TUSSEN
VERWERKINGSOVEREENKOMST TOEPASSINGEN XXXXXXXXX
TUSSEN
XXX [Naam praktijk in vennootschap], ingeschreven in de Kruispuntbank van Ondernemingen onder het nummer xxxx.xxx.xxx, gelegen te xxxx Gemeente aan Straat, huisnummer.
Of
XXX[Naam arts/praktijk zonder vennootschap], gelegen te xxxx Gemeente aan Straat, huisnummer, handelend voor zich.
Hierna: de “Verwerkingsverantwoordelijke”;
EN
Xxxxxxxxx GCV / SCS met maatschappelijke zetel gelegen te 0000 Xxxxxxx, Keiberg 6, en met ondernemingsnummer 0681.682.247, hierbij rechtsgeldig vertegenwoordigd door : Xxxx Xxxxxxxxxx, Business Owner.
Contactgegevens: xxxxxxx@xxxxx.xx
Hierna: de “Verwerker”;
De Verwerkingsverantwoordelijke en de Verwerker worden hieronder ook wel afzonderlijk aangeduid
als een “Partij” of gezamenlijk als de “Partijen”;
NA TE HEBBEN UITEENGEZET
A. In het kader van deze overeenkomst zal de Verwerker bepaalde Persoonsgegevens Verwerken in opdracht en voor rekening van de Verwerkingsverantwoordelijke in het kader van de uitnodiging tot vaccinatie;
De partijen wensen nu hun afspraken met betrekking tot de uitvoering en organisatie van deze Verwerking van Persoonsgegevens te formaliseren in deze Verwerkingsovereenkomst , die integraal deel uitmaakt van voornoemde overheidsopdracht.
WORDT OVEREENGEKOMEN WAT VOLGT
Artikel 1: Definities
Begrippen die in deze Verwerkingsovereenkomst met hoofdletter worden gebruikt, moeten worden geïnterpreteerd zoals in dit artikel of elders in de Verwerkingsovereenkomst gedefinieerd.
AVG Verordening (EU) 2016/679 van het Europees Parlement en de Raad
van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming);
Betrokkene De geïdentificeerde of identificeerbare natuurlijke persoon op wie een Persoonsgegeven betrekking heeft;
Datalek Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;
Derden Elke natuurlijke persoon, rechtspersoon, overheidsinstantie, dienst of ander orgaan andere dan de Verwerker, de Verwerkingsverantwoordelijke en hun personeelsleden of aangestelde;
Opdracht De opdracht zoals omschreven in bijlage 1;
Persoonsgegevens
Unierechtelijke of lidstaatrechtelijke bepaling
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals ook gedefinieerd in artikel 4, 1) AVG, die de Verwerker in het kader van de Opdracht Verwerkt;
Een bepaling opgelegd door Unierechtelijke of (EU) lidstaatrechtelijke wetgeving;
Verwerken / Verwerking
Elke bewerking of geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens, zoals ook gedefinieerd in artikel 4, 2) AVG;
Verwerkingsovereen komst
Deze overeenkomst.
Artikel 2: Voorwerp (art. 28, lid 3 en 4 AVG)
2.1. De Verwerker Verwerkt Persoonsgegevens voor de Verwerkingsverantwoordelijke uitsluitend zoals omschreven in de Opdracht
en overeenkomstig de in deze Overeenkomst vastgelegde verplichtingen.
[1]
De Opdracht wordt nader omschreven in bijlage 1.
