Lorem ipsum dolor sit amet consectetur. In augue ut fames in habitasse mauris ac.

DA
Log ind Udforsk Platformen
Book Demo
DA
Log ind Udforsk Platformen
Book Demo

Kernefunktioner

Regnskabsplatform
Automatisér kernen i dit regnskab

Debitorstyring
Automatisér fakturering og rykkerflows

Kreditorstyring
Fuld kontrol over bilag og leverandører

Lønsystem
Kør løn og bogfør automatisk i ét samlet flow

Bankafstemning
Afstem tusindvis af transaktioner automatisk

Firmakort
Hvert køb, automatisk bogført

Avancerede Funktioner

Hivey AI
Intelligent automatisering af dine arbejdsgange

Månedsafslutning
Luk måneden fejlfrit på autopilot

Abonnementshåndtering
Automatisk fakturering og periodisering

Godkendelsesflow
Automatisér godkendelser og fjern flaskehalse

Rapportering & Indsigt
Få øjeblikkeligt overblik over performance

Sikkerhed og brugerstyring
Fuld kontrol over adgang og brugerrettigheder

Aftale om databehandling

Sidst opdateret:26. september 2025

Oversigt på højt niveau

LedgerBee er en SaaS-platform, der hjælper virksomheder og rådgivere med at administrere regnskab, fakturering, løn, lagerbeholdning, dokumentopbevaring og AI-assisteret finansiel rapportering. Når du behandler personoplysninger på vegne af dine kunder, fungerer LedgerBee som databehandler. Denne aftale beskriver dine forpligtelser som dataansvarlig og LedgerBee's rettigheder og pligter som databehandler.

Parter

Databehandler:

LedgerBee Technologies A/S
(brandnavn "LedgerBee")

VAT:DK36958723
St. Lundgaard Vej 54
7400 Herning
Danmark

Udtrykket "databehandler" henviser til LedgerBee Technologies A/S, der handler somLedgerBee, og udtrykket "dataansvarlig" henviser til hver kunde hos LedgerBee. Hver er en "part", og sammen er de "parterne".

Parternehar aftalt følgende standardkontraktbestemmelser ("bestemmelserne") for at overholde den generelle databeskyttelsesforordning og for at beskytte fysiske personers privatliv og grundlæggende rettigheder og friheder.

  1. Præambel
  • Disse bestemmelser fastsætter databehandlerens rettigheder og forpligtelser ved behandling af personoplysninger på vegne af den dataansvarlige.
  • De er udformet med henblik på at sikre overholdelse af artikel 28, stk. 3, i forordning (EU) 2016/679.
  • I forbindelse med levering af LedgerBee-løsninger behandler databehandleren personoplysninger på vegne af den dataansvarlige i overensstemmelse med disse vilkår. Bestemmelserne går forud for eventuelle lignende bestemmelser i andre aftaler mellem parterne.
  • Der er fire bilag til dette regulativ, og bilagene udgør en integreret del af regulativet:
    • Bilag A- yderligere oplysninger om behandlingen: formål, behandlingens karakter, type af personoplysninger, kategorier af registrerede og behandlingens varighed.
    • Bilag B- den dataansvarliges betingelser for databehandlerens brug af underdatabehandlere og en liste over godkendte underdatabehandlere.
    • Bilag C- den dataansvarliges instrukser, minimumssikkerhedsforanstaltninger og tilsyn med databehandleren og underdatabehandlere.
    • Bilag D- bestemmelser om andre aktiviteter, der ikke er omfattet af forordningerne.
  • Bestemmelserne og bilagene skal opbevares skriftligt, herunder elektronisk, af begge parter.
  • Disse bestemmelser fritager ikke databehandleren for forpligtelser i henhold til GDPR eller anden lovgivning.
  1. Datatyper, der ikke behandles

LedgerBee vil ikke behandle følgende typer af personoplysninger, medmindre det udtrykkeligt er aftalt i bilag A:

  • særlige kategorier af personoplysninger som defineret i artikel 9 og 10 i GDPR (f.eks. helbred, religiøs overbevisning, politiske holdninger, biometri, genetiske data, fagforeningsmedlemskab);
  • personoplysninger vedrørende strafbare handlinger;
  • personoplysninger vedrørende skat, gæld, medicinske diagnoser, familieforhold eller andre ekstremt følsomme oplysninger;
  • alle andre datatyper, der ikke er nødvendige for at levere de tjenester, der er beskrevet i bilag A.

