Verwerkingsovereenkomst
Verwerkingsovereenkomst
Art. 1 - Verwerking en doeleinden
Persoonsgegevens kunnen mits gebruik van de door Q-Top aangeboden eindgebruiker applicaties, welke exclusief samenwerken met de door ons aangeboden diensten, verwerkt worden voor de volgende doeleinden:
• Patiëntadministratie
• Registratie van de zorg vraag, status, evaluatie, metingen, beoordeling
• Registratie van een zorg plan
• Plannen van de prestaties
• Registratie van de prestaties
• Registratie en opvolging van de verleende zorg
• Rapportering van de zorg
• Attestering van de verleende zorg
• Voldoen aan de wet- en regelgeving
• Continue verbetering van de diensten
De persoonsgegevens welke kunnen verwerkt worden handelen onder meer over:
• NAW gegevens (Naam-adres-woonplaats)
• Contactgegevens
• Geboortedatum
• INSZ
• Foto
• Familiale situatie
• Beroeps situatie
• Huisdokter - specialisten
• Mutualiteit alsook inschrijvingsnummer
• CG1/CG2
• Medische status en evolutie
• Zorg vraag
• Gepresteerde zorg
De persoonsgegevens worden door de verwerker binnen de EU verwerkt.
Art. 2 - Categorieën betrokkenen en gegevensverwerking
De verschillende categorieën betrokken welke verwerkt worden mits gebruik van de aangeboden eindgebruiker applicaties en gebruik van de aangeboden diensten:
• Therapeutgegevens
• Patiëntgegevens
Art. 3 - Toestemming voor de verwerking, instructies
De verwerkingsverantwoordelijke geeft middels deze overeenkomst expliciet toestemming en instructies aan Q-Top, de verwerker, om de gegevens van zijn betrokkenen te verwerken in overeenstemming met de bepalingen in deze overeenkomst.
Art. 4 - Vertrouwelijkheid – geheimhouding
Q-Top waarborgt dat de personen die onder zijn verantwoordelijkheid persoonsgegevens verwerken geheimhoudingsplicht mbt de inhoud alsook de verwerking van deze persoonsgegevens hebben.
Q-Top is gerechtigd de persoonsgegevens te verstrekken aan derden, indien en voor zover verstrekking noodzakelijk is ingevolge een rechterlijke uitspraak, een wettelijk voorschrift of op basis van een bevoegd gegeven bevel van een overheidsinstantie.
Art. 5 - Technische en organisatorische maatregelen
Q-Top heeft passende technische en organisatorische maatregelen geïmplementeerd om persoonsgegevens te beschermen. Tijdens de duur van deze overeenkomst, zal Q-Top op verzoek van de klant binnen een redelijke termijn een actuele beschrijving van de geïmplementeerde technische en organisatorische beschermingsmaatregelen aan de klant bezorgen.
Bij het treffen van de technische en organisatorische beveiligingsmaatregelen is er rekening gehouden met de stand van de techniek, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, omvang en de context van de verwerkingen, de
doeleinden en het beoogd gebruik van de producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van de betrokkene die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachten.
Beveilingsmaatregelen omvatten ondermeer (niet limitatieve lijst):
• Consequent installeren van updates na evaluatie en beoordeling
• Bescherming tegen virussen, malware, enz.
• Bescherming tegen ‘brute force’ aanvallen
• Monitoringtools, IDS
• Firewalls
• ACL’s
• Beveiligde verbindingen
• Enkel systeem waarvoor er een praktische of directe noodzaak is worden direct verbonden met het internet
• ...
Art. 6 - Subverwerkers
De verwerkingsverantwoordelijke geeft toestemming aan Q-Top, de verwerker, om andere subverwerkers in te schakelen ter uitvoering van zijn verplichtingen voortvloeiende uit de overeenkomst.
Q-Top draagt er zorg voor dat de door hem ingeschakelde derde partijen zich aan eenzelfde beveiligingsniveau verplichten ten aanzien van de bescherming van de persoonsgegevens als het beveiligingsniveau waaraan Q-Top jegens de verwerkingsverantwoordelijke is gebonden op grond van deze verwerkingsovereenkomst.
Elke dergelijke subverwerker aan wie Q-Top persoonsgegevens doorgeeft zal alleen persoonsgegevens mogen verkrijgen om de diensten te verstrekken die Q-Top eraan heeft toevertrouwd en zal dergelijke persoonsgegevens voor geen andere doeleinden mogen gebruiken.
Art. 7 - Rechten betrokkenen
Q-Top zal, waar mogelijk, zijn medewerking verlenen aan redelijke verzoeken van de verwerkingsverantwoordelijke die verband houden met door de betrokkene, bij de verwerkingsverantwoordelijke, ingeroepen rechten van betrokkenen. Indien Q-Top direct door een betrokkene wordt benaderd, zal hij deze waar mogelijk doorverwijzen naar de verwerkingsverantwoordelijke.
