OVEREENKOMST GEZAMENLIJKE VERANTWOORDELIJKHEID NEDERLANDSE HART REGISTRATIE (NHR)
OVEREENKOMST GEZAMENLIJKE VERANTWOORDELIJKHEID NEDERLANDSE HART REGISTRATIE (NHR)
Deze overeenkomst bevat afspraken tussen alle zorgaanbieders die zijn aangesloten bij de Nederlandse Hart Registratie (NHR). Zij treden in dit kader ten aanzien van de verwerking van persoonsgegevens binnen de registraties bij de NHR op als gezamenlijke verwerkingsverantwoordelijken en hebben allen zitting hebben in een of meerdere registratiecommissies.
Partijen hechten grote waarde aan de bescherming van de persoonsgegevens en het voldoen aan toepasselijke wettelijke normen, waaronder de Algemene Verordening Gegevensbescherming (AVG) en de Wet geneeskundige behandelingsovereenkomst (Wgbo).
Artikel 1 . Definities
1.1. In deze OGV wordt onder de volgende met een hoofdletter aangeduide begrippen het volgende verstaan:
Algemene Verordening
Gegevensbescherming of AVG:
Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;
Betrokkene: een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4 sub 1 AVG);
Derde: een derde als bedoeld in artikel 4 sub 10 AVG;
Datalek:
Functionaris voor de
Gegevensbescherming:
een inbreuk op de beveiliging van Persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;
een functionaris als bedoeld in artikel 37 e.v. AVG;
Gezamenlijke
Verantwoordelijkheid:
Gezamenlijke verantwoordelijkheid als bedoeld in art. 26 AVG, te weten het door twee of meer Verantwoordelijken gezamenlijk bepalen van de doeleinden en middelen van de Verwerking
een klacht of (informatie)verzoek van een Betrokkene met betrekking tot de verwerking van Persoonsgegevens door Verwerker;
Incident: I. een onderzoek naar of beslaglegging door overheidsfunctionarissen op de Persoonsgegevens of een vermoeden dat dit gaat plaatsvinden;
II. een inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 onder 12 AVG;
III. iedere ongeautoriseerde toegang, verwijdering, verminking, verlies of enige andere vorm van onrechtmatige verwerking van de Persoonsgegevens.
Medewerker: de door Partijen voor de uitvoering van deze Overeenkomst betrokken natuurlijke persoon die werkzaam is bij of voor een van de Partijen;
NHR: OGV:
de Nederlandse Hart Registratie;
Overeenkomst Gezamenlijke Verantwoordelijkheid (deze Overeenkomst);
Persoonsgegeven:
Registratie( s):
Registratiecommissie:
Reglement
Registratiecommissies:
Toepasselijke Recht:
alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van artikel 4 onder 1 AVG;
de door Partijen in stand gehouden kwaliteitsregistratie(s) op het gebied van hartzorg;
de Registratiecommissies waarin de betrokken Partijen zitting hebben;
het reglement voor de Registratiecommissies, zoals aangehecht in Bijlage 1 ;
de geldende wet- en regelgeving met betrekking tot de bescherming van persoonsgegevens, waaronder in ieder geval de AVG;
Verwerker: Verwerking:
de Verwerker als bedoeld in artikel 4 sub 8 AVG;
een verwerking als bedoeld in artikel 4 onderdeel 2 AVG;
Verwerkersovereenkomst: een overeenkomst tussen een
Verwerkingsverantwoordelijke en een Verwerker;
Verwerkingsverantwoordelijke: de Verwerkingsverantwoordelijke als bedoeld in
artikel 4 sub 7 AVG.
1.2. Voornoemde en overige begrippen worden geïnterpreteerd overeenkomstig de AVG.
Artikel 2 . Onderwerp van deze Overeenkomst Gezamenlijke Verantwoordelijkheid
2.1. Deze OGV heeft betrekking op de verwerking van Persoonsgegevens door Partijen gezamenlijk in het kader van de uitvoering van de Registraties. De uit deze OGV voortvloeiende rechten en verplichtingen gelden in dit kader steeds tussen de Verwerkingsverantwoordelijken die gezamenlijk zitting hebben in een Registratiecommissie.