Denne klausul præciserer, at LedgerBee's tjenester ikke er designet til at håndtere meget følsomme kategorier af data.

  1. Den dataansvarliges rettigheder og forpligtelser
  • Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger er i overensstemmelse med GDPR, anden EU-lovgivning og national lovgivning.
  • Den dataansvarlige har ret og pligt til at træffe beslutninger om formål og midler til behandling.
  • Den dataansvarlige er ansvarlig for at sikre, at der er et retsgrundlag for den behandling, der instrueres til databehandleren.
  1. Databehandleren handler efter instruks
  • Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-retten eller national ret. Sådanne instrukser skal specificeres i bilag A og C. Efterfølgende instrukser skal dokumenteres og opbevares skriftligt.
  • Databehandleren skal straks underrette den dataansvarlige, hvis en instruks efter dennes mening er i strid med GDPR eller anden gældende databeskyttelseslovgivning.
  1. Fortrolighed
  • Databehandleren må kun give adgang til personoplysninger til personer, der er underlagt dennes instruktionsbeføjelser, og som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det omfang, det er nødvendigt.
  • Listen over autoriserede personer skal gennemgås regelmæssigt, og adgangen skal lukkes, når den ikke længere er nødvendig.
  • Databehandleren skal på anmodning dokumentere, at denne fortrolighedsforpligtelse overholdes.
  1. Behandlingssikkerhed
  • I henhold til artikel 32 i GDPR skal den dataansvarlige og databehandleren gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risiciene.
  • Den dataansvarlige skal vurdere de risici for fysiske personers rettigheder og frihedsrettigheder, som behandlingen udgør, og gennemføre foranstaltninger for at imødegå disse risici. Afhængigt af relevansen omfatter foranstaltningerne pseudonymisering, kryptering, sikring af fortrolighed og integritet, genoprettelse af tilgængelighed og adgang efter hændelser og regelmæssig test af effektiviteten.
  • Databehandleren skal uafhængigt vurdere risiciene og gennemføre foranstaltninger til at håndtere disse risici. Den dataansvarlige skal give databehandleren de nødvendige oplysninger til at vurdere sådanne risici.
  • Databehandleren skal bistå den dataansvarlige med at overholde artikel 32, herunder ved at give oplysninger om tekniske og organisatoriske foranstaltninger, der allerede er gennemført.
  • Hvis håndteringen af de identificerede risici kræver yderligere foranstaltninger ud over dem, der er gennemført af databehandleren, skal den dataansvarlige specificere disse yderligere foranstaltninger i bilag C.
  1. Brug af underdatabehandlere
  • Databehandleren skal opfylde betingelserne i artikel 28, stk. 2 og 4, i GDPR, når han bruger underdatabehandlere.
  • Databehandleren må ikke anvende en underdatabehandler uden forudgående generel skriftlig godkendelse fra den dataansvarlige.
  • Den dataansvarlige giver generel godkendelse til de underdatabehandlere, der er anført i bilag B. Databehandleren skal underrette den dataansvarlige mindst 30 dage i forvejen om eventuelle planlagte tilføjelser eller udskiftninger, så den dataansvarlige kan gøre indsigelse.
  • Databehandleren skal pålægge enhver underdatabehandler de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne forordning.
  • Databehandleren forbliver fuldt ud ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.
  1. Overførsel til tredjelande eller internationale organisationer
  • Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun ske efter dokumenteret instruks fra den dataansvarlige og skal være i overensstemmelse med kapitel V i GDPR.
  • Hvis databehandleren ved lov er forpligtet til at overføre data, skal han underrette den dataansvarlige, medmindre det er forbudt af hensyn til samfundets interesse.
  • Uden dokumenterede instrukser må databehandleren ikke overføre personoplysninger, overlade behandlingen til en underdatabehandler i et tredjeland eller behandle oplysninger i et tredjeland.
  • Den dataansvarliges instrukser om overførsler, herunder retsgrundlaget i kapitel V, skal fremgå af bilag C.
  • Disse bestemmelser bør ikke forveksles med standardkontraktbestemmelser i henhold til artikel 46, stk. 2, litra c) og d), og udgør ikke i sig selv en overførselsmekanisme.
  1. Bistand til den dataansvarlige
  • Under hensyntagen til behandlingens karakter bistår databehandleren den dataansvarlige med passende tekniske og organisatoriske foranstaltninger for at besvare anmodninger fra registrerede i henhold til kapitel III i GDPR (oplysninger, indsigt, berigtigelse, sletning, begrænsning, anmeldelse, portabilitet, indsigelse og automatiseret beslutningstagning).