Q-Top heeft het recht om de kosten die hij maakt in het kader van het in dit artikel gestelde in rekening te brengen bij de verwerlingsverantwoordelijke.
Art. 8 - Datalekken – DPIA
Bij een datalek, ongeacht de oorzaak, zal Q-Top de klant onverwijld nadat ze kennis gekregen heeft van dergelijk datalek op de hoogte brengen. Beide partijen gaan ermee akkoord om volledig mee te werken aan dergelijk onderzoek en elkaar bijstand te verlenen bij het doen nakomen van toepasselijke vereisten en procedures voor de melding van een datalek.
Q-Top is niet verplicht tot het melden van inbreuken in verband met persoonsgegevens aan de toezichthoudende authoriteit en/of de betrokkenen.
Indien de verwerkingsverantwoordelijke daartoe verplicht is, zal Q-Top na een daartoe redelijk gegeven verzoek zijn medewerking verlenen aan een gegevensbeschermingseffectbeoordeling (DPIA) of een daarop volgende voorafgaande raadpleging zoals bedoeld in artikel 35 en 36 Avg.
Q-Top heeft het recht om de kosten die hij maakt in het kader van het in dit artikel gestelde in rekening te brengen bij de verwerkingsverantwoordelijke.
Art. 9 – Einde overeenkomst
Q-Top zal, bij beeindiging van de verwerkersovereenkomst, alle persoonsgegevens die hij voor de verwerkingsverantwoordelijke, binnen een termijn conform het wettelijke kader, verwijderen op zodanige wijze dat deze niet langer kunnen worden gebruikt en niet langer toegankelijk zijn, of, indien overeengekomen, in een machine leesbaar formaat terugbezorgen aan de verwerkingsverantwoordelijke.
Q-Top heeft het recht om de kosten die hij maakt in het kader van het in dit artikel gestelde in rekening te brengen bij de verwerkingsverantwoordelijke.
Art. 10 – Audit
Tenzij dit wettelijk verboden is, zal Q-Top de klant zo snel als redelijkerwijs mogelijk op de hoogte brengen indien Q-Top of enige van zijn subverwerkers met betrekking tot persoonsgegevens van de klant:
• Een vraag, een dagvaarding of een verzoek voor inspectie of audit van een bevoegde overheidsinstantie ontvangt in verband met de verwerking.
• Een instructie krijgen die een schending uitmaakt van de Wetgeving inzake Gegevensbescherming en/of deze overeenkomst.
Q-Top verbindt er zich ook toe om mee te werken, zo snel als redelijkerwijs mogelijk, aan een onderzoeksvraag van de verwerkingsverantwoordelijke met het objectief van deze laatste om de verplichtingen uit de verwerkingsovereenkomst te toetsen.
Art. 11 – DPO – Data Protection Officer
Q-Top stelt een “Data Protection Officer” aan die verantwoordelijk is voor aangelegenheden in verband met privacy en gegevensbescherming. Deze Data Protection Officer kan gecontacteerd worden op: Q-Top bvba, Xxxxxxxxx 0, 0000 Xxxxxxxxx-Xxxxxxxxxx, 011 52 57
Art. 12 – Verantwoordelijkheden van de klant
De klant is verantwoordelijk voor de wettigheid van de verwerking van persoonsgegevens in het kader van de overeenkomst.
De klant verklaart en waarborgt dat wanneer hij aan Q-Top persoonsgegevens bezorgt voor verwerking:
• De klant de relevante betrokkenen afdoende geïnformeerd heeft over hun rechten en plichten, en in het bijzonder over de mogelijkheid dat Q-Top persoonsgegevens zal verwerken ten behoeve van de klant en in overeenstemming met de instructies van de klant;
• De klant bij het verzamelen en verschaffen van dergelijke persoonsgegevens de toepasselijke Wetgeving inzake Gegevensbescherming heeft nageleefd
• De klant zal alle redelijke maatregelen treffen om de persoonsgegevens up to date te houden teneinde te verzekeren dat de gegevens niet onvolledig of foutief zijn met betrekking tot de doeleinden waarvoor ze verzameld worden.
Met betrekking tot componenten die de klant voorziet of controleert, met inbegrip van, maar niet beperkt tot werkstations van waaruit men verbinding maakt met de diensten van Q-Top, gebruikte mechanismen voor gegevensoverdracht en aan het personeel van de klant verstrekte bevoegdheden, zal de klant de vereiste technische en organisatorische maatregelen voor gegevensbescherming implementeren en handhaven.