for vores generelle regler om sletning, jf. afsnit 6, indtræffer. Vi kan dog være bundet af en juridisk forpligtelse til ikke at slette dine oplysninger, jf. afsnit 6 om f.eks. årsregnskabsloven.
• Ret til begrænsning af behandling: Uanset hvilket juridisk grundlag vi bruger, jf. afsnit 4, har du altid ret til at få behandlingen af dine personoplysninger begrænset. Vi bruger kun dine personoplysninger til de formål, der er beskrevet i afsnit 3.
• Ret til indsigelse: I visse tilfælde har du ret til at gøre indsigelse mod vores behandling af dine personoplysninger. Dette gælder ikke i tilfælde, hvor det juridiske grundlag er GDPR artikel 6(1)(b), eller i tilfælde, hvor vi er juridisk forpligtede til at gemme og behandle dine personoplysninger.
• Ret til dataportabilitet: Du har ret til at modtage en kopi af dine personoplysninger. Dette gælder dog ikke i tilfælde, hvor det juridiske grundlag er GDPR artikel 6(1)(f).
• Ret til at trække dit samtykke tilbage: I tilfælde, hvor behandlingen er baseret på samtykke, kan du til enhver tid trække dit samtykke tilbage. Hvis du vælger at trække dit samtykke tilbage, vil det ikke påvirke lovligheden af vores behandling af dine personoplysninger baseret på tidligere samtykke og op til tidspunktet for din anmodning om tilbagetrækning. Dette betyder, at hvis du trækker dit samtykke tilbage, vil det kun få virkning fra dette tidspunkt.

9. Klager

Du kan til enhver tid indgive en klage til Datatilsynet. Vi anbefaler, at du indgiver en klage til os, før du indgiver en klage til Datatilsynet. I de fleste tilfælde vil databeskyttelsesmyndigheden ikke behandle din klage, før du kan dokumentere, at du har klaget til os.

Du kan læse mere om dette på www.datatilsynet.dk eller kontakte dem her:

• Adresse: Carl Jacobsens Vej 35
• Postnummer: 2500 Valby
• Land: Danmark
• Telefon: +45 33 19 32 00
• E-mail: dt@datatilsynet.dk

IQ nordic
Februar 2026

DATABEHANDLERAFTALE

IQ nordic / IQN Analytics

Dato: Januar 2026

Til formål i artikel 28, stk. 3, i forordning 2016/679 (GDPR)

Databehandleraftale mellem

IQ nordic
CVR: 43180703
Esperlundvej 6
8653 Them
Danmark
(databehandleren)

og

Deres virksomhed
Hvis du i øjeblikket bruger IQN Analytics og ønsker en underskrevet DPA, kontakt venligst kontakt@iqnordic.com
(datakontrolløren)

hver en part, sammen parterne

HAR AFTALT følgende kontraktlige klausuler (klausulerne) for at opfylde kravene i GDPR og for at sikre beskyttelsen af datasubjektets rettigheder.

Indhold

• Indledning
• Datakontrollørens rettigheder og forpligtelser
• Databehandleren handler i henhold til instruktioner
• Fortrolighed
• Behandlingssikkerhed
• Brug af underbehandlere
• Overførsel af data til tredjelande eller internationale organisationer
• Assistance til datakontrolløren
• Meddelelse om brud på persondatasikkerheden
• Sletning og returnering af data
• Revision og inspektion
• Parternes aftale om andre vilkår
• Ikrafttræden og opsigelse
• Bilag A Information om behandlingen
• Bilag B Godkendte underbehandlere
• Bilag C Instruktion vedrørende brug af persondata

