1. ExorLive Hjælpecenter
  2. Juridisk
  3. Juridisk

Licensaftale (LA) inklusive databehandleraftale (DBA)

Avatar
Print Friendly and PDF

Aftalen på denne side indeholder Exorlives Licensaftale, licensvilkår og databehandleraftale.

Klik her for at gå direkte til vores licensvilkår

Klik her for at gå direkte til vores databehandlingsaftale.

Klik her for at gå direkte til vores Privacy Policy. 

Klik her for at gå direkte til vores API Terms of Service

Licensaftale

Indledning

Denne Licensaftale er indgået mellem ExorLive (“Licensgiver”), og dig, herefter benævnt "Licenstager". 

Denne aftale er integreret med og anvendes i sammenhæng med den tilknyttede databehandleraftale, Service Level Agreement, API-vilkår (API Terms) og licensvilkår. Disse dokumenter udgør tilsammen den fuldstændige aftale mellem parterne og regulerer anvendelsen af ExorLive-systemet (herefter "Systemet"), herunder tilhørende funktionalitet og integrationer, samt behandlingen af personoplysninger. Dokumenterne benævnes samlet som "Aftalen".

Ved at installere, kopiere, tilgå eller på anden måde anvende Systemet, herunder gennem API’er, bekræfter du, at du har læst, forstået og accepteret samtlige vilkår og betingelser i denne aftale samt i den tilknyttede databehandleraftale, licensvilkår, API-vilkår og eventuelle øvrige tillægsaftaler.

Licenstageren anerkender og accepterer, at overholdelse af hver af disse aftaler er en forudsætning for brugen af Systemet.

I tilfælde af uoverensstemmelser mellem dokumenterne, skal vilkårene i denne Licensaftale have forrang, idet det dog bemærkes, at bestemmelser vedrørende databeskyttelse i Databehandleraftalen skal have prioritet i spørgsmål relateret til beskyttelse af persondata.

Licensens omfang

ExorLive er et System, der tilbyder et omfattende værktøj til træning og sundhed, rettet mod trænere, fysioterapeuter, sundhedsprofessionelle og slutbrugere. Platformen giver brugerne adgang til en stor database af øvelser, som kan tilpasses og sammensættes til individuelle træningsprogrammer. ExorLive gør det nemt at oprette og dele personlige træningsplaner med klienter og patienter.

Licenstager har ved gennemført køb via ordreformularen på Webshoppen købt en licens til at benytte Systemet på de vilkår som fremgår af Aftalen og som specificeret i ordrebekræftelsen.

Levering

Systemet stilles til rådighed for licenstager som Software as a Service løsning. Softwaren er licensbaseret og Systemet er hostet på en central server.

Licensgiver leverer Systemnøgle(r) til Licenstager til den e-mailadresse, der er registreret ved købet.

Rettigheder - Licenstager

Licenstager har alle rettigheder til alle data, som Licenstager overlader til Licensgiver eller som genereres eller lagres som led i brugen af Systemet. Licensgiver er alene berettiget til at anvende Licenstagers data til de formål, som fremgår af Aftalen.

Licensgiver anerkender, at data i henhold til denne bestemmelse betragtes som Licenstagers fortrolige oplysninger.

I forbindelse med hel eller delvis opsigelse eller ophør af Aftalen, uagtet årsagerne hertil, er Licensgiver forpligtet til at bistå Licenstager, i det omfang det er relevant og nødvendigt, i forbindelse med transition af al data til Licenstager, andre leverandører eller myndigheder.

Licensgiver har ret til vederlag for bistand i forbindelse med transition. Vederlag ydes i henhold til gældende timetakster.

Varighed og opsigelse

Licenser træder i kraft på ordredatoen og løber derefter i licensperioden med automatisk fornyelse.

Licensperiodens længde er specificeret på købstidspunktet.

Licenstager kan opsige denne licensaftale med skriftlig varsel til udløbet af licensperioden.

Såfremt Licensgiver ikke har Licenstagers skriftlige opsigelse i hænde senest på datoen for licensperiodens udløb, vil Licenstager være forpligtet af Aftalen for yderligere en Licensperiode.

Licensafgift

Licensafgiften er beskrevet i ordreformularen på Webshoppen.

Den til enhver tid gældende pris for levering af det licenserede, reguleres årligt med virkning pr. datoen for licensens ikrafttræden. 

Prisreguleringen sker med henblik på at imødegå øgede omkostninger til drift og udvikling af Systemet og dets funktioner.

Meddelelse om prisændringer kan meddeles ved fremsendelse af faktura før udløbet af den relevante abonnementsperiode. Såfremt prisændringerne ikke kan accepteres, har Licenstager i dette tilfælde ret til at træde tilbage fra Aftalen ved udløbet af indeværende abonnementsperiode ved skriftlig meddelelse herom til Licensgiver inden for 14 dage fra fakturadato.

Fakturering og betalingsbetingelser

Licensen forfalder til betaling på bestillingstidspunktet eller som angivet på udstedt faktura.

Såfremt Licenstager vælger at tilkøbe en licensydelse inden for Licensperioden, vil denne licens blive faktureret på det tidspunkt, hvor tilkøbet foretages. Fakturering sker her for perioden frem til den oprindelige Licensperiodes udløb.

Ved en eventuel fornyelse af Licensen vil det foretagne tilkøb blive integreret med afgivet webordre, hvilket herefter vil udgøre den samlede Licens.

Fakturering sker herefter på årlig basis for et år ad gangen og forfalder til betaling som angivet i den elektronisk udstedte faktura.

Falder sidste rettidige betalingsdato ikke på en bankdag, udskydes betalingsdatoen til førstkommende bankdag.

Ved forsinket betaling er Licensgiver berettiget til at beregne renter i henhold til rentelovens bestemmelser.

Service

Licensgivers servicepolitik og servicemål i relation til installation af, brug af, adgang til Systemet for Licenstager, dennes medarbejdere og kontakter, er nærmere reguleret i Licensgivers Servicemål (SLO).

Persondata

Licensgiver er forpligtet til at sikre, at den til enhver tid gældende persondatalovgivning i Danmark overholdes for den af Licensgiver udførte behandling - særligt databeskyttelsesforordningen og databeskyttelsesloven.

Idet Licensgivers levering af Systemet indebærer behandling af persondata, forpligter Parterne sig til at indgå en databehandleraftale, som overholder den til enhver tid gældende persondatalovgivning. 

Denne databehandleraftale er integreret i nærværende aftale og indgås ved Licenstagers brug eller accept af aftalen.

Licensgiver er ikke ansvarlig for at sikre, at Licenstager overholder egne forpligtelser i henhold til gældende lov, herunder som dataansvarlig.

Garanti

Systemet er licenseret, ikke solgt. Licensgiver stiller ingen garantier af nogen form, undtagen dem, der specifikt er angivet i Aftalen, eller medmindre andet er udtrykkeligt aftalt mellem Licensgiver og Licenstageren.

Licensgivers misligholdelse

Der foreligger fra Licensgivers side, en mangel ved det leverede, såfremt det leverede ikke opfylder de givne garantier, eller det i øvrigt ikke er eller fungerer i henhold til Licensgivers tiltænkte formål og på grundlag af indholdet i Aftalen.

Licensgiver har på Licenstagers anmodning pligt til at afhjælpe de påpegede mangler snarest. Såfremt afhjælpning ikke er mulig eller Licenstager forgæves har forsøgt at afhjælpe en mangel gentagne gange, kan Licenstager være berettiget til kompensation i form af Servicecredits, der krediteres fakturaen for næste licensperiode. Beløbets størrelse fastsættes i dialog med Licensgiver eller i overensstemmelse med Servicemålene for tilgængelighed, hvis manglen er omfattet heraf.

Tavshedspligt

Parterne skal iagttage tavshed i sædvanligt omfang for forhold, som ikke er alment kendte. Tavshedspligten er særskilt indskærpet ved indgåelse af databehandleraftalen for de forhold, der er omfattet heraf.

Licensgiver kan dog angive Licenstager på en referenceliste på dennes hjemmeside, når der er sket levering. Licensgivers øvrige markedsføring om forhold vedrørende Licenstager kan herefter alene ske efter samtykke fra Licenstager.

