ARTIKEL 1 DEFINITIES
Voorwaarden voor Gegevensverwerking Versie 1.0
ARTIKEL 1 DEFINITIES
1. De met hoofdletters weergegeven termen in deze Voorwaarden voor Gegevensverwerking hebben de betekenis als omschreven in dit artikel. Wanneer in deze Voorwaarden voor Gegevensbescherming termen worden gebruikt die overeenstemmen met de definities van artikel 4 AVG, worden die termen geacht de betekenis te hebben als voorzien in de AVG. Wanneer in een definitie in dit artikel het enkelvoud wordt gebruikt, wordt dit geacht ook het meervoud te omvatten, en omgekeerd, tenzij het tegendeel uitdrukkelijk wordt aangegeven of uit de context blijkt.
a. Overeenkomst: de overeenkomst tussen de Verwerkingsverantwoordelijke en de Verwerker, of, bij gebrek aan een schriftelijke overeenkomst, het aanbod van de Verwerker en de aanvaarding daarvan door de Verwerkingsverantwoordelijke betreffende de verrichting van diensten met betrekking tot de Landelijke Prevalentiemeting Zorgkwaliteit (LPZ), op grond waarvan de Verwerker Persoonsgegevens verwerkt voor de Verwerkingsverantwoordelijke met het oog op de uitvoering van deze overeenkomst.
b. Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt en die een overeenkomst met de Verwerker is aangegaan waarvan deze Voorwaarden voor Gegevensverwerking deel uitmaken.
c. Voorwaarden voor Gegevensverwerking: het onderhavige document, zoals bedoeld in artikel 28, lid 3, AVG.
d. Werknemer: de werknemers die door de Verwerker worden ingeschakeld, voor wier activiteiten deze verantwoordelijk is en die door de Verwerker worden ingezet voor de uitvoering van de overeenkomst.
e. AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
f. Schriftelijk: schriftelijk of langs elektronische weg vastgelegd, zoals bedoeld in artikel 6:227a van het Burgerlijk Wetboek.
g. Partij: de Verwerkingsverantwoordelijke of de Verwerker.
h. Partijen: de Verwerkingsverantwoordelijke en de Verwerker.
i. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens, zoals bedoeld in artikel 4, onder 2), AVG.
j. Verwerker: Universiteit Maastricht, statutair gevestigd op Xxxxxxxxxxxxxxxxxx 0-0 0000 XX Xxxxxxxxxx, KvK-nummer 50169181, die Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke.
k. Gevoelige Persoonsgegevens: Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, zoals bedoeld in artikel 9 AVG.
Pagina 1 van 5
l. Dienst: de dienst(en) die de Verwerker op grond van de Overeenkomst aan de Verwerkingsverantwoordelijke moet leveren.
m. Subverwerker: een andere verwerker, zoals – maar niet beperkt tot – groepsondernemingen, zusterondernemingen, dochterondernemingen en ondersteunende leveranciers die door de Verwerker voor rekening van de Verwerkingsverantwoordelijke worden ingeschakeld om specifieke verwerkingsactiviteiten te verrichten.
ARTIKEL 2 VERWERKING
2.1 De Voorwaarden voor Gegevensverwerking vormen een aanvulling op de Overeenkomst en vervangen alle eerdere afspraken tussen de Partijen over de verwerking van Persoonsgegevens. In het geval van strijdigheid tussen de bepalingen van de Voorwaarden voor Gegevensverwerking en de Overeenkomst prevaleren de bepalingen van de Voorwaarden voor Gegevensverwerking.
2.2 De Voorwaarden voor Gegevensverwerking gelden voor alle Verwerking in het kader van uitvoering van de Overeenkomst.
2.3 De Verwerkingsverantwoordelijke geeft de Verwerker opdrachten en instructies voor de verwerking van Persoonsgegevens namens de Verwerkingsverantwoordelijke. De Verwerker verwerkt uitsluitend de Persoonsgegevens die hem door de Verwerkingsverantwoordelijke zijn verstrekt.
2.4 De Verwerker verwerkt de Persoonsgegevens uitsluitend in opdracht van de Verwerkingsverantwoordelijke volgens de instructies van de Verwerkingsverantwoordelijke voor zover verwerking noodzakelijk is voor de uitvoering van de overeenkomst, en nooit voor andere doeleinden, tenzij de Verwerker krachtens het toepasselijke recht van de Unie of de lidstaat tot verwerking gehouden is. In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke voorafgaand aan de Verwerking Schriftelijk in kennis van de betreffende wettelijke voorschriften, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Als de Persoonsgegevens geanonimiseerd zijn, kan de Verwerker deze anonieme gegevens zonder voorafgaande toestemming van de Verwerkingsverantwoordelijke gebruiken voor verder wetenschappelijk onderzoek.
2.5 De Verwerker en de Verwerkingsverantwoordelijke houden zich aan de AVG en de overige toepasselijke wetgeving. De Verwerkingsverantwoordelijke is verantwoordelijk voor de rechtmatige grondslag voor verwerking overeenkomstig artikel 6 AVG.
