VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
De ondergetekenden:
1. 1. De besloten vennootschap met beperkte aansprakelijkheid QUALIZORG B.V. , statutair gevestigd en kantoorhoudende te (7421 ZC) Deventer aan de Maagdenburgstraat 22, te dezen rechtsgeldig indirect vertegenwoordigd door haar statutair directeur de xxxx X. xxx Xxxxxx.
hierna te noemen: “Qualizorg” of “Verwerker”, en
2. MarksFysiotherapie (statutair) gevestigd te Beek en Donk, te dezen vertegenwoordigd door Xxxx xxxxx
hierna te noemen: “Klant” of “Verwerkingsverantwoordelijke”,
De ondergetekenden hierna individueel respectievelijk gezamenlijk ook wel te noemen: ‘Partij’ respectievelijk ‘Partijen’.
Overwegende dat:
- Verwerker in opdracht van Verwerkingsverantwoordelijke diensten zal verrichten - bestaande uit o.a. het ter beschikking stellen van het online dataverzamelingsplatform Qualiview -, een en ander zoals omschreven in de overeenkomst tussen Partijen (hierna te noemen: ‘de Hoofdovereenkomst’);
- Deze verwerkersovereenkomst (hierna te noemen: ‘de Verwerkersovereenkomst’) vormt een aanvulling op de Hoofdovereenkomst;
- Meer specifiek de Verwerkingsverantwoordelijke ten behoeve van zijn (zorg)organisatie het verzamelen van data over kwaliteitsindicatoren zoals Patiënt Reported Experience Measures (PREMs) of Patiënt Reported Outcome Measures (PROMs) of het verzamelen van andere data over kwaliteitsindicatoren laat uitvoeren door Xxxxxxxxx;
- Verwerker in die hoedanigheid de beschikking krijgt over gegevens waarop privacy wet- en regelgeving van toepassing is;
- De gegevens die Verwerker voor Verwerkingsverantwoordelijke verwerkt gevoelig van aard kunnen zijn;
- Partijen belang hechten aan het beschermen van de privacy van Xxxxxxxxxxx;
- Per 25 mei 2018 de Algemene Verordening Gegevensbescherming ((EU) 2016 / 679) (hierna (‘AVG’) in werking is getreden, welke de Nederlandse Wet bescherming persoonsgegevens vervangt;
- Qualizorg aan te merken is als een ‘Verwerker’ in de zin van de AVG en Klant als ‘Verwerkingsverantwoordelijke’ in de zin van de AVG, daar eerstgenoemde ten behoeve van laatstgenoemde Persoonsgegevens verwerkt, zonder aan diens rechtstreeks gezag te zijn onderworpen en Verwerkingsverantwoordelijke het doel en de middelen voor de verwerking van de Persoonsgegevens vaststelt;
- De AVG de Verwerkingsverantwoordelijke in de zin van die verordening verplicht een Verwerkersovereenkomst als de onderhavige te sluiten met haar Verwerker;
- De AVG daarbij de Verwerkingsverantwoordelijke de plicht oplegt ervoor zorg te dragen dat Verwerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen van persoonsgegevens alsmede om toe te zien op de naleving van die beveiligingsmaatregelen;
- Deze Verwerkersovereenkomst tevens afspraken bevat die toezien op het naleven van de op de Verwerkingsverantwoordelijke rustende meldplicht van eventuele Datalekken, zoals bedoeld in de AVG;
- Partijen over de voorwaarden, waaronder die taken die door Verwerker zullen worden vervuld, op navolgende wijze overeenstemming hebben bereikt;
Verklaren te zijn overeengekomen als volgt:
Artikel 1. Begrippen
De hierna in de Verwerkersovereenkomst vermelde, met een hoofdletter aangeduide begrippen hebben de navolgende betekenis:
1.1 AVG: de Algemene Verordening Gegevensbescherming (EU 2016 / 679) van 27 april 2016 en van toepassing in de gehele Europese Unie vanaf 25 mei 2018;
1.2 Betrokkene(n): degene op wie een Persoonsgegeven betrekking heeft;
1.3 Verwerker: de Partij die ten behoeve van de Verwerkingsverantwoordelijke - zijnde Klant - Persoonsgegevens verwerkt, in het kader van de Verwerkersovereenkomst zijnde Qualizorg;
1.4 Datalek: een inbreuk in verband met Persoonsgegevens (zoals bedoeld in artikel 4 lid 12 AVG) waarvan het waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van Betrokkenen;
1.5 Hoofdovereenkomst: de tussen Verwerkingsverantwoordelijke en Verwerker gesloten overeenkomst ter zake de levering van de afgestemde diensten, waar deze Verwerkersovereenkomst als bijlage integraal onderdeel van uitmaakt;
1.6 Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. In de Verwerkersovereenkomst worden daaronder in ieder geval doch niet uitsluitend verstaan: NAW-gegevens, e-mailadressen, telefoonnummers, geslacht, geboortedatum;
1.7 Verwerkingsverantwoordelijke: de Partij die het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt, in het kader van de Verwerkersovereenkomst zijnde Klant;
1.8 Subverwerker(s): derde(n) die ten behoeve van Verwerker een deel van de verwerkingstaken van Verwerker verricht;
1.9 Verwerken/Verwerking: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, zoals gedefinieerd in de AVG. Hieronder valt in ieder geval – doch niet uitsluitend – het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, verspreiden, afschermen, uitwissen of vernietigen van gegevens.