Licenstagers misligholdelse

Såfremt Licenstager misligholder sine betalingsforpligtelser i henhold til Aftalen, er Licensgiver berettiget til rente i overensstemmelse med rentelovens regler.

Licensgiver er endvidere berettiget til at ophæve Aftalen, såfremt Licensgiver over for Licenstager skriftligt har afgivet påkrav om, dels at Licenstager på nærmere specificeret måde har misligholdt sine forpligtelser i henhold til Aftalen, dels at manglende overholdelse inden 14 arbejdsdage vil medføre, at Aftalen ophæves, og såfremt Licenstager ikke har opfyldt sine forpligtelser inden fristens udløb.

Erstatningsansvar

Parterne er erstatningspligtige efter dansk rets almindelige regler.

Parterne er ikke i nogen tilfælde ansvarlig for driftstab, følgeskader eller andet indirekte tab. Tab af data anses for indirekte tab.

Licensgivers erstatningsansvar i henhold til Aftalen kan maksimalt udgøre et beløb svarende til 3 måneders licensafgift for den specificerede modul, der er årsagen til kravet om erstatning.

Ovennævnte begrænsninger i erstatningsansvaret omfatter imidlertid ikke groft uagtsomme eller forsætlige ansvarspådragende handlinger eller undladelser. 

Forsikring

Licensgiver skal i hele Aftalens løbetid opretholde en ansvarsforsikring, som dækker de skader, som medarbejderne kan forvolde i forbindelse med levering af licensen, samt være forsikret mod fejlagtig rådgivning, hvis Aftalen omfatter en rådgivningsydelse.

Overdragelse

Licenstager må ikke overdrage  rettigheder og / eller forpligtelser i henhold til denne aftale uden specifik forudgående skriftlig tilladelse fra Licensgiver. Ethvert sådant forsøg på overdragelse skal anses for at være ugyldigt. Uanset ovenstående har Licensgiver ret til at overdrage enhver aftale, herunder forpligtelser, performance, helt eller delvist, til sine partnere eller leverandører uden yderligere varsel.

Force majeure

Ingen af parterne skal i henhold til Aftalen anses for ansvarlig over for den anden part for så vidt angår forhold, der ligger uden for partens kontrol, og som parten ikke ved Aftalens indgåelse burde have taget i betragtning og ej heller burde have undgået eller overvundet, herunder men ikke begrænset til krig og mobilisering, borgerlige uroligheder, naturkatastrofer, strejke, lockout, svigtende forsyninger af råmateriale, epidemi, pandemi eller andet udbrud af alvorlig menneskelig sygdom, ildebrand, beskadigelse af produktionsapparat, afbrydelse af den almindelige samfærdsel, herunder energiforsyning samt import- og/eller eksportforbud. 

Forhold hos en parts leverandør anses som force majeure for denne part, såfremt der for leverandøren foreligger en tilsvarende hindring, og leverandøren ikke burde have undgået eller overvundet denne eventuelt ved brug af en alternativ leverandør.

Sanktioner og eksportkontrol

Licensgiver er forpligtet til at sikre, at Licensaftalens gennemførelse til enhver tid ikke indebærer en overtrædelse af sanktioner, eksportkontrolregler, embargoer og lignende, herunder men ikke begrænset til EU-forordning 833/2014 som senest ændret ved EU-forordning 576/2022, artikel 1, nr. 23) og eventuelle senere ændringer.

Licensgiver er i hele aftaleperioden forpligtet til straks at give skriftlig meddelelse, såfremt der sker ændringer i Licensgiver eller eventuelle underleverandørers ejerforhold, kontrollen med Leverandøren/underleverandøren og ethvert andet forhold af relevans for overholdelse af sanktioner, eksportkontrolregler, embargoer og lignende.

Lovvalg og værneting

Aftalen er undergivet dansk ret.

Såfremt der opstår uoverensstemmelse mellem parterne i forbindelse med denne Aftale, skal parterne med en positiv, samarbejdende og ansvarlig holdning forsøge at indlede forhandlinger med henblik på at løse tvisten. Om nødvendigt skal forhandlingerne søges løftet op på højeste plan i parternes organisationer.

Kan parterne efter forsøgt mediation ikke finde en løsning, kan hver part efter eget skøn anlægge retssag.

Enhver tvist, der måtte opstå i forbindelse med Aftalen, herunder tvister vedrørende Aftalens eksistens eller gyldighed, skal afgøres ved Københavns Byret.

 

Licensvilkår

Licensvilkårene udgør et tillæg til licensaftalen og har til formål at fastsætte de juridiske vilkår og betingelser, under hvilke en Licenstager er berettiget til at anvende ExorLive-Systemet.

1. Definitioner

Med henblik på fortolkning og gennemførelse af Aftalen, skal følgende udtryk, medmindre andet udtrykkeligt er angivet, have følgende betydning:

Aftale: De samlede kontraktvilkår, der regulerer de samlede rettigheder og forpligtelser mellem parterne.

Licensgiver: ExorLive AS

Licenstager: Kunden, herunder individuelle og organisatoriske brugere, som har indgået aftale med Licensgiver om levering af det Licenserede.

Licenserede: De af Licensgivers onlineprodukter, som Licenstager har fået tilgang til, og som er underlagt disse Licensvilkår. Omtales også ExorLive-Systemet eller Systemet.

Licensretten: Licenstagers brugsret til det Licenserede, som denne opnår ved accept af Licensvilkårene og betaling af de til licensen knyttede licensafgifter.

Licensvilkår(ene) Nærværende licensvilkår, tilknyttede dokumenter hertil samt eventuelle efterfølgende tilføjelser eller ændringer.

Licensafgift: Den afgift Licenstager betaler for adgangen til at benytte det licenserede.

Licensperiode: Den tid, hvor licensen er aktiv og gyldig, og hvor Licenstageren har ret til at bruge det licenserede.

Aftaleperiode: Den tidsperiode, hvor Aftalen mellem Licenstager og Licensgiver er gældende.

Konto: Den endelige brugers konto i systemet, som består af individuel brugernavne, adgangskoder og andre personlige oplysninger for at få adgang og bruge systemet.

Indhold: Medieelementer, som offentliggøres i Systemet af brugeren og/eller slutbrugeren.

Brugerindhold: Indhold uploadet eller indsendt til Systemet af Brugeren eller Slutbrugeren, herunder tegninger, fotografier, videoer, kommentarer og beskrivelser af øvelser og øvrige medieelementer.

Medieelementer: Ethvert indhold, der er i systemet, herunder men ikke begrænset til tekst, tegninger, fotografier, videoer, lyde og billedeelementer, trykte materialer og online elektronisk dokumentation

ExorLive-Systemet / System(et): Onlineprogrammet ExorLiveTM, som omfatter, men er ikke begrænset til, brugergrænseflader, API-grænseflader, software, medieelementer og tilhørende oplysninger, hvad enten præsenteret i en specifik eller ikke-specifik form, på hjemmesider, der ejes af ExorLive eller tredjeparter, på mobile såvel som tablet-enheder.

Systemnøgler: Den kombination (er) på brugernavn og adgangskode, der giver licenstager adgang til Systemet.

Brugere:

  • Professionelle brugere: Sundhedsprofessionelle, fysioterapeuter, personlige trænere eller andre fagfolk, der anvender Systemet til at udarbejde træningsprogrammer eller rehabiliteringsplaner for deres klienter eller patienter.
     
  • Organisationer eller Virksomheder: Fitnesscentre, klinikker, træningsfaciliteter eller andre organisationer, der benytter tjenesten for deres medlemmer eller ansatte

Slutbrugere: Patienten/Borgeren/Klienten, der tilgår og bruger Systemet til personlige eller professionelle formål, såsom personlig træning, genoptræning eller andre individuelle behov. Dette omfatter kontakter i Systemet med og uden brugerkonto.

2. Adgang

Berettiget til at anvende det Licenserede er alene de(n) Bruger(e), som Licensgiver har givet Licenstager i henhold til Aftalen. En bruger må alene foretage login til det Licenserede fra èn enhed ad gangen, medmindre andet er særskilt aftalt.

