Databehandleraftale

Databehandleraftalen var gældende fra 1. juni 2019

Baggrund for databehandleraftalen

  1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse ved Kundens anvendelse af Leverandørens internetbaserede bogholderisystem, kendt som Billy.dk (herefter ERP-systemet), samt alle tillægsmoduler, integrationer eller services relateret til brugen af ERP-systemet.
  2. Som resultat af kundens anvendelse af ERP-systemet foretager Leverandøren behandling af data på vegne af Kunden.
  3. Leverandøren og Kunden bekræfter, at de har fuldmagt til at indgå Aftalen.
  4. Ved brug af ERP-systemet vil Kunden være ansvarlig for sin Behandling af alle Personoplysninger i ERP-systemet. Leverandøren vil behandle personoplysninger på vegne af Kunden. Nærværende databehandleraftale er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.
  5. Databehandleraftalen og de ”Generelle Forretningsbetingelser” er indbyrdes afhængige og kan ikke opsiges særskilt.
  6. Ved at acceptere nærværende aftale godkender og accepterer Kunden Leverandørens brug af underleverandører, under forudsætning af at disse lever op til kravene i nærværende aftale. Alle underdatabehandlere kan findes i Databehandleraftalens Bilag 1.B.
  7. Anvendes en Underdatabehandler, der opbevarer Personoplysninger uden for EU/EØS, giver Kunden Leverandøren autorisation til at sikre et tilstrækkeligt grundlag for overførsel af Personoplysninger til tredjeland på vegne af Kunden, herunder ved anvendelse af EU-Kommissionens Standardkontrakter eller i overensstemmelse med Privacy Shield eller PIPEDA Act.
  8. Aftalen regulerer Leverandørens behandling af Personoplysninger på vegne af Kunden og beskriver, hvordan Leverandøren skal medvirke til at beskytte privatliv på vegne af Kunden og dennes Registrerede gennem tekniske og organisatoriske foranstaltninger, som er krævet under den gældende databeskyttelseslovgivning, herunder persondataforordningen/databeskyttelsesloven (herefter GDPR) fra den 25. maj 2018.
  9. Nærværende Databehandleraftale træder i kraft den 1. juni 2019. Indtil denne dato vil den forhenværende databehandleraftale relateret til Generelle Forretningsbetingelser af 26. februar 2019 gælde – denne aftale finder du her.
  10. Efter denne dato træder Databehandleraftalen i kraft ved kundens online godkendelse af Billy ApS’ Generelle Forretningsbetingelser.
  11. Til denne Databehandleraftale hører tre bilag. Bilagene fungerer som en integreret del af databehandleraftalen.
    a. Bilag 1.A indeholder nærmere oplysninger om behandlingen, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
    b. Bilag 1.B indeholder en liste over underdatabehandlere, som Kunden har godkendt.
    c. Bilag 1.C indeholder en nærmere instruks om, hvilken behandling leverandøren skal foretage på vegne af Kunden (behandlingens genstand), hvilke sikkerhedsforanstaltninger der som minimum skal iagttages, samt hvordan der føres tilsyn med leverandøren og eventuelle underdatabehandlere.

Kundens forpligtelser og rettigheder

  1. Kunden har ved brug af ERP-systemet overfor omverdenen ansvaret for, at behandlingen af personoplysninger sker inden for rammerne af databeskyttelsesforordningen og databeskyttelsesloven.
  2. Kunden skal på fyldestgørende vis sikre et lovligt grundlag for at behandle og videregive personoplysninger til Leverandøren og dennes underdatabehandlere.
  3. Kunden er alene ansvarlig for integriteten, lovligheden og nøjagtigheden af de Personoplysninger, som behandles af Leverandøren.
  4. Kunden bør ikke anvende ERP-systemet på en måde, der afviger fra specifikationen i Bilag 1.A.
  5. Kunden skal have en opdateret liste over de kategorier af Personoplysninger, som denne behandler, dette gælder særligt i det omfang, sådan Behandling afviger fra de kategorier af Oplysninger, som fremgår af Bilag 1.A.
  6. Kunden er ansvarlig for, at der foreligger hjemmel til den behandling, som leverandøren instrueres i at foretage.