2.2. Partijen verwerken Persoonsgegevens alleen op de wijze zoals Partijen dit bij deze OGV overeenkomen en zullen Persoonsgegevens niet op een andere manier Verwerken, tenzij Partijen dit gezamenlijk overeenkomen.
2.3. In Bijlage 1 bij het Reglement Registratiecommissies wordt door de betreffende Registratiecommissie per Registratie opgenomen welke Persoonsgegevens Partijen precies zullen Verwerken, voor welke verwerkingsdoeleinden en wie voor welk deel verantwoordelijk is.
2.4. Partijen houden zich bij het Verwerken van Persoonsgegevens aan de wet en de gegevens worden verwerkt op een behoorlijke, zorgvuldige en transparante wijze.
2.5. Indien Partijen gegevens betreffende de gezondheid Verwerken houden zij zich tevens aan de geldende wet- en regelgeving, waaronder in ieder geval de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO).
2.6. Partijen mogen zonder schriftelijke toestemming van elkaar geen andere personen of organisaties inschakelen bij het Verwerken van Persoonsgegevens voor zover de Verwerking valt onder de OGV.
2.7. Wanneer Partijen met toestemming van elkaar andere organisaties inschakelen, moeten deze organisaties minimaal voldoen aan de eisen die zijn opgenomen in deze OGV.
Artikel 3 . Registratiecommissies
3.1. Partijen stellen hierbij de volgende Registratiecommissies in:
− Registratiecommissie Open Hart Operaties (OHO)
− Registratiecommissie Transcatheter Hartklep Interventies (THI)
− Registratiecommissie Percutane Coronaire Interventies (PCI)
− Registratiecommissie Pulmonaal Venen Isolatie (PVI)
− Registratiecommissie Pacemaker / ICD implantaties (PM/ICD)
3.2. Indien een nieuwe Registratie in gang wordt gezet, stellen de betrokken Partijen een nieuwe Registratiecommissie in.
3.3. In een Registratiecommissie nemen alle bij een Registratie betrokken Partijen zitting teneinde gezamenlijk zeggenschap uit te oefenen over de Verwerking van Persoonsgegevens in deze Registratie (Gezamenlijke Verantwoordelijkheid). Iedere Partij neemt zitting in de Registratiecommissies voor alle Registraties waarbij zij is aangesloten.
3.4. Iedere Partij laat zich in de Registratiecommissies waarin hij zitting neemt vertegenwoordigen door een persoon die bevoegd is om namens hem rechtsgeldig te besluiten over de aangelegenheden die in de Registratiecommissie aan de orde komen en die werkzaam is op het vakgebied waarop de Registratie betrekking heeft.
3.5 Partijen hebben allen een dienstverleningsovereenkomst gesloten met de Nederlandse Hart Registratie (NHR). De NHR treedt ten aanzien van de gegevensverwerking in dit kader op als verwerker in de zin van de AVG.
3.6 De Partijen die zitting hebben in een Registratiecommissie sluiten gezamenlijk een Verwerkersovereenkomst met de NHR m.b.t. de Verwerking van Persoonsgegevens in deze Registratie.
3.7 Partijen stellen hierbij het Reglement Registratiecommissies vast, welke is aangehecht als Bijlage 1 .
Artikel 4 . Privacycommissie
4.1. Er is een Privacycommissie. De Privacycommissie heeft als taak om de Registratiecommissies gevraagd en ongevraagd te adviseren over vragen op het gebied van geldende wet- en regelgeving op het gebied van de eerbiediging van de persoonlijke levenssfeer, waaronder de AVG en de Wet geneeskundige behandelingsovereenkomst (Wgbo).
4.2. Partijen zullen een Reglement voor de Privacycommissie vaststellen.
Artikel 5 . Verwerking van Persoonsgegevens
5.1. Partijen garanderen dat zij ieder Persoonsgegevens in overeenstemming met de geldende wet- en regelgeving met betrekking tot de bescherming van persoonsgegevens, waaronder in ieder geval de AVG, zullen verwerken. Partijen delen alle informatie die voor de Registratiecommissie relevant is om aan deze verplichtingen te voldoen.