  • Databehandleren skal også bistå den dataansvarlige med at
    • at anmelde et brud på persondatasikkerheden til tilsynsmyndigheden uden unødig forsinkelse og om muligt inden for 72 timer efter, at bruddet er konstateret;
    • underrette de registrerede, når et brud sandsynligvis vil medføre en høj risiko;
    • udføre konsekvensanalyser af databeskyttelse;
    • konsultere tilsynsmyndigheden, når det er påkrævet.
  • Bilag C specificerer de foranstaltninger, som databehandleren skal bistå den dataansvarlige med, og omfanget af en sådan bistand.
  1. Anmeldelse af brud på persondatasikkerheden
  • Databehandleren skal underrette den dataansvarlige uden unødig forsinkelse efter at være blevet opmærksom på et brud på persondatasikkerheden.
  • Anmeldelsen skal så vidt muligt ske senest 48 timer efter, at den dataansvarlige er blevet bekendt med bruddet, således at den dataansvarlige kan anmelde bruddet til den kompetente tilsynsmyndighed.
  • Databehandleren skal bistå den dataansvarlige med at fremlægge de oplysninger, der kræves i henhold til artikel 33, stk. 3 (karakteren af bruddet, kategorier og omtrentligt antal berørte registrerede og registreringer, sandsynlige konsekvenser og afhjælpende foranstaltninger).
  • Bilag C specificerer de oplysninger, som databehandleren skal give i forbindelse med anmeldelse af brud.
  1. Sletning og tilbagelevering af oplysninger
  • Ved ophør af tjenesterne vedrørende behandling af personoplysninger er databehandleren forpligtet til at slette alle personoplysninger, der behandles på vegne af den dataansvarlige, og bekræfte, at oplysningerne er blevet slettet, medmindre EU-retten eller national ret kræver opbevaring.
  • Opbevaring af data i fem år plus fire uger efter afslutningen af en regnskabsperiode er foreskrevet i den danske bogføringslov. LedgerBee skal opbevare persondata i denne lovpligtige periode til regnskabsformål. Efter denne periode vil data blive slettet eller anonymiseret på en sikker måde. Hvis en kunde opsiger aftalen, vil data være tilgængelige for eksport og blive opbevaret i fire uger efter opsigelsen.
  1. Revision, herunder inspektion
  • Databehandleren skal stille alle oplysninger, der er nødvendige for at påvise overholdelse af artikel 28 og disse bestemmelser, til rådighed for den dataansvarlige og tillade og bidrage til revisioner, herunder inspektioner, foretaget af den dataansvarlige eller en autoriseret revisor.
  • Procedurer for revisioner og inspektioner er beskrevet i bilag C.7 og C.8.
  • Databehandleren skal give tilsynsmyndighederne adgang til sine faciliteter efter behørig identifikation.
  1. Yderligere opgaver og omkostninger
  • Opgaver og bistand, som den dataansvarlige anmoder om, og som ikke er forpligtelser i henhold til denne aftale (f.eks. yderligere revisioner ud over de specificerede, skræddersyede databehandlingsopgaver eller skræddersyede rapporter), kan medføre yderligere omkostninger.
  • Databehandleren skal på forhånd underrette den dataansvarlige om sådanne opgaver og give et skøn over de forventede omkostninger. Hvis parterne ikke kan blive enige om omkostningerne, kan hver af parterne opsige aftalen om den yderligere opgave med 30 dages skriftligt varsel.
  • Opgaver, der er omfattet af hovedserviceaftalen, forbliver inkluderet og er ikke genstand for yderligere gebyrer.
  1. Parternes aftale om andre forhold
  • Parterne kan aftale andre bestemmelser vedrørende tjenesten, forudsat at de ikke er i strid med disse bestemmelser eller forringer de registreredes grundlæggende rettigheder og friheder.
  1. Ikrafttræden og opsigelse
  • Disse bestemmelser træder i kraft på den dato, hvor kunden underskriver bestillingsformularen, eller ved kundens elektroniske accept via LedgerBee.com, HubSpot eller andre godkendte LedgerBee-bestillingssystemer. En sådan underskrift eller elektronisk accept skal betragtes som underskrift af denne DPA.
  • Hver part kan anmode om genforhandling, hvis juridiske ændringer eller utilstrækkeligheder i klausulerne berettiger det.
  • Bestemmelserne er gyldige, så længe tjenesten til behandling af personoplysninger varer. De kan ikke opsiges i denne periode, medmindre der aftales andre vilkår for tjenesten.
  • Hvis tjenesten ophører, og personoplysninger slettes eller returneres i overensstemmelse med punkt 11 og bilag C.4, kan klausulerne opsiges med skriftligt varsel af begge parter.