2.2. Elke Verwerking anders dan omschreven in de Opdracht is strikt verboden, met inbegrip van de doorgifte van Persoonsgegevens aan Derden, een derde land of een internationale organisatie, behoudens indien één van de hieronder opgesomde voorwaarden vervuld is:
- de Verwerkingsverantwoordelijke heeft schriftelijke instructies gegeven om bijkomende Verwerkingen uit te voeren. Een kopie van deze schriftelijke instructie zal als bijlage 1 aan deze overeenkomst worden gehecht; of
- een Unierechtelijke of lidstaatrechtelijke bepaling verplicht de Verwerker tot deze bijkomende Verwerking. De Verwerker zal de Verwerkingsverantwoordelijke desgevallend binnen een redelijke termijn voorafgaand aan de bijkomende Verwerking op de hoogte stellen van voornoemd wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Als de Verwerker een verzoek krijgt om Persoonsgegevens ter beschikking te stellen door een daartoe bevoegde instantie overeenkomstig een Unierechtelijke of lidstaatrechtelijke bepaling, beoordeelt zij eerst of het verzoek bindend is en of zij op grond van gedrags- en beroepsregels aan het verzoek moet voldoen. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stelt de Verwerker de Verwerkingsverantwoordelijke op de hoogte van het verzoek. De Verwerker doet dat binnen een termijn dat het voor de Verwerkingsverantwoordelijke mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de Persoonsgegevens in te stellen.
2.3. De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie inbreuk oplevert op de AVG of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.
Artikel 3: Duur (art. 28, lid 3, g) AVG)
3.1. Loopt samen met de Opdracht beschreven in punt A.
3.2. Artikels 3.3, 5, 6, 7, 9 en 12 blijven van kracht na beëindiging van de Verwerkingsovereenkomst.
3.3. Na beëindiging van de Verwerkingsovereenkomst dient de Verwerker aan de Verwerkingsverantwoordelijke zonder onredelijke vertraging, en onverwijld op verzoek, een kosteloze kopie te bezorgen van alle Persoonsgegevens die door haar in het kader van de Opdracht Verwerkt worden, in gestructureerd, gangbaar en machine leesbaar formaat. Als alle Persoonsgegevens zijn bezorgd, stelt de Verwerker onmiddellijk een einde aan elke verwerking van de Persoonsgegevens en vernietigt hij elke kopie en back-up van de Persoonsgegevens die hij nog zou bezitten, tenzij opslag van de Persoonsgegevens Unierechtelijk of lidstaatrechtelijk is verplicht.
Artikel 4: Beveiliging (art. 32 AVG)
4.1. De Verwerker treft alle passende technische en organisatorische beveiligingsmaatregelen die nodig zijn om de Persoonsgegevens te beveiligen, rekening houdend met de stand van de techniek en de kost voor beveiliging, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen. In het bijzonder zal de Verwerker de Persoonsgegevens beveiligen tegen vernietiging, verlies, vervalsing, niet toegelaten verspreiding of toegang en elke andere vorm van onwettige Verwerking.
De volgende maatregelen zijn op z’n minst aanwezig:
· Optionele twee-stapsverificatie voor inloggen tot de applicatie
· SSL verbindingen
· Fysieke beveiligingsmaatregelen voor toegang tot de systemen
· Registratie/melding van security incidenten
· Doelgebonden toegangsbeperkingen
· Afdwingen van toegekende rechten
4.2. De Verwerker heeft tenminste een actueel veiligheidsbeleid- en plan.
Artikel 5: Vertrouwelijkheid (art. 28 lid 3, b) AVG)
5.1. De Verwerker verbindt zich er uitdrukkelijk toe het vertrouwelijk karakter en de veiligheid van de Persoonsgegevens die zij in het kader van de Opdracht Verwerkt, te waarborgen.
5.2. De Verwerker maakt zich sterk dat alle personeelsleden of aangestelden die toegang hebben tot de Persoonsgegevens het vertrouwelijk karakter en de veiligheid van deze Persoonsgegevens zullen respecteren. De Verwerker zal erop toezien dat personeelsleden of aangestelden enkel toegang verkrijgen tot Persoonsgegevens nadat ze behoorlijk gebonden zijn door een wettelijke of contractuele vertrouwelijkheidsverplichting.