Indledning

1. Disse kontraktlige klausuler (klausulerne) fastsætter rettighederne og forpligtelserne for datakontrolløren og databehandleren, når persondata behandles på vegne af datakontrolløren.
2. Klausulerne er udformet for at sikre parternes overholdelse af artikel 28, stk. 3, i Europaparlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (den generelle databeskyttelsesforordning).
3. I forbindelse med leveringen af en digital platform og app vil databehandleren behandle persondata på vegne af datakontrolløren i overensstemmelse med klausulerne.
4. Klausulerne har forrang for eventuelle lignende bestemmelser i andre aftaler mellem parterne.
5. Fire bilag er vedhæftet klausulerne og udgør en integreret del af klausulerne.
6. Bilag A indeholder detaljer om behandlingen af persondata, herunder formålet og arten af behandlingen, typen af persondata, kategorier af datasubjekter og varigheden af behandlingen.
7. Bilag B indeholder datakontrollørens betingelser for databehandlerens brug af underbehandlere og en liste over underbehandlere godkendt af datakontrolløren.
8. Bilag C indeholder datakontrollørens instruktioner vedrørende behandlingen af persondata, de minimale sikkerhedsforanstaltninger, der skal implementeres af databehandleren, og hvordan revisioner af databehandleren og eventuelle underbehandlere skal udføres.
9. Bilag D indeholder bestemmelser for andre aktiviteter, der ikke er dækket af klausulerne.
10. Klausulerne sammen med bilag skal opbevares skriftligt, herunder elektronisk, af begge parter.
11. Klausulerne fritager ikke databehandleren fra forpligtelser, som databehandleren er underlagt i henhold til den generelle databeskyttelsesforordning (GDPR) eller anden lovgivning.

Datakontrollørens rettigheder og forpligtelser

1. Datakontrolløren er ansvarlig for at sikre, at behandlingen af persondata sker i overensstemmelse med GDPR (se artikel 24 GDPR), de gældende EU- eller medlemsstatsbestemmelser om databeskyttelse og klausulerne.
2. Datakontrolløren har rettighed og forpligtelse til at træffe beslutninger om formål og midler til behandlingen af persondata.
3. Datakontrolløren er blandt andet ansvarlig for at sikre, at behandlingen af persondata, som databehandleren er instrueret i at udføre, har et lovligt grundlag.

Databehandleren handler i henhold til instruktioner

1. Databehandleren skal behandle persondata kun på dokumenterede instruktioner fra datakontrolløren, medmindre det kræves af EU- eller medlemsstatslovgivning, som behandleren er underlagt. Sådanne instruktioner skal specificeres i bilag A og C. Efterfølgende instruktioner kan også gives af datakontrolløren i hele behandlingsperioden, men sådanne instruktioner skal også dokumenteres og opbevares skriftligt, herunder elektronisk, i forbindelse med klausulerne.
2. Databehandleren skal straks informere datakontrolløren, hvis instruktioner givet af datakontrolløren efter databehandlerens mening strider mod GDPR eller de gældende EU- eller medlemsstatsbestemmelser om databeskyttelse.

Fortrolighed

1. Databehandleren skal kun give adgang til persondata, der behandles på vegne af datakontrolløren, til personer under databehandlerens myndighed, der har forpligtet sig til fortrolighed eller er under en passende lovbestemt fortrolighedsforpligtelse, og kun på basis af behov for at vide. Listen over personer, der er givet adgang, skal holdes under periodisk gennemgang. På basis af denne gennemgang kan sådan adgang til persondata trækkes tilbage, hvis adgang ikke længere er nødvendig, og persondata skal derefter ikke længere være tilgængelige for disse personer.
2. Databehandleren skal på anmodning fra datakontrolløren demonstrere, at de berørte personer under databehandlerens myndighed er underlagt den ovennævnte fortrolighed.

Behandlingssikkerhed

1. Artikel 32 GDPR bestemmer, at datakontrolløren og databehandleren, under hensyn til det aktuelle tekniske niveau, implementeringsomkostninger og behandlingsart, omfang, sammenhæng og formål samt de varierende sandsynligheder og alvorligheder for risiko for fysiske personers rettigheder og friheder, skal implementere passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der er passende for risikoen.

   Datakontrolløren skal vurdere risikoen for fysiske personers rettigheder og friheder, der er iboende i behandlingen, og implementere foranstaltninger til at mindske disse risikoer. Afhængig af deres relevans kan foranstaltningerne omfatte følgende:

   • a. Pseudonymisering og kryptering af persondata;
   • b. evnen til at sikre løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed i behandlingsystemer og -tjenester;
   • c. evnen til at genoprette tilgængelighed og adgang til persondata rettidigt i tilfælde af en fysisk eller teknisk hændelse;
   • d. en proces til regelmæssig test, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger for at sikre behandlingens sikkerhed.
2. Ifølge artikel 32 GDPR skal databehandleren også - uafhængigt af datakontrolløren - vurdere risikoen for fysiske personers rettigheder og friheder, der er iboende i behandlingen, og implementere foranstaltninger til at mindske disse risikoer. Til dette formål skal datakontrolløren give databehandleren alle nødvendige informationer til at identificere og vurdere sådanne risikoer.
3. Desuden skal databehandleren bistå datakontrolløren med at sikre overholdelse af datakontrollørens forpligtelser i henhold til artikel 32 GDPR, ved bl.a. at give datakontrolløren information om de tekniske og organisatoriske foranstaltninger, der allerede er implementeret af databehandleren i henhold til artikel 32 GDPR, sammen med alle andre informationer, der er nødvendige for datakontrolløren til at overholde datakontrollørens forpligtelse i henhold til artikel 32 GDPR.

   Hvis efterfølgende - i datakontrollørens vurdering - mindske de identificerede risikoer kræver yderligere foranstaltninger, der skal implementeres af databehandleren, end dem, der allerede er implementeret af databehandleren i henhold til artikel 32 GDPR, skal datakontrolløren specificere disse yderligere foranstaltninger, der skal implementeres i bilag C.

Brug af underbehandlere

1. Databehandleren skal opfylde kravene specificeret i artikel 28, stk. 2 og 4, GDPR for at engagere en anden behandler (en underbehandler).
2. Databehandleren skal derfor ikke engagere en anden behandler (underbehandler) til opfyldelse af klausulerne uden datakontrollørens forudgående generelle skriftlige godkendelse.
3. Databehandleren har datakontrollørens generelle godkendelse til engagement af underbehandlere. Databehandleren skal skriftligt informere datakontrolløren om eventuelle tiltænkte ændringer vedrørende tilføjelse eller erstatning af underbehandlere mindst 30 dage i forvejen, og dermed give datakontrolløren mulighed for at gøre indsigelse mod sådanne ændringer før engagement af den berørte underbehandler(e). Længere perioder for forudgående varsel for specifikke underbehandlings tjenester kan angives i bilag B. Listen over underbehandlere, der allerede er godkendt af datakontrolløren, kan findes i bilag B.
4. Hvor databehandleren engagerer en underbehandler til at udføre specifikke behandlingsaktiviteter på vegne af datakontrolløren, skal de samme databeskyttelsesforpligtelser, som er angivet i klausulerne, pålægges underbehandleren ved hjælp af en kontrakt eller anden juridisk akt i henhold til EU- eller medlemsstatslovgivning, især ved at give tilstrækkelige garantier for at implementere passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i klausulerne og GDPR.
5. Databehandleren er derfor ansvarlig for at kræve, at underbehandleren mindst overholder de forpligtelser, som databehandleren er underlagt i henhold til klausulerne og GDPR.
6. En kopi af sådan en underbehandleraftale og efterfølgende ændringer skal - på datakontrollørens anmodning - indsendes til datakontrolløren, og dermed give datakontrolløren mulighed for at sikre, at de samme databeskyttelsesforpligtelser, som er angivet i klausulerne, pålægges underbehandleren. Klausuler om forretningsrelaterede emner, der ikke påvirker det juridiske databeskyttelsesindhold i underbehandleraftalen, kræver ikke indsendelse til datakontrolløren.
7. Databehandleren skal aftale en tredjepartsbegunstiget klausul med underbehandleren, hvor - i tilfælde af databehandlerens konkurs - datakontrolløren skal være en tredjepartsbegunstiget til underbehandleraftalen og skal have ret til at håndhæve aftalen mod underbehandleren engageret af databehandleren, f.eks. muliggøre datakontrolløren at instruere underbehandleren til at slette eller returnere persondataene.
8. Hvis underbehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for datakontrolløren med hensyn til opfyldelsen af underbehandlerens forpligtelser. Dette påvirker ikke datasubjekternes rettigheder under GDPR - især dem, der er forudset i artikler 79 og 82 GDPR - mod datakontrolløren og databehandleren, herunder underbehandleren.

