Dette Digital Operational Resilience Act ("DORA")-tillæg ("Addendum") er oprettet for at dokumentere overholdelse af EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2022/2554 af 14. december 2022 om digital operationel modstandskraft for den finansielle sektor og ændring af forordning (EF) nr. 1096,08/EU206,08/EU206,08) (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011.
Dette tillæg træder i kraft fra datoen for begge parters underskrift.
I tilfælde af uoverensstemmelse eller konflikt mellem bestemmelserne i dette tillæg og bestemmelserne i ethvert andet dokument, der henvises til i aftalen, har vilkårene i dette tillæg forrang i omfanget af en sådan uoverensstemmelse eller konflikt.
Aftale - betyder ordrebekræftelsen, vilkår og betingelser, databehandleraftalen, DORA-tillægget og serviceniveauaftalerne aftalt mellem Formalize og kunden.
IKT-tjenester - har den betydning, der er foreskrevet i artikel 3 i DORA.
Personlige data - betyder enhver information som defineret i artikel 4.1 i den generelle databeskyttelsesforordning (EU) 2016/679.
Processor - har den betydning, der er foreskrevet i artikel 4.8 i den generelle databeskyttelsesforordning (EU) 2016/679.
Tjenester - betyder de tjenester, der leveres til Kunden af Formalize i henhold til Aftalen.
Underentreprise - betyder Formalizes brug af underleverandører til at opfylde sine forpligtelser og levere sine tjenester i henhold til aftalen og dette tillæg.
Kunden er en enhed, der falder ind under DORA's anvendelsesområde som defineret i artikel 2. DORA og/eller dens nationale lovgivning.
Formalize forpligter sig til at levere til de kundeservices, der udgør IKT-tjenester som defineret under DORA. Formålet med dette tillæg er at sikre, at disse krav og standarder er inkluderet i aftalen.
I forbindelse med dette tillæg antager parterne, at Formalize ApS understøtter Kundens vigtige eller kritiske forretningsfunktioner.
En klar og fuldstændig beskrivelse af alle funktioner og IKT-tjenester, der skal leveres af Formalize, kan findes i de vilkår og betingelser, der er en del af denne aftale. Disse IKT-tjenester skal betragtes som skytjenester: SaaS.
Kunden har pligt til at identificere, hvilke af disse tjenester, der understøtter Kundens vigtige eller kritiske forretningsfunktioner.
Kunden er berettiget til løbende at overvåge Formalizes præstation i forbindelse med Aftalen og de aftalte serviceniveauer. I den forbindelse tildeles Kunden:
For at lette udøvelsen af disse rettigheder vil Formalize give kunden tredjepartscertificeringer, interne og eksterne revisionsrapporter. Disse vil til enhver tid være tilgængelige i Formalize's tillidscenter som yderligere forklaret nedenfor i 4.3. Indberetning.
Kunden har endvidere ret til, med en hyppighed, der er rimelig og legitim ud fra et risikostyringsperspektiv, at anmode om ændringer af omfanget af certificeringerne eller revisionsrapporterne til andre relevante systemer og kontroller og den kontraktlige ret til at udføre individuelle og poolede revisioner efter eget skøn med hensyn til de kontraktmæssige ordninger og udføre disse rettigheder i overensstemmelse med den aftalte hyppighed.
Formalize indvilliger i at underrette Kunden uden unødig forsinkelse skriftligt om enhver udvikling, der kan have en væsentlig indvirkning på Formalizes evne til effektivt at udføre Tjenesterne i overensstemmelse med:
Formalize gennemgår årlige audits, og som en del af de opnåede og fornyede certificeringer og rapporter bliver forretningsberedskabsplanen gennemgået og testet. Formalize udfører yderligere, for at vedligeholde de førnævnte certificeringer og rapporter, en halvårlig test af Disaster Recovery-planen. Derudover udfører Formalize en årlig penetrationstest udført af en uafhængig tredjepart. Resultaterne af disse øvelser offentliggøres på hjemmesiden for Formalize at Trust Center.
Kunden har ret til at kræve, at Formalize forsyner Kunden med rapporter (herunder interne eller eksterne revisionsrapporter), hvor sådanne rapporter indikerer Formalizes manglende evne til effektivt at udføre Tjenesterne i overensstemmelse med kravene i denne paragraf.