Leverandørens forpligtelser og rettigheder

  1. Leverandøren må kun behandle personoplysninger efter dokumenteret instruks fra Kunden, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som leverandøren er underlagt; i så fald underretter leverandøren Kunden om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
  2. Ved at indgå denne Aftale instruerer Kunden Leverandøren i at behandle Personoplysninger på følgende måder:
    d. i overensstemmelse med gældende lovgivning
    e. for at opfylde sine forpligtelser i henhold til abonnementsvilkår for ERP-systemet
    f. som yderligere specificeret ved Kundens normale brug af ERP-systemet
    g. som beskrevet i denne Aftale.
  3. Leverandøren underretter omgående Kunden, hvis en instruks efter leverandørens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
  4. Leverandøren forbeholder sig ret til at registrere, hvordan Kunden anvender ERP-systemet. Dette er for hele tiden at være i stand til at tilbyde en opdateret og relevant version af ERP-systemet. For mere information henvises til cookie- og privatlivspolitikken.
  5. Under hensyntagen til den teknologi, der er tilgængelig, og omkostningerne ved implementeringen, samt omfanget, konteksten og formålet med Behandlingen, er Leverandøren forpligtet til at foretage alle rimelige foranstaltninger, herunder tekniske og organisatoriske, for at sikre et tilstrækkeligt sikkerhedsniveau i forhold til den risiko og kategorien af Personoplysninger, der skal beskyttes.
  6. Leverandøren skal underrette Kunden uden unødig forsinkelse via kontaktperson oplyst i ERP-systemet, hvis Leverandøren bliver bekendt med sikkerhedsbrist. Endvidere skal Leverandøren så vidt muligt og lovligt underrette Kunden, hvis;
    a. En anmodning om indsigt i Personoplysninger modtages direkte fra Registrerede. Leverandøren må først servicere en anmodning fra registrerede, når det er godkendt af Kunden, medmindre Leverandøren er forpligtet til det i medfør af lovgivningen, såsom ved en retskendelse eller lignende.
    b. En anmodning om indsigt i Personoplysninger modtages direkte fra statslige myndigheder, herunder politiet.
  7. Hvis Kunden kræver information eller assistance omkring sikkerhedsforanstaltninger, dokumentation eller information om, hvordan Leverandøren behandler Personoplysninger generelt, og en sådan anmodning indeholder information, som går ud over, hvad der er nødvendigt ifølge gældende Databeskyttelseslovgivning, må Leverandøren kræve betaling, op til 600 kr. pr. påbegyndt time, for sådanne yderligere services.
  8. Leverandøren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af Kunden. Kunden har ansvaret for at fjerne adgange til personoplysninger, hvis autorisationen fratages eller udløber.
  9. Leverandøren bistår, under hensyntagen til behandlingens karakter, så vidt muligt Kunden ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af Kundens forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3. Dette indebærer, at leverandøren så vidt muligt skal bistå Kunden i forbindelse med, at Kunden skal sikre overholdelsen af:
    undefinedundefinedundefinedundefinedundefined
  10. Leverandøren bistår Kunden med at sikre overholdelse af Kundens forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for leverandøren, jf. art 28, stk. 3, litra f.
  11. Dette indebærer, at leverandøren under hensyntagen til behandlingens karakter, i et omfang der er rimeligt, skal bistå Kunden i forbindelse med, at Kunden skal sikre overholdelsen af:
    a. Forpligtelsen til at anmelde brud på persondatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden unødig forsinkelse og om muligt senest 72 timer efter, at Kunden er blevet bekendt med bruddet, medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
    b. Forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.
  12. Ønsker Kunden at gøre brug af sine rettigheder, skal der rettes henvendelse til Leverandøren på e-mail: sikkerhed@billy.dk
    For punkterne 9.a-d skal mailen indeholde:
    undefinedundefined
    Mailen skal sendes fra den mail, der står som ”ejer” af kontoen, ellers har Leverandøren ikke hjemmel til at udlevere den ønskede data. Leverandøren er forpligtet til at levere korrekt efterspurgt data inden for 30 dage.
  13. Ønsker Kunden at gøre brug af retten til dataportabilitet, punkt 9.e, kan der rettes henvendelse til Leverandørens supportteam på support@billy.dk, telefon 6024 6024, eller over chatten.