Overførsel af data til tredjelande eller internationale organisationer

1. Databehandleren må ikke overføre eller godkende overførsel af persondata til lande uden for EU og/eller det Europæiske Økonomiske Samarbejdsområde (EØS) uden datakontrollørens forudgående skriftlige samtykke. Hvis persondata, der behandles under denne aftale, overføres fra et land inden for det Europæiske Økonomiske Samarbejdsområde til et land uden for det Europæiske Økonomiske Samarbejdsområde, skal parterne sikre, at persondataene er tilstrækkeligt beskyttet. For at opnå dette skal parterne, medmindre andet er aftalt, stole på EU-godkendte standardkontraktklausuler for overførsel af persondata.
2. Hvis nogen overførsel til tredjelande eller internationale organisationer, som databehandleren ikke har modtaget instruktioner om fra datakontrolløren, kræves i henhold til EU- eller medlemsstatslovgivning, som databehandleren er underlagt, skal databehandleren informere datakontrolløren om dette juridiske krav før behandlingen, medmindre denne lov forbyder sådan information på vigtige grunde af offentlig interesse.
3. Uden dokumenterede instruktioner fra datakontrolløren kan databehandleren derfor inden for rammerne af klausulerne ikke:
   • a. overføre persondata til en datakontrollør eller en databehandler i et tredjeland eller i en international organisation
   • b. overføre behandlingen af persondata til en underbehandler i et tredjeland
   • c. få persondata behandlet af databehandleren i et tredjeland
4. Datakontrollørens instruktioner vedrørende overførsel af persondata til et tredjeland, herunder, hvis relevant, det overførselsværktøj i henhold til kapitel V i GDPR, som de er baseret på, skal angives i bilag C.6.
5. Klausulerne må ikke forveksles med standard databeskyttelsesklausuler i henhold til artikel 46, stk. 2, litra c og d, i GDPR, og klausulerne kan ikke bruges af parterne som et overførselsværktøj i henhold til kapitel V i GDPR.

Assistance til datakontrolløren

1. Under hensyntagen til behandlingsart skal databehandleren bistå datakontrolløren med passende tekniske og organisatoriske foranstaltninger, i det omfang dette er muligt, i opfyldelsen af datakontrollørens forpligtelser til at svare på anmodninger om udøvelse af datasubjektets rettigheder fastsat i kapitel III GDPR.

   Dette indebærer, at databehandleren skal, i det omfang dette er muligt, bistå datakontrolløren i datakontrollørens overholdelse af:

   • a. retten til at blive informeret ved indsamling af persondata fra datasubjektet
   • b. retten til at blive informeret, når persondata ikke er indhentet fra datasubjektet
   • c. datasubjektets ret til adgang
   • d. retten til berigtigelse
   • e. retten til sletning ("retten til at blive glemt")
   • f. retten til begrænsning af behandling
   • g. meddelelsesforpligtelse vedrørende berigtigelse eller sletning af persondata eller begrænsning af behandling
   • h. retten til dataportabilitet
   • i. retten til at gøre indsigelse
   • j. retten til ikke at være underlagt en afgørelse baseret udelukkende på automatiseret behandling, herunder profilering
2. Ud over databehandlerens forpligtelse til at bistå datakontrolløren i henhold til klausul 5.3., skal databehandleren desuden, under hensyntagen til behandlingsart og de informationer, der er tilgængelige for databehandleren, bistå datakontrolløren med at sikre overholdelse af:
   • a. Datakontrollørens forpligtelse til uden unødig forsinkelse og, hvor det er muligt, senest 72 timer efter at være blevet opmærksom på det, at underrette den kompetente tilsynsmyndighed om brud på persondatasikkerheden, medmindre bruddet på persondatasikkerheden ikke sandsynligvis medfører en risiko for fysiske personers rettigheder og friheder.
   • b. datakontrollørens forpligtelse til uden unødig forsinkelse at meddele datasubjektet brud på persondatasikkerheden, når bruddet på persondatasikkerheden sandsynligvis medfører en høj risiko for fysiske personers rettigheder og friheder.
   • c. datakontrollørens forpligtelse til at udføre en vurdering af virkningen af de planlagte behandlingsaktiviteter på beskyttelsen af persondata (en databeskyttelseskonsekvensvurdering);
   • d. datakontrollørens forpligtelse til at konsultere den kompetente tilsynsmyndighed før behandling, hvor en databeskyttelseskonsekvensvurdering indikerer, at behandlingen ville medføre en høj risiko i fravær af foranstaltninger taget af datakontrolløren til at mindske risikoen.
3. Parterne skal definere i bilag C de passende tekniske og organisatoriske foranstaltninger, hvormed databehandleren er forpligtet til at bistå datakontrolløren, samt omfanget og udstrækningen af den krævede assistance. Dette gælder for forpligtelserne forudset i klausul 8.1. og 2.