Artikel 2. Onderwerp van de Verwerkersovereenkomst
2.1 Verwerker zal in het kader van de uitvoering van de Verwerkersovereenkomst Persoonsgegevens Verwerken in opdracht van en ten behoeve van Verwerkingsverantwoordelijke onder de voorwaarden van de Verwerkersovereenkomst, waarbij de Verwerkersovereenkomst geldt als schriftelijke instructie van Verwerkingsverantwoordelijke aan Verwerker voor Verwerking van de Persoonsgegevens.
2.2 Verwerker zal de in bijlage 1 genoemde Persoonsgegevens verwerken voor de aldaar genoemde doeleinden.
2.3 De Verwerkersovereenkomst maakt als bijlage integraal onderdeel uit van de Hoofdovereenkomst, zodat de bepalingen uit die Hoofdovereenkomst onverkort van toepassing zijn op de Verwerkersovereenkomst, behoudens voor zover daarvan in de Verwerkersovereenkomst wordt afgeweken (daaronder uitdrukkelijk doch niet uitsluitend begrepen het bepaalde met betrekking tot aansprakelijkheid). Ingeval van strijdigheid tussen he t bepaalde in de Verwerkersovereenkomst en de Hoofdovereenkomst prevaleert het bepaalde in de Verwerkersovereenkomst.
Artikel 3. Verplichtingen Verwerkingsverantwoordelijke
3.1 Verwerkingsverantwoordelijke garandeert dat de opdracht tot Verwerking van de Persoonsgegevens in overeenstemming is met alle toepasselijke wet- en regelgeving. Verwerkingsverantwoordelijke garandeert voorts dat de Persoonsgegevens correct, niet onrechtmatig, ter zake dienend en niet bovenmatig zijn in het licht van het verwerkingsdoel. Verwerkingsverantwoordelijke garandeert dat zij zelf de Persoonsgegevens in overeenstemming met de geldende wet- en regelgeving verwerkt. Daaronder dient tevens doch niet uitsluitend te worden begrepen – indien zulks op grond van de wet- en regelgeving noodzakelijk is – het verkrijgen van de benodigde toestemmingen van de cliënten van Verwerkingsverantwoordelijke door Verwerkingsverantwoordelijke, alvorens zij de Persoonsgegevens van de cliënten aan Verwerker ter beschikking stelt. Op eerste verzoek van Xxxxxxxxx zal Verwerkingsverantwoordelijke, indien Verwerker dat van belang acht voor de uitvoering van de Hoofdovereenkomst en de Verwerkersovereenkomst, Verwerker informeren over de wijze waarop Verwerkingsverantwoordelijke uitvoering geeft aan haar verplichtingen op grond van de geldende wet- en regelgeving. Verwerkingsverantwoordelijke staat er jegens Verwerker voor in dat de inhoud, het gebruik en/of de verwerking van de Persoonsgegevens niet onrechtmatig is en geen inbreuk maakt op enig recht van betrokkenen en/of derden.
3.2 Verwerkingsverantwoordelijke is verantwoordelijk voor het vaststellen van het doel (het verwerkingsdoel) en de middelen van de Verwerking van Persoonsgegevens en is jegens Betrokkene(n) aansprakelijk voor de schade die wordt geleden als gevolg van een inbreuk op voornoemde verplichtingen, onverminderd de verplichtingen van Verwerker op grond van de Hoofdovereenkomst en deze Verwerkersovereenkomst.