Artikel 6: Onderaanneming en subverwerkers (art. 28 lid 2 en 4 AVG)
6.1. De Verwerker stelt enkel andere verwerkers aan om Persoonsgegevens in het kader van de Opdracht te Verwerken (hierna: de “Subverwerker”) na uitdrukkelijke, specifieke goedkeuring van de Verwerkingsverantwoordelijke. Bijlage 2 bevat de subverwerkers waaraan de Verwerkingsverantwoordelijke reeds haar goedkeuring geeft.
6.2. Extern ingehuurde medewerkers worden voor deze Verwerkingsovereenkomst niet als Subverwerker beschouwd. De Verwerker zal er op toezien dat deze extern ingehuurde medewerkers dezelfde vertrouwelijkheidsclausule, zoals beschreven in artikel 5 van deze Verwerkingsovereenkomst naleven zoals dit voor de eigen werknemers van de Verwerker het geval is.
6.3. De Verwerker en de Subverwerker sluiten een overeenkomst waarin dezelfde verplichtingen inzake gegevensbescherming opgelegd worden als die welke in de voorliggende Verwerkingsovereenkomst zijn opgenomen. De Verwerker zal de Subverwerkers ook dezelfde geheimhoudingsverplichting als deze die op haar rust opleggen middels een vertrouwelijkheidsovereenkomst. De Verwerker zal op eenvoudig verzoek
van de Verwerkingsverantwoordelijke het nodige bewijs voorleggen om aan te tonen dat de overeenkomsten met haar Subverwerkers voldoen aan de in dit artikel gestelde voorwaarden.
6.4. De Verwerker houdt een actueel overzicht bij van de overeenkomsten met Subverwerkers en kan deze binnen redelijke termijn op eenvoudig verzoek bezorgen aan de Verwerkingsverantwoordelijke.
6.5. Indien een Subverwerker haar gegevensbeschermingsverplichtingen niet vervult, zal de Verwerker volledig aansprakelijk blijven ten opzichte van de Verwerkingsverantwoordelijke voor de naleving van deze verplichtingen.
Artikel 7: Bijstand (art. 28, lid 3, e - f) AVG)
7.1. Algemeen
De Verwerker zal de Verwerkingsverantwoordelijke alle informatie verstrekken en alle bijstand verlenen die noodzakelijk is en/of die redelijkerwijze mag worden verwacht opdat de Verwerkingsverantwoordelijke in staat zou zijn om haar verplichtingen uit de AVG na te komen én van deze nakoming het bewijs te leveren.
7.2. Bijstand bij verzoek van een Betrokkene
De Verwerker verleent aan de Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand bij het vervullen van diens plicht om verzoeken tot uitoefening van de in hoofdstuk III van de AVG vastgestelde rechten van de betrokkene, te beantwoorden.
Indien een Betrokkene zich rechtstreeks wendt tot de Verwerker om zich te beroepen op één van de rechten die hem ingevolge hoofdstuk III van de AVG zijn toegekend, zal de Verwerker dit onverwijld melden aan de Verwerkingsverantwoordelijke en alleen tegemoet komen aan het verzoek van de Betrokkene na schriftelijk akkoord van de Verwerkingsverantwoordelijke.
7.3. Bijstand bij Datalekken
De Verwerker verbindt zich ertoe elk Datalek en alle ernstige pogingen tot onrechtmatige of ongeautoriseerde Verwerkingen of toegangen tot
Persoonsgegevens zonder onredelijke vertraging, en uiterlijk 24 uur na kennisname, te melden aan de Verwerkingsverantwoordelijke conform artikel
33.3 van de AVG (contactgegevens: zie 12.4). De Verwerker zal alle maatregelen treffen die redelijkerwijs nodig zijn om (verdere) schending van de beveiligingsmaatregelen en eventuele schade te voorkomen of te beperken en zal aan de Verwerkingsverantwoordelijke alle informatie die ze nuttig of nodig acht, verschaffen.