Meddelelse om brud på persondatasikkerheden

1. I tilfælde af ethvert brud på persondatasikkerheden skal databehandleren uden unødig forsinkelse efter at være blevet opmærksom på det, underrette datakontrolløren om bruddet på persondatasikkerheden.
2. Databehandlerens meddelelse til datakontrolløren skal, hvis muligt, ske inden for 24 timer efter, at databehandleren er blevet opmærksom på bruddet på persondatasikkerheden for at muliggøre, at datakontrolløren overholder datakontrollørens forpligtelse til at underrette den kompetente tilsynsmyndighed om bruddet på persondatasikkerheden, jf. artikel 33 GDPR.
3. I overensstemmelse med klausul 8.2.a skal databehandleren bistå datakontrolløren med at underrette den kompetente tilsynsmyndighed om bruddet på persondatasikkerheden, hvilket betyder, at databehandleren er forpligtet til at bistå med at indhente de informationer, der er anført nedenfor, som i henhold til artikel 33, stk. 3, GDPR skal angives i datakontrollørens underretning til den kompetente tilsynsmyndighed:
   • a. Persondataenes art, herunder hvor muligt kategorierne og det omtrentlige antal berørte datasubjekter og kategorierne og det omtrentlige antal berørte persondataregistreringer;
   • b. de sandsynlige konsekvenser af bruddet på persondatasikkerheden;
   • c. de foranstaltninger, der er truffet eller foreslås truffet af kontrolløren for at håndtere bruddet på persondatasikkerheden, herunder, hvor det er relevant, foranstaltninger til at mindske dets mulige negative virkninger.
4. Parterne skal definere i bilag C alle elementer, der skal tilvejebringes af databehandleren ved bistand til datakontrolløren i underretningen om et brud på persondatasikkerheden til den kompetente tilsynsmyndighed.

Sletning og returnering af data

1. Ved opsigelse af leveringen af persondatabehandlingstjenester skal databehandleren være forpligtet til at returnere alle persondata til datakontrolløren og slette eksisterende kopier, medmindre EU- eller medlemsstatslovgivning kræver opbevaring af persondataene.
2. Hvis ingen forpligtelse eller instruktion er givet af datakontrolløren til at slette eller returnere persondataene, må databehandleren beholde persondataene i op til 12 måneder efter opsigelse.

Revision og inspektion

1. Databehandleren skal stille alle nødvendige informationer til rådighed for datakontrolløren til at demonstrere overholdelse af forpligtelserne i artikel 28 og klausulerne og tillade og bidrage til revisioner, herunder inspektioner, udført af datakontrolløren eller en anden revisor bemyndiget af datakontrolløren.
2. Procedurer gældende for datakontrollørens revisioner, herunder inspektioner, af databehandleren og underbehandlere er specificeret i bilag C.7. og C.8.
3. Databehandleren skal være forpligtet til at give tilsynsmyndighederne, som i henhold til gældende lovgivning har adgang til datakontrollørens og databehandlerens faciliteter, eller repræsentanter, der handler på vegne af sådanne tilsynsmyndigheder, adgang til databehandlerens fysiske faciliteter ved fremvisning af passende identifikation.

Parternes aftale om andre vilkår

1. Parterne kan aftale andre klausuler vedrørende leveringen af persondatabehandlingstjenesten, der specificerer f.eks. ansvar, så længe de ikke direkte eller indirekte modsiger klausulerne eller skader datasubjektets grundlæggende rettigheder eller friheder og den beskyttelse, der ydes af GDPR.

Ikrafttræden og opsigelse

1. Klausulerne træder i kraft på datoen for begge parters underskrift.
2. Begge parter skal være berettiget til at kræve klausulerne genforhandlet, hvis ændringer i loven eller uhensigtsmæssighed i klausulerne giver anledning til sådan genforhandling.
3. Klausulerne gælder for varigheden af leveringen af persondatabehandlingstjenester. For varigheden af leveringen af persondatabehandlingstjenester kan klausulerne ikke opsiges, medmindre andre klausuler, der regulerer leveringen af persondatabehandlingstjenester, er aftalt mellem parterne.
4. Hvis leveringen af persondatabehandlingstjenester opsiges, og persondataene slettes eller returneres til datakontrolløren i henhold til klausul 10.1 og bilag C.4, kan klausulerne opsiges med skriftlig meddelelse af enhver part.