Fortrolighed

  1. Leverandøren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af Kunden. Ved endt autorisation skal Leverandøren straks fjerne adgangen.
  2. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde leverandørens forpligtelser over for Kunden.
  3. Leverandøren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af Kunden, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
  4. Leverandøren skal efter anmodning fra Kunden kunne påvise, at de relevante medarbejdere er underlagt ovennævnte tavshedspligt.

Behandlingssikkerhed

  1. Leverandøren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
  2. Ovenstående forpligtelse indebærer, at leverandøren skal foretage en risikovurdering og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger:
    a. Pseudonymisering og kryptering af personoplysninger
    b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester
    c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
    d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
  3. Leverandøren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne Databehandleraftalens Bilag 1.C.

Anvendelse af underdatabehandlere

  1. Leverandøren må gøre brug af underdatabehandlere. På tidspunktet for indgåelsen af Aftalen anvender Leverandøren de i Databehandleraftalens Bilag 1.B anførte underdatabehandlere. Ved indgåelse af nærværende Databehandleraftale godkender Kunden alle underdatabehandlere listet i Bilag 1.B.
  2. Leverandøren skal sikre, at brug af underdatabehandlere sker i overensstemmelse med databeskyttelsesforordningens artikel 28, stk. 2 og 4.
  3. Leverandøren er berettiget til at ændre i de i Bilag 1.B anførte underdatabehandlere. I tilfælde af ændringer i underdatabehandlere skal Leverandøren skriftligt underrette Kunden om de planlagte ændringer vedrørende tilføjelse eller erstatning af underdatabehandlere senest 1 plus løbende måned, inden ændringen træder i kraft.
  4. Kunden kan nægte brugen af den nye underdatabehandler, hvilket skal meddeles Databehandler senest 2 uger fra afgivelsen af meddelelsen om ændringen. I dette tilfælde betragtes alle aftaler mellem Leverandøren og Kunden som opsagt.
  5. Når Leverandøren har Kundens godkendelse til at gøre brug af en underdatabehandler, sørger leverandøren for at pålægge underleverandøren de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraftale, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at underleverandøren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen. Leverandøren er således ansvarlig for – igennem indgåelsen af en underdatabehandleraftale – at pålægge en eventuel underdatabehandler mindst de forpligtelser, som leverandøren selv er underlagt efter databeskyttelsesreglerne og denne databehandleraftale med tilhørende bilag.
  6. Underdatabehandleraftalen og eventuelle senere ændringer hertil sendes – efter Kundens anmodning herom - i kopi til Kunden, som herigennem har mulighed for at sikre sig, at der er indgået en gyldig aftale mellem leverandøren og underleverandøren. Eventuelle kommercielle vilkår, eksempelvis priser, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til Kunden.
  7. Hvis en underdatabehandler er etableret uden for, eller Personoplysninger opbevares uden for EU/EØS, giver Kunden Leverandøren autorisation til at sikre et tilstrækkeligt grundlag for overførsel af Personoplysninger til tredjeland på vegne af Kunden, herunder ved anvendelse af EU-Kommissionens Standardkontrakter eller i overensstemmelse med Privacy Shield eller PIPEDA Act.

Underretning om brud på persondatasikkerheden

  1. Leverandøren underretter uden unødig forsinkelse Kunden efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos leverandøren eller en eventuel underdatabehandler. Leverandørens underretning til Kunden skal om muligt ske senest 36 timer efter, at denne er blevet bekendt med bruddet, sådan at Kunden har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden inden for 72 timer.
  2. I overensstemmelse med denne aftales afsnit 10.2., litra b skal leverandøren – under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for denne – bistå Kunden med at foretage anmeldelse af bruddet til tilsynsmyndigheden. Det kan betyde, at leverandøren bl.a. skal hjælpe med at tilvejebringe nedenstående oplysninger, som efter databeskyttelsesforordningens artikel 33, stk. 3 skal fremgå af Kundens anmeldelse til tilsynsmyndigheden:
    undefinedundefinedundefined

