Verwerkers- overeenkomst
Verwerkers- overeenkomst
Datum | 01-07-2024
Kenmerk | Versienummer 4.3
Meer weten? Ga naar
De Partijen:
Organisatie
Organisatienaam op KvK:
Gevestigd te Postcode op KvK:
Plaats op KvK: Adres op KvK:
Ingeschreven bij de Kamer van Koophandel onder KvK nummer:
Hierin vertegenwoordigd door haar bestuurder/directeur, Hierna te noemen: Opdrachtgever,
en
De besloten vennootschap Vcareconnect B.V., statutair gevestigd te (7521 PR) Enschede aan de Xxxxxxxx 0, ingeschreven bij de Kamer van Koophandel te Enschede onder nummer 06083003, vertegenwoordigd door haar bestuurder de heer A. Damaschek, hierna te noemen: ‘Vcare’,
hierna ook gezamenlijk te noemen: 'Partijen' en afzonderlijk te noemen: 'Partij' OVERWEGENDE DAT:
1. Opdrachtgever met Vcare een Overeenkomst met betrekking tot het leveren van (tele)communicatiediensten en
overige diensten heeft gesloten. Ter uitvoering van de Overeenkomst verwerkt Vcare ten behoeve van
Opdrachtgever Persoonsgegevens (zoals hierna gedefinieerd).
2. Bijlage A bevat een overzicht van alle diensten die Vcare voor Opdrachtgever kan verrichten en ook van de aard, het doel en de duur van verwerking, de relevantie categorieën van persoonsgegevens die Vcare daarbij verwerkt en de categorieën van betrokkenen wiens persoonsgegevens worden verwerkt.
3. De Overeenkomst bevat een overzicht van de diensten die Opdrachtgever van Vcare afneemt.
4. Voor deze verwerking van persoonsgegevens is Opdrachtgever de ‘Verwerkingsverantwoordelijke’ in de zin van artikel 4 lid 7 AVG. Vcare is de ‘Verwerker’ als bedoeld in artikel 4 lid 8 AVG, omdat zij ten behoeve van Opdrachtgever persoonsgegevens verwerkt, zonder aan diens rechtstreeks gezag te zijn onderworpen en Opdrachtgever het doel en de middelen voor de verwerking van de persoonsgegevens vaststelt;
5. Partijen, mede gelet op het vereiste uit artikel 28 lid 3 AVG, met deze verwerkersovereenkomst de afspraken met betrekking tot de verwerking van persoonsgegevens wensen vast te leggen.
KOMEN OVEREEN:
Artikel 1. Begrippen
De hierna en hiervoor in deze Verwerkersovereenkomst vermelde begrippen, hebben de volgende betekenis:
1. AVG: verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de Verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG. (Algemene verordening gegevensbescherming);
2. Betrokkene: de natuurlijke persoon zoals gedefinieerd in artikel 4 onder 1 AVG;
3. Inbreuk in verband met Persoonsgegevens: een inbreuk in verband met persoonsgegevens zoals gedefinieerd in artikel 4 onder 12 AVG;
4. Overeenkomst: de overeenkomst met kenmerk [@] met betrekking tot het leveren van (tele)communicatiediensten en overige diensten;
5. Partij: Opdrachtgever of Vcare.
6. Partijen: Vcare en Opdrachtgever gezamenlijk
7. Persoonsgegevens: persoonsgegevens zoals gedefinieerd in artikel 4 onder 1 AVG.
8. Verwerking: elke bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens zoals gedefinieerd in artikel 4 onder 2 AVG;
9. Verwerkersovereenkomst: deze verwerkersovereenkomst inclusief de overwegingen en bijbehorende bijlagen;
10. Sub-verwerker: een andere verwerker die Verwerker inschakelt om voor rekening van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.
11. Toepasselijke Wet- en Regelgeving: de op de Verwerking van Persoonsgegevens toepasselijke wet- en regelgeving, waaronder, maar niet beperkt tot de AVG, de Uitvoeringswet AVG (“UAVG”), de Telecommunicatiewet
, en de zorg specifieke regelgeving.
Artikel 2. Doeleinden van verwerking
1. Vcare verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Opdrachtgever Persoonsgegevens van Opdrachtgever te verwerken overeenkomstig de schriftelijke instructies van Opdrachtgever. Verwerking voor de door Opdrachtgever onder de Overeenkomst afgenomen diensten zal plaatsvinden met inachtneming van het bepaalde in Bijlage A. Bijlage A specifieert voor iedere door Vcare af te nemen dienst het voorwerp, de duur, de aard en het doel van de door Vcare uit te voeren Verwerking(en), het soort Persoonsgegevens dat verwerkt wordt en de categorieën Betrokkenen.
2. Vcare heeft uitdrukkelijk geen zeggenschap over het doel en de middelen van de Verwerking van Persoonsgegevens van Opdrachtgever die zij verwerkt bij de uitoefening van haar dienstverlening.
3. Partijen verplichten zich over en weer conform de Toepasselijke Wet- en Regelgeving te handelen.
Artikel 3. Verplichtingen Vcare
1. Vcare zal Opdrachtgever alle informatie verstrekken die nodig is voor Opdrachtgever om naleving van Vcare
van haar verplichtingen uit hoofde van de Verwerkersovereenkomst en artikel 28 AVG te controleren. Als
onderdeel van haar verplichtingen zal Vcare Opdrachtgever, op diens eerste verzoek daartoe, informeren over de door haar genomen technische en operationele maatregelen.
