1. Baggrund og formål

Parterne har aftalt, at Revisorfirmaet Lysehøj (RL) løser en række opgaver for Kunden, som beskrevet i det ac- cepterede tilbudsdokument. Som led i arbejdet behandler RL personoplysninger og denne aftale regulerer hvor- dan dette skal ske.

2. Omfang

Revisorfirmaet Lysehøj bemyndiges til at behandle personoplysninger på Kundens vegne, sådan som det er be- skrevet i denne aftale. RL må udelukkende behandle personoplysningerne som angivet i denne aftale samt i RLs beskrivelse af deres arbejdsprocesser men henblik på at løse de aftalte opgaver.

RL kan til enhver tid ændre eller konkretisere opgavebeskrivelsen efter forudgående drøftelse med Kunden.

Selvom samarbejdet mellem Kunden og RL ophører skal aftalens punkt 11 vedrørende fortrolighed fortsat have virkning efter Databehandleraftalens ophør.

3. Varighed

3.1 Databehandleraftalen gælder indtil opgaverne beskrevet i tilbudsdokumentet ophører eller Databehandler- aftalen opsiges.

4. Revisorfirmaet Lysehøjs forpligtelser

4.1 Tekniske og organisatoriske sikkerhedsforanstaltninger

4.1.1 Revisorfirmaet Lysehøj (RL) skal gennemføre fornødne tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau til at forhindre misbrug af Kundens data.

4.1.2 RL garanterer overfor Kunden, at RL vil gennemføre foranstaltninger, så behandlingen af personoplysnin- ger opfylder kravene i den til enhver tid gældende persondataretlige regulering.

4.2 Medarbejderforhold

RL skal sikre, at medarbejdere, der behandler Kundens data, har forpligtet sig til fortrolighed.

4.3 Dokumentation for overholdelse af forpligtelser

4.3.1 RL skal efter skriftlig anmodning fra Kunden dokumentere, at forpligtigelserne i denne Databehandleraf- tale og tilbudsdokumentet overholdes.

4.3.2 I forbindelse med dokumentationen skal RL stille alle oplysninger, der er nødvendige for at påvise overhol- delse af de nævnte forhold til rådighed for Kunden.

4.3.3 RL skal efter Kundens skriftlige anmodning give mulighed for og bidrage til revisioner, herunder inspektio- ner, der foretages af Kunden eller en anden revisor, som er bemyndiget af Kunden.

4.3.4 RLs dokumentation heraf skal ske inden rimelig tid.

4.4 Sikkerhedsbrud

4.4.1 RL skal underrette Kunden om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behand- let for Kunden (”Sikkerhedsbrud”).

4.4.2 RL skal fremskaffe de oplysninger, der skal indgå i en anmeldelse til tilsynsmyndigheden, i det omfang RL er den nærmeste hertil.

4.4.3 RL bærer omkostningerne til denne bistand, i det omfang den er nødvendig for at sikre den RLs overhol- delse af sine forpligtelser efter persondatareglerne.

4.5 Bidrag til overholdelse af Kundens forpligtelser

4.5.1 RL skal bidrage til, at Kunden kan overholde sine forpligtelser efter persondataforordningens kapitel 3, i det omfang RLs medvirken kræver det. Desuden skal RL bistå Kunden med overholdelse af sine forpligtelser ef- ter persondataforordningens artikel 32 og 35-36, i det omfang RLs deltagelse kræver det.

5. Kundens forpligtelser

Det er Kundens ansvar, at bemyndigelsen givet til RL om behandling af personoplysninger er lovlig set i forhold til den til enhver tid gældende persondataretlige regulering, og at den er hensigtsmæssig set i forhold til denne Databehandleraftale og opgaverne beskrevet i tilbudsdokumentet.

6. Underdatabehandlere

6.1 Kunden har accepteret, at RL må gøre brug af leverandører til behandlingen af personoplysninger for Kun- den (”Underdatabehandler”).

6.2 RL er direkte ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af RL selv.

7. Overførsel til tredjelande og internationale organisationer

7.1 RL må ikke overføre personoplysninger til tredjelande medmindre andet skriftlig aftales.

8. Ansvar og ansvarsbegrænsininger

8.1 Parterne er ansvarlige i overensstemmelse med gældende rets almindelige regler, dog med de begrænsnin- ger der følger af dette afsnit.

8.2 Parterne fraskriver sig ethvert ansvar for indirekte tab og følgeskader, herunder driftstab, tab af goodwill, tab af besparelser og indtægter, inklusive udgifter til at indvinde mistede indtægter, rentetab og tab af data.

8.3 Tab som følge af den anden Parts groft uagtsomme eller forsætlige handlinger er ikke omfattet af ansvarsbe- grænsningen i pkt. 9.

9. Force majeure

RL kan ikke gøres ansvarlig for forhold, der almindeligvis må betegnes som force majeure, herunder, men ikke begrænset til, krig, optøjer, terror, opstand, strejke, ildsvåde, naturkatastrofer, valutarestriktioner, import- eller eksportrestriktioner, afbrydelse af almindelig samfærdsel, afbrydelse af eller svigt i energiforsyningen, offentlige dataanlæg og kommunikationssystemer, længerevarende sygdom hos nøglemedarbejdere, virus samt indtræ- delse af force majeure hos underleverandører.

10. Fortrolighed

10.1 Information vedrørende indholdet af denne Databehandleraftale, den anden Parts forretning, der enten i forbindelse med overgivelsen til den modtagende Part er angivet som fortrolig information, eller som efter sin natur eller i øvrigt klart må opfattes som fortrolig, skal behandles fortroligt og med mindst samme omhu og dis- kretion som partens egne fortrolige informationer. Data, herunder persondata, udgør altid fortrolige informatio- ner.

10.2 Fortrolighedsforpligtelsen gælder dog ikke for information, som er eller bliver offentlig tilgængelig, uden at dette skyldes brud på en Parts fortrolighedsforpligtelse eller information, som allerede er i den modtagende Parts besiddelse uden tilsvarende fortrolighedsforpligtelse eller information, som selvstændigt er udviklet af den modtagende Part.

11. Ophør

11.1 Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmelserne om opsi- gelse og ophævelse i aftalen om levering af Hovedydelserne.

11.2 RL og dennes Underdatabehandlere skal tilbagelevere alle personoplysninger, som RL har behandlet under denne Databehandleraftale, til Kunden ved Databehandleraftalens ophør, i det omfang Kunden ikke allerede er i besiddelse af personoplysningerne. RL er herefter forpligtet til at slette alle personoplysninger, som RL har be- handlet på vegne af Kunden.

12. Tvistløsning

12.1 Kan Parterne ikke opnå en løsning ved forhandling, er Parterne berettiget til at kræve tvisten afgjort ende- ligt ved retssag ved de almindelige domstole.

13. Underskrifter

Denne aftale underskrives ikke særskilt. Ved Kundens accept af tilbuddet forpligtes både Revisorfirmaet Lysehøj og Kunden til at overholde aftalen.