Bilag A Information om behandlingen

A.1 Formålet med databehandlerens behandling af persondata på vegne af datakontrolløren er:
med databehandlerens er at levere en webbaseret software til kortlægning af digitale kompetencer i organisationer, uddannelsesinstitutioner osv. Kompetencer kortlægges ved undersøgelser og generering af interaktive rapporter, hvor du kan oprette detaljerede baseline og benchmark rapporter.

A.2 Databehandlerens behandling af persondata på vegne af datakontrolløren skal hovedsageligt vedrøre (behandlingens art):
Databehandlerens behandling af persondata på vegne af datakontrolløren involverer primært:

• Indsamling
• Registrering
• Sletning

A.3 Behandlingen omfatter følgende typer persondata om datasubjekter:
De listede kategorier af data overføres direkte fra slutbrugeren til databehandleren. Datakontrolløren behandler ikke de listede kategorier af data:

• Navn
• Telefonnummer
• "Frie tekstfelter"

Datakontrolløren kan designe undersøgelser, hvor datakontrolløren kan spørge en bruger om alle typer persondata. Den webbaserede software er ikke beregnet til behandling af følsomme persondata i overensstemmelse med artikel 9 i GDPR. Som angivet i vores brugsvilkår tager vi som databehandler ikke ansvar, og vi forbyder strengt datakontrolløren at behandle følgende information:

• data om racial eller etnisk oprindelse, politiske meninger, religiøse eller filosofiske overbevisninger;
• genetiske data, biometriske data til unik identifikation;
• sundhedsrelaterede data
• fagforeningsmedlemskab;
• data om en persons seksuelle liv eller seksuelle orientering

A.4 Behandlingen omfatter følgende kategorier af datasubjekter:
Kan omfatte:

• Studerende
• Lærere
• Ansatte
• Borgere

A.5 Databehandlerens behandling af persondata på vegne af datakontrolløren kan udføres, når klausulerne træder i kraft. Behandlingen har følgende varighed:
Behandlingen er ikke tidsbegrænset ved indgåelse af bestemmelserne, da behandlingen fortsætter, indtil aftalen mellem parterne om levering af en digital platform og app ophører.

Bilag B Godkendte underbehandlere

B.1 Godkendte underbehandlere

Ved klausulernes ikrafttræden godkender datakontrolløren engagement af følgende underbehandlere:

Datakontrolløren skal ved klausulernes ikrafttræden godkende brugen af de ovennævnte underbehandlere til den beskrevne behandling for den part. Databehandleren skal ikke være berettiget - uden datakontrollørens eksplicitte skriftlige godkendelse - til at engagere en underbehandler til en "forskellig" behandling end den, der er aftalt, eller have en anden underbehandler udføre den beskrevne behandling.

B.2 Forudgående varsel for godkendelse af underbehandlere

Databehandleren skal give skriftlig meddelelse til datakontrolløren om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af underbehandlere, med mindst 30 dages forudgående skriftlig varsel. Dette giver datakontrolløren mulighed for at gøre indsigelse mod sådanne ændringer før brug af de respektive underbehandler(e). Databehandleren underretter datakontrolløren via e-mail til kontaktpersonen hos datakontrolløren, som specificeret.

Bilag C Instruktion vedrørende brug af persondata

C.1 Emnet for/instruktionen for behandlingen

Datakontrolløren instruerer herved databehandleren til at behandle datakontrollørens informationer til formål at levere databehandlerens digital platform og app.

C.2 Behandlingssikkerhed

Sikkerhedsniveauet skal tage hensyn til:

Behandlingen involverer en betydelig mængde generelle persondata, og derfor skal et standard sikkerhedsniveau etableres.

Databehandleren er derefter berettiget og forpligtet til at træffe beslutninger om de tekniske og organisatoriske sikkerhedsforanstaltninger, der skal implementeres for at etablere det nødvendige (og aftalte) sikkerhedsniveau.