2. De verplichtingen van Vcare die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor derden niet zijnde Sub-verwerkers die onder het rechtstreekse gezag van Vcare (zoals bedoeld in artikel 29 AVG) Persoonsgegevens van Opdrachtgever verwerken.
Artikel 4. Sub-Verwerkers
1. Opdrachtgever geeft Vcare algemene schriftelijke toestemming voor het inschakelen van zowel de huidige als de toekomstige Sub-verwerkers van Vcare, waaronder, maar niet beperkt tot de Sub-verwerkers opgenomen in Bijlage A. Vcare stelt Opdrachtgever voorafgaand op de hoogte indien er ten behoeve van Opdrachtgever een nieuwe Sub-verwerker wordt ingeschakeld of een bestaande Sub-verwerker wordt vervangen. Opdrachtgever heeft het recht tegen een dergelijke inschakeling of vervanging op redelijke gronden bezwaar te maken. Partijen zullen alsdan overleg hebben over de inschakeling of vervanging en over de gevolgen van het niet kunnen inschakelen of vervangen. Opdrachtgever realiseert zich dat het niet kunnen inschakelen of vervangen van een Sub-verwerker kan betekenen dat Vcare de dienstverlening niet (meer) of niet tegen de overeengekomen voorwaarden kan verrichten en/of dat Vcare de dienstverlening alleen tegen extra kosten zal kunnen verrichten. Als Partijen niet tot overeenstemming komen is het Opdrachtgever toegestaan de Overeenkomst met inachtneming van een opzegtermijn van een maand tussentijds te beëindigen.
2. Wanneer Xxxxx een Sub-verwerker inschakelt om ten behoeve van Opdrachtgever verwerkingsactiviteiten te verrichten, worden aan deze Sub-verwerker bij schriftelijke overeenkomst dezelfde verplichtingen voor de Verwerking van de Persoonsgegevens opgelegd als die onder deze Verwerkersovereenkomst voor Vcare gelden.
3. Vcare draagt er zorg voor dat de door Vcare ingeschakelde Sub-verwerkers de in de Verwerkersovereenkomst opgenomen verplichtingen (blijven) naleven en zal de uitvoering en de adequaatheid van de met de Sub- verwerkers aangegane schriftelijke overeenkomsten minimaal 1 keer per jaar controleren.
4. Vcare blijft ten aanzien van de Opdrachtgever verantwoordelijk voor het nakomen van de verplichtingen van de door Vcare ingeschakelde (rechts)personen, waaronder Sub-verwerkers, voortvloeiende uit de Toepasselijke Wet- en Regelgeving betreffende de Verwerking van Persoonsgegevens en de verplichtingen voortvloeiende uit de Overeenkomst en de Verwerkersovereenkomst. Het voorgaande doet geen afbreuk aan de rechten van de Betrokkenen jegens Vcare, Opdrachtgever en de SubVerwerkers, maar laat de beperkingen ten aanzien van verantwoordelijkheid en aansprakelijkheid van Vcare jegens Opdrachtgever zoals opgenomen in de Overeenkomst, deze Verwerkersovereenkomst en de Toepasselijke Wet- en Regelgeving onverlet.
Artikel 5. Locatie van Persoonsgegevens
1. Vcare en diens Sub-Verwerkers verwerken Persoonsgegevens van Opdrachtgever uitsluitend op locaties binnen de Europese Economische Ruimte waarbij Vcare ernaar streeft om de Verwerking zoveel mogelijk binnen Nederland te laten plaatsvinden.
2. Indien Vcare bij de uitvoering van deze Verwerkersovereenkomst Persoonsgegevens van Opdrachtgever verwerkt buiten de Europese Economische Ruimte zal Vcare dit doen met inachtneming van het bepaalde in Hoofdstuk V (Doorgiften van persoonsgegevens aan derde landen of internationale organisaties) van de AVG.
3. Vcare zal geen Persoonsgegevens (laten) verwerken buiten de EER, ook niet door Sub-verwerkers en/ of andere personen of organisaties, zonder daarvoor voorafgaande schriftelijke toestemming van de Opdrachtgever.
Artikel 6. Verdeling van verantwoordelijkheid
1. Opdrachtgever heeft op basis van deze Verwerkersovereenkomst en de overige door Vcare verstrekte informatie beoordeeld dat Vcare afdoende garanties biedt ter zake van het toepassen van passende technische en organisatorische maatregelen zodat de Verwerking van Persoonsgegevens voldoet aan de eisen van de Toepasselijke Weten Regelgeving en de bescherming van de rechten van Betrokkenen voldoende is gewaarborgd,
2. Vcare zal de Persoonsgegevens uitsluitend verwerken conform de schriftelijke instructies en onder de uitdrukkelijke (eind)verantwoordelijkheid van Opdrachtgever tenzij de Toepasselijke Wet- en Regelgeving, een gerechtelijk bevel en/of een bevel van een bevoegde autoriteit Vcare tot een bepaalde verwerking van Persoonsgegevens verplicht. In dat geval zal Vcare de Persoonsgegevens verwerken conform de Toepasselijke Wet- en Regelgeving, het gerechtelijk bevel en/of het bevel van een bevoegde autoriteit.
3. Vcare zal de Persoonsgegevens van Opdrachtgever niet voor eigen doeleinden verwerken noch aan derden verstrekken anders dan is geoorloofd op grond van deze Verwerkersovereenkomst of de Overeenkomst. In afwijking van de vorige volzin mag Vcare Persoonsgegevens, waaronder, maar niet beperkt tot telefoondata, van Opdrachtgever anonimiseren ten behoeve het creëren van geanonimiseerde benchmark data die Vcare mag gebruiken voor haar bedrijfsprocessen of statistische gegevens.