Kunden har ansvaret for at formalisere og holde opdateret en specifik mail, hvor kommunikation relateret til DORA vil blive leveret.
Hændelser vil blive administreret og kommunikeret til Kunden som beskrevet i Service Level Agreement.
Formalize vil give kunden al nødvendig assistance i tilfælde af en hændelse, der opstår fra eller i forbindelse med tjenesterne.
Enhver assistance i forbindelse med en IKT-relateret hændelse vil blive leveret af Formalize gratis, medmindre andet er aftalt mellem parterne.
Formalize kan bruge underleverandører til at udføre en del af Tjenesterne ("Underleverandører" til en "Underleverandører").
Med hensyn til de underleverede tjenester, placering, længden af forsyningskæden, arten af data, underleverandøren og tjenesternes placeringer (behandling og lagring af data), kan disse oplysninger findes i formularen Formalize - DORA - Leverandørdata og Databehandleraftalen, der leveres sammen med dette tillæg.
I tilfælde af at Formalize bruger underleverandører til at udføre en del af tjenesterne, anerkender og accepterer Formalize:
Formalize giver i databehandleraftalen en opdateret oversigt over de steder (lande), hvor de underleverandører ydes, og hvor data behandles, herunder opbevaringsstedet.
Formalize skal informere Kunden om eventuelle ændringer af de steder, hvor underentreprisefunktionerne og -tjenesterne leveres.
Formalize har implementeret passende tekniske og organisatoriske foranstaltninger under hensyntagen til den aktuelle teknologiske udvikling og de tilgængelige foranstaltninger, herunder bl.a.
Uanset det modsatte vil Kunden i aftalens løbetid til enhver tid være berettiget til at få adgang til data tilhørende Kunden på en måde, der er i overensstemmelse med Tjenesternes funktionalitet.
I tilfælde af insolvens eller ophør af forretningsdrift af Formalize, vil Kunden have uhindret adgang til de data, der tilhører Kunden.
Formalizes levering af tjenester omfatter behandling af kundens personoplysninger inden for rammerne af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne data ("generel databeskyttelsesforordning"), med henblik herpå har parterne indgået en særskilt databeskyttelsesforpligtelse og indgået en separat forpligtelse. respekt for sådan behandling af personoplysninger.
Hvor det er relevant, og mindst årligt, deltager Formalize-personale i sikkerhedsbevidsthedsprogrammer.
Formalizes relevante medarbejdere kan anmodes om at deltage i Kundens IKT-sikkerhedsbevidsthedsprogrammer og digitale operationelle resilience-træning, hvis Kunden vurderer, at indholdet af Formalizes oplysningsprogrammer ikke er tilstrækkeligt til DORAs formål.
Når programmerne og træningen har indflydelse på Formalize normale forretningsaktiviteter, har Formalize ret til at opkræve et gebyr, der er fastsat på forhånd for medarbejdernes tilgængelighed.
Dette tillægs gyldighedsperiode begynder på datoen for dets underskrift og fortsætter med fuld kraft og virkning indtil (i) den dato, hvor den aktive aftale udløber eller opsiges i overensstemmelse med vilkårene i aftalen; (ii) den dato, hvor den aktive aftale opsiges i overensstemmelse med bestemmelserne i dette tillæg; eller (iii) den dato, hvor kunden ikke er en virksomhed underlagt DORA.
Ud over Kundens opsigelsesrettigheder som anført i Vilkår og Betingelser, kan Kunden opsige en Aftale ved:
Med hensyn til opsigelsesrettighederne beskrevet i paragraf a, b og c, skal Kunden give Formalize med mindst 15 dages forudgående skriftligt varsel, som skal tjene som en afhjælpningsperiode for Formalize til at afhjælpe det identificerede brud, risiko eller svaghed til Kundens rimelige tilfredshed. Hvis Formalize ikke i tilstrækkelig grad løser problemet inden for afhjælpningsperioden, kan Kunden opsige Aftalen med øjeblikkelig virkning.
Ved opsigelse i henhold til pkt. d, anses Aftalen for opsagt straks efter skriftlig meddelelse fra Kunden, uden behov for en afhjælpningsperiode.
Opsigelse i henhold til denne klausul berører ikke andre rettigheder eller retsmidler, som er tilgængelige for kunden i henhold til aftalen eller gældende lov.
