HÅNDTERING AF PERSONDATA

Databeskyttelsespolitikken fastlægger databeskyttelsen i EKKOfonden og bidrager med en fælles forståelse af, hvad databeskyttelse indebærer, og den tilgang EKKOfonden har til arbejdet med personoplysninger. Politikken bidrager desuden til at sikre og påvise overholdelse af gældende persondatalovgivning, og at EKKOfonden lever op til principperne om databeskyttelse i databeskyttelsesforordningen og databeskyttelsesloven.

En væsentlig del af beskyttelsen af personoplysninger, er vores tilgang til og anvendelse af it samt vores medarbejderes holdninger og arbejdsgange ved behandling og beskyttelse af personoplysninger.

Målene for databeskyttelse i EKKOfonden er følgende:

• EKKOfonden lever op til gældende lovgivning og myndighedskrav inden for persondatabeskyttelse.
• EKKOfonden fremstår som en organisation med troværdig beskyttelse af sine persondata.
• EKKOfondens medarbejdere forstår deres ansvar og efterlevelse af politik for databeskyttelse, der indgår som en naturlig del i det daglige arbejde.
• EKKOfonden har en høj system-, data og driftssikkerhed og styrer risici for nedbrud og deraf følgende brud på persondatasikkerheden.
• EKKOfondens krav til tekniske og organisatoriske sikkerhedsforanstaltninger er operationelle og passende, baseret på risikovurderinger.
• EKKOfonden overvåger tilsidesættelse af sikkerhedsforanstaltninger på en sådan måde, at disse bliver opdaget og kan tilbageføres til den ansvarlige.

Databeskyttelsespolitikken gælder for al behandling af personoplysninger som dataansvarlig, dvs. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse, hvad enten det være sig elektroniske eller papirbaserede personoplysninger.

Alle medarbejdere uanset ansættelsesform, eksterne konsulenter, samarbejdspartnere, leverandører samt øvrige interessenter, der måtte få adgang til EKKOfondens personoplysninger, er omfattet af denne databeskyttelsespolitik. Alle har et medansvar for databeskyttelsen og er forpligtet til at efterleve databeskyttelsespolitikken og tilhørende procedurer og retningslinjer.

Databeskyttelsespolitikkens indhold er baseret på følgende grundlag:

• Databeskyttelsesforordningen
• Databeskyttelsesloven
• Vejledninger fra Datatilsynet, EU-Kommissionen og Artikel 29-gruppen

EKKOfondens behandling af personoplysninger som databehandler fremgår af databehandleraftalen samt tilhørende instruks.

Der kan som udgangspunkt ikke afviges fra kravene i databeskyttelsespolitikken. Såfremt der er forretningsmæssige eller tekniske begrundelser for at afvige, skal dette godkendes af EKKOfondens direktion. Enhver afvigelse fra kravene i databeskyttelsespolitikken kræver forudgående risikovurdering og dokumentation herfor, herunder konsultation hos databeskyttelsesrådgiveren.

Brud på databeskyttelsespolitikken kan resultere i disciplinære handlinger, herunder ansættelsesretlige konsekvenser og sanktioner mod underdatabehandlere og samarbejdspartnere. Afhængig situationens karakter og omfang, vil eventuelle sanktioner i forbindelse med databrud bero på en individuel vurdering, foretaget af leder i samråd med EKKOfondens HR afdeling.

Der henvises i øvrigt til de skærpende omstændigheder i databeskyttelsesforordningen i forbindelse med brud på persondatasikkerheden.

Databeskyttelsespolitikken er gældende, når den er godkendt af direktionen i EKKOfonden.

Databeskyttelsespolitikken ajourføres og godkendes en gang årligt.

Indholdet af databeskyttelsespolitikken kommunikeres til medarbejdere og andre relevante interessenter.

Plan – Do – Check – Act
EKKOfondens regelefterlevelse i forhold til databeskyttelse tager udgangspunkt i plan-do-check-act-modellen som illustreret her:

Ansvaret for implementeringen og efterlevelsen af databeskyttelsespolitikken er uddelegeret til fagdirektør for support og forretningsudvikling, som sørger for, at afdelingslederne har de fornødne hjælpemidler til at sikre, at kravene efterleves i de daglige forretningsgange i deres afdelinger. Ledelsen er endvidere ansvarlig for, at der til enhver tid kan fremvises relevant dokumentation herfor.

ROLLEN SOM HENHOLDSVIS DATAANSVARLIG OG DATABEHANDLER
EKKOfonden vil, afhængig af databehandlingens karakter, antage rollen som enten dataansvarlig eller databehandler. Nedenstående illustrerer placering af dataansvaret:

Hvor EKKOfonden er databehandler vil den visiterende kommune el. anden myndighed være dataansvarlig.

Ved EKKOfondens anvendelse af databehandlere/underdatabehandlere, skal leverandøren på anmodning fra EKKOfonden give EKKOfonden eller dennes repræsentant tilstrækkelige oplysninger og kontroladgang til, at denne kan kontrollere Leverandørens overholdelse af dette dokuments krav til sikkerhed. Derfor skal Leverandøren og EKKOfonden i samarbejde sikre, at datasikkerhedskravene i nærværende dokument bidrager til at minimere de risici, der er forbundet med behandling af persondata. Leverandøren skal mindst en gang årligt dokumentere, hvorledes kravene efterleves.

EKKOfonden skal til enhver tid tilrettelægge arbejdet med beskyttelse af personoplysninger ud fra en risikobaseret tilgang, som tager udgangspunkt i en løbende vurdering af EKKOfondens behandlingsaktiviteter.

Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører EKKOfonden passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

Databeskyttelsespolitikken omfatter alle fysiske personers personoplysninger, som tilhører EKKOfonden, herunder også personoplysninger, placeret hos underdatabehandlere osv.

EKKOfondens kerneydelse er levering af socialpædagogiske tilbud i henhold til servicelovens bestemmelser. For at kunne levere denne ydelse er behandling af personoplysninger en nødvendig forudsætning. Behandling af personoplysninger er ligeledes en nødvendig forudsætning for, at EKKOfonden kan indgå ansættelsesaftaler, leverandørkontrakter samt indskrivningsaftaler med de visiterende kommuner.

Behandlingen finder sted i egnede webløsninger samt internt afviklede systemer, til indsamling, opbevaring og behandling af personoplysninger om eksterne konsulenter, samarbejdspartnere, leverandører samt indskrevne borgere mv. EKKOfonden har udarbejdet en fortegnelse over behandlingsaktiviteter i henhold til databeskyttelsesforordningen. Fortegnelsen giver overblik over de behandlinger, som EKKOfonden er ansvarlig for.

Personoplysningerne behandles og arkiveres i forbindelse med:

• Indsamling af stamdata samt beskrivelser omkring helbred og funktionsevnenedsættelse på indskrevne borgere med henblik på at tilrettelægge og levere det bedste socialpædagogiske tilbud til borgeren i henhold til den visiterende kommunes bestilling.
• Personaleadministration, herunder rekruttering, ansættelse, fratrædelse og udbetaling af løn mv.
• Stamdata for leverandører.
• Markedsføringsmateriale, der har til formål at udbrede information om EKKOfondens arbejde.

I behandlingen af personoplysninger kategoriseres disse i:

• Almindelige personoplysninger i henhold til databeskyttelsesforordningens artikel 6, herunder også oplysning om cpr. nr. (artikel 7), samt oplysninger om lovovertrædelser og straffedomme (artikel 10).
• Særlige kategorier af personoplysninger (følsomme personoplysninger), der kan indeholde oplysninger om de registreredes fysiske og/eller psykiske helbred, etnisk oprindelse samt fagforeningsforhold i henhold til databeskyttelsesforordningens artikel 9.

I behandlingen af personoplysninger skal de tekniske og organisatoriske sikkerhedsforanstaltninger tilrettelægges og implementeres til sikring af:

• Fortrolighed:
• Personoplysninger skal til enhver tid beskyttes mod uautoriseret adgang.
• Adgang, ændring og visning af personoplysninger skal til enhver tid kunne dokumenteres via logning.
• Integritet
• Personoplysninger skal til enhver tid være valide og korrekte.
• Personoplysninger skal til enhver tid beskyttes mod utilsigtede og uautoriserede ændringer.
• Tilgængelighed
• Personoplysninger skal til enhver tid være tilgængelige for autoriserede personer.
• Sikkerhedskopiering af alle personoplysninger skal ske dagligt.

Alle behandlinger af personoplysninger skal overholde gældende persondatalovgivning samt praksis. Dette sker blandt andet ved efterlevelse af databeskyttelsespolitikken.

EKKOfonden skal ved enhver behandling af personoplysninger overholde og kunne dokumentere overholdelsen af de generelle behandlingsprincipper i databeskyttelsesforordningen og databeskyttelsesloven.

• God databehandlingsskik
  Data skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.

• Formål
  Data skal indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforeneligt med disse formål.

• Dataminimering og proportionalitetsprincippet
  Data skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.

• Korrekte data
  Data skal være korrekte og om nødvendigt ajourførte.

• Opbevaringsbegrænsning
  Data skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.

• Integritet og fortrolighed
  Data skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger.

EKKOfonden behandler kun personoplysninger, hvor der er et lovligt og legitimt grundlag herfor i særlovgivningen, databeskyttelsesforordningen, databeskyttelsesloven eller ved indhentelse af samtykke fra den registrerede.

Formål og kategori af personoplysninger afgør hvilken behandlingshjemmel, der kræves for den konkrete behandling, og behandlingshjemmel fremgår af fortegnelsen over behandlingsaktiviteter.

Databeskyttelsesrådgiveren skal i samarbejde med it-afdelingen iværksætte initiativer, der imødegår det trusselsbillede, som EKKOfonden til enhver tid står over for, således at sikkerhedsforanstaltningerne er passende og risikoen for sikkerhedsbrud reduceres til et passende niveau.

EKKOfonden foretager en løbende vurdering af, hvilket sikkerhedsniveau der er passende. I vurderingen tages der hensyn til de risici, som behandlingen udgør, særligt ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Som grundlag for ajourføring af de tekniske og organisatoriske foranstaltninger foretager it-afdelingen en gang årligt en overordnet risikovurdering. Vurderingen skal belyse sandsynligheden for og konsekvenserne af hændelser, der kan true beskyttelsen af personoplysninger trusler, herunder tilfældige, forsætlige og uforsætlige hændelser.

Risikovurderingen skal foreligge inden for den periode, der er angivet i EKKOfondens procedurer, herunder årshjul. Eventuelle ændringer af sikkerhedspolitikken og andre sikkerhedstiltag skal godkendes af EKKOfondens direktion.

Der foretages risikovurderinger:

• Forinden indførelse af en ny databehandlingsaktivitet.
• Forinden indførelse af ny teknologi.
• Forinden indgåelse af aftale med en databehandler/underdatabehandler.
• Ved væsentlige ændringer i risikoprofilen, i forhold til sandsynlighed eller konsekvens.
• Ved sikkerhedsbrud.

Risikovurderingerne foretages ud fra principper i følgende internationale standarder:

• ISO 27001 (kontroller/foranstaltninger i forhold til informationssikkerhed)
• ISO 29134 (konsekvenser og trusler i forhold til databeskyttelse)
• ISO 29151 (kontroller/foranstaltninger i forhold til databeskyttelse)

EKKOfonden har ikke forpligtet sig til at følge ovenstående standarder.

RISIKOPROFIL
Risikoprofilen tegnes på baggrund af ovenstående forudsætninger og scores på en skala fra 1-4 i forhold til

• Sandsynlighed for tab af fortrolighed, integritet og tilgængelighed (FIT)
• Konsekvensen for den registrerede ved en hændelse der forårsager tab af fortrolighed, integritet og/eller tilgængelighed (FIT).

Risikoprofilerne prioriteres ud fra hvor høj risiko der er forbundet med hver enkelt, eller gruppe af databehandlingsaktivitet. Følgende kan illustrere prioriteringen:

EKKOfonden udarbejder i påkrævet omfang konsekvensanalyser i overensstemmelse med databeskyttelsesforordningen.

Hvis en behandling af personoplysninger, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder, foretager EKKOfonden forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.

EKKOfonden foretager en løbende ajourføring af konsekvensanalyser, særligt når der er ændringer af den risiko, som behandlingsaktiviteterne udgør.