Er Licenstager en virksomhed, offentlig eller privat institution, organisation, mv., må Licenstager ikke, medmindre andet er aftalt, give andre medarbejdere end de(n) Bruger(e), Licensgiver har udstedt brugertilgang til, adgang til det Licenserede via online service, internet eller intranet, ligesom Licenstager ikke på anden måde må videregive de af Licensgiver udstedte brugertilgang(e) til andre medarbejdere.

3. Brugsret til det Licenserede

Ved accept af Licensvilkårene og betaling af de til licensen knyttede licensafgifter opnår Licenstager en tidsbegrænset, ikke overdragelig og ikke-eksklusiv brugsret til det Licenserede samt eventuelle senere opdateringer af det Licenserede i overensstemmelse med Licensvilkårene.

Licensen giver brugeren tilladelse til blandt andet at oprette, udskrive og bruge et ubegrænset antal kopier af indholdet af ExorLive-systemet (herefter “Systemet”), herunder dokumentation, forudsat at sådanne kopier kun skal anvendes til eksklusive og personlige formål, og ikke offentliggøres eller distribueres (enten i papirform eller elektronisk form).

Det Licenserede eller dele heraf må ikke videregives eller på anden måde gøres tilgængeligt for tredjemand. Licenstager må dog til slutbrugeren videregive adgang til Exorlive-Go, træningsprogrammer eller lignende programmer, som Licenstager har Licens til i henhold til Aftalen.

4. Overholdelse af Licensvilkårene

Licenstager er forpligtet til at sørge for, at Licenstagers Brugere er informeret om og overholder Licensvilkårene samt respekterer Licensgivers immaterielle rettigheder, herunder ophavsrettigheder.

Licensgiver kontrollerer løbende, at licensvilkårene overholdes. Såfremt Licensgiver får begrundet formodning om, at Licenstager overtræder licensvilkårene, skal Licenstager på Licensgivers forlangende skriftligt redegøre for forhold af betydning for vurderingen af, om licensvilkårene er overtrådt. Licenstager er altid ansvarlig for, at Licenstagers Bruger anvender det Licenserede i overensstemmelse med Licensvilkårene. Anvendes det Licenserede i strid med Licensvilkårene skal dette betragtes som en væsentlig misligholdelse, der kan medføre ophævelse af Aftalen.

5. Fortrydelsesret

Såfremt Licenstager er forbruger, har Licenstager i henhold til forbrugeraftaleloven som udgangspunkt 14 dage til at fortryde købet af det Licenserede. Licenstager anerkender, at en eventuel fortrydelsesret ophører, når det Licenserede produkt tages i brug. Licenstager er således indforstået med, at fortrydelsesretten kun kan udnyttes indtil det tidspunkt, hvor brug af det Licenserede aktiveres. Hvis Licenstager ikke er forbruger, har Licenstager ikke adgang til at fortryde købet af det Licenserede

6. Opdatering og ændring af det Licenserede

Licensgiver har ret til løbende at opgradere, ajourføre og opdatere det Licenserede, når Licensgiver finder det nødvendigt. Sådan ajourføring og opdatering medfører ingen indskrænkninger eller ændringer i Licenstagers forpligtelser over for Licensgiver, og giver ikke Licenstager ret til at gøre misligholdelsesbeføjelser gældende over for Licensgiver.

Licensgiver er endvidere berettiget til at foretage ændringer i funktionaliteten af det Licenserede, herunder fjerne og/eller ændre funktioner, som Licensgiver finder nødvendigt for generelt at kunne levere den bedst mulige ydelse over for sine kunder. Sådanne ændringer af funktionaliteten af det Licenserede medfører heller ingen indskrænkninger eller ændringer i Licenstagers forpligtelser over for Licensgiver, ligesom sådanne ændringer af det Licenserede ikke giver Licenstager ret til at gøre misligholdelsesbeføjelser gældende over for Licensgiver.

Ændringer og opdateringer i overensstemmelse med dette punkt, fratager dog ikke Licenstager fra at gøre misligholdelsesbeføjelser gældende, såfremt ændringerne/opdateringerne er af en sådan væsentlighed, at det Licenseret kan betragtes for i det hele at have skiftet karakter.

7. Rettigheder til det Licenserede

Licensgiver, eller tredjemand fra hvem Licensgiver afleder sine rettigheder, har ophavsret og enhver anden rettighed til det Licenserede, herunder til html-kode, tekst, billeder eller andre medieelementer der er publiceret i systemet og som Licenstager kan opnå adgang til via ExorLive.

Licenstager skal respektere Licensgivers rettigheder, og Licenstager er ansvarlig uden beløbsmæssig begrænsning for tilsidesættelse af disse rettigheder, herunder uberettiget videregivelse af det Licenserede til tredjemand.

Licenstager må ikke bryde eller ændre eventuelle sikkerhedsmekanismer, herunder sikkerhedskoder, ligesom Licenstager ikke må ændre eller fjerne angivelser i det Licenserede vedrørende rettighedsforhold, varemærker, produktinformation eller lignende.

Medmindre andet er særskilt aftalt, inkluderer Licensen ikke følgende rettigheder eller tilladelser:

  1. Salg, underlicensering, leje, leasing, udsendelse, indlæg eller enhver anden form for distribution af nogen del af Systemet, eller som en del af en samling, til en tredjepart, enten til kommercielle eller ikke-kommercielle formål, medmindre andet er udtrykt i denne aftale eller tilvejebragt af Systemet. 
  2. Enhver afledt eller indirekte brug uden for det tilsigtede formål med Systemet, herunder, men ikke begrænset til, at producere resultater fra systemet ved hjælp af tredjeparts software og få adgang til systemet uden for de normale opstartrutiner.
  3. Alle andre forsøg på at bruge, få adgang til eller kopiere kildeteksten eller databaserne i systemet, herunder, men ikke begrænset til, handlinger som reverse engineering, omprogrammering, dekompilering eller demontering af softwaren. 
  4. Direkte eller indirekte tilknytning, reference til eller association med ethvert andet system, tjeneste, enhed eller aktivitet relateret til ExorLive eller Systemet, herunder, men ikke begrænset til, ethvert medieelement, varemærke eller design, uanset om de er registreret eller ej. 
  5. Oprettelse af uanstændige eller stødende værker, indhold eller arbejde.

Indhold uploadet af kunden

Systemet gør det muligt for Brugeren og Slutbrugeren selv at indsende indhold til Systemet, herunder tegninger, fotografier, videoer, kommentarer og beskrivelser af øvelser.

Brugeren og Slutbrugeren beholder ejendomsretten til dette brugerindhold. Ved upload af brugerindholdet vil indholdet som default alene være tilgængeligt for Kontakter og Instruktører i samme organisation.

Brugeren kan vælge at gøre Brugerindholdet tilgængeligt globalt i Systemet. Der gives herved ExorLive og andre Brugere af Systemet en ikke-eksklusiv, overdragelig licens til at anvende, hoste, gemme, reproducere, modificere, skabe afledte værker, kommunikere, offentliggøre, opføre offentligt, vise offentligt og distribuere sådant indhold. ExorLive forbliver ejer af alle motionsprogrammer skabt af og i Systemet.

Licenstager og den enkelte bruger er forpligtet til at sørge for, at det uploadede brugerindhold ikke krænker nogen rettigheder, og at eventuelle nødvendige tilladelser til deling af brugerindholdet er indhentet fra tredjemand. 

Licensgiver er ikke ansvarlig for tab, skade eller omkostninger, der opstår ved upload eller anvendelse af brugerindhold, og Licenstager garanterer ved indgåelse af denne licensaftale at skadesløsholde Licensgiver for et hvert krav, Licensgiver måtte blive mødt med fra tredjemand for så vidt kravet relaterer sig til en krænkelse af tredjemands rettigheder til brugerindholdet.

Licensgiver forbeholder sig retten til at fjerne ethvert indhold uden varsel og uden grund, såfremt det vurderes at være i strid med tredjemandsrettigheder eller i øvrigt ikke i overensstemmelse med ExorLives retningslinjer.

8. Afhjælpning af fejl

Det Licenserede gives i licens, som det er og forefindes, uden nogen former for garanti. Licensgiver yder således ingen garanti for, at afviklingen af det Licenserede samt opkoblingen til det Licenserede vil være uden afbrydelser og fejlfri. Licensgiver foretager løbende afprøvning af det Licenserede, men kan ikke udelukke, at det Licenserede - som enhver anden software, der stilles til rådighed online - indeholder fejl og uhensigtsmæssigheder. 