3.3 Verwerkingsverantwoordelijke is zelfstandig verantwoordelijk voor de Verwerking van de Persoonsgegevens en draagt in dat verband zorg voor het bijhouden van een register van verwerkingsactiviteiten die onder haar verantwoordelijkheid plaatsvinden. Verwerkingsverantwoordelijke draagt eveneens zorg voor het bijhouden van een (Datalek)register teneinde te voldoen aan haar verplichting op grond van de AVG om eventuele datalekken te documenteren en rapporteren.
3.4 Verwerkingsverantwoordelijke is voorts zelfstandig verantwoordelijk voor het treffen van passende technische en organisatorische maatregelen om te kunnen waarborgen en aan te tonen dat de Verwerking van Persoonsgegevens door Verwerker in overeenstemming met de toepasselijke privacy wet- en regelgeving wordt uitgevoerd.
3.5 Verwerkingsverantwoordelijke is bovendien verantwoordelijk voor het informeren van de Betrokkenen, het waarborgen van de rechten die Betrokkenen kunnen uitoefenen op basis van de toepasselijke privacy wet- en regelgeving alsmede voor de communicatie met Betrokkenen. Betrokkenen kunnen zich voor de uitoefening van hun rechten uitsluitend richten tot de Verwerkingsverantwoordelijke.
3.6 Partijen stellen vast dat de door Verwerker te Verwerken Persoonsgegevens mogelijk Bijzondere Persoonsgegevens in de zin van artikel 9 AVG zijn. Verwerkingsverantwoordelijke garandeert dat zij deze Bijzondere Persoonsgegevens in overeenstemming met de bepalingen van de toepasselijke privacy wet- en regelgeving heeft verkregen en verwerkt.
3.7 Voor zover schade en aanspraken voortvloeien uit het niet naleven van dit artikel 3 is Verwerkingsverantwoordelijke volledig aansprakelijk voor alle door Verwerker geleden en te lijden schade. Tevens zal Verwerkingsverantwoordelijke Verwerker vrijwaren van aanspraken van derden die betrekking hebben op het niet naleven van dit artikel 3. Het voorgaande geldt tenzij Verwerkingsverantwoordelijke aantoont dat deze schade en aanspraken een gevolg zijn van een toerekenbare tekortkoming van Verwerker in de nakoming van haar verplichtingen uit deze Verwerkersovereenkomst.
Artikel 4. Verplichtingen Verwerker
4.1 Verwerker spant zich er voor in de Persoonsgegevens op behoorlijke en zorgvuldige wijze, in overeenstemming met de toepasselijke privacy wet- en regelgeving, te Verwerken. Verwerker Verwerkt de Persoonsgegevens in opdracht van en ten behoeve van Verwerkingsverantwoordelijke en voor zover noodzakelijk in het kader van de overeengekomen dienst. Verwerker heeft geen zeggenschap over het doel en de middelen voor de Verwerking van de Persoonsgegevens.
4.2 Verwerker is verantwoordelijk voor de Verwerking van de Persoonsgegevens die zij in het kader van de Verwerkersovereenkomst uitvoert in opdracht en ten behoeve van Verwerkingsverantwoordelijke. In dat kader zal zij een register van verwerkingsactiviteiten die zij in opdracht en ten behoeve van Verwerkingsverantwoordelijke uitvoert, bijhouden.
4.3 Verwerker zal passende technische en organisatorische beveiligingsmaatregelen treffen die in ieder geval voorzien in de waarborgen die op grond van de wet- en regelgeving vereist is, waaronder doch niet beperkt tot de in artikel 6 weergegeven maatregelen.
4.4 Verwerker zal in het kader van beveiligingsincidenten en/of Datalekken de medewerking en ondersteuning verlenen – voor zover dat althans redelijkerwijs van haar verlangd kan worden
- aan Verwerkingsverantwoordelijke en/of Betrokkene(n) overeenkomstig het bepaalde in artikel 8.1.
4.5 Bovendien zal Verwerker haar redelijke medewerking verlenen aan Verwerkingsverantwoordelijke met betrekking tot de in artikel 8.2 weergegeven verzoeken en/of klachten van Xxxxxxxxxx(n) ten aanzien van de verwerking van hun Persoonsgegevens.