EKKOfonden skal hører Datatilsynet inden en tiltænkt behandling, såfremt konsekvensanalysen viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger, truffet af EKKOfonden for at begrænse risikoen.

DATABESKYTTELSESRÅDGIVER
EKKOfonden skal udpege en databeskyttelsesrådgiver, idet EKKOfondens behandling af personoplysninger er en nødvendig forudsætning for at udføre EKKOfondens kerneydelse. Endvidere behandles store mængder af personoplysninger, hvoraf en stor del er omfattet af de særlige kategorier i databeskyttelsesforordningens artikel 9. EKKOfonden skal beskrive databeskyttelsesrådgiverens funktion, stilling og opgaver.

EKKOfonden skal udarbejde en procedure, der sikrer, at databeskyttelsesrådgiveren løbende udfører overvågning af, at databeskyttelsespolitikken og tilhørende procedurer, kontroller og retningslinjer efterleves og dermed, at databeskyttelsesforordningen og databeskyttelsesloven overholdes.

AWARENESS
EKKOfonden skal løbende afholde uddannelser om, hvordan medarbejdere forventes at behandle og beskytte personoplysninger. Disse uddannelser bliver tilpasset organisationens behov. Lederne for de respektive afdelinger har ansvaret for at motivere medarbejderne og sørge for, at medarbejderne efter behov har mulighed for at efteruddanne sig.

Fokus på personalesikkerhed tilsikre minimering af risici forbundet med EKKOfondens medarbejdere, ved at alle relevante medarbejdere på forhånd er bevidste om og efterlever deres ansvar i forbindelse med behandling af persondata i forbindelse med deres arbejdsmæssige opgaver for EKKOfonden.  Ydermere skal sikres, at alle relevante medarbejdere er opmærksomme på relevante trusler og har den fornødne viden til at opretholde det sikkerhedsniveau, som kræves på baggrund af de stillede krav. EKKOfondens ledelse har ansvar for, at medarbejdere kan opretholde dette niveau.

Alle medarbejdere skal modtage instruktion i behandlingen af personoplysninger samt, hvordan personoplysninger skal beskyttes

DATAINDSAMLING, UDVEKSLINGSMETODER OG VIDEREGIVELSE
EKKOfonden skal indføre procedurer for behandling og beskyttelse af ind- og uddata med udgangspunkt i, at indsamling og udveksling af personoplysninger sker som følger:

• Dataindsamling sker via fagsystemer, hvortil kun personale med arbejdsbetinget behov har adgang.
• Dataindsamling sker i forbindelse med personlige møder, telefonsamtaler eller skype-konsultationer i tilknytning til, at EKKOfonden yder støtte i forbindelse med lægekonsultation, psykiatriske lægekonsulenter, konsultationer i psykiatrien, hos psykolog, sagsbehandler og lignende. Data indtastes direkte på fagpersonens computer og lagres herefter på diskområde, forbeholdt faggruppen.
• Udveksling af data mellem EKKOfonden og indskrevne borgere sker via e-boks.
• Udveksling af data mellem EKKOfonden og kommune sker via sikker mail.
• Videregivelse af data til eksempelvis Socialtilsynet, Datatilsynet, Arbejdstilsynet, advokat og arbejdsgiverorganisation sker via sikker mail.
• Sikker mail benyttes til udveksling, hvor dette kræves af indholdet i e-mailen.

OPBEVARING OG SLETNING
EKKOfonden skal indføre følgende overordnede retningslinjer for opbevaring og sletning af personoplysninger:

• Personoplysninger opbevares i it-systemer og på serverdrev med begrænset adgang.
• Personoplysninger opbevares ikke længere, end hvad der er nødvendigt for formålet med behandlingen.
• Personoplysninger for medarbejdere slettes fem år efter endt ansættelse, og personoplysninger om ansøgere slettes efter seks måneder.
• Personoplysninger og oplysninger i relation til psykologisk rådgivning slettes tidligst efter 5 år i henhold til psykologloven.
• Personoplysninger for indskrevne borgere slettes senest 2 år efter opsigelse af aftale med visiterende kommune.

For personoplysninger i fysiske dokumenter og bærbare medier gælder, at USB-nøgler og eksterne harddiske mv. skal opbevares i aflåst skuffe eller skab, og at fysiske mapper, der indeholder dokumenter med personoplysninger, skal være placeret i aflåste ska­be. Personoplysninger i fysiske mapper slettes ved makulering.

UDDATA – UDPRINTET MATERIALE
Udprintet materiale afhentes ved den valgte printer straks. Fejlprintet materiale makuleres straks. Der må ikke ligge udprintede persondata tilgængeligt i printerrummet. Uafhentede print i printerrummet makuleres ved arbejdsdagens afslutning. Sidste mand der forlader arbejdspladsen har ansvaret for at tjekke printerrummet, og sørge for at uafhentede print makuleres.

FYSISK SIKKERHED
EKKOfondens lokaler skal være beskyttet mod uautoriseret adgang. Kun personer med et arbejdsbetinget eller andet legitimt behov har adgang til kontorer og lignende med adgangs­brik og tilhørende personlig kode.

Indskrevne borgere, samarbejdspartnere, leverandører samt andre besøgende skal henvende sig i receptionen, der kontakter den relevante kontaktperson. Kontaktpersonen møder og følger den pågælden­de rundt i bygningen. Besøgende kan færdes frit i receptionsområdet og ved mødelokaler. Ingen udefrakommende personer, må færdes uledsaget i medarbejderområdet.

Sikkerhedsmæssige foranstaltninger skal indføres for områder/steder, hvor der foretages behandling af personoplysninger, for at forhindre uvedkommendes adgang til sådanne oplysninger.

REGLER FOR BRUG AF PC OG IT-ARBEJDSPLADS
Alle pc’er eller it-arbejdspladser skal være beskyttet med antivirus-software, som under ingen omstændigheder må fjernes eller deaktiveres af medarbejdere. Det er ikke tilladt for medarbejderne selv at installere software på pc’er eller it-arbejdspladser. Ønskes anden software installeret, skal dette ske i samråd med it-afdelingen.

Arbejdsrelaterede data, herunder særlige kategorier af personoplysninger (følsomme personoplysninger), må ikke gemmes på pc’ens lokale drev.

Hvis arbejdspladsen forlades, skal medarbejderen låse pc’en.

Medarbejdere, der har fået stillet mobiltelefon og Ipad til rådighed, skal ændre adgangskode ved modtagelse af disse enheder. Mobiltelefon skal være sikret med automatisk lås med kode, samt SIM-kort låst med PIN-kode.

Det er ikke tilladt for EKKOfondens beboere at anvende EKKOfondens devices/enheder (mobiltelefon og Ipad).

Reglerne omkring privat brug af devices er reguleret i personalehåndbogen.

MEDARBEJDERES BRUG AF INTERNET OG E-MAIL
Medarbejdere, der har fået stillet en pc til rådighed, skal følge retningslinjer for internetadgang og brug af e-mail. Retningslinjer fremgår af EKKOfondens personalehåndbog.

Retningslinjerne har til hensigt at sikre en hensigtsmæssig anvendelse af internet og e-mail i relation til EKKOfondens tilrettelæggelse af arbejdet og persondatasikkerheden. Retningslinjerne skal være gældende, uanset om brugen sker på arbejdspladsen eller eksternt, såfremt brugen indebærer opkobling til EKKOfondens netværk.

ANVENDELSE AF EKKOFONDENS INTERNE DREV OG SERVERE
Der må ikke lagres arbejdsrelaterede eller særlige kategorier af personoplysninger på lokale pc drev. Personda­ta af følsom karakter, skal derfor øjeblikkelig overføres til de respektive fortrolige netværksdrev og slettes fra lokal eller ekstern harddisk.

Alle drev på EKKOfondens servere skal være tilgængelig for brugerne til arbejdsrelaterede formål. Den enkelte bruger skal dog kun have adgang til de drev, som brugeren har et arbejdsmæssigt behov for at have adgang til. Alle medarbejdere i EKKOfonden skal som udgangspunkt have adgang til et personligt drev og et afdelingsdrev samt til de nødvendige fællesdrev.

BRUGERRETTIGHEDSSTYRING
For at sikre fortrolighed og integritet, skal medarbejdere kun tildeles de adgange til data i
it-systemerne, som der er arbejdsbetinget behov for. Det er lederen af den enkelte afdeling, der har ansvaret for, at den enkelte medarbejder er tildelt de korrekte rettigheder.

Adgange til EKKOfondens interne server samt anvendte IT systemer tildeles altid med udgangspunkt i ”need-to-know”/ ”need-to-have” og ”least privilege”-principperne. Derved sikres, at adgange er tildelt brugere med et arbejdsbetinget behov, uanset hvilken form for it-udstyr der anvendes.

Endvidere er det afdelingslederens ansvar, at medarbejderes brugerkonti øjeblikkelig nedlægges ved arbejdsophør i forbindelse med medarbejderes fratrædelse. It-afdelingen er – i samarbejde med afdelingslederne – ansvarlig for at definere, hvil­ke systemer og data, som medarbejderne skal have fri adgang til.

PASSWORD-POLITIK
Alle medarbejdere skal øjebliklig efter tiltrædelse ændre sit midlertidige password til sit eget hemmelige password. Password skal som minimum være på 10 karakterer og være komplekst, herunder være en blanding af tal og tegn samt indeholde både store og små bogstaver. Password skal skiftes hver 90. dag, når systemet giver besked herom. Password kan genbruges efter 10. gange.

Passwords er strengt personlige og må ikke gives til andre. Hvis en medarbejder har mistanke om, at andre har kendskab til vedkommendes password, skal medarbejderen øjeblikkelig skif­te det. Såfremt medarbejderen har mistanke om misbrug af password og brugerkonti, skal medarbejderen uden unødigt ophold henvende sig til lederen for afdelingen.

Da EKKOfondens IT systemer er internetbaserede løsninger vil disse skulle tilgå disse via en internetbrowser. Mange internetbrowsere tilbyder at huske login oplysninger – brugernavn og password, lige som det er muligt at bede computeren om at huske oplysninger når du logger ind på EKKOfondens interne server. EKKOfondens medarbejdere skal til en hver tid fravælge at benytte denne mulighed.

DATABESKYTTELSE GENNEM DESIGN OG STANDARDINDSTILLING
EKKOfonden gennemfører – både på tidspunktet for fastlæggelse af processer og systemer til behandling og på tidspunktet for selve behandlingen – passende tekniske og organisatoriske foranstaltninger, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper.

I gennemførelsen af de passende tekniske og organisatoriske foranstaltninger tages der hensyn til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer.

Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer.

BESKYTTELSE MOD VIRUS
Alle EKKOfondens servere og pc’er skal være beskyttet med opdateret antivirus software til beskyttelse af it-systemer og data mod virusangreb. Det er it-afdelingens ansvar, at antivirus-softwaren er opdateret med seneste version.

FIREWALL
For at beskytte EKKOfondens netværk mod indtrængen fra eksterne kilder, skal der opsættes en firewall. It-afdelingen er ansvarlig for, at adgangen til netværket er beskyttet via en firewall og har således ansvaret for konfigurationen af firewall samt administration og vedligeholdelse heraf, herunder sikre, at dette sker i takt med udviklingen i trusselsbilledet.

Ændringer af opsætning af firewallen skal registreres automatisk i en log.

KRYPTERING
Der anvendes korrekt og effektiv kryptering for at tilsikre beskyttelse af datas fortrolighed, autencitet og/eller integritet. Data og underliggende infrastruktur skal beskyttes ved transmission af fortrolige oplysninger. Ved valg af kryptering tages i betragtning, at en kraftig kryptering sænker farten og dermed dataflowet.

NETVÆRK
Ansvaret for opbygning og vedligeholdelse af netværket skal placeres i it-afdelingen. It-afdelingen vedligeholder en topologi med oversigt over netværket. Alle eksterne forbindelser til EKKOfondens netværk skal godkendes af it-afdelingen, som løbende opdaterer en oversigt med alle eksterne forbindelser til netværket.

SIKKERHEDSKOPIERING
Alle data, der er centralt lagret på EKKOfondens servere, skal indgå i sikkerhedskopieringen af systemer og data. Det er it-afdelingens ansvar at foretage sikkerhedskopiering af centralt lagrede data, og at sikkerhedskopierne opbevares på forsvarlig vis. Endvidere er det it-afdelingens ansvar at teste genskabelse af data på baggrund af sikkerhedskopien.