4. Opdrachtgever garandeert dat de verwerkingen van Persoonsgegevens als omschreven in deze Verwerkersovereenkomst, alsmede alle eventuele instructies die Opdrachtgever Vcare uit hoofde van deze Verwerkersovereenkomst geeft, rechtmatig zijn en geen inbreuk maken op enig recht van derden, noch in strijd zijn met enige op (een der) Partijen rustende wettelijke verplichtingen.
5. Indien een instructie van Opdrachtgever (naar de redelijke mening van Xxxxx) onrechtmatig is, inbreuk maakt op rechten van derden of anderszins niet is geoorloofd (bijvoorbeeld omdat ze in strijd is met de Toepasselijke Wet- en Regelgeving), zal (a) de verantwoordelijkheid en aansprakelijkheid voor de verwerking daarvan (voor zover ze toch al is verwerkt) onverminderd bij Opdrachtgever blijven berusten en (b) Vcare een dergelijke instructie niet hoeven uit te voeren. Vcare zal Opdrachtgever (nadat ze van deze onrechtmatigheid, inbreuk of ongeoorloofdheid van de instructie op de hoogte is gekomen) op de hoogte stellen. Opdrachtgever zal alsdan de instructie aanpassen en Vcare een nieuwe schriftelijke instructie verstrekken die wel voldoet.
Artikel 7. Aansprakelijkheid
1. Opdrachtgever is jegens Vcare aansprakelijk voor alle schade die voortvloeit of voort mocht vloeien of verband houdt met deze Verwerkersovereenkomst en die toerekenbaar is aan Opdrachtgever. Opdrachtgever vrijwaart Vcare van alle aanspraken van Xxxxxxxxxxx en andere derden en daaruit voortvloeiende schade en kosten – waaronder mede doch niet uitsluitend begrepen eventueel opgelegde boetes door een toezichthoudende autoriteit zoals de Autoriteit Persoonsgegevens) en de kosten van juridische bijstand – te dier zake en zal een door een toezichthoudende autoriteit (zoals de Autoriteit Persoonsgegevens) opgelegde boete ook niet verhalen op Vcare.
2. De totale aansprakelijkheid van Vcare op enigerlei wijze in verband met deze Verwerkersovereenkomst en/of verwerkingen van Persoonsgegevens is conform haar algemene voorwaarden beperkt tot directe schade (zoals
gedefinieerd in haar algemene voorwaarden) tot een maximum van een bedrag gelijk aan de bedongen prijs (exclusief btw) voor dat deel van de Overeenkomst waar de aansprakelijkheid op ziet of, indien dat minder is, het bedrag dat der verzekering uitkeert. Indien het deel van de Overeenkomst waar de aansprakelijkheid op ziet een duurovereenkomst betreft, wordt de in de vorige volzin bedoelde bedongen prijs gelijkgesteld aan de totaal voor dat deel bedongen vergoedingen (exc. btw) voor de factuurperiode waar de aansprakelijkheid betrekking op heeft, met een maximum van één (1) jaar . Vcare is conform haar algemene voorwaarden niet aansprakelijk voor indirecte schade, waaronder onder mede doch niet uitsluitend wordt verstaan schade als gevolg van bedrijfstagnatie en gemiste besparingen. In geen geval zal de totale aansprakelijkheid van Vcare voor (directe) schade, op welke rechtsgrond dan ook, voor de totale duur van de Overeenkomst echter meer dan € 500.000 (vijfhonderdduizend euro) bedragen.
3. Voornoemde beperkingen en uitsluitingen van aansprakelijkheid zijn niet van toepassing indien en voor zover het gaat om aansprakelijkheid voor schade welke het gevolg is van opzet of bewuste roekeloosheid zijdens Vcare.
Artikel 8. Beveiliging
1. Vcare treft de in Bijlage B genoemde technische en organisatorische beveiligingsmaatregelen en houdt deze bij. Opdrachtgever is en blijft echter verantwoordelijk voor de bepaling of deze maatregelen afdoende om te zorgen dat de Verwerking van Persoonsgegevens voldoet aan de eisen van de Toepasselijke Weten Regelgeving en te zorgen dat de risico’s voor de rechten en vrijheden van de Betrokkenen bij de Verwerking afdoende zijn gewaarborgd. De in Bijlage B omschreven beveiligingsmaatregelen bieden, naar het oordeel van Vcare & Opdrachtgever, een op het risico van de Verwerking van de door hem gebruikte of verstrekte Persoonsgegevens passend beveiligingsniveau. Vcare zal voor Opdrachtgever periodiek, maar ten minste eenmaal per jaar, beoordelen of deze beschermingsmaatregelen gezien de aan de risico’s verbonden aan de Verwerking van Persoonsgegevens voor de rechten en vrijheden van de Betrokkenen nog steeds adequaat zijn en waar nodig die maatregelen treffen om de risico’s te beperken.
2. Vcare staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien blijkt dat de beveiligingsmaatregelen onvoldoende zijn, zal Xxxxx zich inspannen dat de beveiliging zal voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, passend is.