Artikel 5. Subverwerkers
5.1 Verwerker zal de aan haar verstrekte Persoonsgegevens verwerken. Verwerker kan echter de verwerking van de Persoonsgegevens, of delen daarvan, uitbesteden aan Subverwerkers. Verwerkingsverantwoordelijke geeft Verwerker hierbij toestemming om Subverwerkers in te schakelen. Verwerker zal zich er voor inspannen om Verwerkingsverantwoordelijke te informe re n over de door haar ingeschakelde (nieuwe) Subverwerkers. Verwerkingsverantwoordelijke heeft het recht om tegen enige, door Verwerker ingeschakelde Subverwerker, bezwaar te maken. In voorkomend geval overleggen Partijen over een oplossing. Verwerker zal zich er voor inspannen dat de door haar ingeschakelde Subverwerkers zich zullen richten naar haar instructies, dan wel via Verwerker, de instructies van Verwerkingsverantwoordelijke. Daarnaast zal Verwerker de ingeschakelde Subverwerkers tot geheimhouding verplichten en er voor zorg dragen dat zij de vereiste beveiligingsmaatregelen treffen, één en ander in lijn met het bepaalde in deze Verwerkersovereenkomst.
5.2 Partijen komen overeen dat Intercept BV, gevestigd te Xxxxxxxxxxxxxxxx 00, 0000 XX XXXXXX, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 58096973 en The Orange Factory, gevestigd te Xxxxx Xxxxxx 000, xxxxxxxxx – 0x, 00000 Xxxxxxxxx, voor Verwerker als SubVerwerker zullen optreden. Verwerkingsverantwoordelijke geeft hierbij expliciet toestemming voor het inschakelen van bedoelde partij(en).
Artikel 6. Beveiligingsmaatregelen
6.1 Verwerker zal zich er voor inspannen passende technische en organisatorische beveiligingsmaatregelen – die voldoen aan de geldende privacywet- en regelgeving – te treffen, die nodig zijn om de beschikbaarheid, integriteit en vertrouwelijkheid van Persoonsgegevens te waarborgen en te beveiligen tegen verlies of tegen enige vorm van onrechtmatige Verwerking. Deze maatregelen zullen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau waarborgen, gelet op de risico’s die de Verwerking en de aard van de te beschermen Persoonsgegevens met zich meebrengen.
6.2 Verwerker erkent het belang van beveiliging ten aanzien van de Persoonsgegevens en treft in ieder geval de volgende maatregelen in het kader van de beveiliging:
a. Maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens voor de doeleinden van de genoemde Verwerking;
b. Een geïmplementeerd beveiligingsbeleid en het periodiek updaten en implementeren van het beveiligingsbeleid;
c. Voldoen aan de geheimhoudingsbepaling van de Verwerkersovereenkomst;
d. Geheimhoudingsverplichtingen in arbeidsovereenkomsten;
e. Het aanwijzen van een beperkt aantal betrokken medewerkers van Verwerker, die met de uitvoering van de Verwerking van Persoonsgegevens zijn belast en geautoriseerd zijn om zichzelf toegang te verlenen tot de Persoonsgegevens, welke medewerkers uitdrukkelijk alleen gerechtigd zijn om de voor de uitvoering van de Verwerkersovereenkomst noodzakelijke handelingen te verrichten;
f. Een geïmplementeerde gedragscode en/of certificeringsmechanisme;
g. Xxxxxxxxx houdt zich regelmatig op de hoogte van de laatste informatie omtrent beveiliging;
Artikel 7. Doorgifte buiten Nederland
7.1 Verwerker zal, tenzij zij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, geen Persoonsgegevens verwerken of laten verwerken door haarzelf of door derden in landen buiten de Europese Unie zonder een passend beschermingsniveau dan wel zonder dat passende waarborgen in de zin van de toepasselijke wet- en regelgeving zijn getroffen. Indien Verwerker voornemens is om (delen van) de verwerking uit te voeren in de in de vorige volzin bedoelde landen of anderszins Persoonsgegevens doorgeeft aan die landen, zal zij Verwerkingsverantwoordelijke daarvan in kennis stellen. De Verwerkingsverantwoordelijke zal de toestemming als bedoeld in de eerste volzin van dit artikel niet op onredelijke gronden onthouden.