Alle arbejdsrelaterede data skal sikkerhedskopieres, således at de kan genskabes i tilfælde af systemnedbrud eller lignende. For at sikre data, skal alle medarbejdere lagre data, herunder ind- og udgående elektroniske dokumenter, databaser, regneark m.v., på de centrale servere.

FJERNARBEJDSPLADSER
Ved behov skal medarbejdere kunne tilgå netværket uden for EKKOfondens lokaler ved opkobling via en sikker VPN-forbindelse med brugernavn og password.

SIKKER BORTSKAFFELSE AF DATAMEDIER
Alle datamedier skal bortskaffes på en sådan måde, at oplysninger, der måtte befinde sig på datamediet, ikke kan tilgås og derved komme til uvedkommendes kendskab. Ved datamedier forstås enhver form for enhed til opbevaring af data. Alle trykte dokumenter skal lægges i aflåst makulatorboks, som afhentes og destrueres på forsvarligvis. Alle harddiske, bånd, disketter, usb-nøgler og tilsvarende medier skal fysisk destrueres, så læsning og genskabelse af data umuliggøres.

Tidligere anvendte pc’er kan genanvendes inden for EKKOfonden, uden at harddisken destrueres. Såfremt pc’en genanvendes inden for egen juridisk enhed, er det tilstrækkeligt, at harddisken formateres og overskrives gentagende gange, før den tages i brug af en anden medarbejder. Ved andre tilfælde skal harddiske destrueres.

SYSTEMDOKUMENTATION
Der skal foreligge dokumentation for EKKOfondens lokale it-systemer. Der er her tale om dokumentation af systemernes konfiguration, indhold samt anvendelse, både for systemer som leveres af leverandører samt egenudviklede systemer. Formålet er, at systemer kan genskabes efter eventuelle nedbrud.

KONTROL OG OVERVÅGNING
EKKOfonden skal have procedure for overvågning og kontrol af medarbejderes brug af systemer, herunder brug af internettet og e-mail. Overvågningen og kontroller skal være baseret på opsat sikkerhedslogning.

Databehandlere, underdatabehandlere og enhver anden, der udfører arbejde for EKKOfonden, og som har adgang til personoplysninger, må kun behandle sådanne oplysninger efter instruks fra den dataansvarlige, medmindre det kræves i henhold til lovgivningen.

EKKOFONDENS ANVENDELSE AF DATABEHANDLER SOM DATAANSVARLIG
Forinden en databehandler får adgang til eller påbegynder behandling af personoplysninger, skal databehandleren stille de fornødne garantier for, at denne vil gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger på en sådan måde, at behandling opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettig­heder.

EKKOfonden skal som dataansvarlig indgå en skriftlig databehandleraftale med databehandleren, der opfylder kravene i databeskyttelsesforordningen, og som skal godkendes af Afdelingsleder for pædagogisk udvikling og tilsyn. Databeskyttelsesrådgiveren skal udføre rådgivning herom. Databehandleraftalen udgør den instruks, som databehandleren skal følge ved behandling af personoplysninger for EKKOfonden.

Databehandleren skal dokumentere, at denne lever op til ovenstående punkter, eksempelvis ved udlevering af en ISAE 3000 erklæring eller tilsvarende dokumentation

EKKOFONDENS ANVENDELSE AF UNDERDATABEHANDLER SOM DATABEHANDLER
Forinden EKKOfonden i sin egenskab af databehandler anvender en underdatabehandler til behandling af personoplysninger, skal underdatabehandleren stille de fornødne garantier for, at denne vil gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger på en sådan måde, at behandling opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettig­heder. EKKOfonden skal tillige indhente en forudgående specifik eller generel skriftlig godkendelse hos den dataansvarlige vedrørende underdatabehandleren i henhold til databehandleraftalen.

Underdatabehandleren skal pålægges de samme databeskyttelsesretlige forpligtelser som EKKOfonden, der er fastsat i databehandleraftalen mellem den dataansvarlige og EKKOfonden. Opfylder underdatabehandleren ikke ovenstående, forbliver EKKOfonden ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.

Underdatabehandleren skal dokumentere, at denne lever op til de organisatoriske og tekniske foranstaltninger samt beskytter den registreredes rettigheder, eksempelvis ved udlevering af en ISAE 3000 erklæring eller tilsvarende dokumentation.

Personoplysninger om medarbejdere bliver videregivet til offentlige myndigheder, eksempelvis SKAT og pensionsselskaber, sundhedsforsikring, leverandører og kommuner, i henhold til særlove. Personoplysninger om indskrevne borgere videregives til Socialtilsynet i henhold til særlov.

EKKOfonden iagttager den registreredes rettigheder, herunder retten til indsigt, tilbagetrækning af samtykke, berigtigelse, sletning og klageadgang til Datatilsynet mv. EKKOfonden oplyser de registrerede om virksomhedens behandling af personoplysninger i den offentliggjorte privatlivspolitik.

I tilfælde af eller ved mistanke om brud på persondatasikkerheden skal databeskyttelsesrådgiveren kontaktes omgående. Databeskyttelsesrådgiveren vurderer, om der er tale om et brud på persondatasikkerheden, herunder om der skal ske anmeldelse til Datatilsynet og underretning til de registrerede.

Ved brud på persondatasikkerheden forstås enhver hændelse, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Hvis der er mistanke om, at misbrug af systemer og data har fundet sted og dermed sket et muligt brud på persondatasikkerheden, skal medarbejderen underrette afdelingslederen.

Ved brud på persondatasikkerheden skal EKKOfonden anmelde dette til Datatilsynet, når EKKOfonden er dataansvarlig.

Anmeldelse af brud på persondatasikkerheden skal ske uden unødig forsinkelse og om muligt senest 72 timer, efter at EKKOfonden er blevet bekendt med bruddet. Bliver sikkerhedsbruddet ikke anmeldt inden for 72 timer, skal årsagen til forsinkelsen angives i anmeldelsen.

Anmeldelsen skal mindst indeholde:

• Beskrivelse af karakteren af bruddet på persondatasikkerheden, herunder kategorierne og det omtrentlige antal berørte registrerede.
• Angivelse af navn på ansvarlige kontaktperson i EKKOfonden
• Beskrivelse af de sandsynlige konsekvenser af sikkerhedsbruddet.
• Beskrivelse af de foranstaltninger, som EKKOfonden har truffet eller forslår truffet for at afhjælpe sikkerhedsbruddet.

Ved brud på persondatasikkerheden skal de dataansvarlige kontaktes uden unødig forsinkelse, efter EKKOfonden er blevet opmærksom på sikkerhedsbruddet, når EKKOfonden er databehandler.

Som dataansvarlig, og når et persondatasikkerhedsbrud indebærer en høj risiko for de registrerede, skal EKKOfonden uden unødig forsinkelse underrette den eller de registrerede. Underretningen skal formuleres i et klart og tydeligt sprog og mindst indeholde de samme oplysninger, som anmeldelsen til Datatilsynet.

Det er dog ikke nødvendigt at underrette den eller de registrerede, såfremt:

• EKKOfonden har gennemført passende tekniske og organisatoriske foranstaltninger og de er blevet anvendt på de personoplysninger, som er berørt af sikkerhedsbruddet.
• EKKOfonden har truffet efterfølgende foranstaltninger, som sikrer, at den høje risiko ikke længere er reel.
• Det ville kræve en uforholdsmæssig indsats fra EKKOfondens side. I sådanne tilfælde skal EKKOfonden i stedet foretage en offentlig meddelelse eller tilsvarende foranstaltning, hvor de registrerede underrettes på en effektiv måde.

1. I Aftalen er indarbejdet de krav, som Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (herefter Databeskyttelsesforordningen) stiller til databehandleraftaler.
2. Leverandøren skal behandle personoplysninger i overensstemmelse med de grundlæggende principper for behandling af personopllysninger i henhold til Databeskyttelsesforordningens artikel 5, herunder principper for lovlighed, rimelighed, gennemsigtighed, formålsbegrænsning og dataminimering, og de til enhver tid gældende regler og forskrifter for behandling af personoplysninger.
3. Leverandøren må, i det omfang andet ikke følger af databehandleraftalen, benytte alle relevante hjælpemidler, herunder IT-systemer.

Leverandøren behandler i medfør af aftale med Kommunen ”Indskrivningsaftale” (herefter ”Hovedaftalen”) personoplysninger for Kommunen, hvor Leverandørens behandlinger og formålet med behandlingerne er beskrevet.

1. Kommunen er dataansvarlig for de personoplysninger, som Kommunen instruerer Leverandøren om at behandle. Kommunen har ansvaret for, at de personoplysninger, som Kommunen instruerer Leverandøren om at behandle, må behandles af Leverandøren, herunder at behandlingen er nødvendig og saglig i forhold til Kommunens opgavevaretagelse.
2. Kommunen har de rettigheder og forpligtelser, som er givet en dataansvarlig i medfør af lovgivningen. Herunder påhviler det blandt andet Kommunen at sikre overholdelse af Databeskyttelsesforordningens krav jævnfør kapitel II og III om behandlingsprincipperne, behandlingsgrundlag, oplysningpligt samt de registreredes rettigheder.
3. Kommunen angiver kontaktoplysninger på personer eller mailadresser, hvortil Leverandøren skal give sin underretning jævnfør punkt 7.5.
4. I det omfang Kommunen er forpligtet til at foretage en konsekvensanalyse vedrørende databeskyttelse, bistår Leverandøren Kommunen hermed i rimeligt omfang. Kommunen orienterer Leverandøren om udfaldet af en eventue Side 4/16 konsekvensanalyse med henblik på, at Leverandøren kan overholde sine forpligtelser i forhold til at sikre et passende sikkerhedsniveau

1. Leverandøren er databehandler for de personoplysninger, som Leverandøren behandler på vegne af Kommunen, jævnfør punkt 6 og bilag 3. Leverandøren har som databehandler de forpligtelser, som er pålagt en databehandler i medfør af lovgivningen.
2. Leverandøren behandler alene de overladte personoplysninger efter instruks fra Kommunen, jævnfør punkt 6 og bilag 3, og alene med henblik på opfyldelse af Hovedaftalen.
3. Leverandøren fører løbende en fortegnelse over behandlingen af personoplysninger jævnfør Databeskyttelsesforordningens artikel 30 stk. 2, samt en fortegnelse over alle sikkerhedsbrud jævnfør Databeskyttelsesforordningens artikel 33 stk. 5.
4. Leverandøren skal sikre personoplysningerne via passende og tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger jævnfør Databeskyttelses-forordningen samt bilag 1 – Sikkerhed. Såfremt der sker en ændring af den risiko, som behandlingsaktiviteten udgør orienterer
   Leverandøren Kommunen herom.
5. Leverandøren skal så vidt muligt ved hjælp af passende tekniske og organisatoriske foranstaltninger på opfordring fra Kommunen bistå med at opfylde Kommunens forpligtelser i forhold til den registreredes rettigheder. Leverandøren skal herunder bistå ved besvarelse af anmodninger fra borgere om:
   – indsigt i egne oplysninger,
   – udlevering af borgerens oplysninger,
   – rettelse og
   – sletning af oplysninger,
   – begrænsning af behandling af borgerens oplysninger, samt
   – Kommunens forpligtelser i forhold til underretning af den registrerede ved sikkerhedsbrud, jævnfør artikel 34.
6. Leverandøren efterlever dennes forpligtelser efter Databeskyttelsesforordningens
   artikel 32-36.
7. Leverandøren garanterer at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske foranstaltninger sådan, at Leverandørens behandling af Kommunens personoplysninger opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.
8. I forbindelse med Kommunens tilsyn med Leverandørens overholdelse af aftalen oplyser Leverandøren, med præcise adresseangivelser, hvor Kommunens personoplysninger opbevares, jævnfør bilag 2. Leverandøren skal ajourføre oplysningerne over for Kommunen ved enhver ændring