Bilag A Information om behandlingen

A.1. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige

Løsning 1: LedgerBee-platformen

SaaS-løsning, der giver virksomheder mulighed for at styre deres finansielle operationer.

Løsning 2: LedgerBee Advisor

SaaS-løsning til finansielle rådgivere, hvor de kan administrere deres kunder.

A.2. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige vedrører primært (behandlingens karakter)

Løsning 1: LedgerBee-platformen

Regnskab, dokumentopbevaring, fakturering, abonnementsstyring, lønningsliste, lagerstyring, AI-agenter.

AI-agenter opretter rapporter til bestyrelser, automatisk bogføring baseret på bilag, CFO-chatbot.

Løsning 2: LedgerBee Advisor

SaaS-løsning til finansielle rådgivere, hvor de kan administrere deres kunder, bogføring for kunder, opbevaring af dokumenter, transaktionsanalyse, opgavestyring for kunder.

A.3. Behandlingen omfatter følgende typer personoplysninger om de registrerede:

Løsning 1: LedgerBee-platformen

Kundebrugere: brugeroplysninger

Kundernes medarbejdere: Lønoplysninger, sygefravær, pension, kørsel, bankoplysninger, CPR-nummer osv.

Kundernes kunder, leverandører m.m.: Kontaktoplysninger for kontaktpersoner

Løsning 2: LedgerBee Advisor

Kundebrugere: brugeroplysninger

Kundernes kunder: Lønoplysninger, sygefravær, pension, kørsel, bankoplysninger, CPR-nummer m.m. Kontaktoplysninger for kontaktpersoner hos kunder, partnere og leverandører.

A.4. Behandlingen omfatter følgende kategorier af registrerede:

Se A.3

A.5. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes, efter at disse vilkår og betingelser er trådt i kraft. Behandlingen har følgende varighed:

Indtil hovedaftalen er opsagt.

Bilag B Underdatabehandlere

B.1. Godkendte underdatabehandlere

Ved forordningens ikrafttræden har den dataansvarlige godkendt brugen af følgende underdatabehandlere:

NAVN

Moms/Org. Nr.

ADRESSE

BESKRIVELSE AF BEHANDLING

OVERFØRSELSGRUNDLAG

Microsoft Ireland Operations Limited

IE8256796U

One Microsoft Place, South County Business Park, Carmanhall And Leopardstown, Dublin, D18 P521, Irland

Placering af datacenter: Holland og Irland

Hosting af applikationsserver, databaseserver og backup.

Afsendelse af e-mails.

Ramme for databeskyttelse

Hubspot, Inc.

IE9849471F

Two Canal Park
Cambridge, MA 02141 USA

Hosting af billetløsning.

Rammer for databeskyttelse

Bank Integration ApS

37534862

Lykkegaardsvej 54
9210 Aalborg SØ

Banktransaktioner og leverandørbetalinger.

REACH

FarPay ApS

37295043

Wildersgade 10B, 2, 1408 København

Udbyder af betalinger

REACH

Mastercard OB Services Danmark A/S

33509006

Arne Jacobsens Alle 13, 2300 København

Banktransaktioner, betalingsservice, leverandørservice

REACH

Sproom A/S

29403473

Gørtorvet 3, 1799 København V

E-invokationstjenester

REACH

Scrive AB

SE Org 556816-6804

Grev Turegaten 11a, 114 46 Stockholm, SE

Elektronisk signatur

REACH

OpenAI LLC

EU372041333

548 Market Street, PMB 97273. SA, CA 941045101, US

AI-tjenester

REACH

Ved forordningens ikrafttræden har den dataansvarlige godkendt brugen af ovennævnte underdatabehandlere til den beskrevne behandlingsaktivitet. Databehandleren må ikke - uden den dataansvarliges skriftlige godkendelse - anvende en underdatabehandler til en anden behandlingsaktivitet end den beskrevne og aftalte eller anvende en anden underdatabehandler til denne behandlingsaktivitet.