5.2. Met inachtneming van de aard van de gegevensverwerkingen en de informatie waarover Partijen beschikken, zullen Partijen elkaar assisteren bij het nakomen van de verplichtingen die voortvloeien uit het Toepasselijke Recht, meer in het bijzonder de verplichtingen ten aanzien van de beveiliging van Persoonsgegevens, het melden van Datalekken, het uitvoeren van gegevenseffectbeschermingsbeoordelingen (PIA) en de beginselen van privacy by design en privacy by default. Ook wanneer voorafgaande raadpleging bij een overheidsinstantie nodig is, zullen Partijen samenwerken om dit te bewerkstelligen.
5.3. Partijen verwerken Persoonsgegevens uitsluitend in een omgeving die passend beveiligd is, rekening houdend met de aard van de Persoonsgegevens, wettelijke en gebruikelijke standaarden en de stand van de techniek. De technische en organisatorische maatregelen beschermen de Persoonsgegevens tegen verlies of enige vorm van onrechtmatige verwerking, in overeenstemming met het Toepasselijke Recht. De beveiligingsmaatregelen worden vastgelegd in de bijlage bij de Verwerkersovereenkomst.
5.4. Partijen geven alleen toegang tot de Persoonsgegevens aan die medewerkers, onderaannemers of andere personen onder hun leiding en toezicht, voor zover dit noodzakelijk is voor de uitvoering van de Registratie. Partijen houden de Persoonsgegevens voor het
overige geheimhouden, behoudens wettelijke verplichtingen op grond van het Toepasselijke Recht.
5.5. Partijen leggen beveiligings- en geheimhoudingsafspraken op aan de door hen ingeschakelde Medewerkers, onderaannemers of andere hulppersonen en zorgen ervoor dat zij zich daaraan houden.
Artikel 6 . Duur en beëindiging
6.1. Deze OGV treedt in werking op 1 januari 2019 en duurt voort zolang ten minste twee van de Partijen zitting hebben in een of meerdere Registratiecommissies.
6.2. Ieder der Partijen is gerechtigd de uitvoering van deze OGV jegens een Partij op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:
a.) deze Partij wordt ontbonden of anderszins ophoudt te bestaan;
b.) deze Partij aantoonbaar (ernstig) tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze OGV en die toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;
c.) deze Partij in staat van faillissement wordt verklaard of surséance van betaling aanvraagt.
6.3. Partijen zijn gerechtigd deze OGV per direct te ontbinden indien een Partij te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de Persoonsgegevens worden gesteld.
6.4. Partijen dienen elkaar voorafgaand en tijdig te informeren over een voorgenomen overname of eigendomsoverdracht.
6.5. Het is Partijen niet toegestaan om zonder uitdrukkelijke en schriftelijke toestemming van de andere Partij deze OGV en de rechten en plichten die samenhangen met deze OGV over te dragen aan een derde partij.
Artikel 7 . Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
7.1. Partijen bewaren de Persoonsgegevens niet langer dan strikt noodzakelijk, waaronder begrepen de wettelijke bewaartermijnen of een eventueel tussen Partijen gemaakte afspraak over bewaartermijnen zoals vastgelegd per Registratie in Bijlage 1 bij het Reglement.
7.2. Bij beëindiging van de OGV, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, zijn Partijen verantwoordelijk voor hun eigen Persoonsgegevens.
7.3. Na beëindiging van de OGV zullen Partijen in onderling overleg zoeken naar een manier om de continuïteit van de Registraties te waarborgen.
Artikel 8 . Slotbepalingen
8.1. In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze OGV, blijven de overige bepalingen onverkort van kracht.
8.2. In alle gevallen waarin deze OGV niet voorziet beslissen Partijen in onderling overleg.
8.3. Op deze OGV is Nederlands recht van toepassing.
8.4. Partijen zullen zich inspannen conflicten in onderling overleg op te lossen. Hierbij is inbegrepen de mogelijkheid het geschil te beëindigen door een in onderling overleg vast te stellen mediation of arbitrage.