1. Ved underdatabehandler forstås en underleverandør, til hvem Leverandøren har overladt hele eller dele af den behandling, som Leverandøren foretager på vegne af Kommunen.
2. Leverandøren anvender underdatabehandlere, til at behandle de personoplysninger, som Kommunen har overladt til Leverandørene i medfør af Hovedaftalen, efter forudgående skriftlig generel godkendelse fra Kommunen. Leverandøren underretter Kommunen om eventuelle planlagte ændringer vedrørende tilføjelser eller erstatning af underdatabehandlere. Kommunen har mulighed for at gøre indsigelse mod sådanne ændringer. Kommunen kan ikke nægte at godkende tilføjelse eller udskiftning af en underdatabehandler medmindre, der foreligger en konkret saglig begrundelse herfor. Leverandørens anvendte underdatabehandlere på tidspunktet for indgåelse af aftalen fremgår af bilag 2.
3. Hvis Leverandøren overlader behandlingen af personoplysninger, som Kommunen er dataansvarlig for, til underdatabehandlere, skal Leverandøren indgå en skriftlig (under)databehandleraftale med underdatabehandleren.
4. Underdatabehandleraftalen, jævnfør punkt 5.3, skal pålægge underdatabehandleren de samme databeskyttelsesforpligtelser, som Leverandøren er pålagt efter Aftalen, herunder, at underdatabehandleren garanterer at kunne levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at kunne implementere de passende tekniske og organisatoriske foranstaltninger
   således, at underdatabehandlerens behandling opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.
5. Når Leverandøren overlader behandlingen af personoplysninger, som Kommunen er dataansvarlig for, til underdatabehandlere, har Leverandøren over for Kommunen ansvaret for underdatabehandlernes overholdelse af disses forpligtelser, jævnfør punkt 5.3.
6. Kommunen kan til enhver tid anmode om dokumentation fra Leverandøren for eksistensen og indholdet af underdatabehandleraftaler for de underdatabehandlere, som Leverandøren anvender i forbindelse med opfyldelsen af sine forpligtelser over for Kommunen.
7. Al kommunikation mellem Kommunen og underdatabehandleren sker via Leverandøren

1. Leverandørens behandling af personoplysninger på vegne af Kommunen sker udelukkende efter dokumenteret instruks, jævnfør bilag 3. Leverandør sikrer, at eventuelle underdatabehandlere, jævnfør punkt 5.3, får tilsendt Kommunens instruks, jævnfør bilag 3.
2. Leverandøren giver straks besked til Kommunen, hvis en instruks efter Leverandørens vurdering er i strid med lovgivningen, jævnfør punkt 1.2

1. Leverandøren skal, jævnfør bilag 1, iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende og tilstrækkeligt sikkerheds-niveau.
2. Punkt 7.1 er også gældende for Leverandøren, såfremt behandlingen af personoplysninger hos Leverandøren sker ved anvendelse af fjernarbejdspladser.
3. Leverandøren gennemgår, mindst en gang årligt, sine interne sikkerhedsforskrifter og retningslinjer for behandlingen af personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed er iagttaget, jævnfør punkt4.4 samt bilag 1.
4. Leverandøren samt dennes ansatte er underlagt forbud mod at skaffe sig oplysninger af enhver art, som ikke har betydning for udførelsen af den pågældendes opgaver.
5. Leverandøren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af Kommunens personoplysninger, om Leverandørens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed, jævnfør punkt 9.
6. Leverandøren er i forbindelse med sikkerhedsbrud forpligtet til at bistå Kommunen med opfyldelse af Kommunens forpligtelser, når det måtte være påkrævet i henhold til glædende lovgivning og under hensyntagen til de oplysninger, der er tilgængelige for Leverandøren.
7. Såfremt Leverandøren er bekendt med et eventuelt sikkerhedsbrud, skal leverandøren unden unødig forsinkelse skriftligt orienterer Kommunen herom. Orienteringen indeholder jævnfør Databeskyttelsesforordningens artikel 33 følgende:
   – Beskrivelse af sikkerhedsbrudets karakter og såfremt det er muligt:
   1. Hvilke kategorier af registrerede som er omfattet samt
   2. det omtrentlige antal registreringer af personoplysninger
   – Navn og kontaktoplysninger på Leverandørens DPO (databeskyttelsesrådgiver),
   hvor yderligere oplysninger kan indsamles
   – Beskrivelse af sandsynlige konsekvenser af sikkerhedsbruddet
   – Beskrivelse af de foranstaltninger, som Leverandøren har truffet eller foreslår truffet for at håndtere sikkerhedsbruddet, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
8. Leverandøren underretter uden unødig forsinkelse Kommunen ved: (i) manglende overholdelse af Leverandørens, samt eventuelle underdatabehandleres forpligtelser uanset, om dette sker hos
   Leverandøren eller hos en underdatabehandler.
9. Leverandøren må ikke hverken offentligt eller til tredjeparter kommunikere om sikkerhedsbrud, jævnfør punkt 7.6, uden forudgående skriftlig aftale med Kommunen om indholdet af en sådan kommunikation, medmindre Leverandøren har en retlig forpligtelse til sådan kommunikation.

1. Leverandørens overførsel af personoplysninger til lande, der ikke er medlem af EU (tredjelande), f.eks. via en cloudløsning eller en underdatabehandler, skal ske i overensstemmelse med Kommunens instruks herfor, jævnfør bilag 3.
2. Ved overførsel til tredjelande er Leverandøren ansvarlig for, at der foreligger et gyldigt overførselsgrundlag

1. Leverandøren er – under og efter Hovedaftalens ophør – pålagt fuld tavshedspligt omkring alle oplysninger, denne bliver bekendt med gennem samarbejdet. Aftalen indebærer, at tavshedspligtsbestemmelserne i straffe-lovens §§ 152- 152f, jævnfør straffelovens § 152a, finder anvendelse.
2. Leverandøren skal sikre, at alle, der behandler oplysninger omfattet af Aftalen, herunder ansatte, tredjeparter (f.eks. en reparatør) og underdata-behandlere, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

1. Leverandøren er forpligtet til at give Kommunen nødvendige oplysninger til, at Kommunen kan sikre sig, at Leverandøren overholder de krav, der følger af denne Aftale.
2. Kommunen, en repræsentant for Kommunen eller dennes revision (såvel intern som ekstern) har adgang til at foretage inspektioner og revision hos Leverandøren, få udleveret dokumentation, herunder logs, stille spørgsmål m.v. med henblik på at konstatere, at Leverandøren overholder de krav, der følger af denne Aftale.
3. Leverandøren skal én gang årligt fremsende en erklæring til Kommunen om overholdelse af denne Aftale. Omkostningerne forbundet hermed er indeholdt i den månedlige takst der opkræves i medfør af Hovedaftalen. Erklæringen skal udarbejdes i overensstemmelse med ISAE 3000, og skal omfatte Leverandørens databehandling. Erklæringen skal indeholde en udtalelse om Leverandørens kontrol af revisorerklæring fra underdatabehandlere. Den første erklæring skal foreligge 12 måneder efter Hovedaftalens indgåelse.
4. I tilfælde af, at Kommunen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter Leverandøren og Leverandørens underleverandører sig til uden yderligere omkostninger for Kommunen at stille tid og ressourcer til rådighed herfor.

1. Kommunen kan til enhver tid, med et forudgående varsel på mindst løbende måned plus én måned foretage ændringer i Aftalen og instruksen, jævnfør bilag 3. Forud for ændring af instruksen skal kommunen og leverandøren i videst muligt omfang drøfte, og om muligt aftale, implementeringen af ændringerne, inkl. implementeringstiden om omkostningerne. Ændringsprocessen og omkostningerne aftales skriftligt mellem Kommunen og Leverandøren i Hovedaftalen. Leverandøren skal ved sådanne ændringer uden ugrundet ophold sikre, at underdatabehandlerne tillige forpligtes af ændringerne.
2. I det omfang ændringer i lovgivningen, jævnfør punkt 1.1, eller tilhørende praksis, giver anledning til dette, er Kommunen med et varsel på løbende måned plus én måned og uden at dette medfører krav om betaling fra Leverandøren, berettiget til at foretage ændringer i Aftalen.

1. Kommunen træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af personoplysningerne efter, at behandlingen af personoplysningerne er ophørt i medfør af Hovedaftalen.
2. Kommunen skal senest løbende måned plus én måned inden Hovedaftalens ophør skriftligt meddele Leverandøren, hvorvidt alle personoplysningerne skal slettes eller tilbageleveres til Kommunen. I det tilfælde, hvor personoplysningerne tilbageleveres til Kommunen, skal Leverandøren ligeledes slette eventuelle kopier. Leverandøren skal sikre, at eventuelle underdatabehandlere ligeledes efterlever Kommunens meddelelse.

Misligholdelse og tvistigheder er reguleret i Hovedaftalen.

Erstatnings- og forsikringsspørgsmål er reguleret i Hovedaftalen.

Aftalen indgås ved begge parters underskrift og løber indtil ophør af Hovedaftalen

Aftalen skal foreligge skriftligt, herunder elektronisk, hos Kommunen og Leverandøren.

Parterne har aftalt levering af en række ydelser fra Konsulentfirmaet til EKKOfonden, som er
nærmere beskrevet i Kontrakten.

I den forbindelse behandler Konsulentfirmaet personoplysninger på vegne af EKKOfonden,
hvorfor denne Databehandleraftale indgåes.

Databehandleraftalen har til formål at sikre, at Parterne overholder den til enhver tid gældende
persondataretlige regulering, herunder navnlig:
– Databeskyttelsesloven (nr. 502 af 23/5 2018), og
– persondataforordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af
27. april 2016), når denne får virkning pr. 25. maj 2018, samt nationale forskrifter fastsat
efter persondataforordningen

1. Konsulentfirmaet må alene behandle personoplysninger til de formål, som er nødvendige for at levere ydelser på vegne af EKKOfonden, og ikke til egne formål eller andre formål end de formål, der er aftalt med EKKOfonden i denne Databehandleraftale.
2. EKKOfonden instruerer derfor Konsulentfirmaet til alene at foretage behandling af personoplysninger på EKKOfondens vegne efter vilkårene fastsat i denne Databehandleraftale samt instruksen i bilag 1.
3. Som Databehandler skal Konsulentfirmaet til hver en tid anvende de systemer, som EKKOfonden stiller til rådighed for leverancen. Alle systemer er beskyttet med et unikt og personligt password, som er tildelt ene og alene til Konsulentfirmaets indehaver. Systemadgangene dækker over følgende platforme:
   a) Planner 4 you: Anvendes til registreringer af ydelsesaktiviteter og dokumentation i leverancen (såsom opstart, pause, mødebooking, noter, delrapporter og afslutningsrapport
   samt dokumenthåndtering).

1. Instruksen i denne Databehandleraftale kan til enhver tid ændres eller konkretiseres nærmere af EKKOfonden.
2. Databehandleraftalen gælder, indtil Kontraktenn om levering af ydelserne ophører.
3. Uanset Databehandleraftalens ophør skal aftalens punkt 12 vedrørende fortrolighed fortsat have virkning efter Databehandleraftalens ophør.

1. Tekniske og organisatoriske foranstaltninger
   Konsulentfirmaet garanterer over for EKKOfonden, at Konsulentfirmaet gør brug af de til enhver tid passende tekniske og organisatoriske foranstaltninger, EKKOfonden eller Konsulentfirmaet har stillet op på en sådan måde, at Konsulentfirmaets behandling af personoplysninger på vegne af EKKOfonden opfylder kravene i den til enhver tid gældende persondataretlige regulering. Se bilag 2 for de specifikke tekniske og organisatoriske sikkerhedskrav EKKOfonden har stillet op.
   Konsulentfirmaet skal på EKKOfondens anmodning redegøre for og dokumentere, at Konsulentfirmaet opfylder kravene i persondatalovgivningen og forpligtelserne i medfør af denne Databehandleraftale, herunder at de til enhver tid nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger er truffet. Herudover skal Konsulentfirmaet på EKKOfondens anmodning give EKKOfonden tilstrækkelige oplysninger til, at EKKOfonden kan påse, at Konsulentfirmaet har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger.
2. Sikkerhedsbrud
   – Konsulentfirmaet er forpligtet til at underrette EKKOfonden hurtigst muligt og senest 12 timer efter, at Konsulentfirmaet er blevet bekendt med driftsforstyrrelser, mistanke om brud på persondatalovgivningen eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Underretningen skal ske via mail til: dataprotection@EKKOfonden.dk.
   Efter EKKOFONDENs anmodning skal Konsulentfirmaet bistå EKKOfonden i forhold til afklaring af sikkerhedsbruddet, herunder i forbindelse med eventuel anmeldelse til den kompetente tilsynsmyndighed og/eller registrerede personer.
   – Der skal oprettes en registrering af sikkerhedsbruddet i EKKOfondens hertil egnede registreringssystem, der kan tilgås via EKKOfondens intranet.
3. Bistand
   – Hvis Konsulentfirmaet eller en anden databehandler, som har modtaget oplysninger, modtager en anmodning om adgang til registrerede personoplysninger fra en registreret, eller en registreret gør indsigelse mod behandlingen af hans/hendes personoplysninger, skal Konsulentfirmaet sende sådan anmodning og/eller indsigelse til EKKOfonden med henblik på EKKOfondens videre behandling, medmindre Konsulentfirmaet er berettiget til at håndtere en sådan forespørgsel selv. Konsulentfirmaet skal efter anmodning fra EKKOfonden bistå Konsulentfirmaet i relation til besvarelse af anmodningen og/eller indsigelsen fra den registrerede.
   – Konsulentfirmaet skal i fornødent og rimeligt omfang hjælpe med EKKOfondens opfyldelse af EKKOfondens forpligtelser som dataansvarlig. Herved skal Konsulentfirmaet bidrage med:
   a) Besvarelser til registrerede ved udøvelse af disses rettigheder.
   b) Nødvendige situationer, herunder eventuelle udarbejdelser af konsekvensanalyser.
   c) Sikkerhedsbrud.
   d) Forudgående høringer fra tilsynsmyndighederne.
   – Konsulentfirmaet skal dermed også fremskaffe de oplysninger, der skal indgå i en anmeldelse til tilsynsmyndigheden, i det omfang Konsulentfirmaet er den nærmeste hertil.