Sletning og tilbagelevering af oplysninger

  1. Ved ophør af tjenesterne vedrørende behandling forpligtes leverandøren til, efter Kundens valg, at slette eller tilbagelevere alle personoplysninger til Kunden samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.
  2. Ved ophør af kundeforholdet vil alle Kundens regnskabsdata blive slettet efter indeværende regnskabsperiode plus 12 måneder, medmindre Kunden instruerer leverandøren i at slette dataen tidligere.
  3. Leverandøren forbeholder sig ret til at beholde data i anonymiseret form med henblik på at føre statistik.

Tilsyn og revision

  1. Leverandøren stiller alle oplysninger, der er nødvendige for at påvise leverandørens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for Kunden og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af Kunden eller en anden revisor, som er bemyndiget af Kunden.
  2. Den nærmere procedure for Kundens tilsyn med leverandøren fremgår af Databehandleraftalens Bilag 1.C.
  3. Kundens tilsyn med eventuelle underdatabehandlere sker som udgangspunkt gennem leverandøren. Den nærmere procedure herfor fremgår af denne aftales Bilag 1.C.

Ikrafttræden og ophør

  1. Denne aftale træder i kraft den 1. juni 2019. Indtil denne dato vil den forhenværende databehandleraftale relateret til Generelle Forretningsbetingelser af 26. februar 2019 gælde – denne aftale finder du her.
  2. Og herefter ved Kundens online godkendelse heraf.
  3. Opsigelse af databehandleraftalen kan ske i henhold til de opsigelsesvilkår, inkl. opsigelsesvarsel, som fremgår af ”Generelle Forretningsbetingelser”.
  4. Aftalen er gældende, så længe behandlingen består. Uanset ”Generelle Forretningsbetingelser” og/eller databehandleraftalens opsigelse, vil databehandleraftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos leverandøren og eventuelle underdatabehandlere.

Bilag 1.A:

Oplysninger om behandlingen

Formålet med leverandørens behandling af personoplysninger på vegne af Kunden er, at Kunden kan anvende ERP-systemet, som ejes og administreres af leverandøren, til at:

  • Føre et løbende dobbelt bogholderi i overensstemmelse med ÅRL
  • Sende faktura, også abonnementsfaktura, til Kundens kunder
  • Afregne MOMS på korrekt vis
  • Afgive og håndtere tilbud til Kundens kunder
  • Afstemme Kundens bankkonti til konti i Regnskabsprogrammet
  • Føre Lager over indkøbte og solgte varer
  • Holde overblik over leverandører og løbende balance med disse
  • Holde overblik over Kunder og løbende balance med disse
  • Tilbyde diverse rapporter og insights i Kundens forretning
  • Levere et historisk fakturerings- og betalingsoverblik til Kundens kunder
  • Sende rykkere til Kundens kunder
  • Eksekvere automatiserede rykkerprocedurer
  • Modtage betalinger online fra Kundens kunder
  • Integrere til tredjepartssystemer
  • Scanne Bilag med henblik på at automatisere bogføring eller dele heraf
  • Betalingsinitiering af Kundens modtagne fakturaer.

Behandlingen omfatter følgende kategorier af registrerede:

  • Kundens slutbrugere
  • Kundens ansatte
  • Kundens tilknyttede bogholder eller revisor
  • Kundens Leverandører samt dennes evt. ansatte
  • Kundens Kunder samt dennes evt. ansatte

Behandlingen omfatter følgende typer af personoplysninger om de registrerede:

  • Navn
  • Titel
  • Adresse
  • Telefonnummer
  • E-mail
  • CPR-nummer (Anvendes ved brug af: PBS-integrationen)
  • Betalingsoplysninger på faktura
  • Betalingsoplysninger via online funktion.

