Opret en konto
Opret en konto

Databehandleraftale

ReportSecurely
Skiwo AS · Pilestredet 17, 0164 Oslo · privacy@reportsecurely.com
Effective date: 23 January 2026

Dette dokument er blevet oversat for din bekvemmelighed. I tilfælde af uoverensstemmelser er den engelske version gældende.

Denne databehandleraftale ("DPA") udgør en del af aftalen mellem kunden ("Dataansvarlig") og Skiwo AS, der driver Report Securely-platformen ("Databehandler"), for levering af whistleblower- og sikre rapporteringstjenester ("Tjenesten").

Denne DPA indgås i overensstemmelse med kravene i artikel 28 i den generelle forordning om databeskyttelse (EU) 2016/679 ("GDPR") og regulerer Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige.

1. Definitioner

Termer anvendt i denne DPA har samme betydning som i GDPR, medmindre andet er defineret. "Personoplysninger" betyder alle personoplysninger, der behandles af Databehandleren på vegne af den Dataansvarlige i forbindelse med Tjenesten. "Underdatabehandler" betyder enhver tredjepart, som Databehandleren engagerer til at behandle Personoplysninger på vegne af den Dataansvarlige.

2. Omfang og formål med behandling

Databehandleren behandler Personoplysninger udelukkende med det formål at levere Tjenesten til den Dataansvarlige, som beskrevet i hovedserviceaftalen og denne DPA.

Kategorierne af registrerede omfatter: rapportører (whistleblowere), personer nævnt i rapporter, sagsbehandlere og autoriserede brugere i den Dataansvarliges organisation. De typer af personoplysninger, der behandles, kan omfatte: navne, kontaktoplysninger, rapportindhold, kommunikation mellem rapportører og sagsbehandlere, sagsmetadata og revisionslogfiler.

Behandlingsperioden svarer til løbetiden for hovedserviceaftalen plus eventuel opbevaringsperiode, der kræves af gældende lovgivning eller aftalt mellem parterne.

3. Databehandlerens forpligtelser

Databehandleren skal:

  • Kun behandle personoplysninger efter dokumenterede instruktioner fra den dataansvarlige, medmindre dette kræves i henhold til gældende lovgivning
  • Sikre, at personer, der er autoriseret til at behandle personoplysninger, er bundet af tavshedspligt
  • Implementere passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der er passende i forhold til risikoen
  • Ikke inddrage en anden databehandler (underdatabehandler) uden forudgående skriftlig godkendelse fra den dataansvarlige
  • Bistå den dataansvarlige med at besvare anmodninger fra registrerede i henhold til GDPR artikel 15–22
  • Bistå den dataansvarlige med at sikre overholdelse af GDPR artikel 32–36 (sikkerhed, underretning om brud, konsekvensanalyser)
  • Efter den dataansvarliges valg slette eller returnere alle personoplysninger ved ophør af tjenesten, medmindre opbevaring kræves i henhold til gældende lovgivning
  • Stille alle nødvendige oplysninger til rådighed for den dataansvarlige for at påvise overholdelse af forpligtelserne i denne databehandleraftale og GDPR artikel 28

4. Sikkerhedsforanstaltninger

Databehandleren implementerer og vedligeholder følgende tekniske og organisatoriske sikkerhedsforanstaltninger:

  • Kryptering af data under overførsel (TLS 1.2 eller højere) og i hvile (AES-256)
  • Rollebaseret adgangskontrol med princippet om mindste privilegium
  • Auditlogning af alle væsentlige handlinger på platformen
  • Regelmæssig sikkerhedstest og sårbarhedsvurderinger
  • Sikker softwareudviklingspraksis efter OWASP-retningslinjer
  • Automatiske backups med krypteret lagring
  • Strenge sikkerhedsheadere (HSTS, CSP, X-Frame-Options)

Databehandleren gennemgår og opdaterer regelmæssigt disse foranstaltninger for at afspejle den aktuelle tekniske standard samt behandlingens art, omfang og formål.

5. Underdatabehandlere

Den dataansvarlige giver generel tilladelse til, at databehandleren kan anvende underdatabehandlere, underlagt betingelserne i dette afsnit.

Databehandleren skal informere den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere, hvilket giver den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

Når databehandleren anvender en underdatabehandler, skal den pålægge de samme databeskyttelsesforpligtelser som fastsat i denne DPA ved hjælp af en kontrakt, der sikrer, at underdatabehandleren yder tilstrækkelige garantier for at implementere passende tekniske og organisatoriske foranstaltninger.

Databehandleren forbliver fuldt ansvarlig over for den dataansvarlige for underdatabehandlerens opfyldelse af forpligtelserne.

6. Dataoverførsler

Alle personoplysninger opbevares og behandles inden for Det Europæiske Økonomiske Samarbejdsområde (EØS).

Databehandleren må ikke overføre personoplysninger til et land uden for EØS eller til en international organisation, medmindre: (a) den dataansvarlige har givet forudgående skriftlig tilladelse, og (b) passende sikkerhedsforanstaltninger er på plads i overensstemmelse med GDPR kapitel V, såsom EU's standardkontraktbestemmelser eller en tilstrækkelighedsbeslutning fra Europa-Kommissionen.

7. Underretning om databrud

Databehandleren skal underrette den dataansvarlige uden unødig forsinkelse efter at være blevet opmærksom på et brud på persondatasikkerheden, der påvirker personoplysninger behandlet under denne databehandleraftale.

Underretningen skal indeholde: en beskrivelse af brudets karakter, kategorierne og det omtrentlige antal berørte registrerede, de sandsynlige konsekvenser af bruddet samt de foranstaltninger, der er truffet eller foreslået for at håndtere bruddet.

8. Revisionsrettigheder

Databehandleren skal stille alle nødvendige oplysninger til rådighed for den dataansvarlige for at påvise overholdelse af de forpligtelser, der er fastsat i GDPR artikel 28 og denne databehandleraftale, og skal tillade og bidrage til revisioner, herunder inspektioner, udført af den dataansvarlige eller en anden revisor bemyndiget af den dataansvarlige.

Revisioner skal udføres med rimelig varsel og i normal arbejdstid og må ikke urimeligt forstyrre databehandlerens drift.

9. Sletning og returnering af data

Ved ophør af tjenesten skal databehandleren efter den dataansvarliges valg slette eller returnere alle personoplysninger til den dataansvarlige og slette eksisterende kopier, medmindre gældende lovgivning kræver fortsat opbevaring.

Den dataansvarlige kan anmode om dataeksport i et almindeligt anvendt, maskinlæsbart format forud for ophøret.

10. Ansvar

Hver parts ansvar under denne databehandleraftale er underlagt de begrænsninger og undtagelser, der er fastsat i hovedserviceaftalen mellem parterne.

Intet i denne databehandleraftale begrænser nogen af parternes ansvar for overtrædelser af databeskyttelseslovgivningen i det omfang, sådant ansvar ikke kan begrænses i henhold til gældende lovgivning.

11. Gældende lovgivning

Denne databehandleraftale er underlagt norsk lovgivning. Enhver tvist, der opstår som følge af eller i forbindelse med denne databehandleraftale, skal være underlagt Oslo byretts eksklusive jurisdiktion, medmindre ufravigelig lovgivning bestemmer andet.

12. Kontakt

For spørgsmål vedrørende denne databehandleraftale eller databeskyttelsesanliggender, kontakt:
Skiwo AS
Pilestredet 17, 0164 Oslo, Norway
Email: privacy@reportsecurely.com