3. Vcare zal regelmatig de door haar gebruikte beschermingsmaatregelen evalueren en daarbij de risico’s van de Verwerking van Persoonsgegevens voor de rechten en vrijheden van de Betrokkenen beoordelen. Indien volgens Xxxxx haar verplichtingen uit hoofde van art. 32 AVG nopen tot een wijziging van de door haar getroffen technische en/of organisatorische maatregelen of tot het nemen van nieuwe maatregelen om een passend beschermingsniveau te blijven bieden, zal Vcare die maatregelen voorstellen en Opdrachtgever, voorafgaand aan de implementatie, over de wijzigingen en de ingangsdatum informeren. Vcare kan de nieuwe of gewijzigde maatregelen vervolgens implementeren. Indien de omstandigheden zodanig zijn dat implementatie niet kan wachten, mag Vcare de gewijzigde of aanvullende maatregelen zonder voorafgaande aankondiging implementeren, zolang zij Opdrachtgever daarover maar zo snel mogelijk na implementatie informeert. Vcare zal deze wijzigingen vastleggen. Als Opdrachtgever niet akkoord kan gaan met de voorgestelde wijzigingen, zal hij Vcare daarover per omgaande informeren en zullen Partijen daarover overleg hebben. Het voorgaande laat
verder de instructiebevoegdheid van Opdrachtgever ter zake van de Verwerking van Persoonsgegevens onverlet.
4. Vcare zal Opdrachtgever ondersteunen bij de waarborging van de naleving van de verplichtingen van Opdrachtgever uit hoofde van artikel 32 van de AVG door onder andere Opdrachtgever informatie te verstrekken over zowel de technische en organisatorische maatregelen die Vcare heeft getroffen als de informatie die Opdrachtgever nodig heeft om te kunnen beoordelen of Opdrachtgever voldoet aan haar verplichtingen uit hoofde van artikel 32 AVG.
5. Als onderdeel van de in laatste zin van lid 1 bedoelde maatregelen, mag Opdrachtgever Vcare verzoeken om aanvullende beschermingsmaatregelen te nemen. Vcare zal die waar mogelijk proberen te faciliteren.
6. Vcare mag de extra kosten van aanvullende of vervangende technische en organisatorische maatregelen of gevraagde informatie in rekening brengen.
7. Indien: a. het in artikel 4 laatste zin bedoelde overleg niet tot een oplossing leid; b. Vcare de in lid 5 verzochte beveiligingsmaatregelen niet volledig implementeert en overleg daarover niet tot een oplossing leid; of c. de in lid 6 bedoelde extra kosten voor Opdrachtgever niet acceptabel zijn, dan mag Opdrachtgever de Overeenkomst beëindigen. Opdrachtgever blijft echter verplicht om reeds gefactureerde bedragen te betalen en er is geen verplichting voor Vcare om reeds betaalde bedragen terug te betalen.
Artikel 9. Meldplicht
1. Als er sprake is van een Inbreuk in verband met Persoonsgegevens van Opdrachtgever, zal Vcare Opdrachtgever hierover onmiddellijk zonder onredelijke vertraging, doch voor zover mogelijk uiterlijk binnen 48 uur na de eerste ontdekking, informeren, inclusief de reeds door Vcare getroffen maatregelen met inachtneming van artikel 33 AVG.
2. De meldplicht behelst in ieder geval het melden van het feit dat er een Inbreuk is geweest, alsmede:
a. Wat de (vermeende) oorzaak en aard is van de Inbreuk is (inclusief waar mogelijk de getroffen categorieën van Betrokkenen en – bij benadering – het aantal getroffen Betrokkenen in kwestie);;
b. Wat het (vooralsnog bekende en/of te verwachten) gevolg is
c. Wat de (voorgestelde) oplossing en/of maatregelen zijn die Vcare zal nemen ter zake van het mitigeren van de Inbreuk en de termijn waarop de oplossing en/of maatregelen naar verwachting zullen worden getroffen;
d. De naam en contactgegevens van Vcare’s functionaris voor de gegevensbescherming of een andere contactpunt waar meer informatie kan worden verkregen;
e. Of er (en zo ja welk) risico voor de rechten en vrijheden van Betrokkenen er voor zover Vcare kan nagaan is;
f. Of er al een melding bij een toezichthoudende autoriteit zoals de Autoriteit Persoonsgegevens is gedaan.
3. De Opdrachtgever is verantwoordelijk voor het beoordelen of de Inbreuk moet worden gemeld aan de relevante toezichthoudende autoriteit(en), zoals Autoriteit Persoonsgegevens, en de Betrokkenen. Het doen van een eventuele benodigde melding van de Inbreuk aan de relevante toezichthoudende autoriteit(en) en/of Betrokkenen is te allen tijde de verantwoordelijkheid van de Opdrachtgever.
4. Vcare zal alle in redelijkheid gevraagde medewerking aan dergelijke mededelingen en het verder onderzoek ter zake van de Inbreuk verlenen. Vcare mag daarbij de door haar gemaakte redelijke kosten in rekening brengen.
Artikel 10. Geheimhouding en vertrouwelijkheid
1. Op alle Persoonsgegevens van Opdrachtgever die Vcare van Opdrachtgever ontvangt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Vcare zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen en zal ze niet verstrekken aan derden.
2. Deze geheimhoudingsplicht is niet van toepassing voor zover Opdrachtgever uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst of de Overeenkomst, indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken of indien een gerechtelijke uitspraak of een bevel van een bevoegde autoriteit tot verstrekking verplicht.
3. Vcare zal ervoor zorgen dat haar personeel en door haar ingeschakelde derden die toegang hebben tot de Persoonsgegevens van Opdrachtgever zijn onderworpen aan adequate geheimhoudingsverplichtingen.