Behandlingen bør ikke omfatte Følsomme Personoplysninger:

Kunden vil under sit arbejde med Leverandørens software få mulighed for at skrive kommentarer på faktura til kunder og på bilag modtaget fra leverandører. Bemærkninger, der falder inden for kategorierne nedenfor, er at betragte som Følsomme Personoplysninger og bør ikke behandles i et ERP-system. Leverandøren opfordrer til, at Kunden finder et journalsystem eller lignende, der er velegnet til håndtering af sådanne data, særligt hvis kunden driver en sundhedsvirksomhed med patienter tilknyttet. Dette indebærer, at eventuelle kunder skal behandles under et pseudonym i ERP-systemet, eks. deres patientnummer i journalsystemet.

  • Helbredsoplysninger
  • Race og etnisk oprindelse
  • Politisk overbevisning
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data
  • Biometriske data med henblik på entydig identifikation
  • Helbredsoplysninger
  • Seksuelle forhold eller seksuel orientering

Bilag 1.B:

B.1 Betingelser for leverandørens brug af underdatabehandlere:

Leverandørens Software er afhængig af en række underleverandører for at kunne operere. Sådanne ”underdatabehandlere” er tredjepartsleverandører i og uden for EU/EØS. Leverandørens underleverandører er oplistet i den til enhver tid opdaterede liste over underdatabehandlere. Leverandøren skal sikre sig, at dennes Underdatabehandlere skal overholde tilsvarende forpligtelser og krav, som er beskrevet i Aftalen. Al brug af Underdatabehandlere er endvidere underlagt Leverandørens Generelle Forretningsbetingelser.

B.2 Godkendte underdatabehandlere

Kunden har ved databehandleraftalens ikrafttræden godkendt anvendelsen af følgende underdatabehandlere:

Leverandør Persondata-kategorier Funktion
Adversus A/S.
Margrethepladsen 3,1
8000 Aarhus C
CVR. nr. 37831247

Behandlingen omfatter følgende kategorier af personoplysninger:

  • Navn

  • E-mail

  • Telefonnummer

  • Adresse

  • CVR-nummer

  • Samtaledata

Support

Amazon Web Services, Inc.

410 Terry Ave North Seattle

WA 98109-5210, US.

Behandlingen omfatter følgende kategorier af registrerede:

  • Kundens slutbrugere

  • Kundens ansatte

  • Kundens tilknyttede bogholder eller revisor

  • Kundens Leverandører samt dennes evt. ansatte

  • Kundens Kunder samt dennes evt. ansatte

Behandlingen omfatter følgende kategorier af personoplysninger:

  • Navn

  • Titel

  • Adresse

  • Telefonnummer

  • E-mail

  • CPR-nummer (Anvendes ved brug af: PBS-integrationen

  • Betalingsoplysninger på faktura

  • CVR

Hosting

Bilagscan/Broadway

Broadway 33 ApS

CVR.nr. 37035785

Bredgade 33 C, 4. sal.

1260 København K

Behandlingen omfatter følgende kategorier af registrerede:

  • Kundens Leverandører samt dennes evt. ansatte

  • Kundens Kunder samt dennes evt. ansatte

Behandlingen omfatter følgende kategorier af personoplysninger:

  • Navn

  • Titel

  • Adresse

  • Telefonnummer

  • E-mail

  • Betalingsoplysninger på faktura

  • CVR

Anvendes til scanning af bilag samt til autokontering

CVRAPI

ONLINE GATEWAY ApS

CVR.nr. 36421231

Damvej 114

8471 Sabro

 

CVR-opslag

FIRMAFON ApS

CVR.nr. 33363850

Teglværksgade 18

2100 København Ø

Behandlingen omfatter følgende kategorier af personoplysninger:

  • Navn

  • Telefonnummer

  • Samtaledata

Support

Google Suites

Google Inc

1600 Amphitheatre Pkwy Mountain View, CA 94043

United States

Federal Tax ID: 77-0493581

Behandlingen omfatter følgende kategorier af personoplysninger:

  • Navn

  • Titel

  • Adresse

  • E-mail

E-mail kommunikation

Intercom Inc.