• At sikre sig at personoplysningerne, som EKKOfonden giver Konsulentfirmaet adgang til på vegne af EKKOfonden, er ajourførte.
• At sikre sig at instruksen og behandlingen er lovlig set i forhold til den til enhver tid gældende persondataretlige regulering.
• At instruksen er hensigtsmæssig set i forhold til denne Databehandleraftale og ydelserne beskrevet heri og i Kontrakten.

• Konsulentfirmaet er ikke berettiget til at videregive eller overlade personoplysninger til andre databehandlere (underdatabehandlere) eller tredjeparter herunder foretage overførsel af personoplysninger til tredjelande, uden forudgående skriftlig instruks eller generel fuldmagt fra EKKOfonden, medmindre en sådan videregivelse eller overladelse er fastsat i lovgivningen.
• Påtænker Konsulentfirmaet at anvende underdatabehandlere, skal denne databehandleraftale opdateres med et bilag 3 hvor underdatabehandlerne oplistes med instruks om deres behandlingshjemmel.
• Konsulentfirmaet skal, inden overførsel af personoplysninger til en underdatabehandler, indgå en skriftlig databehandleraftale med underdatabehandleren, hvor denne forpligter sig til over for Konsulentfirmaet at være bundet på “back-to-back”-vilkår i forhold til bestemmelserne i denne databehandleraftale.
• Derudover henvises til Kontrakten angående udførelse af leverancer.

1. Ved behandling af personoplysninger uden for Instruksen skal Konsulentfirmaet underrette EKKOfonden om årsagen hertil. Underretningen skal ske, inden behandlingen foretages og skal indeholde en henvisning til de retlige krav, der ligger til grund for behandlingen.
2. Underretning skal ikke ske, hvis underretning vil være i strid med EU-retten eller den nationale ret.

1. Konsulentfirmaet skal skadesløsholde EKKOfonden for alle krav, omkostninger (herunder rimelige advokatomkostninger), tab, ansvar, bøder, udgifter og skadeserstatning, som EKKOfonden måtte lide, som følge af Konsulentfirmaets misligholdelse af denne Databehandleraftale, herunder overtrædelse af den til enhver tid gældende persondatalovgivning.

1. Konsulentfirmaet kan ikke gøres ansvarlig for forhold, der almindeligvis må betegnes som force majeure, herunder, men ikke begrænset til, krig, optøjer, terror, opstand, strejke, ildsvåde, naturkatastrofer, valutarestriktioner, import- eller eksportrestriktioner, afbrydelse af almindelig samfærdsel, afbrydelse af eller svigt i energiforsyningen, offentlige dataanlæg og kommunikationssystemer.
2. Force majeure kan højst gøres gældende med det antal arbejdsdage, som force majeuresituationen varer.

1. I tilfælde af at Kontrakten om levering af ydelserne ikke tager stilling hertil, skal bestemmelserne i punkt 10.2-10.4 finde anvendelse på denne Databehandleraftale.
2. Information vedrørende indholdet af denne Databehandleraftale, de underliggende ydelser, samt alle former for information, der er angivet som fortroligt eller klart må opfattes som fortroligt, skal behandles fortroligt. Data, herunder persondata, udgør altid fortrolige informationer.
3. Fortrolighedsforpligtelsen gælder dog ikke for information, som er eller bliver offentligt tilgængelig, uden dette skyldes brud på en Parts fortrolighedsforpligtelse eller information, som allerede er i den modtagende Parts besiddelse uden tilsvarende fortrolighedsforpligtelse, eller information, som selvstændigt er udviklet af den modtagende Part.
4. Konsulentfirmaet skal sikre, at de medarbejdere, der er involveret i at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt lovbestemt tavshedspligt.

1. 1. Opsigelse og ophævelse

   Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse og ophævelse i Kontrakten om levering af ydelserne.

   Opsigelse eller ophævelse af denne Databehandleraftale kan alene ske ved – og berettiger til – samtidig opsigelse eller ophævelse af dele af Kontrakten om levering af ydelserne, der vedrører behandling af personoplysninger i medfør af Databehandleraftalen.

   1. Virkning af ophør
   2. Konsulentfirmaets bemyndigelse til at behandle personoplysninger på vegne af EKKOfonden bortfalder ved Databehandleraftalens ophør, uanset årsag.
   3. Konsulentfirmaet må fortsat behandle personoplysningerne i op til tre måneder efter Databehandleraftalens ophør, i det omfang dette er nødvendigt for at foretage nødvendige lovpligtige foranstaltninger, og dette sker efter EKKOfondens specifikke instruks. I samme periode er Konsulentfirmaet berettiget til at lade personoplysningerne indgå i Konsulentfirmaets sædvanlige backupprocedure. Konsulentfirmaets behandling i denne periode anses fortsat for at ske under overholdelse af Instruksen.
   4. I det omfang EKKOfonden ikke allerede er i besiddelse af personoplysningerne, skal Konsulentfirmaet og dennes Underdatabehandlere tilbagelevere alle personoplysninger, som Konsulentfirmaet har behandlet under denne Databehandleraftale, til EKKOfonden ved Databehandleraftalens ophør. Konsulentfirmaet er herefter forpligtet til at slette alle personoplysninger fra EKKOfonden, medmindre der skal ske tilbagelevering til EKKOfonden. EKKOfonden kan til enhver tid anmode om fornøden dokumentation for, at sletning eller tilbagelevering af samtlige personoplysninger er sket.

1. 1. Opsigelse og ophævelse

   Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse og ophævelse i Kontrakten om levering af ydelserne.

   Opsigelse eller ophævelse af denne Databehandleraftale kan alene ske ved – og berettiger til – samtidig opsigelse eller ophævelse af dele af Kontrakten om levering af ydelserne, der vedrører behandling af personoplysninger i medfør af Databehandleraftalen.

   1. Virkning af ophør
   2. Konsulentfirmaets bemyndigelse til at behandle personoplysninger på vegne af EKKOfonden bortfalder ved Databehandleraftalens ophør, uanset årsag.
   3. Konsulentfirmaet må fortsat behandle personoplysningerne i op til tre måneder efter Databehandleraftalens ophør, i det omfang dette er nødvendigt for at foretage nødvendige lovpligtige foranstaltninger, og dette sker efter EKKOfondens specifikke instruks. I samme periode er Konsulentfirmaet berettiget til at lade personoplysningerne indgå i Konsulentfirmaets sædvanlige backupprocedure. Konsulentfirmaets behandling i denne periode anses fortsat for at ske under overholdelse af Instruksen.
   4. I det omfang EKKOfonden ikke allerede er i besiddelse af personoplysningerne, skal Konsulentfirmaet og dennes Underdatabehandlere tilbagelevere alle personoplysninger, som Konsulentfirmaet har behandlet under denne Databehandleraftale, til EKKOfonden ved Databehandleraftalens ophør. Konsulentfirmaet er herefter forpligtet til at slette alle personoplysninger fra EKKOfonden, medmindre der skal ske tilbagelevering til EKKOfonden. EKKOfonden kan til enhver tid anmode om fornøden dokumentation for, at sletning eller tilbagelevering af samtlige personoplysninger er sket.

1. 1. Aftalen skal foreligge skriftligt, herunder elektronisk, hos EKKOfonden og Konsulentfirmaet.

1. 1. VI BEHANDLER DINE OPLYSNINGER PÅ VEGNE AF DIN KOMMUNE
      EKKOfonden behandler og opbevarer nogle af dine oplysninger på vegne af din kommune, i forhold til den aftale din kommune og EKKOfonden har indgået. Din kommune bestemmer om disse oplysninger skal tilbageleveres eller slettes, når aftalen opsiges. Det betyder også, at det i nogle tilfælde er din kommune du skal henvende dig til, hvis du ønsker at udøve dine rettigheder, se mere herom senere.I forhold til de behandlingsaktiviteter, hvor EKKOfonden ikke handler på vegne af din kommune, vil EKKOfonden være dataansvarlig.VI BEHANDLER DINE PERSONDATA TIL BESTEMTE FORMÅL
      Vi indsamler, registrerer, anvender og opbevarer dine data i forbindelse med bestemte formål eller andre lovlige forretningsmæssige formål.Når du modtager hjælp fra EKKOfonden, anvender vi data om dig for at sikre en høj kvalitet i den hjælp EKKOfonden skal give dig, samt i vores kontakt med dig og din kommune. Vi anvender også data om dig, for at sikre at EKKOfonden tilrettelægger den daglige hjælp, på den mest optimale og effektive måde.Vi behandler dine persondata når vi skal:
      • Opfylde en indgået aftale/kontrakt med din kommune, om at levere hjælp til dig.
      • Udvikle og forbedre vores ydelser efter servicelovens bestemmelser (botilbud, bostøtte, dagtilbud).
      • Overholde lovgivning (serviceloven, lov om socialtilsyn, forvaltningsloven, retssikkerhedsloven).
      • Planlægge, tilrettelægge og administrere den hjælp du modtager.

      VI ANVENDER DENNE TYPE DATA OM DIG
      De data vi anvender, omfatter:

      • Almindelige persondata
      • Navn
      • Adresse
      • Fødselsdato
      • Cpr. nr.
      • Køn
      • Evt. billede
      • Væsentlige sociale problemer
      • Andre rent private forhold: personlighedstests, skilsmisse, adoptionsforhold, positive alkoholeller
        narkotikatest mv.
      • Straffedomme og lovovertrædelser

      Særlige kategorier af persondata

      • Helbredsoplysninger
      • Evt. etnisk tilhørsforhold

      Vi sammenstiller ikke data.

EKKOfonden er dataansvarlig og vi sikrer, at dine persondata behandles på en ansvarlig måde i overensstemmelse med lovgivningen. Du er altid velkommen til at kontakte os, hvis du har spørgsmål vedr. vores behandling af dine persondata.

DATAANSVARLIG
EKKOfonden
Adresse: Egholmvej 8, 9800 Hjørring
CVR: 35478787
Telefonnr.: (+45) 96780056
Mail: info@ekkofonden.dk
Website: www.ekkofonden.dk

DATABESKYTTELSESRÅDGIVER
Databeskyttelsesrådgiver (DPO):
Jane Faarup Christensen
Mail: dataprotection@ekkofonden.dk
Telefonnr.: 96780056

1. Efter databeskyttelsesforordningens artikel 13 og 14 skal vi sende dig en underretning for at orienterer dig om, hvordan vi behandler dine personlige oplysninger/persondata.Persondata er alle slags informationer, der i et eller andet omfang kan henføres til dig. Du kan læse mere om hvilken type personoplysninger vi behandler om dig under emnet ”Vi behandler denne type data om dig”.EKKOfonden overholder den europæiske persondataforordning samt gældende dansk lovgivning.Vi sikre at dine persondata behandles i overensstemmelse med behandlingsprincipperne i persondatalovgivningen. Vi sikre at dine persondata:
   • behandles lovligt, rimeligt og gennemsigtigt,
   • kun behandles til udtrykkeligt angivne og legitime formål,
   • kun behandles i det omfang der er tilstrækkeligt, relevant og nødvendigt i forhold til formålet(ene),
   • er korrekte og ajourførte,
   • ikke opbevares i længere tidsrum end der er nødvendigt i forhold til formålet(ene),
   • behandles med den tilstrækkelige sikkerhed.

