Databehandleraftale

Denne aftale gælder for behandling af persondata såfremt du anvender services tilbudt af Larsen Data til behandling af persondata.

Larsen Data er forpligtiget til at overvåge vores systemer og holde vores servere opdateret, samt til at holde kunder og datatilsynet informeret såfremt der skulle ske et muligt læk af persondata. Kun relevante medarbejdere hos Larsen Data har adgang til kundedata.

Larsen Data er forpligtiget til løbende at vurdere sikkerhedsniveauet i vores egne systemer, samt løbende at vurdere evt. underdatabehandlere og deres håndtering af persondata.

Kunden er forpligtiget til at holde egen software opdateret, have sikre kodeord og ikke udlevere kodeord til tredjepart. Hvis kunden oplever et muligt læk af persondata skal Larsen Data informeres øjeblikkeligt.

Underdatabehandlere

Larsen Data har ret til og gør brug af flere underdatabehandlere.
Listen opdateres løbende og kan findes på http://larsendata.com/compliance

Tavshedspligt

Larsen Data medarbejdere er underlagt en generel tavshedspligt for evt. persondata som de måtte have adgang til og som behandles på vegne af vores kunder.

DNS

DNS er ikke beregnet til persondata og det er kundens eget ansvar hvis der lagres persondata i DNS. Alle DNS records er offentlige tilgængelige og sendes uden for EU.

Domæneadministration

Vores rolle som registrator/forhandler er at videreformidle de registreringsdata du giver os til de registries du ønsker at registrere et domæne i. I det omfang det er os muligt vil vi skjule persondata i de offentlige databaser, men det kan ikke garanteres og kunden er derfor selv ansvarlig for at levere registreringsdata til domæneregistreringen som ikke er personhenførbar, men som fortsat overholder reglerne for registrering af domænet.

For .com og .net domæner registreret direkte af Larsen Data ApS hos Verisign sendes dine persondata ikke til Verisign. Den offentligt ejerdatabase (whois) administreres af os for disse domæner og persondata vil være skjult medmindre andet er aftalt.

De forskellige registries har deres egne regler for privatliv og offentliggørelse af registreringsdata. F.eks. er det fastsat i dansk lov at der skal være en offentlig tilgængelig whois database for alle .dk domæner.

Domæner på 2 bogstaver som f.eks. .dk .se .no .eu kaldes ccTLD’er og er tildelt et land eller i .eu’s tilfælde et område og det er landets lovgivning eller det enkelte registry selv der sætter reglerne. Hvis det land du ønsker at registrere i er uden for EU skal du derfor være opmærksom på at du ikke kan være sikker på normal beskyttelse af persondata.

Domæner på mere end 2 bogstaver som f.eks. .com .net .link .global .cloud .app kaldes gTLD’er og er underlagt regler bestemt af ICANN og af de enkelte registries. Størstedelen af disse typer domæner administreres udenfor EU og persondata sendes derfor ud af EU i forbindelse med registreringen.

For alle gTLD’er sendes en kopi af registreringsdata også til en escrow provider. Dette sikrer dig som registrant hvis det skulle ske at der var seriøse tekniske eller juridiske problemer med enten registry eller registrar.

For mange domænetyper har vi en aftale direkte med det enkelte registry hvilket vil sige at når du bestiller et domæne hos os sendes data direkte til dette registry, men for nogle domænetyper har vi ikke en direkte aftale og i disse tilfælde anvender vi en anden registrator til at gennemføre registreringerne.

Web-, mail- og cloudhosting

Hvis der lagres personoplysninger i en e-mail konto er kunden selv forpligtiget til at sørge for at der ikke er offentlig adgang til denne mailboks. Det er kun tilladt at forbinde til mailserveren ved brug af SSL.

Hvis der lagres personoplysninger på et webhotel eller en cloud server er kunden forpligtiget til at sørge for at der ikke er offentlig adgang til disse data, samt at websider med personoplysninger kun kan tilgås via en SSL sikret forbindelse.

Alt software der er installeret på webhotellet eller cloudserveren skal holdes opdateret af kunden selv. Dette gælder også WordPress og lignende systemer som installeres via kontrolpanelet.

Hvis Larsen Data bliver gjort opmærksom på sikkerhedsmæssige problemer på en kundes hosting konto vil vi hurtigst muligt spærre adgangen til kontoen.

Kunden har selv adgang til at slette alt data på en hosting konto eller slette hele kontoen inkl. alt data.

Vi tager backup af alle web- og mailhoteller og denne slettes automatisk senest efter 6 måneder. Vores web- og mailhoteller er hostet i Danmark og Sverige.

Vores cloud hosting udbydes i samarbejde med Aruba Cloud. Kunden er selv ansvarlig for at vedligholde sikkerheden på sine cloud servere. Både Larsen Data og Aruba Cloud har adgang til kundens kontrolpanel og dermed adgang til diskimages og adgang til serverne. Kunden skal kryptere sine data, samt sikre sine cloud servere med et sikkert login og kodeord eller lignende. Alle Aruba Clouds datacentre er indenfor Europa.

Spamfilter

Vores spamfilter løsning hostet i vores egne racks i Danmark og Sverige. Serversoftwaren opdateres løbende af Spamexperts i Holland og Spamexperts har derfor adgang til alle data inkl. logdata for hostede mailboxe.

SSL certifikater

SSL certifikater udstedes af en CA. CA er forkortelse for Certificate authority. Digicert, Globalsign og Comodo er CA og behandler personoplysninger blandt andet i forbindelse med validering og udstedelse af certifikater. Vores rolle som forhandler er at videreformidle de bestillingsdata du giver os til den CA du har valgt.

Vi har direkte forhandler aftaler med Digicert og Globalsign. For Comodo certifikater anvender vi en anden forhandler til at købe dine certifikater igennem.

Som din certifikat forhandler har vi efterfølgende adgang til ordredata og status på dine certifikater inkl. nogle af de personoplysninger der behandles. F.eks. personnavn, tlf. nr. og e-mail adresse.

For organisations validerede certifikater og EV certifikater (udvidet organisations validering), validerer udsteder alle bestillingsdata. Dette gør de blandt andet ved at tjekke bestillingsdata op imod offentlige databaser, lave verifikationskald og meget andet. Virksomhedens navn vil blive en del af certifikatet og vil være offentligt tilgængeligt hvis certifikatet installeres på en offentligt tilgængelig server.

For domænevaliderede certifikater sender vi så lidt data som muligt til udstederen. De øvrige bestillingsdata anvendes derfor kun til vores egen fakturering.

Data sendes og behandles uden for EU.

Backup

Vi kører løbende backup af alle systemer. Backup slettes automatisk efter 6 måneder.

Ændring af databehandleraftalen

Larsen Data har ret til at ændre i databehandleraftalen uden varsel såfremt ændringen ikke kan anses som værende en væsentlig forringelse i forbindelse med behandlingen af personoplysninger. Den til enhver tid gældende version kan findes på http://larsendata.com/compliance

Såfremt ændringen vil betyde en væsentlig forringelse for kunden er Larsen Data forpligtiget til at informere kunderne via e-mail inden ændringen træder i kraft.

Kontaktoplysninger

Larsen Data ApS
Vestergade 20B 2
1456 København K

Tlf. 46 90 32 32
Fax. 46 90 32 34

E-mail: support@larsendata.com

Aftaledata

Denne aftale er godkendt af Larsen Data ApS
Aftaletekst er senest ændret 24/05/2018