55 2nd St., 4th Floor

San Francisco

Ca 94105, USA

Behandlingen omfatter følgende kategorier af registrerede:

  • Kundens slutbrugere

Behandlingen omfatter følgende kategorier af personoplysninger:

  • Navn

  • Titel

  • Adresse

  • Telefonnummer

  • E-mail

Support og kommunikation

Leadsbrigde Inc.
888 Biscayne Boulevard
Suite 505
Miami
33132 Florida, USA

Behandlingen omfatter følgende kategorier af personoplysninger:

  • Navn

  • E-mail

Support og kommunikation

LETREGNSKAB.DK ApS

CVR.nr. 30004671

C.F. Richs Vej 99 D, st

2000 Frederiksberg

Behandlingen omfatter følgende kategorier af personoplysninger:

  • Navn

  • Titel

  • Adresse

  • Telefonnummer

  • E-mail

  • CVR

Udarbejdelse af årsregnskaber

Nordic API Gateway A/S

CVR.nr. 33509006

Mejlgade 48 B, 2. th.

8000 Aarhus C

Behandlingen omfatter følgende kategorier af personoplysninger:

  • Navn

  • Bank Login

  • Informationer om bankkonti

  • Informationer om banktransaktioner

Import af banktransaktioner

Postmark
WildBit, LLC
225 Chewstnut Street
Philadelphia, PA 191106

Behandlingen omfatter følgende kategorier af registrerede:

  • Kundens slutbrugere

  • Kundens ansatte

  • Kundens tilknyttede bogholder eller revisor

  • Kundens Leverandører, samt dennes evt. ansatte

  • Kundens Kunder samt dennes evt. ansatte

Behandlingen omfatter følgende kategorier af personoplysninger:

  • Navn

  • Titel

  • Adresse

  • Telefonnummer

  • E-mail

  • CVR

Afsendelse af transaktionelle e-mails

Shopify

150 Elgin Street, Suite 800

Ottawa, ON K2P 1L4

Canada

Behandlingen omfatter følgende kategorier af personoplysninger:

  • Navn

  • Adresse

  • Telefonnummer

  • E-mail

  • Betalingsoplsyninger

Salg af bøger, guides og øvrigt materiale

Slack Technologies Limited

One Park Place

4th Floor

Hatch Street Upper

Dublin 2

Ireland

VAT ID: IE 3336483DH

Behandlingen omfatter følgende kategorier af registrerede:

  • Kundens slutbrugere

  • Kundens ansatte

  • Kundens tilknyttede bogholder eller revisor

  • Kundens Leverandører samt dennes evt. ansatte

  • Kundens Kunder samt dennes evt. ansatte

Behandlingen omfatter følgende kategorier af personoplysninger:

  • Navn

  • Titel

  • Adresse

  • Telefonnummer

  • E-mail

  • Betalingsoplysninger på faktura

Intern håndtering af support

Sproom
Visma e-conomic A/S
CVR.nr. 29403473
Langebrogade 11411 København K

Behandlingen omfatter følgende kategorier af registrerede:

  • Kundens Leverandører samt dennes evt. ansatte

  • Kundens Kunder samt dennes evt. ansatte

Behandlingen omfatter følgende kategorier af personoplysninger:

  • Navn

  • Titel

  • Adresse

  • E-mail

  • Betalingsoplysninger på faktura

  • CVR

EAN-fakturering

Unless
Rokin 75-5, 1012 KL
Amsterdam
Holland

Behandlingen omfatter følgende kategorier af personoplysninger:

  • Navn

  • E-mail

  • IP-adresse

Personalisering af kommunikation på website

Wiredelta Denmark ApS

CVR.nr. 35238042

Titangade 11

2200 København N

Behandlingen omfatter følgende kategorier af personoplysninger:

  • Navn

  • Titel

  • Adresse

  • E-mail

  • CVR

Udarbejdelse af årsregnskaber

Wootric Inc.
233 Sansome St, 2nd floot
San Fransisco
CA 94104, US

Behandlingen omfatter følgende kategorier af personoplysninger:

  • Navn

  • E-mail

  • Brugerfeedback

Brugerfeedback

Zapier Inc.

