6. Rätt till revision och placering

6.1 Kunden har rätt att utföra revision av Leverantörens behandling av Kundens personuppgifter (inklusive sådan behandling som utförs av Leverantörens underleverantörer, om sådana har anlitats) för att kontrollera Leverantörens, och underleverantörers, efterlevnad av detta Avtal (GDPR, art. 28.3 (h) 5/13).

6.2 Leverantören ska, under vanliga arbetstider och med rimligt varsel (där en frist om tjugo (20) Arbetsdagar alltid ska anses vara rimligt), förse en oberoende revisor, utsedd av Kunden och godkänd av Leverantören, med rimlig tillgång till de delar av anläggningarna där Leverantören utför behandlingen av personuppgifter på Kundens vägnar, och till informationen som rör behandlingen av Kundens personuppgifter enligt detta Avtal. Revisionen ska utföras så skyndsamt som möjligt och den ska inte störa Leverantörens normala affärsverksamhet. Revisorn ska efterleva Leverantörens arbetsplatsregler, säkerhetsregler och standarder när platsbesök genomförs. Innan en revision påbörjas, ska den oberoende revisorn (inklusive relevanta parter/personer som utför revisionen) underteckna sekretessförbindelser som tillhandahålls av Leverantören. Gällande inspektioner som genomförs av en Tillsynsmyndighet, se punkten 6.3 nedan.

6.3 En Tillsynsmyndighet ska alltid ha direkt och obegränsad tillgång till Leverantörens lokaler, databehandlingsutrustning och dokumentation för att utreda att Leverantörens behandling av Kundens personuppgifter utförs i enlighet med Lagstadgade krav.

6.4 Kunden är ansvarig för samtliga kostnader förenade med revisionen som nämns i punkten 6.2 och punkten 6.3, förutom då revisionen påvisar väsentliga brister av Leverantörens skyldigheter i strid mot detta Avtal. I sådana fall, ska Leverantören ersätta Kunden för rimliga och bekräftade kostnader rörande revisionen. Sådan ersättning ska vara proportionerlig i förhållande till omfattningen av de påvisade väsentliga brister som konstaterats vid revisionen.