Rekening houdend met de aard van de Verwerking en de hem ter beschikking staande informatie, verleent de Verwerker bovendien bijstand aan de Verwerkingsverantwoordelijke bij het nakomen van diens verplichtingen betreffende:
- het melden van een Datalek aan de toezichthoudende autoriteit conform artikel 33 van de AVG;
- het mededelen van een Datalek aan de betrokkene conform artikel 34 van de AVG.
Het is de Verwerker evenwel niet toegestaan om het Datalek zelf te melden aan de GBA of de mededeling aan de betrokkene zelf te verrichten. Dit is uitsluitend de bevoegdheid van de Verwerkingsverantwoordelijke.
7.4. Andere bijstandsverplichtingen
De Verwerker zal - rekening houdend met de aard van de Verwerking en de hem ter beschikking staande informatie – de Verwerkingsverantwoordelijke bijstand verlenen bij het nakomen van diens verplichtingen betreffende o.a.:
- het beveiligen van de verwerking conform artikel 32 van de AVG;
- het uitvoeren van een gegevensbeschermingseffectbeoordeling conform artikel 35 van de AVG;
- het voorafgaand aan een voorgenomen verwerking raadplegen van de toezichthoudende autoriteit, wanneer dit na een gegevensbeschermingseffectbeoordeling nodig zou blijken, conform artikel 36 van de AVG.
- Het wissen van gegevens wanneer de verwerkingsverantwoordelijke daartoe de opdracht geeft en het respecteren van minimale en maximale bewaartermijnen bepaald door de verwerkingsverantwoordelijke
Artikel 8: Plaats van Verwerking (art. 3, art. 28, lid 3) AVG)
De Verwerker Verwerkt de Persoonsgegevens alleen binnen de Europese Economische Ruimte, tenzij hierover met de Verwerkingsverantwoordelijke andere afspraken zijn gemaakt. Deze afspraken leggen de Partijen gezamenlijk schriftelijk vast.
Wat betreft de subverwerking van Digital Ocean wordt in normale omstandigheden alle info verwerkt binnen de Europese Economische Ruimte (EER), omdat de virtuele servers zich binnen de EER bevinden. In uitzonderlijke omstandigheden, om de bedrijfscontinuïteit te garanderen, kunnen de gegevens buiten de EER worden verwerkt. Omdat de Verwerker de omgeving beheert, heeft Digital Ocean echter geen toegang tot de inhoud van de servers. Indien, om redenen van bedrijfscontinuïteit, de gegevens dienen te worden doorgegeven buiten de EER, dient de Verwerker de functionarissen van gegevensbescherming van de Verwerkingsverantwoordelijke hiervan onverwijld op de hoogte te stellen.
Artikel 9: Controle (art. 28, lid 3, h) AVG)
9.1. De Verwerkingsverantwoordelijke of zijn daartoe aangestelde heeft op elk ogenblik het recht om de naleving van deze Verwerkingsovereenkomst te controleren. Daartoe heeft zij het recht om zich ter plaatse te begeven in de lokalen of plaatsen waar de Verwerker de Verwerking uitvoert. De Verwerkingsverantwoordelijke zal de Verwerker minstens tien dagen voorafgaand aan het uitvoeren van de controle schriftelijk inlichten en daarbij de nodige informatie verstrekken over de doelstelling, de personen die de audit zullen uitvoeren, de draagwijdte en timing van de audit. De Verwerkingsverantwoordelijke zal de controles, tenzij dwingend anders vereist, enkel op werkdagen tijdens kantooruren uitvoeren.
9.2. Op eenvoudig verzoek van de Verwerkingsverantwoordelijke is de Verwerker ertoe gehouden alle inlichtingen die van toepassing zijn bij de uitvoering van deze Verwerkingsovereenkomst mee te delen en bijstand te verlenen bij het uitvoeren van de audits of bij het vervullen van de verplichting om verzoeken om uitoefening van de in de AVG vastgestelde rechten van de Betrokkene te beantwoorden.