4. Vcare zal enkel die personen toegang verlenen tot de Persoonsgegevens die daar gelet op deze Verwerkersovereenkomst, de Overeenkomst, de instructies van Opdrachtgever, de op Vcare rustende verplichtingen uit Toepasselijke Wet- en Regelgeving, een gerechtelijke uitspraak of een bevel van een bevoegde autoriteit redelijkerwijs toegang toe moeten hebben.
Artikel 11. Controle
1. Opdrachtgever is gerechtigd om gedurende de uitvoering van de Verwerkersovereenkomst, maar hoogstens eenmaal per kalenderjaar, bij Vcare een ISO 27001, NEN 7510 of vergelijkbaar audit rapport op te vragen. Indien deze niet toereikend is, is Opdrachtgever gerechtigd om gedurende deze zelfde periode, tenzij op grond van aan Vcare bekend gemaakte gewichtige reden een additionele tussentijdse controle nodig is, zelf of door een onafhankelijke deskundige, zijnde een onafhankelijke registeraccountant, registerinformaticus of een daartoe gecertificeerde auditor, te laten controleren of en in hoeverre Vcare de verplichtingen uit deze Verwerkersovereenkomst naleeft. Vcare zal haar medewerking aan de controle verlenen.
2. Een controle wordt voorafgegaan door een schriftelijke melding aan Vcare. Een dergelijke mededeling zal ruimschoots, maar ten minste een maand voor het gewenste begin van de controle worden gegeven, met dien verstande dat in geval van gewichtige redenen als bedoeld in lid 1, Opdrachtgever een controle op kortere termijn, mag (laten) uitvoeren.
3. Een door Opdrachtgever ingeschakelde onafhankelijke deskundige is gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen.
4. Een controle als bedoeld in dit artikel mag de bedrijfsactiviteiten van Vcare niet onnodig verstoren.
5. Opdrachtgever zal Vcare per omgaande een afschrift van het onderzoeksverslag (van haarzelf of de ingehuurde) deskundige verstrekken.
6. Iedere Partij draagt haar eigen kosten ter zake van de controle met dien verstande dat kosten van het personeel van Vcare dat de controle begeleidt ten laste komen van de Opdrachtgever.
7. Indien uit de controle blijkt dat aanvullende maatregelen nodig zijn om door Vcare of de door haar ingeschakelde Sub-verwerkers nodig zijn om te voldoen aan de verplichtingen onder deze Verwerkersovereenkomst, zullen Partijen daarover overleg hebben en afspraken maken over de implementatie daarvan. Indien deze maatregelen tot hogere kosten voor Vcare leiden, mag Vcare die kosten doorberekenen.
Artikel 12. Verzoeken van Betrokkenen
1. VCare zal, rekening houdend met de aard van de ter uitvoering van de Verwerkersovereenkomst verrichte verwerking van Persoonsgegevens, op verzoek van Opdrachtgever, middels passende technische en organisatorische maatregelen zoveel als redelijkerwijs mogelijk is bijstand verlenen aan Opdrachtgever om aan een verzoek van een Betrokkene tot uitoefening van diens rechten onder de AVG, te voldoen. Tot deze rechten behoren onder andere, doch niet uitsluitend, het recht van de Betrokkene op inzage, het recht op rectificatie, het recht op gegevenswissing, het recht op beperking van de verwerking, het recht op overdraagbaarheid van persoonsgegevens en het recht van bezwaar.
2. Vcare zal elk verzoek dat zij van Xxxxxxxxxxx krijgt in de uitoefening van hun rechten ongewijzigd in de vorm waarin het verzoek is verkregen per ommegaande doorzenden naar de Opdrachtgever. Opdrachtgever is verantwoordelijk voor de beoordeling van verzoeken van Betrokkenen en de verdere communicatie daarover aan de Betrokkenen.
3. Vcare zal de Opdrachtgever als onderdeel van de in lid 1 bedoelde bijstand assisteren bij verzoeken van Xxxxxxxxxxx. Vcare mag de kosten van deze bijstand in rekening brengen bij Opdrachtgever.
Artikel 13. Overige assistentie
1. Vcare zal alle redelijkerwijs gevraagde medewerking verstrekken en informatie verstrekken aan onderzoeken van een toezichthoudende autoriteit ter zake van de Verwerking van Persoonsgegevens van Opdrachtgever onder deze Verwerkersovereenkomst. Als onderdeel van deze verplichting zal Vcare alle redelijkerwijs gevraagde toegang tot haar systemen verlenen. Opdrachtgever zal de kosten van een dergelijk onderzoek en de gevraagde bijstand dragen. De kosten van het personeel van Vcare dat de controle begeleid komen dus ten laste van Opdrachtgever. Indien uit de controle blijkt dat aanvullende maatregelen nodig zijn om door Vcare of de door haar ingeschakelde Sub-verwerkers nodig zijn om te voldoen aan de verplichtingen onder deze Verwerkersovereenkomst of de Toepasselijke Wet- en Regelgeving, zullen Partijen daarover overleg hebben en afspraken maken over de implementatie daarvan. Indien deze maatregelen tot hogere kosten voor Vcare leiden, mag Vcare die kosten doorberekenen.
2. Vcare zal rekening houden met de aard van uit hoofde van de uitvoering van de Overeenkomst en deze Verwerkersovereenkomst verwerkte Persoonsgegevens, Opdrachtgever alle redelijke bijstand verlenen bij de nakoming van de verplichtingen uit hoofde van de artikelen 32 t/m 36 AVG waaronder maar niet beperkt tot een Data protection impact assessment (DPIA) en voorafgaande raadpleging. Vcare zal gerechtigd zijn de daaraan verbonden kosten in rekening bij Opdrachtgever te brengen.