Sådanne fejl er ikke hævebegrundende og berettiger ikke Licenstager til afhjælpning eller andre misligholdelsesbeføjelser. Tilsvarende gælder for indholdsmæssige fejl. Licensgiver tilstræber, at alle fejl og uhensigtsmæssigheder i det Licenserede rettes løbende, men yder ingen garanti for, at enhver fejl og uhensigtsmæssighed vil blive rettet.

9. Ændring af de generelle vilkår og betingelser

Licensgiver kan til enhver tid ændre Licensvilkårene, idet sådanne ændringer skal meddeles Licenstager senest 30 (tredive) dage før ændringen træder i kraft, medmindre den vedrører en ændring, som er nødvendig for, at ExorLive kan overholde gældende lovgivning, og hvor en kortere meddelelsesperiode er nødvendig for at sikre overholdelse af lovgivningen. Licensgivers meddelelse til licenstageren skal angive de ændringer, der er foretaget.

Hvis Licenstager ikke ønsker at være bundet af de ændrede Licensvilkår, skal Licenstager inden ændringen træder i kraft, underrette Licensgiver om, at de ændrede Licensvilkår ikke accepteres. Licenstager skal angive baggrunden for, hvorfor Licensvilkårene ikke kan accepteres. Licensgiver vil derefter anse Aftalen for opsagt, medmindre andet bliver aftalt.

Hvis Licenstager inden for 30 (tredive) dage efter meddelelsen om ændringen ikke har meddelt Licensgiver, at ændringen af Licensvilkårene ikke kan accepteres, fortsætter Aftalen i overensstemmelse med de ændrede Licensvilkår.

10. Information

Indsamling af ikke-identificerbare oplysninger

Licenstager accepterer, at Licensgiver kan indsamle, bruge, og gemme statistiske, tekniske og andre ikke-identificerbare oplysninger indsamlet i forbindelse med systemovervågning, analyse, forbedring og støtteprogrammer.

Licensgiver kan alene bruge disse oplysninger til at forbedre ExorLives systemer eller levere tilpassede tjenester eller teknologier til Licenstager.

Indsamling af personligt identificerbare oplysninger

I forbindelse med leveringen af det licenserede, vil Licensgiver indsamle og behandle oplysninger om Licenstager, brugeren og dennes patienter/borgere/klienter. 

Medmindre andet er udtrykkeligt angivet, er Licensgiver databehandler og udfører behandlingen af personoplysninger på vegne af Licenstager, som er dataansvarlig. 

Licensgiver er kun dataansvarlig for persondata, som lægges ind i Systemet for egne ansatte og for egne projekter.

Personoplysninger behandles kun i det omfang, det er nødvendigt for at levere det Licenserede, og der behandles alene de oplysninger som brugeren eller slutbrugeren måtte indtaste i Systemet.

Hvordan og hvornår vi hos ExorLive indsamler og behandler personlige oplysninger fremgår af ExorLives privacy policy og/eller indgået databehandleraftale.

11. Sikkerhed

Licensgiver sikrer, at brugergenereret indhold opbevares i et datamiljø, som lever op til sikkerhedskrav svarende til kravene for opbevaring af personoplysninger.

12. Fortrolighed

Licensgiver sikrer, at der kun gives adgang til brugergenereret indhold til de af Licensgivers medarbejdere, for hvem sådan adgang er nødvendig for udførelsen af medarbejderens jobfunktioner hos Licensgiver. Licensgiver sikrer herunder, at medarbejdere, som får adgang til brugergenereret indhold, underskriver en fortrolighedsklausul om hemmeligholdelse af viden opnået i forbindelse hermed.

13. Ansvarsfraskrivelse og begrænsning af ansvar

Licensgiver er ansvarlig for produktskader i overensstemmelse med de bestemmelser i produktansvarslovgivningen, der ikke kan fraviges ved aftale, men fraskriver sig produktansvar på ethvert andet grundlag.

Licensgiver er under ingen omstændigheder ansvarlig over for Licenstager for indirekte tab eller følgeskader opstået i forbindelse med anvendelsen af det Licenserede, herunder men ikke begrænset til driftstab, tab af forventet profit, tab og/eller retablering af data, tab af goodwill samt andre former for følgeskade. Herunder er Licensgiver ikke ansvarlig over for Licenstager for fejl ved Licenstagers rådgivning til tredjemand, der skyldes fejl eller mangler ved det Licenserede.

Licensgivers erstatningsansvar i henhold til Aftalen kan maksimalt udgøre et beløb svarende til 3 måneders licensafgift for den specificerede modul, der er årsagen til kravet om erstatning.

Licensgiver fraskriver sig ethvert ansvar for tab eller skade, som kan henføres til Licenstagers egen opkobling til Licensgivers service, herunder manglende opkobling, systemnedbrud m.v. Tilsvarende gælder i forhold til Licenstagers øvrige IT-udstyr, browser, programmel m.v.

I tilfælde af Licenstagers misligholdelse af Licensvilkårene er Licensgiver i tillæg til eventuelt krav på vederlag for uberettiget udnyttelse af det Licenserede, berettiget til erstatning i overensstemmelse med dansk rets almindelige regler.

Særligt ved køb af modulet: Assistant

Licenstager, herunder dennes personale, har via ExorLive Assistant mulighed for selv at tilpasse eller ændre træningsprogrammer til Slutbrugeren.

Det påhviler Licenstager at sikre, at eventuelle ændringer af træningsprogrammer sker under hensyntagen til Slutbrugerens helbredstilstand og med fornøden faglig omtanke. Licensgiver anbefaler altid, at ændringer i træningsprogrammer foretages i samråd med relevant fagpersonale.

Licensgiver påtager sig intet ansvar for eventuelle personskader eller andre skader, der måtte opstå som følge af sådanne ændringer, uanset årsagen til ændringen. Ethvert ansvar for skader, som måtte være en følge af ændringer foretaget af Licenstager eller dennes personale, påhviler alene Licenstager.

Særligt ved køb af modulet: Assistant Plus

Ved brug af ExorLive Assistant Plus genereres træningsprogrammer på baggrund af oplysninger indtastet af Licenstager eller dennes personale via en automatisk screening af en Slutbrugers specifikke behov og/eller tilstand. Licensgiver påtager sig ansvaret for Systemets funktioner.

Hele ansvaret for korrekt og hensigtsmæssig tilpasning og anvendelse af træningsprogrammer genereret via ExorLive Assistant Plus påhviler dog alene Licenstager. Det er Licenstagers forpligtelse at sikre, at alle oplysninger, der indtastes i screeningen, er korrekte, samt at det udarbejdede træningsprogram er egnet og forsvarligt for den enkelte Slutbruger. Licensgiver anbefaler, at træningsprogrammer altid vurderes fagligt, inden de tages i brug.

Licensgiver kan ikke gøres ansvarlig for eventuelle personskader eller andre skader, der måtte opstå som følge af brugen af sådanne træningsprogrammer.

14. Force majeure

Ingen af parterne skal i henhold til Aftalen anses for ansvarlig over for den anden part for så vidt angår forhold, der ligger uden for partens kontrol, og som parten ikke ved Aftalens indgåelse burde have taget i betragtning og ej heller burde have undgået eller overvundet, herunder men ikke begrænset til krig og mobilisering, borgerlige uroligheder, naturkatastrofer, strejke, lockout, svigtende forsyninger af råmateriale, epidemi, pandemi eller andet udbrud af alvorlig menneskelig sygdom, ildebrand, beskadigelse af produktionsapparat, afbrydelse af den almindelige samfærdsel, herunder energiforsyning samt import- og/eller eksportforbud. 

Forhold hos en parts leverandør anses som force majeure for denne part, såfremt der for leverandøren foreligger en tilsvarende hindring, og leverandøren ikke burde have undgået eller overvundet denne eventuelt ved brug af en alternativ leverandør.

Databehandleraftale

Denne databehandleraftale (“Databehandleraftalen”) regulerer ExorLive AS’ behandling af personoplysninger på vegne af kunden i henhold til databeskyttelsesforordningen (GDPR) artikel 28.