7.2 Het in het vorige artikellid bepaalde geldt tenzij op de Verwerker van toepassing zijnde wet- en regelgeving hem tot verwerking in een dergelijk land verplicht. In dat geval stelt Verwerker de Verwerkingsverantwoordelijke voorafgaand van die Verwerking in kennis, tenzij haar dat niet is toegestaan op grond van die wet- en regelgeving.
Artikel 8. Datalekken, verzoeken betrokkenen, medewerking en informatie
8.1 Verwerker zal Verwerkingsverantwoordelijke – zo mogelijk zonder onredelijke vertraging - binnen 48 uur nadat zij er kennis van heeft genomen, op de hoogte stellen van een Datalek. Zij zal zich er daarbij voor inspannen dat zulks geschiedt op een zodanige wijze dat Verwerkingsverantwoordelijke in staat gesteld wordt om de toepasselijke wet- en regelgeving met betrekking tot dergelijke incidenten na te komen.
8.2 Bovendien zal Verwerker haar redelijke medewerking verlenen aan Verwerkingsverantwoordelijke om:
a. Betrokkenen inzage te geven in hun Persoonsgegevens;
b. Persoonsgegevens op verzoek of na een klacht van Xxxxxxxxxx(n) te verwijderen, corrigeren, over te dragen aan een andere leverancier, en/of af te schermen en aan te vullen;
c. Verwerkingsverantwoordelijke te informeren over een verzoek of bevel van, of onderzoek door, een toezichthouder of andere bevoegde autoriteit, voor zover toegestaan op grond van toepasselijke wet- en regelgeving;
8.3 Verwerker zal de uitvoeringskosten die Verwerker redelijkerwijs moet maken om aan haar verplichting(en) in artikel 8.1 te voldoen, bekostigen. Verwerkingsverantwoordelijke zal de
kosten die Verwerker redelijkerwijs moet maken aan haar verplichtingen in artikel 8.2, vergoeden. De kosten als bedoeld in de tweede volzin van dit artikel 8.3 zijn niet verdisconteerd in de overeengekomen vergoedingen voor de dienstverlening uit hoofde van de Hoofdovereenkomst.
8.4 Partijen maken nadere afspraken over de (privacy) functionarissen die zij aanwijzen als aanspreekpunt in geval van verzoeken van betrokkenen of in het geval van een Datalek als bedoeld in dit artikel, alsmede over de wijze van communicatie.
Artikel 9. Audit
9.1 Verwerkingsverantwoordelijke is gerechtigd – eerst na overleg met Verwerker en op eigen kosten - de Verwerkingen en de naleving van de in deze Verwerkersovereenkomst overeengekomen technische en organisatorische beveiligingsmaatregelen door Verwerker te laten controleren door onafhankelijke auditors, zonder vertrouwelijke informatie van Verwerker of van andere klanten van Verwerker te gebruiken en in te zien en zonder de werkprocessen van Verwerker te verstoren.
9.2 Indien uit de controle blijkt dat Xxxxxxxxx niet volledig voldoet aan haar verplichtingen op grond van deze Verwerkersovereenkomst, zal Verwerker zich er voor inspannen de door de controle aangetoonde tekortkomingen te beëindigen.
9.3 De controle zal ten hoogste éénmaal per jaar plaatsvinden, tenzij Verwerkingsverantwoordelijke redelijkerwijs aanwijzingen heeft dat Verwerker haar verplichtingen op grond van deze Verwerkersovereenkomst niet nakomt. Verwerker zal Verwerkingsverantwoordelijke alle gegevens en informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft voor de controle.
9.4 Verwerkingsverantwoordelijke zal de kosten van een dergelijke controle dragen. Indien uit de controle blijkt dat Verwerker toerekenbaar tekort is geschoten in de op haar rustende wezenlijke verplichtingen uit de Verwerkersovereenkomst komen de kosten van de controle voor rekening van Xxxxxxxxx.
9.5 De uitkomsten van de in dit artikel bedoelde controle zullen door Verwerkingsverantwoordelijke aan Verwerker in schriftelijke vorm worden medegedeeld.