Databehandleren skal dog i alle tilfælde og som minimum implementere følgende foranstaltninger, som aftalt med datakontrolløren:

IT Sikkerhedspolitik

• Databehandleren skal have informationssikkerhedspolitikker og procedurer på plads, der gennemgås årligt og godkendes af databehandlerens ledelse.
• Databehandleren skal have procedurer for udvikling/ændringsstyring, der er baseret på privacy-by-default og standardindstillinger.
• Hvor og når det er nødvendigt, skal databehandleren udføre en risikovurdering af behandlingsaktiviteterne involverende persondata. Risikovurderingen skal tage hensyn til integriteten, fortroligheden og tilgængeligheden af datasubjektets informationer.

Adgangskodepolitik og Brugerstyring

• Databehandleren skal have adgangskodepolitikker og brugerstyringspolitikker for almindelige konti og strengere retningslinjer for administrative og servicekonti. Disse politikker skal gennemgås årligt og godkendes af databehandlerens Tech Lead.
• Adgang gives baseret på princippet om "mindste privilegerede adgang." Dette betyder, at adgang kun gives til brugere, der har et nødvendigt behov for det.

Bærbare Medier

Databehandleren skal have procedurer for håndtering af bærbare og lagringsmedier, herunder bortskaffelse af medier, der ikke længere er i brug, for at forhindre uautoriseret adgang.

Mobile Enheder og Fjerne Arbejdsstationer

Der skal være støttende sikkerhedsforanstaltninger til at håndtere risikoer forbundet med brug af mobile enheder og adgang til fjerne arbejdsstationer hos databehandlerens organisation.

Håndtering af Ansatte - Før, Under og Efter Ansættelse

Uddannelse og Bevidsthed

• Databehandleren skal give relevant træning og sikre, at nye ansatte hos databehandleren modtager databehandlerens informationssikkerhedspolitikker og politikker for behandling af persondata. Ansatte skal være bevidste om disse politikker i deres arbejdsorganisation.
• Databehandleren skal sikre, at alle ansatte, der håndterer persondata, er bundet af de nødvendige fortrolighedsforpligtelser.

Adgangsrettigheder

Databehandleren skal have procedurer for håndtering af brugere og deres roller og tilladelser. Databehandleren skal klargøre ansvaret for tildeling af roller og tilladelser, herunder under ansættelse og efter opsigelse, for at sikre, at konflikterende funktioner og ansvar er adskilt for at forhindre potentielle sikkerhedsbrud.

Data Brud og Hændelsesstyring

Data Brud

Databehandleren skal sikre adskillelse af udviklings, test og produktionsmiljøer for at mindske risikoen for data brud.

Hændelsesstyring

Databehandleren skal have procedurer for håndtering af data brud, herunder hvornår og hvordan de skal rapporteres til databehandleren, samt klassifikation af data brud. Data brud procedurerne skal testes mindst en gang om året.

Logging

• Databehandleren logger brugen af databehandlerens IT-systemer.
• Databehandleren skal opsætte alarmer, der alarmerer databehandleren i tilfælde af mistænkelig adfærd.

Fysisk Sikkerhed

• Databehandleren skal have procedurer på plads for fysisk sikkerhed for at sikre, at uautoriserede personer ikke har adgang til persondata.
• Servere og andet udstyr, hvor persondata behandles, skal være placeret i låste rum.

Endpoint Sikkerhed

Antivirus og Firewall

Databehandleren skal have passende antivirusprogrammer og firewalls til at beskytte mod hackerangreb, malware og andre ondsindede programmer og koder.

Opdateringer

Systemer, hvor persondata behandles, skal regelmæssigt opdateres for at minimere risikoen for programmeringsfejl og sårbarheder i databehandlerens IT-sikkerhed.

TLS Kryptering

Databehandleren skal have TLS eller tilsvarende kryptering til at beskytte informationer, uanset om de er i hvile eller under transmission, herunder brug, vedligeholdelse og beskyttelse af krypteringsnøgler gennem deres livscyklus. Desuden skal kryptering bruges i overensstemmelse med relevante aftaler, lovgivning, industristandarder og reguleringsanbefalinger.

Backup

• Databehandleren skal udføre backups af persondata tilhørende datakontrolløren.
• Databehandleren skal udføre tests af implementerede IT-sikkerhedsforanstaltninger, herunder logs og backups.

Opbevaringsperiode/Slette Rutine

Persondata lagret i backups opbevares i 30 dage, hvorefter det overskrives af databehandleren.