Parter

Databehandleraftalen indgås mellem:

Dataansvarlig: 

Den juridiske enhed (kunden), som har købt licens til og accepteret vilkårene for brug af ExorLive-systemet.

Databehandler

ExorLive AS
Org.nr.: 985 542 597
Adresse: Hovfaret 4, 0275 Oslo, Norge

Dataansvarlig og Databehandler benævnes hver især “Part” og samlet “Parterne”.

Gyldighed og accept

Databehandleraftalen træder i kraft ved kundens accept af ExorLives brugsvilkår i forbindelse med oprettelse eller køb af licens til ExorLive-systemet.

Databehandleraftalen udgør en integreret del af aftalen mellem Parterne og gælder, så længe Databehandler behandler personoplysninger på vegne af Dataansvarlig.

Såfremt Parterne har indgået en separat, skriftlig databehandleraftale, har denne forrang.

Dokumentation

Den til enhver tid gældende version af Databehandleraftalen er tilgængelig på ExorLives hjemmeside.

Dataansvarlig kan til enhver tid downloade en kopi af aftalen. Efter anmodning kan en underskrevet version fremsendes, hvis dette er påkrævet.

0. Definitioner

  • Behandling: Enhver operation eller række af operationer, der foretages med personoplysninger eller sæt af personoplysninger, uanset om de udføres ved automatiserede midler eller ej, såsom indsamling, registrering, organisering, strukturering, opbevaring, tilpasning eller ændring, fremfinding, anvendelse, videregivelse ved transmission, spredning eller enhver anden form for tilrådighedsstillelse, samkøring eller sammenstilling, begrænsning, sletning eller tilintetgørelse.
  • Databeskyttelseslovgivning: Enhver gældende lovgivning, forordning og regulering vedrørende beskyttelse af personoplysninger og privatliv, herunder EU’s generelle forordning om databeskyttelse (GDPR), national databeskyttelseslovgivning og tilhørende gennemførelsesbestemmelser.
  • Dataansvarlig: En fysisk eller juridisk person, offentlig myndighed, institution eller andet organ, der alene eller sammen med andre afgør formålene med og midlerne til behandlingen af personoplysninger.
  • Instruks: De skriftlige instrukser, der nærmere angiver genstand, varighed, karakter og formål med behandlingen, typer af personoplysninger samt kategorier af registrerede og eventuelle særlige krav til behandlingen.
  • Log: Resultatet af logning.
  • Logning: Den løbende registrering af oplysninger om den behandling af personoplysninger, der udføres i henhold til denne aftale, og som kan knyttes til en identificeret eller identificerbar fysisk person.
  • Databehandler: En fysisk eller juridisk person, offentlig myndighed, institution eller andet organ, der behandler personoplysninger på vegne af den dataansvarlige.
  • Personoplysninger: Enhver oplysning om en identificeret eller identificerbar fysisk person. En identificerbar fysisk person er en, der direkte eller indirekte kan identificeres, navnlig ved henvisning til et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller til en eller flere faktorer, der er specifikke for den pågældende fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.
  • Brud på persondatasikkerheden (personoplysningsbrud): Et brud på sikkerheden, der medfører hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
  • Registreret: Den fysiske person, som personoplysningerne vedrører.
  • Tredjeland: Et land, der ikke er medlem af Den Europæiske Union (EU) eller ikke er tilknyttet Det Europæiske Økonomiske Samarbejdsområde (EØS).
  • Underdatabehandler: En fysisk eller juridisk person, offentlig myndighed, institution eller andet organ, der som underleverandør til databehandleren behandler personoplysninger på vegne af den dataansvarlige.

1. Formål

Bestemmelserne i denne databehandleraftale fastsætter databehandlerens rettigheder og forpligtelser ved behandling af personoplysninger på vegne af den dataansvarlige.

Bestemmelserne er udarbejdet med henblik på at sikre, at parterne overholder artikel 28, stk. 3 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger samt om ophævelse af direktiv 95/46/EF.

Bestemmelserne fritager ikke databehandleren for forpligtelser, der følger af databeskyttelsesforordningen eller anden gældende lovgivning.

2. Den dataansvarliges rettigheder og forpligtelser

Den dataansvarlige er ansvarlig for, at behandlingen af personoplysninger sker i overensstemmelse med GDPR, anden relevant EU-ret, national lovgivning og denne databehandleraftale.

Den dataansvarlige fastlægger formålene med og midlerne til behandlingen af personoplysninger.

Den dataansvarlige er ansvarlig for, at der foreligger et gyldigt behandlingsgrundlag for den behandling af personoplysninger, som databehandleren instrueres til at udføre.

3. Databehandleren handler efter instruks

Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre behandlingen er påkrævet i henhold til EU-ret eller national lovgivning i en medlemsstat, som databehandleren er underlagt.

Instruks kan også gives efterfølgende af den dataansvarlige under den løbende behandling, men instruksen skal altid være dokumenteret og opbevares skriftligt – herunder i elektronisk form – sammen med disse bestemmelser.

Databehandleren skal straks underrette den dataansvarlige, hvis databehandleren vurderer, at en given instruks er i strid med databeskyttelsesforordningen eller anden relevant EU-ret eller national lovgivning.

Ved indgåelsen af denne databehandleraftale foreligger der en klar instruks for behandlingens udførelse, som beskrevet i punkt 4.

4. Databehandlerens behandling af personoplysninger

4.1 Generelt om behandlingen

Databehandleren behandler personoplysninger på vegne af den dataansvarlige i forbindelse med leveringen af ExorLive-systemet i henhold til licensaftalen.

Databehandleren må kun behandle personoplysninger i det omfang, det er nødvendigt for at opfylde licensaftalen og i overensstemmelse med den dataansvarliges dokumenterede instruks.

Databehandleren har ikke ret til at behandle personoplysninger til egne formål, medmindre dette følger af gældende lovgivning eller udtrykkeligt er aftalt mellem parterne.

4.2 Behandlingsinstruks og kategorier af personoplysninger

Databehandleren behandler personoplysninger i overensstemmelse med den dataansvarliges dokumenterede instruks, som det fremgår af denne aftale og af Bilag 1 (Behandlingsinstruks).

Bilag 1 regulerer nærmere formålet med behandlingen, behandlingens karakter, kategorier af personoplysninger, kategorier af registrerede samt behandlingens varighed og udgør den bindende instruks i henhold til databeskyttelsesforordningens artikel 28, stk. 3.

Den dataansvarliges brug, konfiguration og administration af systemet (herunder valg af funktionalitet, adgangsstyring og indstillinger) anses ligeledes som dokumenteret instruks.

Databehandleren må kun behandle de personoplysninger, som den dataansvarlige registrerer, uploader eller på anden måde gør tilgængelige i systemet, og må ikke selv fastlægge formål eller midler for behandlingen.

Behandlingen kan omfatte både almindelige personoplysninger og – afhængigt af den dataansvarliges anvendelse af systemet – særlige kategorier af personoplysninger, herunder helbredsoplysninger.

Eventuelle ændringer i behandlingens omfang eller karakter skal dokumenteres og anses som instruks fra den dataansvarlige, når de er skriftligt bekræftet.

4.3 Behandlingens geografiske omfang og overførsel til tredjelande

Behandling og opbevaring af personoplysninger sker som udgangspunkt inden for EU/EØS.

Såfremt databehandleren i forbindelse med leverancen anvender underdatabehandlere eller koncernstrukturer, som kan medføre overførsel af eller adgang til personoplysninger fra lande uden for EU/EØS, skal sådan overførsel ske i overensstemmelse med databeskyttelsesforordningens kapitel V og på grundlag af den dataansvarliges dokumenterede instruks.

Databehandleren skal i sådanne tilfælde sikre, at der foreligger et gyldigt overførselsgrundlag, herunder EU-Kommissionens standardkontraktbestemmelser (SCC 2021), gyldig tilstrækkelighedsafgørelse, herunder EU–US Data Privacy Framework, hvor relevant, samt eventuelle supplerende foranstaltninger baseret på en gennemført Transfer Impact Assessment (TIA).