B.2. Anmeldelse til godkendelse af underdatabehandlere

30 dage


Bilag C Instruktioner vedrørende behandling af personoplysninger

C.1. Emne/instruktioner for behandlingen

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende:

Levering af LedgerBee-platformen eller rådgiveren.

C.2. Behandling af sikkerhed

Sikkerhedsniveauet skal afspejle:

Behandlingen omfatter en stor mængde fortrolige personoplysninger, hvorfor der skal etableres et "højt" sikkerhedsniveau.

Databehandleren er derefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger der skal implementeres for at etablere det nødvendige (og aftalte) sikkerhedsniveau.

Databehandleren skal dog - under alle omstændigheder og som minimum - gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige:

  1. Krav til pseudonymisering og kryptering af personoplysninger:


Alle personlige oplysninger skal krypteres ved hjælp af industristandardkrypteringsprotokoller (AES-256 eller tilsvarende), når de opbevares eller overføres. Pseudonymiseringsteknikker skal anvendes, hvor det er praktisk muligt, for at erstatte identificerbare oplysninger med pseudonymer og dermed minimere risikoen.

  1. Sikring af fortrolighed, integritet, tilgængelighed og robusthed:


Databehandleren skal implementere robuste adgangskontrolmekanismer, herunder rollebaseret adgangskontrol og to-faktor-autentificering, for at sikre fortrolighed og integritet. Der skal være regelmæssige backup-procedurer for at sikre tilgængelighed. Systemerne skal løbende overvåges og beskyttes af opdaterede antivirus-, firewall- og indbrudsdetekterings-/forebyggelsessystemer.

  1. Genoprettelse af tilgængelighed og adgang til data:


Databehandleren skal have en disaster recovery- og business continuity-plan, der sikrer genoprettelse af data og adgang inden for maksimalt 24 timer (usikkert hvor mange timer) efter en hændelse.

  1. Regelmæssig testning, vurdering og evaluering:


Tekniske og organisatoriske foranstaltninger skal vurderes regelmæssigt gennem kvartalsvise sårbarhedsscanninger, årlige penetrationstests og løbende revisioner for at sikre fortsat effektivitet og overholdelse af sikkerhedskravene.

  1. Krav til adgang til information via internettet:


Fjernadgang til personoplysninger via internettet skal være krypteret med sikre protokoller som HTTPS, VPN eller andre sikre kanaler og være beskyttet af sikre autentificeringsmekanismer (to-faktor-autentificering).

  1. Beskyttelse af oplysninger under transmission:


Alle overførsler af personoplysninger skal ske via krypterede kanaler (TLS 1.2 eller højere) for at sikre, at personoplysningerne forbliver beskyttet under overførslen.

  1. Beskyttelse af oplysninger under opbevaring:


Lagrede persondata skal krypteres i hvile med krypteringsalgoritmer af industristandard og sikres med robuste nøglehåndteringspraksisser for at forhindre uautoriseret adgang.

  1. Fysisk sikkerhed på databehandlingssteder:


Databehandlingssteder skal have begrænset fysisk adgang, sikret med adgangskontrolsystemer som f.eks. nøglekort, biometriske systemer og/eller sikkerhedspersonale. Serverrum og datacentre skal have miljøkontrol, overvågning og adgangslogning.

  1. Brug af hjemmearbejde/telearbejde:


Telearbejde eller arbejde hjemmefra skal være i overensstemmelse med virksomhedens etablerede sikkerhedsretningslinjer, herunder krypteret kommunikation, sikre fjernforbindelser (VPN) og fysiske sikkerhedsstandarder for udstyr.

  1. Krav til logning:


Databehandleren skal føre sikre, manipulationssikre logfiler, der registrerer adgang til personoplysninger, mislykkede adgangsforsøg, ændringer af data og systemoperationer, og disse skal opbevares i mindst 3 måneder. Logs skal gennemgås regelmæssigt for uautoriseret adgang eller afvigelser.