548 Market St #62411
San Francisco

CA 94104-5401

Behandlingen omfatter følgende kategorier af personoplysninger:

  • Navn

  • Titel

  • Adresse

  • Telefonnummer

  • E-mail

Integrationer

Bilag 1.C:

Instruks vedrørende behandling af personoplysninger

For Persondata, som Kunden anvender ERP-systemet til at behandle, gælder denne Databehandleraftales bestemmelser. For hvad angår Leverandørens behandling af personoplysninger relateret til kunde-/leverandørforholdet mellem Kunden og Databehandler, henvises der til vores Generelle Forretningsbetingelser.

Leverandøren har tavshedspligt om alle informationer, der måtte komme i hænde om Kunden, og er ikke berettiget til at videregive sådanne informationer til tredjemand, medmindre sådan information er offentlig tilgængelig, eller hvor Leverandøren har fået informationen fra en tredjepart uden for fortrolighed, eller hvor Leverandøren er forpligtet til at videregive informationen ifølge lovgivning eller efter pålæg fra en myndighed eller domstol.

Behandlingens genstand/ instruks

Leverandørens behandling af personoplysninger på vegne af Kunden kan ske ved, at leverandøren udfører følgende:

  • Support
    undefined
  • Generel brugerstatistik
    undefined
  • Brancheindeks og konjunkturbarometre. Denne behandling sker 100% i anonymiseret form.
  • Scanning
    undefinedundefined
  • Hosting
    undefined
  • Backup
    undefined

Behandlingssikkerhed

Datasikkerhed er den forretningsrisiko, der er prioriteret højest i Billy. Vi arbejder seriøst og professionelt med Datasikkerhed og tager udgangspunkt i internationalt anerkendte sikkerhedsstandarder. Vi har implementeret sikkerhedsforanstaltninger, der skal sikre databeskyttelse for såvel kundeoplysninger, personoplysninger og andre fortrolige oplysninger. Vi gennemfører regelmæssigt interne opfølgninger i forhold til tilstrækkeligheden og efterlevelsen af politikker og foranstaltninger.

Sikkerhedsniveauet afspejler:

Leverandøren forventer, at Kunden benytter ERP-systemet i overensstemmelse med, hvad der er beskrevet i Databehandleraftalens Bilag 1.A. Dermed forventer Leverandøren, at Kunden ikke opbevarer Følsomme Personoplysninger i ERP-systemet.

Sikkerhedsniveauet afspejler dette.

Leverandøren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne.

Leverandøren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltninger, som er aftalt med Kunden (på baggrund af den risikovurdering Kunden har foretaget):

Leverandøren tager jævnligt backup af data som foranstaltning for fysiske nedbrud eller tekniske hændelser, der måtte påvirke driften. Disse backups er fordelt på forskellige datacentre for at undgå, at fysiske nedbrud vil have permanente konsekvenser for softwarens drift.

Leverandøren har opsat foranstaltninger for medarbejdere, der kan tilgå Kundens data. Der er opsat forskellige niveau af adgange, og opnås der adgang, bliver dette logget, og disse logs revideret ugentligt. Der foretages revurdering om adgangsniveau for alle Leverandørens medarbejdere mindst hver tredje måned.

Leverandøren forbeholder sig retten til at logge al aktivitet i systemet med henblik på generel monitorering og vedligehold af systemet. Logs benyttes til at verificere oppetid af systemet samt håndtere uventede fejl med mere. I vores log-data kan der forekomme personhenførbare datapunkter, som kan peges tilbage på Kunden.

Opbevaringsperiode/sletterutine

Vi gemmer dine regnskabsdata, så længe du er kunde hos os. Vælger du en dag at opsige dit Billy-abonnement, sletter vi din regnskabsdata efter løbende normale regnskabsperiode plus 12 måneder. Undtaget herfra er kundens instruks om at slette dataen tidligere.

Der er som minimum altid en backupserver af al data med 3 måneders historik. Databehandler gemmer data automatisk og tager back-up hvert døgn. Hvis du også ønsker at have dine data offline, kan du til hver en tid eksportere dine data til din computer. Vi tager naturligvis fortsat online back-up.