Artikel 14. Duur en beëindiging
1. Deze Verwerkersovereenkomst gaat in op het moment dat beide Partijen deze Verwerkersovereenkomst hebben getekend of bij gebreke daarvan op het moment dat de Overeenkomst ingaat. Voor zover de Overeenkomst is ingegaan op of voor [@] treedt deze Verwerkersovereenkomst op de datum van schriftelijke ondertekening of schriftelijke goedkeuring door Opdrachtgever in de plaats van eerder tussen Partijen gesloten verwerkersovereenkomst.
2. Deze Verwerkersovereenkomst duurt voort zolang de Overeenkomst voortduurt en Vcare als Verwerker van Persoonsgegevens optreedt in het kader van de door Opdrachtgever ter beschikking gestelde en/of namens
Opdrachtgever verwerkte Persoonsgegevens. Op het moment dat de Overeenkomst om welke reden dan ook eindigt, ongeacht of dit is van rechtswege, opzegging of ontbinding, eindigt ook deze Verwerkersovereenkomst en dus de verplichting van Vcare om de Persoonsgegevens van Opdrachtgever als Verwerker te verwerken.
3. Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Vcare alle Persoonsgegevens van Opdrachtgever die zij in het kader van deze Verwerkersovereenkomst verwerkt en die nog bij haar aanwezig zijn (inclusief eventuele kopieën daarvan), naar keuze van Opdrachtgever aan Opdrachtgever op een gangbare wijze ter beschikking stellen dan wel verwijderen, vernietigen of anonimiseren.
4. Bepalingen in deze Verwerkersovereenkomst die naar hun aard bestemd zijn om ook na de beëindiging voort te duren blijven alsdan onverminderd van kracht. Dit betreft onder meer de bepalingen ter zake van aansprakelijkheid, toepasselijk recht, bevoegde rechter en back-up en teruggave van de Persoonsgegevens van de Opdrachtgever.
5. Bij beëindiging van deze Verwerkersovereenkomst, bewaart Vcare op verzoek de gegevens van Opdrachtgever één jaar ten behoeve van back-up doeleinden. Dit is een encrypted en niet toegankelijke back-up waarin eventuele Persoonsgegevens niet zichtbaar zijn. De encryptie sleutel wordt door Vcare opgeslagen in een digitale kluis die alleen toegankelijk is voor beheerders met een speciaal account waarbij elke activiteit gelogd wordt.
6. Indien Opdrachtgever vóór het verstrijken van deze back-up-periode zoals bedoeld in lid 5 van dit artikel de back-up of de zich daarin bevindende (Persoons)gegevens geheel of gedeeltelijk wenst te verwijderen, wil inzien of een kopie daarvan wil ontvangen, dan kan Vcare de werkelijke kosten hiervoor doorberekenen aan Opdrachtgever.
Artikel 15. Overige bepalingen
1. Indien één of meer bepalingen van deze Verwerkersovereenkomst onverbindend zouden blijken, dan blijven de overige bepalingen van deze Verwerkersovereenkomst van kracht. Partijen verbinden zich om de betreffende niet-verbindende bepaling te vervangen door een zodanige bepaling die wel verbindend is en die zo min mogelijk
– gelet op het doel en de strekking van deze Verwerkersovereenkomst – afwijkt van de niet verbindende bepaling.
2. Partijen komen uitdrukkelijk overeen dat de algemene (inkoop)voorwaarden van Opdrachtgever niet van toepassing zijn op deze Verwerkersovereenkomst.
3. Wijzigingen in de tekst van deze Verwerkersovereenkomst kunnen schriftelijk door de bevoegde vertegenwoordigers van Partijen worden overeengekomen.
4. Wijzigingen in de tekst van deze Verwerkersovereenkomst anders dan bedoeld in lid 6 kunnen uitsluitend schriftelijk door de bevoegde vertegenwoordigers van Partijen worden overeengekomen.
5. Bij wijzigingen in de diensten, in de Toepasselijke Wet- en Regelgeving of andere relevante omstandigheden die van invloed kunnen zijn op de verwerking van de Persoonsgegevens, zullen Partijen in overleg treden over een daarvoor eventueel benodigde wijziging van de Verwerkersovereenkomst. Vcare mag ook los daarvan voorstellen tot wijziging doen van deze Verwerkersovereenkomst. Opdrachtgever zal akkoord gaan met redelijke voorstellen van Vcare en/of wijzigingen die nodig zijn om aan te blijven voldoen aan Toepasselijke Wet- en Regelgeving.
6. Wijzigingen in de Bijlagen of van ondergeschikte aard in de tekst van deze Verwerkersovereenkomst kunnen door
Vcare op ieder moment schriftelijk worden gedaan onder vermelding van het versienummer en de datum van
ingang van de nieuwe versie. Deze wijzigingen gelden alsdan vanaf het moment van deze ingang. Opdrachtgever
mag op redelijke gronden bezwaar maken tegen deze wijzingen.
7. Indien Opdrachtgever niet akkoord gaat met door Vcare voorgestelde wijzigingen van deze Verwerkersovereenkomst en/of de bijlagen zullen Partijen daarover in overleg treden.
Artikel 16. Toepasselijk recht en geschillenbeslechting
1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
2. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen in eerste aanleg exclusief worden beslist door de bevoegde rechter van de rechtbank Overijssel, locatie Almelo. Leverancier heeft in aanvulling daarop het recht de klant ook te dagvaarden bij de rechtbank die op grond van de wet bevoegd is.