Artikel 10. Geheimhouding
10.1 Verwerker zal – behoudens het overige bepaalde in deze Verwerkersovereenkomst – de Persoonsgegevens vertrouwelijk behandelen en niet openbaar maken dan wel verstrekken aan derde partijen zonder voorafgaande opdracht / toestemming van Verwerkingsverantwoordelijke. Het in de vorige volzin bepaalde geldt tenzij Partijen hierover schriftelijk (al dan niet in deze Verwerkersovereenkomst) andere afspraken hebben gemaakt, daaronder in ieder geval - voor zover van toepassing - begrepen het bepaalde in artikel 9 van de Hoofdovereenkomst. De Verwerker is niet tot geheimhouding verplicht indien een wettelijk voorschrift of een bevel van een bevoegde autoriteit hem verplicht om persoonsgegevens te verstrekken. Verwerker is niet gehouden om de Verwerkingsverantwoordelijke op de hoogte te brengen van de in de vorige volzin doorbreking van de geheimhouding indien Verwerker dat verboden wordt door een bevoegde autoriteit.
Artikel 11. Vernietiging
11.1 Verwerker bewaart de Persoonsgegevens zolang ze noodzakelijk zijn voor de verwezenlijking van de overeengekomen verwerkingsdoelstellingen. De Persoonsgegevens van respondenten worden echter in beginsel niet langer bewaard dan één jaar nadat het onderzoek waar de Persoonsgegevens betrekking op hebben dan wel waar de Persoonsgegevens uit voortgekomen zijn, is afgerond. Het in de vorige volzin bepaalde geldt tenzij Verwerkingsverantwoordelijke schriftelijk heeft aangegeven dat de Persoonsgegevens langer dienen te worden bewaard. Daarbij dient de Verwerkingsverantwoordelijke zich er van te vergewissen of zij met deze langere bewaartermijnen nog steeds voldoet aan het bepaalde in de geldende wet- en regelgeving. De kosten voor het langer bewaren komen voor rekening van Verwerkingsverantwoordelijke. Persoonsgegevens van medewerkers van Verwerkingsverantwoordelijke worden bewaard zolang Verwerkingsverantwoordelijke de diensten van Verwerker afneemt. Na afloop van die relatie zal Verwerker de Persoonsgegevens van de medewerkers van Verwerkingsverantwoordelijke anonimiseren. Zulks geldt tenzij Verwerkingsverantwoordelijke reeds daarvoor verzoekt om verwijdering (door anonimisering) van de Persoonsgegevens van haar medewerkers.
11.2 Tenzij Partijen anders zijn overeengekomen is Verwerker niet gehouden tot het maken van een back-up van de Persoonsgegevens.
11.3 Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker, tegen redelijke kosten, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens onherroepelijk (doen) vernietigen of teruggeven aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens onherroepelijk zijn vernietigd of verwijderd. Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd en gedocumenteerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk is, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
Artikel 12. Aansprakelijkheid
12.1 Verwerker draagt zorg voor een afdoende dekking van de aansprakelijkheid middels een aansprakelijkheidsverzekering. De aansprakelijkheid van Verwerker wegens een toerekenbare tekortkoming is beperkt tot vergoeding van maximaal de in voorkomend geval op basis van de aansprakelijkheidsverzekering van Verwerker daadwerkelijk bestaande aanspraak met dien verstande dat ook dan het eigen risico onder de betreffende verzekering voor rekening van Verwerker blijft. Indien zich meerdere schadeveroorzakende gebeurtenissen voordoen blijft de totale schadevergoeding met betrekking tot alle gebeurtenissen gezamenlijk beperkt tot het bedrag als beschreven in voorgaande volzin. Voor het moment van berekening van de hoogte van de schadevergoeding als bedoeld in dit artikellid, geldt in dat geval de eerste schadeveroorzakende gebeurtenis.
12.2 Tenzij nakoming door Verwerker blijvend onmogelijk is, bijvoorbeeld bij een datalek, dient de Verwerkingsverantwoordelijke Verwerker eerst schriftelijk in gebreke te stellen en een redelijke termijn voor zuivering van de tekortkoming te geven. Indien Verwerker ook na ommekomst van die termijn blijft tekortschieten in de nakoming van haar verplichtingen, is sprake van een toerekenbare tekortkoming waarvoor Verwerker aansprakelijk is.
12.3 Verwerker vrijwaart Verwerkingsverantwoordelijke voor alle schade die het gevolg is van opzet of aan opzet grenzende roekeloosheid van Verwerker of een medewerker of hulppersoon ingeschakeld door Xxxxxxxxx.