Dokumentation for overførselsgrundlag og eventuelle risikovurderinger skal kunne fremlægges efter anmodning.

4.4 Anvendelse af underdatabehandlere

Databehandleren kan anvende underdatabehandlere i overensstemmelse med databeskyttelsesforordningens artikel 28, stk. 2 og 4 for at opfylde sine forpligtelser efter licensaftalen og denne databehandleraftale.

Den dataansvarlige giver ved indgåelsen af denne aftale en generel forhåndsgodkendelse til anvendelse af de underdatabehandlere, der fremgår af Bilag 3 (Underdatabehandlere).

Bilag 3 angiver, hvilke underdatabehandlere der anvendes, hvilken behandling de udfører, samt eventuelle overførselsgrundlag ved adgang fra tredjelande.

Ved planlagte ændringer, der indebærer tilføjelse eller udskiftning af underdatabehandlere, skal databehandleren skriftligt underrette den dataansvarlige mindst 30 dage før ændringen træder i kraft.

Den dataansvarlige kan inden for denne frist fremsætte en saglig og begrundet indsigelse vedrørende databeskyttelse eller informationssikkerhed. Hvis en sådan indsigelse fremsættes, skal parterne i god tro søge at finde en løsning.

Databehandleren skal ved aftale eller andet retligt grundlag sikre, at underdatabehandleren pålægges de samme databeskyttelsesforpligtelser, som følger af denne databehandleraftale, herunder krav til fortrolighed, sikkerhed, bistand og sletning.

Databehandleren forbliver fuldt ansvarlig over for den dataansvarlige for underdatabehandlerens opfyldelse af sine forpligtelser.

Midlertidig og begrænset adgang til personoplysninger i forbindelse med teknisk vedligeholdelse eller support anses som behandling på vegne af den dataansvarlige og skal være underlagt tilsvarende fortroligheds- og sikkerhedsforpligtelser.

4.5 Henvendelser fra offentlige myndigheder

Databehandleren må ikke videregive personoplysninger til offentlige myndigheder, herunder politi, skattemyndigheder eller andre instanser, uden forudgående skriftlig orientering til den dataansvarlige, medmindre databehandleren er juridisk forpligtet til ikke at give en sådan orientering, f.eks. i tilfælde af en strafferetlig efterforskning.

I tilfælde af, at Databehandleren modtager en retlig bindende anmodning om adgang til personoplysninger, skal Databehandleren:

  • Dokumentere anmodningen og opbevare kopi af korrespondancen
  • Straks underrette den Dataansvarlige med beskrivelse af anmodningen og retsgrundlaget, medmindre dette er forbudt i henhold til gældende lovgivning
  • Træffe passende tekniske og organisatoriske foranstaltninger for at beskytte de registreredes data og minimere adgangen

Databehandleren skal sikre, at tilsvarende forpligtelser er kontraktuelt pålagt underdatabehandlere.

5. Forpligtelser for databehandleren

5.1 Bistand til den dataansvarlige

Databehandleren bistår, under hensyntagen til behandlingens art og i det omfang det er muligt, den dataansvarlige ved hjælp af egnede tekniske og organisatoriske foranstaltninger med at opfylde den dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder i henhold til persondataforordningens kapitel III.

Bistanden ydes på grundlag af den dataansvarliges dokumenterede instruks og inden for rammerne af parternes aftale.

Databehandleren bistår den dataansvarlige i det omfang, det er nødvendigt og forholdsmæssigt, og kun for så vidt angår personoplysninger og behandlingsaktiviteter, som databehandleren faktisk behandler på vegne af den dataansvarlige.

Databehandleren bistår endvidere, under hensyntagen til behandlingens art og de oplysninger, der er tilgængelige for databehandleren, den dataansvarlige med at sikre overholdelse af forpligtelserne i persondataforordningens artikel 32–36, herunder:

  • håndtering og anmeldelse af brud på persondatasikkerheden
  • underretning af registrerede ved brud på persondatasikkerheden
  • gennemførelse af vurdering af konsekvenser for databeskyttelse (DPIA)
  • forudgående høring af tilsynsmyndigheden

Bistand efter dette punkt ydes i det omfang, den dataansvarlige ikke selv har adgang til de relevante oplysninger, og kan kræve særskilt vederlag, hvis bistanden går ud over databehandlerens standardfunktionalitet eller aftalte ydelser.

5.2 Tekniske og organisatoriske foranstaltninger

Databehandleren skal til enhver tid gennemføre og opretholde egnede tekniske og organisatoriske foranstaltninger for at sikre og påvise, at behandlingen sker i overensstemmelse med persondatareglerne og denne databehandleraftale.

Foranstaltningerne skal sikre et sikkerhedsniveau, der er passende i forhold til behandlingens art, omfang, formål og risiko for de registreredes rettigheder og frihedsrettigheder, jf. GDPR artikel 32. 

Dette omfatter blandt andet foranstaltninger til at:

  • sikre personoplysningernes fortrolighed, integritet, tilgængelighed og robusthed
  • forebygge og opdage uautoriseret adgang, ændring, sletning eller videregivelse
  • genetablere tilgængelighed og adgang til personoplysninger ved hændelser
  • teste, vurdere og evaluere effektiviteten af sikkerhedsforanstaltningerne regelmæssigt

Databehandleren skal løbende vurdere og opdatere sikkerhedsforanstaltningerne i lyset af teknologisk udvikling, identificerede risici og branchestandarder.

Dokumentation for etablerede foranstaltninger skal kunne fremlægges efter anmodning inden for rammerne af licensaftalen og revisionsbestemmelserne.

Databehandleren arbejder efter anerkendte standarder for informationssikkerhed og har implementeret principper for indbygget databeskyttelse og databeskyttelse som standardindstilling.

6. Underretning om brud på persondatasikkerheden

Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.

Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 24 timer efter, at denne er blevet bekendt med bruddet, sådan at den dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningens artikel 33.

Databehandleren bistår den dataansvarlige med at foretage anmeldelse af bruddet til den kompetente tilsynsmyndighed. Det betyder, at databehandleren skal bistå med at tilvejebringe nedenstående information, som ifølge artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse af bruddet til den kompetente tilsynsmyndighed:

  1. karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger

  2. de sandsynlige konsekvenser af bruddet på persondatasikkerheden

  3. de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

Umiddelbart efter at have givet besked om overtrædelse af databeskyttelseslovgivningen skal Databehandler give yderligere beskrivelse til Dataansvarlige af:

  • Alle relevante aspekter i forbindelse med bruddet, som Databehandler har kendskab til, herunder hvad bruddet består af, kategorier og mængder af Personoplysninger. Spørgsmål vedrørende afvigelsen, som Databehandler først bliver bekendt med efter en sådan meddelelse skal meddeles Dataansvarlige så snart Databehandler får sådan viden; 

  • Hvilke foranstaltninger der er gennemført eller foreslået gennemført for at forebygge konsekvenserne og begrænse omfanget af bruddet på persondatasikkerheden. 

Desuden skal Databehandler bistå Dataansvarlig med at vurdere persondatakonsekvenserne ved sådan et brud på persondatasikkerheden. 

Databehandler forpligter sig til at meddele Dataansvarlig, hvis det afsløres, at Databehandleren ikke overholder, eller kan se det bliver vanskeligt at overholde, de krav, der stilles i Databeskyttelseslovgivningen og denne Databehandleraftale, uanset årsagen. I et sådant tilfælde, kan Behandlingsansvarlige suspendere yderligere Behandling af Personoplysninger.

7. Ansvar for Behandlingen 

Dataansvarlig er ansvarlig for at Personoplysninger, som Databehandler får adgang til er blevet indhentet lovligt og har et gyldigt behandlingsgrundlag. 

Dataansvarlig har det primære ansvar for Behandlingen af Personoplysninger, og for at meddele Databehandler, hvis der er behov for assistance i henhold til GDPR artikel 28.

Den Dataansvarlige skal holde Databehandler skadesløs for alle omkostninger, udgifter, skader, tab (herunder følgeskader), forpligtelser og krav, som Databehandler måtte blive mødt med fra tredjemand, forudsat at forholdet er opstået som resultat af Dataansvarliges krænkelse af Databeskyttelseslovgivningen eller dennes forpligtelser i øvrigt i henhold til Aftalen.