   For at beskytte dine persondata bedst muligt, vurderer vi løbende, hvor høj risikoen er for, at vores databehandling påvirker dine grundrettigheder negativt. Vi er især opmærksomme på risikoen for, at du:

   • udsættes for diskrimination,
   • udsættes for identitetstyveri,
   • lider økonomisk tab,
   • lider tab af omdømme eller
   • lider tab af datafortrolighed.

1. Når du er ansat i EKKOfondens indsamler og behandler vi relevante oplysninger om dig i forbindelse med din ansættelse hos os. Når vi foretager behandling af dine persondata, har vi en oplysningsforpligtelse over for dig som den registrerede.FORMÅL – VI BEHANDLER DINE PERSONDATA TIL BESTEMTE FORMÅL
   Vi behandler dine data i forbindelse med bestemte formål eller andre lovlige og forenelige forretningsmæssige formål.Når du er ansat i EKKOfonden, anvender vi data om dig for at sikre en høj kvalitet og effektivitet i den daglige drift af virksomheden, samt i vores kontakt med dig.  Vi skal bruge dine persondata for at kunne administrere, tilrettelægge og planlægge EKKOfondens daglige drift for dermed at sikre at din arbejdstid er effektivt planlagt, og at du modtager rettidig og korrekt honorering for din arbejdsindsats.Vi behandler dine persondata når vi skal:
   • indgå og opfylde en kontrakt med dig (ansættelseskontakten),
   • udvikle og forbedre vores ydelser efter servicelovens bestemmelser (botilbud, bostøtte, dagtilbud) for eksempel ved opkvalificering af dig som medarbejder,
   • overholde lovgivning (bogføringsloven, arbejdsretlig lovgivning, serviceloven, lov om socialtilsyn, forvaltningsloven, retssikkerhedsloven),

   planlægge, tilrettelægge og administrere den daglige drift.

   NYE FORMÅL
   Hvis vi ønsker at anvende dine persondata til et andet formål end det oprindelige, oplyser vi dig om det nye formål og beder om dit samtykke, før vi påbegynder databehandlingen. Hvis vi har et andet lovligt grundlag for den nye behandling, oplyser vi dig om dette.

   VI BEHANDLER DENNE TYPE DATA OM DIG
   De data vi behandler, omfatter følgende to kategorier:

   ALMINDELIGE PERSONDATA
   Almindelige persondata er oplysninger om dig som disse:

   • Navn
   • Adresse
   • Telefonnummer
   • E-mailadresse
   • Fødselsdato
   • nr.
   • Køn
   • Billede
   • Andre rent private forhold: eksempelvis personlighedstests, positive alkohol- eller narkotikatest mv.
   • Straffedomme og lovovertrædelser

   Vi bruger ovenstående oplysninger om dig, når vi skal administrere dit ansættelsesforhold, herunder opretter din brugerprofil i vores IT systemer til intranet, vagtplanlægning, timeregistrering, lønudbetaling, ferieregnskab, ved ansøgning om sygedagpengerefusion, oprettelse af sundhedsforsikring, samt til registrering i vores HR system. Vi bruger endvidere dine oplysninger til markedsføringsformål. Vi bruger også dine oplysninger, når vi skal give dig adgang til at anvende relevante it-systemer du skal bruge for at udføre dit arbejde. Vi bruger også dit navn og din emailadresse når vi sender dig vores interne nyhedsbrev en gang om måneden. Vi beder dig om at fremvise din straffeattest for at sikre os, at du ikke har kriminelle forhold der har relevans for din ansættelse i EKKOfonden. Vi beder om forevisning af kørekort, for at sikre at kørsel i arbejdsmæssige sammenhænge i EKKOfondens biler sker på lovlig vis. Vi beder endvidere om, at du fremviser en børneattest, hvis du ansættes i EKKOfonden med beskæftigelse i forhold til børne- og ungemålgruppen. Ovenstående oplysninger om dig kan også være nødvendige for os at videregive til andre i forbindelse med lovpligtig indberetning til myndigheder.

   SÆRLIGE KATEGORIER AF PERSONDATA
   Særlige kategorier af persondata er oplysninger om dit helbred, oplysninger om race og etnicitet, religion, politisk eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, samt behandling af genetisk data, biometrisk data med det formål entydigt at identificerer dig. Vi behandler i forbindelse med din ansættelse oplysninger omkring følgende:

   • Helbredsoplysninger
   • Fagforeningsmæssigt tilhørsforhold

   I forbindelse med rekruttering har vi indsamlet oplysninger direkte hos dig, omkring forhold der eventuelt kunne gøre det svært for dig at udføre arbejdsfunktionen. Vi behandler også dine helbredsoplysninger i forbindelse med en eventuel sygemelding i de tilfælde, hvor det vil være relevant for os at indhente en lægeerklæring eller en mulighedserklæring i forhold til dine muligheder for at varetage din arbejdsfunktion. Oplysningerne vil blive registreret i vores HR system.

   Oplysninger omkring dit fagforeningsmæssige tilhørsforhold behandles i forbindelse med overholdelse af de kollektive overenskomster.

   Vi sammenstiller ikke data.

   BEHANDLINGSGRUNDLAG
   Når vi behandler dine persondata, gør vi det på baggrund af følgende:

   • Indgåelse og opfyldelse af en kontrakt med dig – din ansættelseskontrakt.
   • Dit samtykke
   • Lovgivning

   VI INDHENTER DIT SAMTYKKE, INDEN VI BEHANDLER DINE PERSONDATA
   Vi indhenter dit samtykke, inden vi behandler dine persondata til de formål, der er beskrevet ovenfor, med mindre vi har et andet lovligt grundlag for at indhente dem.

   I forbindelse med afgivelse af dit samtykke informeres du om til, hvilket formål vi ønsker at behandle dine persondata. Dit samtykke er altid frivilligt, og du kan til enhver tid trække det tilbage ved at henvende dig til os. Brug kontaktoplysningerne ovenfor, hvis du ønsker yderligere oplysninger.

   DIREKTE OG INDIREKTE INDSAMLING
   Vi indsamler hovedsageligt dine personoplysninger direkte hos dig. Der kan også være tilfælde hvor vi indsamler persondata om dig fra andre. Det vil vi gøre i forbindelse med rekruttering, hvor vi kontakter dine referencepersoner efter aftale med dig. Der kan også være tilfælde hvor det er nødvendigt for os at indhente oplysninger fra din læge i forbindelse med en sygemelding. Hvis vi indsamler persondata hos andre, oplyser vi dig om hvor persondataene er indsamlet samt om disse data eventuelt stammer fra offentlige tilgængelige kilder. Du modtager oplysning herom inden for rimelig frist, senest inden for en måned fra indsamlingstidspunktet.

   TIDSBEGRÆNSNING
   Dine persondata vil kun blive behandlet i det omfang og i det tidsrum det er nødvendigt for os i forhold til formålene. Når vi ikke længere har brug for at behandle dine persondata, eksempelvis fordi du ikke længere er ansat i virksomheden, arkiverer og opbevarer vi dine personoplysninger i henhold til bogføringsloven.

   VI SLETTER DINE PERSONDATA, NÅR DE IKKE LÆNGERE ER NØDVENDIGE
   Vi sletter dine persondata, når de ikke længere er nødvendige i forhold til det formål, som var grunden til vores behandling af dine data.

   VIDEREGIVELSE AF DINE PERSONDATA
   Dine persondata vil blive videregivet til andre uden for EKKOfonden.

   Vi videregiver relevante persondate til følgende:

   • SKAT
   • dk
   • Dansk Erhverv
   • PFA pension
   • Søderberg & Partners (sundhedsforsikring)
   • Socialtilsyn Øst

   Når vi videregiver dine oplysninger sørger vi for, at vi har et gyldigt behandlingsgrundlag for denne videregivelse. Videregivelsesgrundlaget vil være bestemt i lovgivningen eller på baggrund af opfyldelse af kontrakten med dig. Vi indhenter ikke dit samtykke, hvis vi er retligt forpligtet til at videregive dine persondata, for eksempel som led i indberetning til en myndighed.

   Når vi videregiver dine oplysninger til ovenstående virksomheder/myndigheder, vil de ved modtagelsen af oplysningerne blive ansvarlige for den videre behandling af dine persondata der finder sted i deres regi. Du kan få mere information om hvordan de enkelte virksomheder/myndigheder behandler dine persondata på deres hjemmesider, eller ved at kontakte dem.

   Vi videregiver ikke dine persondata til aktører i tredjelande.

1. Hvis du ønsker at udøve dine rettigheder, kan du altid henvende dig til os på de oplyste kontaktinformationer øverst.RET TIL INDSIGT
   Du har ret til at få adgang til dine persondataDu har til en enhver tid ret til at få oplyst, hvilke data vi behandler om dig, hvor de stammer fra, og hvad vi anvender dem til. Du kan også få oplyst, hvor længe vi opbevarer dine persondata, og hvem, der modtager data om dig, i det omfang vi videregiver data i Danmark og i udlandet.Hvis du anmoder om det, kan vi oplyse dig om de data, vi behandler om dig samt udlevere dem til dig. Adgangen kan dog være begrænset af hensyn til andre personers privatlivsbeskyttelse, til forretningshemmeligheder og immaterielle rettigheder.RET TIL SLETNING ELLER BERIGTIGELSE
   Du har ret til at få unøjagtige persondata rettet eller slettet.

   Hvis du mener, at de persondata, vi behandler om dig, er unøjagtige, har du ret til at få dem rettet. Du skal henvende dig til os og oplyse os om, hvori unøjagtighederne består, og hvordan de kan rettes.

   I nogle tilfælde vil vi have en forpligtelse til at slette dine persondata. Det gælder fx, hvis du trækker dit samtykke tilbage. Hvis du mener, at dine data ikke længere er nødvendige i forhold til det formål, som vi indhentede dem til, kan du bede om at få dem slettet. Du kan også kontakte os, hvis du mener, at dine persondata bliver behandlet i strid med lovgivningen eller andre retlige forpligtelser.

   Når du henvender dig med en anmodning om at få rettet, begrænset eller slettet dine persondata, undersøger vi, om betingelserne er opfyldt, og gennemfører i så fald ændringer eller sletning så hurtigt som muligt.

   RET TIL BEGRÆNSET BEHANDLING
   Du har ret til at behandlingen af dine persondata begrænses.

   Hvis du mener, at de persondata vi behandler om dig er forkerte har du ret til at få begrænset brugen af dine persondata imens, vi undersøger om dine persondata er rigtige. Hvis du ikke ønsker at dine persondata slettes kan vi i stedet begrænse brugen af dem. Hvis det ikke længere er nødvendigt for os at behandle dine persondata men persondataene er nødvendige at opbevare på grund af lovgivningen, kan vi ligeledes begrænse behandlingen. Hvis behandling af dine persondata er begrænset vil vi inden begrænsningen ophæves fortæller dig det.

   RET TIL INDSIGELSE
   Du har ret til at gøre indsigelse mod vores behandling af dine persondata.

   Du har ret til at gøre indsigelse mod vores behandling af dine persondata. Du kan også gøre indsigelse mod eventuel videregivelse af dine data til markedsføringsformål. Du kan bruge kontaktoplysningerne øverst til at sende en indsigelse. Hvis din indsigelse er berettiget, sørger vi for at ophøre med behandlingen af dine persondata.

   RET TIL DATAPORTABILITET
   Du har ret til at kunne flytte dine persondata.

   Du har ret til at modtage og flytte de persondata, du har stillet til rådighed for os samt dem, vi har indhentet om dig hos andre aktører på baggrund af dit samtykke. Hvis vi behandler data om dig som led i en kontrakt, hvor du er part, kan du også få tilsendt dine data. Du har også ret til at overføre disse persondata til en anden tjenesteudbyder.

   Hvis du ønsker at bruge din ret til dataportabilitet, vil du modtage dine persondata fra os i et almindeligt anvendt format.