Hensigten med dette afsnit (herefter benævnt "Exitplanen") er at skabe klarhed om en passende overgangsperiode for tilfælde, hvor Aftalen er eller er blevet opsagt (eller snart skal opsiges). Exitplanen indeholder foranstaltninger til at sikre en glidende og rettidig overgang, hvorved Formalize er forpligtet til fuldt ud at samarbejde med exit.
Exitplanen starter 30 dage før aftalens ophør.
Soft Exit - 30 dage før opsigelserne
Fra denne dag, og i de efterfølgende 30 dage, som Kunden stadig har adgang til Tjenesterne, alle applikationer og alle lagrede data, skal Kunden benytte lejligheden til at udtrække de relevante data fra Formalizes infrastruktur. I løbet af denne periode skal kunden kommunikere for at formalisere enhver anden information, der ikke kunne udtrækkes, for at give kunden mulighed for at migrere til en anden IKT-tredjepartstjenesteudbyder eller skifte til interne løsninger, der er i overensstemmelse med kompleksiteten af den leverede tjeneste.
Under Soft Exit-fasen har Kunden ansvaret for at igangsætte alle dataeksportaktiviteter. Formalize vil hjælpe kunden med at eksportere de varer, der er angivet under Data ovenfor.
Hard Exit - Datasletning - Dage 1 til 30 efter opsigelse
Efter Soft Exit-fasen vil Formalize gennemgå og sikre fjernelse af alle Kundens data fra sin infrastruktur. Denne fjernelse vil finde sted inden for 30 dage efter, at Soft Exit Phase afsluttes, hvorefter oplysningerne vil blive opbevaret i backup-lageret i 90 dage.
Efter Soft Exit-fasen vil Formalize gennemgå og sikre fjernelse af alle Kundens data fra sin infrastruktur. Denne fjernelse vil finde sted inden for 30 dage efter, at Soft Exit Phase afsluttes, hvorefter oplysningerne vil blive opbevaret i backup-lageret i 90 dage.
Under Hard Exit-fasen er Formalize ansvarlig for den endelige sletning af alle Kundedata fra sin infrastruktur og for at informere Kunden skriftligt om færdiggørelsen af Exit Planen.
Samarbejde med exit:
Formalize er forpligtet til fuldt ud at samarbejde om gennemførelsen af udgangen og udføre alt nødvendigt arbejde, med forbehold af nedenstående grænser.
Tjenester fra Formalize kan fortsætte efter opsigelsesdatoen og fortsætte, indtil overgangen til en ny tjenesteudbyder eller et nyt system er fuldt gennemført. Kunden skal informere Formalize om sin hensigt om fortsat at få adgang til systemet. Denne meddelelse skal ske inden opsigelsesdatoen, og parterne aftaler en foreløbig aftale for en periode på mellem 6 måneder og 1 år, omkostningerne til den foreløbige aftale kan afspejle en prisstigning på højst 10 % i forhold til den tidligere aftale.
Afslut planopdatering:
Afslutningsplanen kan opdateres og revideres årligt efter skriftlig anmodning fra Kunden i samråd med Formalize, herunder en omkostning og tidsplan.
Enhver anmodning fremsat af kunden i henhold til dette tillæg skal:
I omfanget af enhver konflikt eller uoverensstemmelse mellem dette tillæg og vilkårene i aftalen, vil dette tillæg have forrang.
Ændringer i aftalen eller tillægget kan kun aftales skriftligt mellem parterne.
Dette tillæg er underlagt dansk national lov, og de relevante europæiske regulativer, reference heri, DORA og relaterede delegerede regler.
Hvis retten erklærer artikler fra dette tillæg for ugyldige, forbliver de øvrige artikler fuldt ud i kraft.
Bestemmelserne i dette tillæg er baseret på DORA (Digital Operational Resilience Act), relaterede delegerede retsakter, Implementing Technical Standards (ITS) og Regulatory Technical Standards (RTS). I tilfælde af at nogen af disse juridiske instrumenter ændres eller ophæves, og enhver bestemmelse i dette tillæg ikke længere afspejles eller kræves i henhold til den gældende lovgivningsramme, ophører denne bestemmelse med at gælde. De resterende bestemmelser i dette tillæg fortsætter dog med fuld kraft og virkning, medmindre andet er aftalt mellem parterne.