Ansvar for materiel eller ikke-materiel skade på en eller flere Registrerede skal reguleres i overensstemmelse med betingelserne og retningslinjerne i GDPR art. 82. 

Databehandleren er ansvarlig for skader, bøder eller tab, der kan henføres til egne handlinger eller undladelser, som udgør en overtrædelse af denne aftale eller af gældende databeskyttelseslovgivning, herunder uagtsomhed ved gennemførelsen af passende tekniske og organisatoriske foranstaltninger.

Databehandlers maksimale ansvar reguleres i henhold til Licensaftalen og Licensvilkårene. 

Ingen ansvarsbegrænsning gælder, hvis skadevoldende handling er foretaget ved forsætlig eller grov uagtsomhed fra nogen af parterne.

8. Sikkerhedsrevision

Databehandleren skal stille de oplysninger til rådighed, som er nødvendige for at dokumentere overholdelse af GDPR artikel 28 og denne aftale.

Som hovedregel opfyldes revisionsforpligtelsen ved, at databehandleren årligt indhenter en relevant revisions­erklæring og/eller certificering fra en uafhængig tredjepart, som stilles til rådighed for den dataansvarlige. Sådan dokumentation anses som tilstrækkelig til at opfylde den dataansvarliges kontrolbehov, medmindre særlige forhold tilsiger andet.

Den dataansvarlige kan anmode om yderligere dokumentation, hvis der foreligger konkret og saglig grund til at antage væsentlige brud på persondatareglerne eller denne aftale.

Hvis revisionsrapporter og tilgængelig dokumentation ikke anses for tilstrækkelige, kan den dataansvarlige kræve yderligere revision. Før en sådan revision gennemføres, skal parterne skriftligt aftale omfang, metode, varighed, tidspunkt og praktisk gennemførelse. Revisionen skal:

  • varsles med mindst 30 dages skriftligt varsel
  • gennemføres i normal arbejdstid
  • ikke forstyrre databehandlerens virksomhed
  • begrænses til forhold, der er relevante for behandlingen af personoplysninger
  • gennemføres af en uafhængig og kvalificeret tredjepart underlagt tavshedspligt
  • gennemføres for den dataansvarliges regning

Revisionen må ikke give adgang til andre kunders data, forretningshemmeligheder eller sikkerhedskritisk information, som ikke er relevant for den aktuelle behandling.

Inspektionsretten omfatter ikke fysiske lokationer eller datacentre, der drives af tredjepart. Dokumentation for sådanne miljøer gives gennem tilgængelig tredjepartsdokumentation.

Hvis en revision afdækker væsentlige afvigelser fra denne aftale eller gældende persondatalovgivning, skal databehandleren uden unødig forsinkelse iværksætte nødvendige korrigerende tiltag.

 Intet i denne bestemmelse begrænser tilsynsmyndigheders lovbestemte rettigheder.

9. Fortrolighed

Databehandleren må kun give adgang til personoplysninger, som behandles på den Dataansvarliges vegne, til personer, som er underlagt Databehandlerens instruktionsbeføjelser, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang. Listen af personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af denne gennemgang kan adgangen til personoplysninger lukkes, hvis adgangen ikke længere er nødvendig, og personoplysningerne skal herefter ikke længere være tilgængelige for disse personer.

Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de pågældende personer, som er underlagt Databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt.

Tavshedspligten gælder Parternes ansatte, Underleverandører som handler på Parternes vegne i forbindelse med gennemføringen af denne Databehandleraftale og Licensaftale. Parterne kan kun overføre tavshedsbelagt information til Underleverandører og tredjeparter i den udstrækning dette er nødvendigt for gennemførelsen af denne Databehandleraftale og Licensaftale, forudsat at disse pålægges pligt om konfidentialitet tilsvarende dette punkt. 

Tavshedspligten gælder også efter, at Databehandleraftalen og Licensaftalen ophører. Ansatte eller andre, som træder tilbage fra deres positioner med en af parterne, skal fortsat underlægges tavshedspligt, selv efter deres fratræden efter betingelserne nævnt ovenfor. Tavshedspligten ophører 10 (ti) år efter ophør af denne Databehandleraftale og licensaftale, medmindre andet er fastsat ved lov eller forordning.

10. Varighed og ophør af behandlingen

Personoplysninger opbevares hos databehandleren, så længe licensaftalen er aktiv, og behandles i overensstemmelse med den dataansvarliges dokumenterede instruks. Databehandleren foretager ikke sletning på eget initiativ, medmindre dette følger af lovgivning, sikkerhedsmæssige hensyn eller udtrykkelig instruks fra den dataansvarlige.

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige ophører ved licensaftalens ophør.

Ved ophør af licensaftalen skal databehandleren uden unødig forsinkelse og senest inden 90 dage efter licensforholdets ophør slette personoplysningerne, medmindre den dataansvarlige inden for samme frist skriftligt har instrueret om tilbagelevering i henhold til punkt 11.

I perioden frem til sletning eller tilbagelevering må personoplysningerne ikke behandles aktivt, medmindre dette er nødvendigt for at gennemføre tilbagelevering eller opfylde lovbestemte forpligtelser.

Forud for sletning kan databehandleren anonymisere personoplysninger, forudsat at anonymiseringen er irreversibel og gennemført i overensstemmelse med gældende databeskyttelseslovgivning, således at oplysningerne ikke længere kan henføres til en identificeret eller identificerbar fysisk person. Fuldt anonymiserede oplysninger anses ikke som personoplysninger og kan opbevares til statistiske, sikkerhedsmæssige eller dokumentationsformål.

11. Tilbagelevering af personoplysninger

Såfremt den dataansvarlige skriftligt instruerer databehandleren om tilbagelevering af personoplysninger ved licensaftalens ophør, skal tilbagelevering ske inden 30 dage efter modtagelse af anmodningen, medmindre andet er særskilt aftalt.

Tilbagelevering sker i et struktureret og maskinlæsbart format. Standardformatet er CSV, medmindre andet er særskilt aftalt mellem parterne.

Databehandleren har ret til rimeligt vederlag for bistand i forbindelse med tilbagelevering eller udlevering af personoplysninger, som ligger ud over systemets ordinære funktionalitet. Sådan bistand faktureres efter gældende satser.

Krav om andet filformat, særlig strukturering, migrationsbistand eller tilpasninger til tredjepartssystemer anses som tillægsydelser og faktureres særskilt.

Databehandleren kan alene tilbagelevere personoplysninger direkte til den dataansvarlige eller til en tredjepart, som den dataansvarlige skriftligt har udpeget.

Bilag 1 – Information om behandlingen

1. Formål

Formålet med behandlingen er at levere adgang til og drifte ExorLives digitale trænings- og rehabiliteringsplatform.

Behandlingen gør det muligt for den dataansvarlige at:

  • oprette og administrere trænings- og rehabiliteringsprogrammer
  • give slutbrugere adgang til digitale træningsprogrammer
  • dokumentere, følge op på og evaluere træningsforløb
  • administrere brugerkonti og adgangsstyring
  • sikre logning og sporbarhed

2. Behandlingens karakter

Behandlingen består af:

  • indsamling
  • registrering
  • strukturering
  • lagring
  • tilgængeliggørelse
  • overførsel
  • sletning
  • analyse

3. Kategorier af personoplysninger

Kan omfatte:

  • identifikationsoplysninger (navn, fødselsdato)
  • kontaktoplysninger (e-mail, telefon)
  • brugsdata og logdata
  • trænings- og rehabiliteringsdata
  • helbredsoplysninger (afhængigt af kundens anvendelse)
  • uploadede billeder og videoer

Databehandler behandler kun oplysninger, der registreres af den dataansvarlige.

4. Kategorier af registrerede

  • ansatte
  • patienter / klienter / medlemmer / borgere
  • slutbrugere af træningsprogrammer

5. Automatiseret behandling og AI-funktionalitet

ExorLive-platformen kan indeholde funktioner, der anvender automatiseret behandling, herunder kunstig intelligens (“AI-funktioner”), som støtteværktøj til brugerne.