• Hvis du vil klage over vores behandling af dine persondata, har du også mulighed for at tage kontakt til Datatilsynet

• Alle fremtidige ændringer vi foretager i dette dokument omkring EKKOfondens privatlivspolitik vil blive offentliggjort på vores hjemmeside og på vores Intranet. Hvor det er relevant, vil vi også give dig direkte besked om eventuelle ændringer via mail. Ændringer træder i kraft straks.

Hvis du har spørgsmål til behandlingen af dine persondata er du altid velkommen til at kontakte os. Kontaktoplysningerne finder du øverst på siden.

EKKOfonden er dataansvarlig og vi sikrer, at dine persondata behandles på en ansvarlig måde i overensstemmelse med lovgivningen. Du er altid velkommen til at kontakte os, hvis du har spørgsmål vedr. vores behandling af dine persondata.

DATAANSVARLIG
EKKOfonden
Adresse: Egholmvej 8, 9800 Hjørring
CVR: 35478787
Telefonnr.: (+45) 96780056
Mail: info@ekkofonden.dk
Website: www.ekkofonden.dk

DATABESKYTTELSESRÅDGIVER
Databeskyttelsesrådgiver (DPO):
Jane Faarup Christensen
Mail: dataprotection@ekkofonden.dk
Telefonnr.: 96780056

EKKOfonden behandler og opbevarer nogle af dine oplysninger på vegne af din kommune, i forhold til den aftale din kommune og EKKOfonden har indgået. Din kommune bestemmer om disse oplysninger skal tilbageleveres eller slettes, når aftalen opsiges og du ikke længere modtager støtte fra EKKOfonden. Det betyder også at det i nogle tilfælde er din kommune du skal henvende dig til, hvis du ønsker at udøve dine rettigheder. Du kan læse mere om dine rettigheder under emnet ”Dine rettigheder”.

I forhold til de behandlingsaktiviteter, hvor EKKOfonden ikke handler på vegne af din kommune, vil EKKOfonden være dataansvarlig. Du kan i menuen læse mere om, hvordan EKKOfonden behandler dine persondata, hvilke rettigheder du har og hvordan du bruger disse rettigheder.

1. Efter databeskyttelsesforordningens artikel 13 og 14 skal vi sende dig en underretning for at orienterer dig om, hvordan vi behandler dine personlige oplysninger/persondata.Persondata er alle slags informationer, der i et eller andet omfang kan henføres til dig. Du kan læse mere om hvilken type personoplysninger vi behandler om dig under emnet ”Vi behandler denne type data om dig”.EKKOfonden overholder den europæiske persondataforordning samt gældende dansk lovgivning.Vi sikre at dine persondata behandles i overensstemmelse med behandlingsprincipperne i persondatalovgivningen. Vi sikre at dine persondata:
   • behandles lovligt, rimeligt og gennemsigtigt,
   • kun behandles til udtrykkeligt angivne og legitime formål,
   • kun behandles i det omfang der er tilstrækkeligt, relevant og nødvendigt i forhold til formålet(ene),
   • er korrekte og ajourførte,
   • ikke opbevares i længere tidsrum end der er nødvendigt i forhold til formålet(ene),
   • behandles med den tilstrækkelige sikkerhed.

   For at beskytte dine persondata bedst muligt, vurderer vi løbende, hvor høj risikoen er for, at vores databehandling påvirker dine grundrettigheder negativt. Vi er især opmærksomme på risikoen for, at du:

   • udsættes for diskrimination,
   • udsættes for identitetstyveri,
   • lider økonomisk tab,
   • lider tab af omdømme eller
   • lider tab af datafortrolighed.

1. Når du er ansat i EKKOfondens indsamler og behandler vi relevante oplysninger om dig i forbindelse med din ansættelse hos os. Når vi foretager behandling af dine persondata, har vi en oplysningsforpligtelse over for dig som den registrerede.FORMÅL – VI BEHANDLER DINE PERSONDATA TIL BESTEMTE FORMÅL
   Vi behandler dine data i forbindelse med bestemte formål eller andre lovlige og forenelige forretningsmæssige formål.Når du er ansat i EKKOfonden, anvender vi data om dig for at sikre en høj kvalitet og effektivitet i den daglige drift af virksomheden, samt i vores kontakt med dig.  Vi skal bruge dine persondata for at kunne administrere, tilrettelægge og planlægge EKKOfondens daglige drift for dermed at sikre at din arbejdstid er effektivt planlagt, og at du modtager rettidig og korrekt honorering for din arbejdsindsats.Vi behandler dine persondata når vi skal:
   • indgå og opfylde en kontrakt med dig (ansættelseskontakten),
   • udvikle og forbedre vores ydelser efter servicelovens bestemmelser (botilbud, bostøtte, dagtilbud) for eksempel ved opkvalificering af dig som medarbejder,
   • overholde lovgivning (bogføringsloven, arbejdsretlig lovgivning, serviceloven, lov om socialtilsyn, forvaltningsloven, retssikkerhedsloven),

   planlægge, tilrettelægge og administrere den daglige drift.

   NYE FORMÅL
   Hvis vi ønsker at anvende dine persondata til et andet formål end det oprindelige, oplyser vi dig om det nye formål og beder om dit samtykke, før vi påbegynder databehandlingen. Hvis vi har et andet lovligt grundlag for den nye behandling, oplyser vi dig om dette.

   VI BEHANDLER DENNE TYPE DATA OM DIG
   De data vi behandler, omfatter følgende to kategorier:

   ALMINDELIGE PERSONDATA
   Almindelige persondata er oplysninger om dig som disse:

   • Navn
   • Adresse
   • Telefonnummer
   • E-mailadresse
   • Fødselsdato
   • nr.
   • Køn
   • Billede
   • Andre rent private forhold: eksempelvis personlighedstests, positive alkohol- eller narkotikatest mv.
   • Straffedomme og lovovertrædelser

   Vi bruger ovenstående oplysninger om dig, når vi skal administrere dit ansættelsesforhold, herunder opretter din brugerprofil i vores IT systemer til intranet, vagtplanlægning, timeregistrering, lønudbetaling, ferieregnskab, ved ansøgning om sygedagpengerefusion, oprettelse af sundhedsforsikring, samt til registrering i vores HR system. Vi bruger endvidere dine oplysninger til markedsføringsformål. Vi bruger også dine oplysninger, når vi skal give dig adgang til at anvende relevante it-systemer du skal bruge for at udføre dit arbejde. Vi bruger også dit navn og din emailadresse når vi sender dig vores interne nyhedsbrev en gang om måneden. Vi beder dig om at fremvise din straffeattest for at sikre os, at du ikke har kriminelle forhold der har relevans for din ansættelse i EKKOfonden. Vi beder om forevisning af kørekort, for at sikre at kørsel i arbejdsmæssige sammenhænge i EKKOfondens biler sker på lovlig vis. Vi beder endvidere om, at du fremviser en børneattest, hvis du ansættes i EKKOfonden med beskæftigelse i forhold til børne- og ungemålgruppen. Ovenstående oplysninger om dig kan også være nødvendige for os at videregive til andre i forbindelse med lovpligtig indberetning til myndigheder.

   SÆRLIGE KATEGORIER AF PERSONDATA
   Særlige kategorier af persondata er oplysninger om dit helbred, oplysninger om race og etnicitet, religion, politisk eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, samt behandling af genetisk data, biometrisk data med det formål entydigt at identificerer dig. Vi behandler i forbindelse med din ansættelse oplysninger omkring følgende:

   • Helbredsoplysninger
   • Fagforeningsmæssigt tilhørsforhold

   I forbindelse med rekruttering har vi indsamlet oplysninger direkte hos dig, omkring forhold der eventuelt kunne gøre det svært for dig at udføre arbejdsfunktionen. Vi behandler også dine helbredsoplysninger i forbindelse med en eventuel sygemelding i de tilfælde, hvor det vil være relevant for os at indhente en lægeerklæring eller en mulighedserklæring i forhold til dine muligheder for at varetage din arbejdsfunktion. Oplysningerne vil blive registreret i vores HR system.

   Oplysninger omkring dit fagforeningsmæssige tilhørsforhold behandles i forbindelse med overholdelse af de kollektive overenskomster.

   Vi sammenstiller ikke data.

   BEHANDLINGSGRUNDLAG
   Når vi behandler dine persondata, gør vi det på baggrund af følgende:

   • Indgåelse og opfyldelse af en kontrakt med dig – din ansættelseskontrakt.
   • Dit samtykke
   • Lovgivning

   VI INDHENTER DIT SAMTYKKE, INDEN VI BEHANDLER DINE PERSONDATA
   Vi indhenter dit samtykke, inden vi behandler dine persondata til de formål, der er beskrevet ovenfor, med mindre vi har et andet lovligt grundlag for at indhente dem.

   I forbindelse med afgivelse af dit samtykke informeres du om til, hvilket formål vi ønsker at behandle dine persondata. Dit samtykke er altid frivilligt, og du kan til enhver tid trække det tilbage ved at henvende dig til os. Brug kontaktoplysningerne ovenfor, hvis du ønsker yderligere oplysninger.

   DIREKTE OG INDIREKTE INDSAMLING
   Vi indsamler hovedsageligt dine personoplysninger direkte hos dig. Der kan også være tilfælde hvor vi indsamler persondata om dig fra andre. Det vil vi gøre i forbindelse med rekruttering, hvor vi kontakter dine referencepersoner efter aftale med dig. Der kan også være tilfælde hvor det er nødvendigt for os at indhente oplysninger fra din læge i forbindelse med en sygemelding. Hvis vi indsamler persondata hos andre, oplyser vi dig om hvor persondataene er indsamlet samt om disse data eventuelt stammer fra offentlige tilgængelige kilder. Du modtager oplysning herom inden for rimelig frist, senest inden for en måned fra indsamlingstidspunktet.

   TIDSBEGRÆNSNING
   Dine persondata vil kun blive behandlet i det omfang og i det tidsrum det er nødvendigt for os i forhold til formålene. Når vi ikke længere har brug for at behandle dine persondata, eksempelvis fordi du ikke længere er ansat i virksomheden, arkiverer og opbevarer vi dine personoplysninger i henhold til bogføringsloven.

   VI SLETTER DINE PERSONDATA, NÅR DE IKKE LÆNGERE ER NØDVENDIGE
   Vi sletter dine persondata, når de ikke længere er nødvendige i forhold til det formål, som var grunden til vores behandling af dine data.

   VIDEREGIVELSE AF DINE PERSONDATA
   Dine persondata vil blive videregivet til andre uden for EKKOfonden.

   Vi videregiver relevante persondate til følgende:

   • SKAT
   • dk
   • Dansk Erhverv
   • PFA pension
   • Søderberg & Partners (sundhedsforsikring)
   • Socialtilsyn Øst

   Når vi videregiver dine oplysninger sørger vi for, at vi har et gyldigt behandlingsgrundlag for denne videregivelse. Videregivelsesgrundlaget vil være bestemt i lovgivningen eller på baggrund af opfyldelse af kontrakten med dig. Vi indhenter ikke dit samtykke, hvis vi er retligt forpligtet til at videregive dine persondata, for eksempel som led i indberetning til en myndighed.

   Når vi videregiver dine oplysninger til ovenstående virksomheder/myndigheder, vil de ved modtagelsen af oplysningerne blive ansvarlige for den videre behandling af dine persondata der finder sted i deres regi. Du kan få mere information om hvordan de enkelte virksomheder/myndigheder behandler dine persondata på deres hjemmesider, eller ved at kontakte dem.

   Vi videregiver ikke dine persondata til aktører i tredjelande.

1. Hvis du ønsker at udøve dine rettigheder, kan du altid henvende dig til os på de oplyste kontaktinformationer øverst.RET TIL INDSIGT
   Du har ret til at få adgang til dine persondataDu har til en enhver tid ret til at få oplyst, hvilke data vi behandler om dig, hvor de stammer fra, og hvad vi anvender dem til. Du kan også få oplyst, hvor længe vi opbevarer dine persondata, og hvem, der modtager data om dig, i det omfang vi videregiver data i Danmark og i udlandet.Hvis du anmoder om det, kan vi oplyse dig om de data, vi behandler om dig samt udlevere dem til dig. Adgangen kan dog være begrænset af hensyn til andre personers privatlivsbeskyttelse, til forretningshemmeligheder og immaterielle rettigheder.RET TIL SLETNING ELLER BERIGTIGELSE
   Du har ret til at få unøjagtige persondata rettet eller slettet.