Artikel 10: Aansprakelijkheid (art. 82, lid 2) AVG)
10.1. De Verwerker is aansprakelijk ten aanzien van de Verwerkingsverantwoordelijke voor schade die voortvloeit uit een handeling of een nalatigheid wanneer bij de Verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van de AVG, dan wel uit een handeling of nalatigheid in strijd met de rechtmatige instructies van de Verwerkingsverantwoordelijke.
De Verwerkingsverantwoordelijk is aansprakelijk voor schade die voortvloeit uit een handeling of en nalatigheid ten opzichte van zijn eigen verplichtingen uit de AVG.
10.2. De aansprakelijkheid van de Verwerker is beperkt zoals voorzien in de Opdracht, zonder evenwel afbreuk te doen aan art 82 van de AVG.
Artikel 11: Beëindiging
11.1. Indien de Verwerker zijn verplichtingen onder deze Verwerkingsovereenkomst niet naleeft, kan de Verwerkingsverantwoordelijke, onverminderd het recht om een schadevergoeding te bekomen, na schriftelijke gemotiveerde ingebrekestelling de Opdracht geheel of gedeeltelijk beëindigen indien de Verwerker nalaat passende maatregelen te treffen. Een gehele beëindiging gebeurt per aangetekende brief en niet eerder dan dertig dagen na de ingebrekestelling.
11.2. De Verwerker zal de Persoonsgegevens 6 maanden na de laatste geregistreerde afspraak gemaakt door de Verwerkingsverantwoordelijke verwijderen.
Artikel 12: Overige
12.1. Deze Verwerkingsovereenkomst is onderworpen aan het Belgisch recht. Alle geschillen in verband met deze Verwerkingsovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waar de Verwerkingsverantwoordelijke gevestigd is.
12.2. Indien een bepaling in de Verwerkingsovereenkomst geheel of gedeeltelijk ongeldig, onwettig of nietig zou worden verklaard, tast dit op geen enkele wijze de geldigheid, wettigheid en toepasbaarheid van de andere bepalingen aan. De Partijen zullen vervolgens te goeder trouw onderhandelen om de ongeldige, onwettige of nietige bepaling te vervangen door een geldige bepaling die zoveel als mogelijk de gevolgen heeft van de ongeldige, onwettige of nietige bepaling.
12.3. Aanvullingen en wijzigingen op deze Verwerkingsovereenkomst dienen schriftelijk te gebeuren door middel van een addendum dat als bijlage aan deze Verwerkingsovereenkomst zal worden gehecht.
12.4. De contactgegevens van de functionaris voor gegevensbescherming van de Verwerkingsverantwoordelijke is de volgende: xxxxxxx@xxxxx.xx
Deze Verwerkingsovereenkomst werd op 15 september 2022 te Haasrode opgesteld in evenveel exemplaren als er Partijen zijn. Aan elke Partij wordt één ondertekend exemplaar van de Verwerkingsovereenkomst overhandigd.
Voor de Verwerkingsverantwoordelijke
Voor de Verwerker (Xxxxxxxxx GVC/SVS)
Xxxx Xxxxxxxxxx, Business Owner
BIJLAGEN
- Bijlage 1: omschrijving Opdracht
- Bijlage 2: de subverwerkers
BIJLAGE 1
De Opdracht heeft tot doel om aan patienten van de Verwerkingsverantwoordelijke uitnodigingen sturen in het kader van pro-actieve geneeskunde en om te beschikken over een reserveringsplatform waarmee patienten een afspraak kunnen maken.
In het kader van Verwerkingsovereenkomst voert de Verwerker op de onderstaande Persoonsgegevens de Verwerkingen uit waarvan per gegevenssoort de aard van de verwerking, alsmede het doel ervan en de categorieën van betrokkenen, worden vermeld.