AI-funktioner genererer forslag eller andet understøttende indhold baseret på oplysninger, der registreres i systemet af den dataansvarlige eller dennes brugere. Resultater genereret af AI-funktioner udgør alene vejledende output og skal altid vurderes og eventuelt tilpasses af en kvalificeret fagperson.

AI-funktioner behandler alene oplysninger, som den dataansvarlige eller dennes brugere aktivt indtaster i systemet (herunder i fritekstfelter). Databehandleren har ikke kontrol over, hvilke oplysninger der indtastes, og den dataansvarlige er ansvarlig for, at der ikke indtastes personoplysninger i strid med gældende databeskyttelseslovgivning.

Databehandleren behandler personoplysninger via AI-funktioner udelukkende på vegne af og efter instruks fra den dataansvarlige, jf. denne databehandleraftale og databeskyttelsesforordningen artikel 28.

Den dataansvarlige kan til enhver tid deaktivere AI-funktioner i systemets administrationsindstillinger.

Yderligere information om ExorLives anvendelse af AI, herunder teknisk funktion, sikkerhedsforanstaltninger og overholdelse af gældende lovgivning, fremgår af ExorLives dokumentation:

ExorLive AI – General Information

Detaljeret dokumentation for de enkelte AI-funktioner er tilgængelig i ExorLives brugerdokumentation og supportportal.

Databehandleren kan løbende introducere nye AI-funktioner. Sådanne funktioner vil være underlagt denne aftale og den dataansvarliges instruks, medmindre andet er særskilt aftalt.

6. Varighed

Behandlingen varer så længe licensaftalen er aktiv. Den dataansvarlige kan, hvis ønsket, selv konfigurere indstillinger for løbende sletning direkte i administrationspanelet.

Ved ophør gælder slettereglerne i hovedaftalen.

Bilag 2 – Tekniske og organisatoriske foranstaltninger

1. Certificeringer og styringssystem

Databehandler opretholder et styringssystem for informationssikkerhed og databeskyttelse. Databehandler er certificeret efter ISO 27001 og ISO 13485. Certificeringer dokumenteres efter anmodning.

2. Organisering, roller og retningslinjer

Databehandler har defineret roller, ansvar og beføjelser for informationssikkerhed og databeskyttelse. Databeskyttelsesrådgiver (DPO) inddrages i relevante forhold og håndtering af sikkerhedshændelser. Databehandler har etablerede og ledelsesgodkendte retningslinjer og procedurer for behandling af personoplysninger, som kommunikeres til relevante medarbejdere.

3. Fortrolighed og oplæring

Medarbejdere og andre, der handler under databehandlers instruktionsbeføjelse og får adgang til personoplysninger, er underlagt tavshedspligt eller tilsvarende fortrolighedsforpligtelser.

Databehandler gennemfører oplæring i informationssikkerhed og databeskyttelse ved opstart og løbende herefter, herunder træning i aktuelle trusler som phishing og social engineering samt håndtering af sikkerheds- og persondatabrud.

4. Adgangsstyring og autentifikation

Adgang til systemer og personoplysninger tildeles efter rolle- og behovsprincippet (mindste privilegium). Adgang baseres på individuel autentifikation, og multifaktorautentifikation anvendes, hvor relevant. Adgange gennemgås regelmæssigt og fjernes ved ændrede behov.

5. Logning og sporbarhed

Databehandler fører logning i det omfang, det er nødvendigt for at sikre sporbarhed og sikkerhed. Logning omfatter relevante hændelser vedrørende autentifikation, administrative handlinger samt ændringer i systemkonfiguration og/eller behandling af personoplysninger.

Logdata beskyttes mod uautoriseret ændring og håndteres i henhold til interne retningslinjer for opbevaring og sletning.

6. Sikring af systemer, enheder og netværk

Databehandler anvender sikkerhedsforanstaltninger til at forebygge, opdage og håndtere uautoriseret adgang og skadelig aktivitet, herunder opdaterings- og patchrutiner, malwarebeskyttelse og netværkssikring.

Kritiske sikkerhedsopdateringer håndteres uden unødig forsinkelse. Fjernadgang til administration eller vedligeholdelse sker via sikre forbindelser og underlagt adgangskontrol.

7. Kryptering

Databehandler anvender kryptering, hvor det er nødvendigt for at opnå et passende sikkerhedsniveau, herunder ved overførsel af fortrolige og/eller følsomme personoplysninger via eksterne forbindelser.

Krypteringsløsninger og nøglehåndtering reguleres i interne retningslinjer og opdateres efter behov.

8. Dataseparation

Kundedata er logisk adskilt fra andre kunders data.

9. Udvikling, test og ændringshåndtering

Databehandler har etablerede procedurer for ændringshåndtering, der sikrer, at ændringer autoriseres, testes og godkendes før implementering.

Test- og udviklingsmiljøer er adskilt fra produktionsmiljøer. Databehandler arbejder efter principperne om indbygget databeskyttelse og databeskyttelse som standard.

10. Backup, gendannelse og kontinuitet

Databehandler gennemfører regelmæssig backup og har procedurer for gendannelse.

Databehandler har beredskabsprocedurer, der understøtter gendannelse af tilgængelighed og adgang ved driftsforstyrrelser, og gennemfører løbende test og evaluering af disse.

11. Håndtering af sikkerheds- og persondatabrud

Databehandler har procedurer for at opdage, håndtere, dokumentere og følge op på sikkerheds- og persondatabrud, herunder procedurer der understøtter underretningspligter i henhold til GDPR artikel 33 og 34.

12. Underdatabehandlere

Databehandler vurderer sikkerhedsniveau og egnethed hos underdatabehandlere før anvendelse og sikrer, at disse pålægges tilsvarende forpligtelser som i databehandleraftalen.

Databehandler følger løbende op på underdatabehandlere i henhold til interne procedurer.

13. Ændringer i foranstaltninger

Databehandler kan videreudvikle og ændre sikkerhedsforanstaltninger i aftaleperioden, forudsat at det samlede sikkerhedsniveau ikke reduceres.

Bilag 3 – Underdatabehandlere

Dette bilag udgør den til enhver tid gældende oversigt over underdatabehandlere, som databehandler anvender i henhold til punkt 4.4 i databehandleraftalen.

Den dataansvarlige giver ved indgåelse af databehandleraftalen generel forhåndsgodkendelse til brug af de underdatabehandlere, der fremgår af dette bilag.

1. Underdatabehandlere

1.1 Microsoft Ireland Operations Ltd

Att: Data Protection
Carmenhall Road
Sandyford, Dublin 18
Irland

Formål:
Levering af cloudinfrastruktur og lagring af personoplysninger.

Behandlingssted:
EU/EØS

Tredjelandsoverførsel:
Kan forekomme som følge af koncernstruktur eller fjernsupport. Overførsel sker i overensstemmelse med GDPR kapitel V på grundlag af gyldigt overførselsgrundlag, herunder EU-Kommissionens standardkontraktbestemmelser og/eller gyldig tilstrækkelighedsafgørelse.

1.2 Atlassian (anvendt via cloudinfrastruktur i EU/EØS)

Atlassian via Amazon Web Services

(Behandling sker via datacentre i EU/EØS)

Formål:
Support- og sagsbehandlingssystem til håndtering af kundehenvendelser.

Behandlingssted:
EU/EØS

Tredjelandsoverførsel:
Kan forekomme som følge af koncernstruktur eller supportadgang. Overførsel sker i overensstemmelse med GDPR kapitel V.

2. Overførselsgrundlag ved tredjelandsoverførsel

Hvis behandling eller adgang indebærer overførsel til tredjelande, sikrer databehandler gyldigt overførselsgrundlag i henhold til GDPR kapitel V.

Dette kan omfatte:

  • EU-Kommissionens standardkontraktbestemmelser (SCC 2021)
  • gyldig tilstrækkelighedsafgørelse
  • EU–US Data Privacy Framework (hvor relevant)

Dokumentation kan fremlægges efter anmodning.

3. Ændringer i underdatabehandlere

Ved ændringer i underdatabehandlere følges proceduren i punkt 4.4 i databehandleraftalen.

Opdateret liste over underdatabehandlere vil til enhver tid være tilgængelig via skriftlig kundekommunikation.

 

Link til v1: Databehandleraftale gældende før 23.3.2026

 

Artikler i denne sektion

Se mere