   Hvis du mener, at de persondata, vi behandler om dig, er unøjagtige, har du ret til at få dem rettet. Du skal henvende dig til os og oplyse os om, hvori unøjagtighederne består, og hvordan de kan rettes.

   I nogle tilfælde vil vi have en forpligtelse til at slette dine persondata. Det gælder fx, hvis du trækker dit samtykke tilbage. Hvis du mener, at dine data ikke længere er nødvendige i forhold til det formål, som vi indhentede dem til, kan du bede om at få dem slettet. Du kan også kontakte os, hvis du mener, at dine persondata bliver behandlet i strid med lovgivningen eller andre retlige forpligtelser.

   Når du henvender dig med en anmodning om at få rettet, begrænset eller slettet dine persondata, undersøger vi, om betingelserne er opfyldt, og gennemfører i så fald ændringer eller sletning så hurtigt som muligt.

   RET TIL BEGRÆNSET BEHANDLING
   Du har ret til at behandlingen af dine persondata begrænses.

   Hvis du mener, at de persondata vi behandler om dig er forkerte har du ret til at få begrænset brugen af dine persondata imens, vi undersøger om dine persondata er rigtige. Hvis du ikke ønsker at dine persondata slettes kan vi i stedet begrænse brugen af dem. Hvis det ikke længere er nødvendigt for os at behandle dine persondata men persondataene er nødvendige at opbevare på grund af lovgivningen, kan vi ligeledes begrænse behandlingen. Hvis behandling af dine persondata er begrænset vil vi inden begrænsningen ophæves fortæller dig det.

   RET TIL INDSIGELSE
   Du har ret til at gøre indsigelse mod vores behandling af dine persondata.

   Du har ret til at gøre indsigelse mod vores behandling af dine persondata. Du kan også gøre indsigelse mod eventuel videregivelse af dine data til markedsføringsformål. Du kan bruge kontaktoplysningerne øverst til at sende en indsigelse. Hvis din indsigelse er berettiget, sørger vi for at ophøre med behandlingen af dine persondata.

   RET TIL DATAPORTABILITET
   Du har ret til at kunne flytte dine persondata.

   Du har ret til at modtage og flytte de persondata, du har stillet til rådighed for os samt dem, vi har indhentet om dig hos andre aktører på baggrund af dit samtykke. Hvis vi behandler data om dig som led i en kontrakt, hvor du er part, kan du også få tilsendt dine data. Du har også ret til at overføre disse persondata til en anden tjenesteudbyder.

   Hvis du ønsker at bruge din ret til dataportabilitet, vil du modtage dine persondata fra os i et almindeligt anvendt format.

• Hvis du vil klage over vores behandling af dine persondata, har du også mulighed for at tage kontakt til Datatilsynet

• Alle fremtidige ændringer vi foretager i dette dokument omkring EKKOfondens privatlivspolitik vil blive offentliggjort på vores hjemmeside og på vores Intranet. Hvor det er relevant, vil vi også give dig direkte besked om eventuelle ændringer via mail. Ændringer træder i kraft straks.

Hvis du har spørgsmål til behandlingen af dine persondata er du altid velkommen til at kontakte os. Kontaktoplysningerne finder du øverst på siden.

• Vi tager din databeskyttelse alvorligt
• Kontaktoplysninger
• Vi sikrer fair og transparent databehandling

VI TAGER DIN DATABESKYTTELSE ALVORLIGT
Vi behandler persondata og har derfor vedtaget denne privatlivsspolitik, der fortæller dig, hvordan vi behandler dine data.

For at beskytte dine persondata bedst muligt, vurderer vi løbende, hvor høj risikoen er for, at vores databehandling påvirker dine grundrettigheder negativt. Vi er især opmærksomme på risikoen for, at du udsættes for diskrimination eller ID-tyveri, eller lider økonomisk tab, tab af omdømme eller datafortrolighed.

KONTAKTOPLYSNINGER
EKKOfonden er dataansvarlig og vi sikrer, at dine persondata behandles på en ansvarlig måde i overensstemmelse med lovgivningen. Du er altid velkommen til at kontakte os, hvis du har spørgsmål vedr. vores behandling af dine persondata.

DATAANSVARLIG
EKKOfonden
Adresse: Egholmvej 8, 9800 Hjørring
CVR: 35478787
Telefonnr.: (+45) 96780056
Mail: info@ekkofonden.dk
Website: www.ekkofonden.dk

DATABESKYTTELSESRÅDGIVER
Databeskyttelsesrådgiver (DPO):
Jane Faarup Christensen
Mail: dataprotection@ekkofonden.dk
Telefonnr.: 41776561

VI SIKRER FAIR OG TRANSPARENT DATABEHANDLING
Efter databeskyttelsesforordningens artikel 13 og 14 skal vi sende dig en underretning for at orienterer dig om, hvordan vi behandler dine personlige oplysninger/persondata. Når vi beder dig om at stille dine persondata til rådighed for os, oplyser vi dig om, hvilke data vi behandler om dig og til hvilket formål, hvilket du kan læse nærmere om i dette dokument.

Hvis vi indhenter data om dig fra andre, oplyser vi dig om det senest 10 dage efter, vi har indhentet dine persondata. Vi oplyser også om formålet med indhentningen og det lovgrundlag, der giver os adgang til at indhente dine persondata.

1. • Vi anvender denne type data om dig
   • Vi indsamler og opbevarer dine persondata til bestemte formål
   • Vi behandler kun relevante persondata
   • Vi behandler kun nødvendige persondata
   • Vi kontrollerer og opdaterer dine persondata
   • Vi sletter dine persondata, når de ikke længere er nødvendige
   • Vi indhenter dit samtykke, inden vi behandler dine persondata
   • Vi videregiver ikke dine persondata uden dit samtykke

   VI BEHANDLER DINE PERSONDATA TIL BESTEMTE FORMÅL
   Vi indsamler, registrerer, anvender og opbevarer dine data i forbindelse med bestemte formål eller andre lovlige forretningsmæssige formål.

   Vi behandler dine persondata når vi skal:

   • Opfylde en indgået aftale/kontrakt med dig
   • Overholde lovgivning
   • Markedsføringsformål

   VI ANVENDER DENNE TYPE DATA OM DIG
   De data vi anvender, omfatter:

   • Almindelige persondata
   • Navn
   • Adresse
   • Telefonnummer
   • E-mail adresse
   • Titel og arbejdsplads
   • nr. (hvis relevant)
   • CV og ansøgning (hvis relevant)

   Vi behandler ikke særlige kategorier af persondata om dig.

   Vi sammenstiller ikke data.

   VI SLETTER DINE PERSONDATA, NÅR DE IKKE LÆNGERE ER NØDVENDIGE
   Vi sletter dine persondata, når de ikke længere er nødvendige i forhold til det formål, som var grunden til vores indsamling, behandling og opbevaring af dine data.

   VI INDHENTER DIT SAMTYKKE, INDEN VI BEHANDLER DINE PERSONDATA
   Vi indhenter dit samtykke, inden vi behandler dine persondata til de formål, der er beskrevet ovenfor, med mindre vi har et lovligt grundlag for at indhente dem. Vi oplyser dig om et sådant grundlag og om vores legitime interesse i at behandle dine persondata.

   Dit samtykke er frivilligt, og du kan til enhver tid trække det tilbage ved at henvende dig til os. Brug kontaktoplysningerne ovenfor, hvis du ønsker yderligere oplysninger.

   Hvis vi ønsker at anvende dine persondata til et andet formål end det oprindelige, oplyser vi dig om det nye formål og beder om dit samtykke, før vi påbegynder databehandlingen. Hvis vi har et andet lovligt grundlag for den nye behandling, oplyser vi dig om dette.

   VIDEREGIVELSE AF DINE PERSONDATA
   Hvis vi videregiver dine persondata til andre uden for EKKOfonden, bl.a. i forbindelse med overholdelse af lovgivningen, indhenter vi dit samtykke og informerer om, hvad dine data vil blive brugt til. Du kan til enhver tid gøre indsigelse mod denne form for videregivelse.

   Vi indhenter ikke dit samtykke, hvis vi er retligt forpligtet til at videregive dine persondata, fx som led i indberetning til en myndighed.

   Vi videregiver ikke dine persondata til aktører i tredjelande.

1. Hvis du ønsker at udøve dine rettigheder, kan du altid henvende dig til os på de oplyste kontaktinformationer øverst.RET TIL INDSIGT
   Du har ret til at få adgang til dine persondataDu har til en enhver tid ret til at få oplyst, hvilke data vi behandler om dig, hvor de stammer fra, og hvad vi anvender dem til. Du kan også få oplyst, hvor længe vi opbevarer dine persondata, og hvem, der modtager data om dig, i det omfang vi videregiver data i Danmark og i udlandet.Hvis du anmoder om det, kan vi oplyse dig om de data, vi behandler om dig samt udlevere dem til dig. Adgangen kan dog være begrænset af hensyn til andre personers privatlivsbeskyttelse, til forretningshemmeligheder og immaterielle rettigheder.RET TIL SLETNING ELLER BERIGTIGELSE
   Du har ret til at få unøjagtige persondata rettet eller slettet.

   Hvis du mener, at de persondata, vi behandler om dig, er unøjagtige, har du ret til at få dem rettet. Du skal henvende dig til os og oplyse os om, hvori unøjagtighederne består, og hvordan de kan rettes.

   I nogle tilfælde vil vi have en forpligtelse til at slette dine persondata. Det gælder fx, hvis du trækker dit samtykke tilbage. Hvis du mener, at dine data ikke længere er nødvendige i forhold til det formål, som vi indhentede dem til, kan du bede om at få dem slettet. Du kan også kontakte os, hvis du mener, at dine persondata bliver behandlet i strid med lovgivningen eller andre retlige forpligtelser.

   Når du henvender dig med en anmodning om at få rettet, begrænset eller slettet dine persondata, undersøger vi, om betingelserne er opfyldt, og gennemfører i så fald ændringer eller sletning så hurtigt som muligt.

   RET TIL BEGRÆNSET BEHANDLING
   Du har ret til at behandlingen af dine persondata begrænses.

   Hvis du mener, at de persondata vi behandler om dig er forkerte har du ret til at få begrænset brugen af dine persondata imens, vi undersøger om dine persondata er rigtige. Hvis du ikke ønsker at dine persondata slettes kan vi i stedet begrænse brugen af dem. Hvis det ikke længere er nødvendigt for os at behandle dine persondata men persondataene er nødvendige at opbevare på grund af lovgivningen, kan vi ligeledes begrænse behandlingen. Hvis behandling af dine persondata er begrænset vil vi inden begrænsningen ophæves fortæller dig det.

   RET TIL INDSIGELSE
   Du har ret til at gøre indsigelse mod vores behandling af dine persondata.

   Du har ret til at gøre indsigelse mod vores behandling af dine persondata. Du kan også gøre indsigelse mod eventuel videregivelse af dine data til markedsføringsformål. Du kan bruge kontaktoplysningerne øverst til at sende en indsigelse. Hvis din indsigelse er berettiget, sørger vi for at ophøre med behandlingen af dine persondata.

   RET TIL DATAPORTABILITET
   Du har ret til at kunne flytte dine persondata.

   Du har ret til at modtage og flytte de persondata, du har stillet til rådighed for os samt dem, vi har indhentet om dig hos andre aktører på baggrund af dit samtykke. Hvis vi behandler data om dig som led i en kontrakt, hvor du er part, kan du også få tilsendt dine data. Du har også ret til at overføre disse persondata til en anden tjenesteudbyder.

   Hvis du ønsker at bruge din ret til dataportabilitet, vil du modtage dine persondata fra os i et almindeligt anvendt format.

• Hvis du vil klage over vores behandling af dine persondata, har du også mulighed for at tage kontakt til Datatilsynet

• Alle fremtidige ændringer vi foretager i dette dokument omkring EKKOfondens privatlivspolitik vil blive offentliggjort på vores hjemmeside og på vores Intranet. Hvor det er relevant, vil vi også give dig direkte besked om eventuelle ændringer via mail. Ændringer træder i kraft straks.

Hvis du har spørgsmål til behandlingen af dine persondata er du altid velkommen til at kontakte os. Kontaktoplysningerne finder du øverst på siden.