Soort persoonsgegeven | Aard van de verwerking | Doel van de verwerking | Categorie(ën) van betrokkenen |
- Het identificatienummer sociale zekerheid, de naam en voornaam, de geslacht, de geboortedatum en de postadres - Het mailadres en het telefoonnummer zoals rechtstreeks opgegeven in het platform - De willekeurige uitnodigingscode - De aanduiding van het type afspraak - De momenten waarop de betrokkene een afspraak heeft met de zorgverlener - De praktijk waar de betrokkene een afspraak heeft met de zorgverlener | - Verwerken van persoonsgegevens (identificatie) en beschikbare data van de gebruiker die door de persoon zelf in de toepassing worden ingevoerd. - Uitnodigingen sturen in kader van proactieve geneeskunde vb. Uitnodiging griepvaccinatie - Doorgifte naar andere platformen voor informatie over het boeken van een consultatie vb. Elektronisch medisch dossier | - Patiënten uitnodigingen sturen in kader van proactieve geneeskunde - Te beschikken over een reservering platform waarmee patiënten een moment kunnen reserveren in een praktijk bij de zorgverlener | - Patiënten van de zorgverstrekker |
BIJLAGE 2
De Verwerker stelt de volgende Subverwerkers aan:
2-A - Amazon Web Services (AWS)
De Verwerker gebruikt AWS-functies als verwerkingseenheden voor async-verzenddoeleinden. Gegevens worden niet opgeslagen, alleen verwerkt. AWS ontvangt in dit verband de volgende persoonsgegevens:
· Email sturen:
o E-mailadres
o Voornaam
o Achternaam
· SMS sturen:
o Mobiel telefoonnummer
o Voornaam
o Achternaam
· Upload SFTP-uitnodigingen
o INSZ nummer
o Voornaam
o Achternaam
o Adres
2-B - Digital Ocean
Digital Ocean is het applicatieplatform van de Verwerker. Door de koppeling met de AWS- verwerkingseenheid verwerkt deze minimaal dezelfde data als AWS. De applicatie wordt gebruikt door de vaccinatiecentra om hun afspraken te beheren. Dit zijn de soorten gegevens die worden gebruikt:
· Email sturen:
o E-mailadres
o Voornaam
o Achternaam
· SMS sturen:
o Mobiel telefoonnummer
o Voornaam
o Achternaam
· Versturen uitnodigingen
o INSZ nummer
o Voornaam
o Achternaam
o Adres
· Afspraken / uitnodigingen beheren
o INSZ nummer
o Voornaam
o Achternaam
o Mobiel telefoonnummer
2-C - RingRing
RingRing is het smsplatform gebruikt door de Verwerker. De applicatie wordt gebruikt om uitnodigingen te versturen en communicatie mbt afspraken. Dit zijn de soorten gegevens die worden gebruikt:
· SMS sturen:
o Mobiel telefoonnummer
o Voornaam
o Achternaam
2-D - Sendgrid
Sendgrid is het emailplatform gebruikt door de Verwerker. De applicatie wordt gebruikt om uitnodigingen te versturen en communicatie mbt afspraken. Dit zijn de soorten gegevens die worden gebruikt:
· Email sturen:
o E-mailadres
o Voornaam
o Xxxxxxxxxx
0-X - Mailflower
Mailflower is het emaillatform gebruikt door de Verwerker. De applicatie wordt gebruikt om uitnodigingen te versturen en communicatie mbt afspraken. Dit zijn de soorten gegevens die worden gebruikt:
· Email sturen:
o E-mailadres
o Voornaam
o Achternaam
[1] Deze Overeenkomst moet los worden gezien van de verwerkingsovereenkomst opgemaakt door de
verschillende verwerkingsverantwoordelijken en Xxxxxxxxx GCV / SCS in het kader van verwerkingen rond Covid-19