Bijlage A - Algemene beschrijving diensten en verwerkingen
Let op; dit betreft een opsomming van alle diensten van Vcare, in uw Overeenkomst ziet u welke diensten u afneemt en waarvoor Vcare uw gegevens verwerkt.
Dienst | Persoonsgegevens | Cat. betrokkenen | Doeleinden | Bewaar termijn | Subverwerkers |
Telefonie diensten ( * Softphone * Mobile Connect * Web Call * Fax Service) | Telefoonnummers, Naam, Gebruiksgegevens, Voornaam, Bedrijfsnaam, Adres, Woonplaats, Emailadres, Medicijngebruik, Inhoud correspondentie, Gezondheidsinformatie. | Xxxxxxx, gebelden, (medewerk ers van) klanten, patiënten, ontvangers. | Doorzending van VoiP gesprek aan de klant via het Vcare telefonie systeem. | Geen opslag, tenzij ‘MediaLogging’ wordt afgenomen . | Talksome, Odido Speakup, Sound of Data, Informaxion, CM |
Systeem logging | Voornaam, Achternaam, IP adres, Voorwerp van toegang, Handeling, Tijdstip | Bellers, gebelden, (medewerk ers van) klanten, patiënten. | Opslaan, bewaren en beschikbaar stellen van logbestanden ten behoeve van correct gebruik van de webapplicaties | 6 maanden | Equinix, Digital Realty |
Support bij | Voornaam, Achternaam, | Bellers, | Vastleggen, opslaan en wijzigen van gegevens in de systemen van KPN, Odido e/o NG-Blu Networks | Tot 7 jaar na | KPN, |
telefonie diensten | Telefoonnummer, Adres, | gebelde, | beëindiging | Odido, | |
van KPN/Odido | Woonplaats, Bedrijfsnaam, | (medewerk | overeenko mst | NG-Blu | |
mobiel/vast. | SIM kaartnummer, IMEI | ers van) | Networks | ||
nummer, Contractgegevens | klanten, | ||||
patiënten. | |||||
Support: Ticket- en klachtenafhand eling (alle diensten) | Voornaam, Achternaam, Emailadres, Telefoonnummer, Klant, service/support/klachtgerela teerde gegevens (inclusief tijdstip en status) | Bellers, gebelde, (medewerk ers van) klanten, patiënten. | Opslaan, raadplegen, gebruiken en beschikbaar stellen van klantgegevens ten behoeve van support op het geheel van de | Tot 7 jaar na beëindiging overeenko mst | Equinix, Digital Realty, Microsoft, Chainwise |
diensten | |||||
Netwerk | Voornaam, Achternaam, | Bellers, gebelden, (medewerk ers van) klanten, patiënten. | Vastleggen, opslaan en wijzigen van (persoons)gegevens in de systemen van NGBlu Networks en/of E- Zorg | Tot 7 jaar na | NG-BLU |
verbindingen | Bedrijfsnaam, | beëindiging | Networks, | ||
Telefoonnummer, Adres, | overeenko mst | E-Zorg | |||
Woonplaats, IP adres, | |||||
Contractgegevens. |
Medialogging (Recorder, Pharma Repeat, PhotoLink, Video Connect) | Waaronder maar niet beperkt tot: (hoorbaar en zichtbaar) Voornaam, Achternaam, Contactgegevens, Gezondheidsinformatie (datgene wat besproken wordt zoals | Bellers, gebelde, (medewerk ers van) klanten, patiënten. | Opslaan, bewaren en beschikbaar stellen van mediaopnames op verzoek van de klant. | Door klant te bepalen | Equinix, Digital Realty |
ziekteverschijnselen, | |||||
diagnose, behandeling en | |||||
medicijngebruik) en die | |||||
onderdeel is van de relevante | |||||
media-opname); Media- | |||||
opnamen. | |||||
Operator | Voornaam, Achternaam, | Bellers, | Doorzending van | Geen | Equinix, Digital |
Bedrijfsnaam, | gebelde, | belgegevens aan de klant | opslag, tenzij | Realty, | |
Telefoonnummer | (medewerk | via de Vcare applicatie | ‘Media- | Microsoft | |
ers van) klanten, patiënten. | laag. | Logging’ of Reporter wordt afgenomen | |||
Number Entry | Postcode, Telefoonnummer, Geboortedatum, BSN | Beller, patiënten. | Raadplegen en doorgeven van een numerieke waarde zoals postcode, geboortedatum of BSN t.b.v. integratie met het Huisartseninformatiesy steem van de klant (HIS). Vcare levert geen HIS. De klant vraagt of de beller een geboortedatum, BSN, postcode of | Geen opslag | Equinix, Digital Realty, Microsoft |
telefoonnummer in wil | |||||
vullen. | |||||
Integrator | Voornaam, Xxxxxxxxxx, | Xxxxxxx, gebelden, (medewerk ers van) klanten, patiënten. | Verstrekken door middel van doorzending van ingevoerde gegevens via een API naar het Operator scherm of het HIS pakket van de triagist. | Geen opslag | Equinix, |
(MINDD, API, | Adres, Woonplaats, | Digital | |||
Connect) | Telefoonnummer, | Realty, | |||
Geboortedatum, Geslacht, | MINDD, | ||||
Gezondheidsinformatie | Cloud CTI | ||||
(inclusief uitkomst zelftriage), | |||||
BSN | |||||
Call Back (add on voor de Operator) | Voornaam, Achternaam, Bedrijfsnaam, Telefoonnummer | Bellers, gebelde, (medewerk ers van) klanten, patiënten. | Doorzending van belgegevens aan de klant via de Vcare applicatie laag. | Geen opslag, tenzij ‘Media- Logging’ of Reporter wordt afgenomen | Equinix, Digital Realty, Microsoft |