Artikel 13. Duur en beëindiging
13.1 De Verwerkersovereenkomst treedt na ondertekening door Partijen in werking en wordt aangegaan voor de duur welke gelijk is aan de duur van de Hoofdovereenkomst, inclusief eventuele verlengingen daarvan.
13.2 De Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Hoofdovereenkomst. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van de Verwerkersovereenkomst voort te duren, blijven na beëindiging van de Verwerkersovereenkomst gelden. Tot deze verplichtingen behoren in ieder geval die welke voortvloeien uit de bepalingen in de Verwerkersovereenkomst die betrekking hebben op “Geheimhouding”, “Aansprakelijkheid”, “Overdracht en vernietiging”, “Slotbepalingen” en “Toepasselijk recht en geschillen”.
Artikel 14. Slotbepalingen
14.1 Deze Verwerkersovereenkomst zal worden aangepast in onderling overleg tussen Verwerkingsverantwoordelijke en Verwerker indien dit is vereist ingevolge (toekomstige) toepasselijke wet- en regelgeving dan wel beleidsregels of aanwijzingen van de Autoriteit Persoonsgegevens, of indien andere Persoonsgegevens worden Verwerkt dan voorzien bij het aangaan van de Verwerkersovereenkomst. Partijen zullen in geval van eventuele wijzigingen in de door Verwerkingsverantwoordelijke en/of Verwerker uit te voeren werkzaamheden uit hoofde van de Verwerkersovereenkomst die mogelijk gevolgen hebben voor de Verwerkingen, steeds met elkaar overleggen over de mogelijk noodzakelijke wijzigingen in de Verwerkersovereenkomst.
14.2 Wijzigingen of aanvullingen op de Verwerkersovereenkomst kunnen alleen schriftelijk worden overeengekomen.
14.3 De algemene (inkoop)voorwaarden van Verwerkingsverantwoordelijke zijn uitdrukkelijk niet van toepassing op onderhavige Verwerkersovereenkomst.
14.4 Indien één of meer bepalingen van de Verwerkersovereenkomst onverbindend zouden blijken te zijn, dan blijven de overige bepalingen van deze Verwerkersovereenkomst van kracht. Partijen verbinden zich om de niet-verbindende bepaling te vervangen door een zodanige bepaling die wel verbindend is en die zo min mogelijk – gelet op het doel en de strekking van de Verwerkersovereenkomst – afwijkt van de niet verbindende bepaling.
14.5 Verwerkingsverantwoordelijke zal de Persoonsgegevens gescheiden houden van gegevens die zij voor zichzelf of voor derden Verwerkt.
14.6 De rechtskeuze en bevoegde rechter komen overeen met het bepaalde te dien aanzien in de Overeenkomst.
Aldus overeengekomen en ondertekend in tweevoud op 05-09-2018 te Deventer
namens Verwerker:
X. xxx Xxxxxx
namens Verwerkingsverantwoordelijke:
Xxxx xxxxx
Bijlage 1: Omschrijving Persoonsgegevens, aard verwerkingen, etc.
Deze Verwerkersovereenkomst heeft betrekking op de volgende verwerkingen van Persoonsgegevens.
Korte omschrijving diensten | Aard van de verwerking | Soort Persoonsge- gevens | Categorieën van betrokkenen | Doeleinden van de verwerking | Goed- gekeurde subverwer kers | Afspraken bewaar- termijnen |
Verzamelen van | Verwerking | NAW gegevens, | Patiënten, | Het | Intercept | Zie artikel 11 |
kwaliteitsindica- | patiënt- | medische | medewerkers | genereren | (hosting), | |
toren. Hierbij | gegevens, | gegevens, | zorgorganisatie | van inzichten | The | |
worden gegevens | benaderen | behandelproces- | voor | Orange | ||
opgeslagen, | van patiënten, | gegevens | zorgorgani- | Factory | ||
patiënten | uitvoeren van | (in sommige | saties op het | (ontwik- | ||
benaderd voor | onderzoek | vragenlijsten | vlak van | kelaars) | ||
deelname | wordt | kwaliteit. | ||||
onderzoek, | hier naar | |||||
worden | gevraagd | |||||
onderzoeken | vanwege | |||||
uitgevoerd, | landelijke | |||||
resultaten | onderzoeksdoelein | |||||
geanonimiseerd | den) | |||||
en/of | ||||||
gepseudonimi- | ||||||
seerd en data | ||||||
desgevraagd | ||||||
doorgeleverd. |