C.3 Bistand til den dataansvarlige

Databehandleren skal, i det omfang det er muligt og inden for det omfang, der er angivet nedenfor, bistå den dataansvarlige i overensstemmelse med standardbestemmelse 9.1 og 9.2 ved at gennemføre følgende tekniske og organisatoriske foranstaltninger:

  • Etablere procedurer for bistand til den dataansvarlige
  • Sikre, at leverede løsninger har passende tekniske funktioner til at understøtte assistance til dataansvarlige.

C.4 Opbevaringsperiode/sletningsrutine

Personoplysninger opbevares i 5 år + 4 uger efter afslutningen af en regnskabsperiode for eksisterende kunder, hvorefter de skal slettes eller anonymiseres på sikker vis af databehandleren. Hvis en kunde opsiger aftalen, vil data blive gjort tilgængelige for eksport og opbevares i 4 uger efter opsigelsen.

Ved ophør af tjenesten vedrørende behandling af personoplysninger skal databehandleren enten slette eller returnere personoplysningerne i overensstemmelse med punkt 11.1, medmindre den dataansvarlige har givet anden instruks. Ændringer skal dokumenteres og opbevares skriftligt, herunder elektronisk, sammen med denne aftale.

C.5 Placering af behandling

Behandling af personoplysninger, der er omfattet af forordningerne, må ikke finde sted på andre steder end de følgende uden forudgående skriftlig godkendelse fra den dataansvarlige:

Se lokationer i bilag B.

C.6 Instruktioner vedrørende overførsel af personoplysninger til tredjelande

Hvis den dataansvarlige ikke giver dokumenterede instruktioner i disse vilkår eller efterfølgende vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til at foretage sådanne overførsler inden for rammerne af disse vilkår.

C.7 Procedurer for den dataansvarliges revisioner, herunder inspektioner, af behandlingen af personoplysninger, der er overladt til databehandleren

Databehandleren skal for egen regning løbende indhente dokumentation for tilsyn udført af en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse forordninger.

Det er aftalt mellem parterne, at følgende typer af dokumentation kan anvendes i overensstemmelse med disse Vilkår:

Revisionsrapporter, der indeholder kontrolmål fra ISAE 3000 om GDPR

Dokumentationen fremsendes uden unødig forsinkelse til den dataansvarlige efter anmodning.

På baggrund af dokumentationen har den dataansvarlige ret til at anmode om gennemførelse af yderligere foranstaltninger for at sikre overholdelse af den generelle forordning om databeskyttelse, databeskyttelsesbestemmelser i anden EU-lovgivning eller medlemsstaternes nationale lovgivning og disse forordninger.

Den dataansvarlige eller en repræsentant for den dataansvarlige skal også have adgang til at foretage inspektioner, herunder fysiske inspektioner, af de lokaler, hvorfra databehandleren behandler personoplysninger, herunder fysiske lokaler og systemer, der anvendes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt.

Eventuelle omkostninger, som den dataansvarlige pådrager sig i forbindelse med en fysisk inspektion, afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (primært tid), der er nødvendige for, at den dataansvarlige kan udføre sin inspektion.

C.8 Procedurer for revisioner, herunder inspektioner, af behandlingen af personoplysninger, der er overladt til underdatabehandlere

På grundlag af en risikovurdering af hver underdatabehandler skal databehandleren afgøre, hvilken type tilsyn der skal gennemføres og hvor ofte. Hvis risikovurderingen kræver det, skal databehandleren regelmæssigt og for egen regning indhente en tilsynsrapport fra en uafhængig tredjepart om underdatabehandlerens overholdelse af den generelle forordning om databeskyttelse, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse forordninger.

Det er aftalt mellem parterne, at følgende typer dokumentation kan anvendes i overensstemmelse med disse vilkår:

Revisionsrapporter, der indeholder kontrolmål fra ISAE 3000 om GDPR

Dokumentationen fremsendes uden unødig forsinkelse til den dataansvarlige efter anmodning.

På baggrund af dokumentationen har den dataansvarlige ret til at anmode om gennemførelse af yderligere foranstaltninger for at sikre overholdelse af den generelle forordning om databeskyttelse, databeskyttelsesbestemmelser i anden EU-lovgivning eller medlemsstaternes nationale lovgivning og disse forordninger.

Databehandleren eller en repræsentant for databehandleren skal også have adgang til at foretage inspektioner, herunder fysiske inspektioner, af de lokaler, hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaler og systemer, der anvendes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når databehandleren (eller den dataansvarlige) finder det nødvendigt.