Reporter (Rapportage, Mobiele Factuuranalyse) | Voornaam, Achternaam, Telefoonnummer, gebruikershandelingen | Bellers, gebelden, (medewerk ers van) klanten, patiënten. | Opslaan, bewaren en beschikbaar stellen van user en call events om de klant inzicht te geven in het bel gedrag van de dienst, wachtrijen en gebruikers. | Tot 400 dagen | Equinix, Digital Realty, Microsoft |
Scheduler (add on voor de Operator) | Voornaam, Achternaam, Datum en tijdstip | Medewerke rs van) klanten | Vastleggen, opslaan en beschikbaar stellen van voor en achternaam t.b.v. het plannen van de (medewerker van de) klant | Geen opslag, tenzij ‘Media- Logging’ of Reporter wordt afgenomen | Equinix, Digital Realty |
Video Connect | Telefoonnummer, Gezondheidsinformatie, Videobeelden | Bellers, gebelden, (medewerk ers van) klanten, patiënten. | Doorzending van een videogesprek van beller naar gebelde via het Vcare telefonie systeem. | Geen opslag, tenzij ‘MediaLogging’ wordt afgenomen | Equinix, Digital Realty |
SMS Service | Waaronder maar niet beperkt tot: Voornaam, Achternaam, Contactgegevens, Gezondheidsinformatie (datgene wat ingevuld wordt | Bellers, gebelden, (medewerk ers van) klanten, patiënten. | Doorzending van sms aan de klant via de Vcare applicatie laag. | 90 dagen. | Informaxi on, CM |
zoals ziekteverschijnselen, | |||||
diagnose, behandeling en | |||||
medicijngebruik) en BSN. | |||||
Vcare is niet op de hoogte van | |||||
de daadwerkelijke inhoud en | |||||
bepaalt deze ook niet. | |||||
Photo Link | Telefoonnummer, Gezondheidsinformatie, Foto | Bellers, gebelden, (medewerk ers van) klanten, patiënten. | Doorzending van een foto van xxxxxx naar gebelde via het Vcare telefonie systeem. | Geen opslag, tenzij ‘MediaLogging’ wordt afgenomen | Equinix, Digital Realty |
Back-Up | Alle in de hiervoor genoemde stromen genoemde persoonsgegevens | Bellers, gebelden, (medewerk ers van) klanten, patiënten. | Het maken van een geencrypte back-up van de gegevens van de klant ten behoeve van het restoren van klantgegevens | Tot 7 jaar na beëindiging overeenkomst | Equinix, Digital Realty, Microsoft |
Bijlage B - Beveiliging
Algemeen
Om de Persoonsgegevens te beveiligen neemt Xxxxx die organisatorische en technische maatregelen die nodig zijn om een beveiligingsniveau te realiseren dat past bij de risico’s van verwerking. De maatregelen zijn in detail beschreven in het privacy- en beveiligingsbeleid van Vcare. Vcare zorgt ervoor dat dit beleid door alle medewerkers (vast en tijdelijk) wordt begrepen, onderschreven en uitgedragen.
Maatregelen
Vcare neemt onder meer de hieronder genoemde maatregelen. De maatregelen zijn algemeen beschreven. Een te gedetailleerde beschrijving kan leiden tot kennisneming door onbevoegden.
‐ Medewerkers:
‐ Elke medewerker wordt bij indiensttreding gevraagd om een Verklaring Omtrent het Gedrag (VOG).
‐ In de arbeidscontracten zijn afspraken vastgelegd ten aanzien van concurrentie en geheimhoudingsbeding na beëindiging van de arbeidscontracten.
‐ Medewerkers worden continu getraind op privacy bewustzijn en risico’s.
‐ Medewerkers nemen actief deel aan trainingen, certificeringen en kennisdeling om kennis en kunde op het hoogst mogelijke niveau te houden.
‐ Intern beleid t.b.v. toegang, werken op afstand en thuis.
‐ Autorisatie en toegang op basis van need to know.
‐ Certificering:
‐ Vcare is NEN 7510 en ISO 27001 gecertificeerd.
‐ Certificaten en zijn op de website inzichtelijk, te downloaden en op te vragen.
‐ Verklaring van toepasselijkheid (VvT) is op de website inzichtelijk, te downloaden en op te vragen.
‐ Vcare werkt verder ISO 9001 compliant.
‐ Controls:
‐ Dagelijkse encrypted back-ups en back-up beleid t.b.v. restore.
‐ Updates en fixes middels een gecontroleerd en reproduceerbaar werkproces.
‐ Leveranciersmanagement om Vcare leveranciers aan dezelfde hoge standaard te houden waar wij aan voldoen.
‐ Privacy risicobeoordeling op ontwikkelingen.
‐ Toegang tot data alleen mogelijk op basis van MFA (Multi-Factor-Authentication).
‐ Periodieke controle van adequaatheid van de genomen maatregelen.
‐ Netwerk:
‐ 24/7 NOC van Vcare systemen en applicaties.
‐ Het netwerk is redundant opgebouwd over twee verschillende locaties.
‐ Database cluster draait over twee gescheiden locaties.
‐ Automatische virusscan, firewall, wasstraat en mallwaredetectie.
‐ Encryption op basis van nice to have en need to have.
‐ Logging van alle uitgevoerde acties.