C.3 Assistance til datakontrolløren

Databehandleren skal i det omfang dette er muligt - inden for omfanget og udstrækningen af den specificerede assistance nedenfor - bistå datakontrolløren i overensstemmelse med klausul 8.1. og 8.2. ved by implementere følgende tekniske og organisatoriske foranstaltninger.

• Databehandleren skal implementere processer, der støtter datakontrolløren i at opfylde datasubjekternes rettigheder i henhold til kapitel 3 i databeskyttelsesforordningen.
• Databehandleren skal tage øjeblikkelig handling for at reducere eller eliminere identificerede sårbarheder.
• Databehandleren skal være i stand til at levere lister over berørte datasubjekter, hvilket gør det muligt for datakontrolløren at identificere og underrette dem.

C.4 Opbevaringsperiode / sletteprocedurer

Persondata skal opbevares i hele samarbejdets varighed mellem parterne, hvorefter databehandleren skal returnere dem til datakontrolløren, medmindre instruktioner om sletning er givet før da.

Hvis ingen forpligtelse eller instruktion er givet af datakontrolløren til at slette eller returnere persondataene, må databehandleren beholde persondataene i op til 12 måneder efter opsigelse.

C.5 Behandlingssted

Behandling af persondata under klausulerne kan ikke udføres på andre steder end de følgende uden datakontrollørens forudgående skriftlige godkendelse.

Danmark og de aftalte steder for underbehandlere specificeret i bilag B uden datakontrollørens forudgående skriftlige godkendelse.

C.6 Instruktion om overførsel af persondata til tredjelande

Databehandleren er ikke berettiget til at overføre persondata til usikre tredjelande uden datakontrollørens eksplicitte forudgående skriftlige godkendelse. Enhver overførsel af persondata til usikre tredjelande skal overholde betingelserne i den generelle databeskyttelsesforordning, herunder, hvis nødvendigt, ved brug af EU-Kommissionens standardkontraktklausuler for overførsel til tredjelande som vedtaget af EU-Kommissionen den 4. juni 2021.

Hvis datakontrolløren ikke i klausulerne eller efterfølgende giver dokumenterede instruktioner vedrørende overførsel af persondata til et tredjeland, skal databehandleren ikke være berettiget inden for klausulernes rammer til at udføre sådan overførsel.

C.7 Procedurer for datakontrollørens revisioner, herunder inspektioner, af behandlingen af persondata udført af databehandleren

Datakontrolløren kan udføre en årlig inspektion af databehandleren, herunder fysiske inspektioner af steder og systemer brugt til og relateret til behandlingen for at fastslå databehandlerens overholdelse af GDPR, de gældende EU- eller medlemsstatsbestemmelser om databeskyttelse og klausulerne.

Alle eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af datakontrolløren selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Datakontrolløren kan for egen regning anmode om, at en uafhængig tredjepart udfører en relevant revision/inspektion af databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Datakontrolløren er ansvarlig for at indgå aftale om indhold og metode for revisionen/inspektionen med den tredjepart, som skal gennemføre revisionen/inspektionen. En revision/inspektion fra tredjepart skal varsles 30 dage, før den skal gennemføres, og databehandler skal ved varsling orienteres om hvem tredjeparten er, indholdet, metoden og tidspunktet for revision/inspektion.

Baserede på inspektionens resultater er datakontrolløren berettiget til at anmode om yderligere foranstaltninger for at sikre overholdelse af den generelle databeskyttelsesforordning, databeskyttelsesbestemmelser i anden EU-lovgivning eller medlemsstaters nationale lov og disse bestemmelser.

Datakontrolløren eller uafhængig tredjepart skal behandle enhver information opnået fra eller modtaget fra databehandleren fortroligt.

C.8 Procedurer for revisioner, herunder inspektioner, af behandlingen af persondata udført af underbehandlere

Databehandleren skal overvåge og kontrollere underbehandlerne ved hjælp af de nødvendige midler til at vurdere, om underbehandleren overholder sine forpligtelser.

På anmodning fra datakontrolløren skal databehandleren straks give datakontrolløren en kopi af sådan revisorerklæring modtaget fra underbehandleren eller gøre det tilgængeligt for datakontrolløren på en anden måde, hvis ikke givet, skal databehandleren straks give en skriftlig redegørelse til datakontrolløren, der skitserer de hovedtræk i sådan erklæring ved modtagelse.