2.6 Het doel van de Verwerking van Persoonsgegevens door de Verwerker is de deelname van de Verwerkingsverantwoordelijke aan de Landelijke Prevalentiemeting Zorgkwaliteit. De door de Verwerker verwerkte Persoonsgegevens bestaan uit de gepseudonimiseerde antwoorden van de patiënten van de Verwerkingsverantwoordelijke op de vragenlijst van de Landelijke Prevalentiemeting Zorgkwaliteit. Uiterlijk drie dagen nadat de Verwerkingsverantwoordelijke de verzochte gepseudonimiseerde gegevens in de digitale omgeving van de Verwerker heeft ingevoerd, vernietigt de Verwerkingsverantwoordelijke de sleutel om de gepseudonimiseerde gegevens te ontsleutelen definitief. Dit zorgt ervoor dat de Verwerker anonieme gegevens verwerkt.
2.7 De Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de verplichtingen voorzien in de artikelen 13 en 14 AVG.
ARTIKEL 3 BIJSTAND EN MEDEWERKING
3.1 De Verwerker biedt de Verwerkingsverantwoordelijke alle nodige bijstand en medewerking bij de naleving van de verplichtingen die voor de partijen gelden op grond van de AVG, in het bijzonder de verplichtingen uit hoofde van de artikelen 32 tot en met 36, rekening houdend met de aard van de Verwerking en de informatie die de Verwerker ter beschikking staat.
3.2 Rekening houdend met de aard van de Verwerking verleent de Verwerker de Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand bij het vervullen van de plicht van de Verwerkingsverantwoordelijke om verzoeken om uitoefening van de in hoofdstuk III van de AVG vastgestelde rechten van de betrokkene te beantwoorden.
ARTIKEL 4 TOEGANG TOT PERSOONSGEGEVENS
4.1 De Verwerker beperkt de toegang tot Persoonsgegevens voor Werknemers, Subverwerkers, derden en andere ontvangers van Persoonsgegevens tot het noodzakelijke minimum.
4.2 De Verwerkingsverantwoordelijke staat in het algemeen toe dat de Verwerker Subverwerkers toegang verleent tot de Persoonsgegevens.
4.3 Op het eerste verzoek van de Verwerkingsverantwoordelijke verstrekt de Verwerker de Verwerkingsverantwoordelijke een lijst met de Subverwerkers die door de Verwerker zijn ingeschakeld om namens de Verwerkingsverantwoordelijke de Verwerking uit te voeren. Momenteel is Flycatcher B.V., een Nederlandse onderneming, de enige Subverwerker die is ingehuurd voor de uitvoering van de Overeenkomst.
4.4 De Verwerker legt de verplichtingen voorzien in de Verwerkersovereenkomst ook op aan de door hem ingeschakelde Subverwerkers.
ARTIKEL 5 BEVEILIGING
5.1 De Verwerker neemt passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, zodat de Verwerking voldoet aan de vereisten van de AVG.
5.2 Bij de beoordeling van het passende beveiligingsniveau houdt de Verwerker rekening met de met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
ARTIKEL 6 AUDITS
De Verwerker is gehouden om op verzoek van de Verwerkingsverantwoordelijke regelmatig, maar niet meer dan één keer per jaar, een audit van de organisatie van de Verwerker te laten uitvoeren door een onafhankelijke, externe deskundige om aan te tonen dat de Verwerker voldoet aan de bepalingen van de Voorwaarden voor Gegevensverwerking. De audit beperkt zich tot de verwerkingsactiviteiten die de Verwerker namens de Verwerkingsverantwoordelijke verricht. De kosten van de audit komen voor rekening van de Verwerkingsverantwoordelijke.
ARTIKEL 7 INBREUKEN IN VERBAND MET PERSOONSGEGEVENS
7.1 De Verwerker stelt de Verwerkingsverantwoordelijke zonder onredelijke vertraging en waar mogelijk uiterlijk 72 uur na constatering in kennis van een inbreuk in verband met Persoonsgegevens of het redelijke vermoeden dat deze heeft plaatsgevonden, indien deze inbreuk gevolgen heeft voor de verwerkingsactiviteiten die namens de Verwerkingsverantwoordelijke worden verricht.
7.2 De Verwerker houdt een Schriftelijk register bij van alle inbreuken in verband met Persoonsgegevens die betrekking hebben op of verband houden met de (tenuitvoerlegging van) de Overeenkomst, met inbegrip van de feiten omtrent de inbreuk in verband met Persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Op verzoek van de
Verwerkingsverantwoordelijke verstrekt de Verwerker de Verwerkingsverantwoordelijke een kopie van de relevante aantekeningen in dit register.
ARTIKEL 8 DOORGIFTE VAN PERSOONSGEGEVENS
Doorgifte van Persoonsgegevens aan een derde land of een internationale organisatie vindt uitsluitend plaats indien de Verwerker daarbij voldoet aan de in de AVG vastgestelde voorwaarden.
ARTIKEL 9 AANSPRAKELIJKHEID
9.1 De Verwerker is aansprakelijk voor alle schade die rechtstreeks door de Verwerker wordt veroorzaakt ten gevolge van of in verband met een gebrekkige naleving van de Voorwaarden voor Gegevensverwerking, tot het maximale bedrag dat door de aansprakelijkheidsverzekering wordt gedekt.
9.2 De Verwerker vrijwaart de Verwerkingsverantwoordelijke voor eventuele vorderingen, boetes en/of maatregelen van derden, waaronder betrokkenen en de toezichthoudende autoriteit, die tegen de Verwerker worden ingediend of hem worden opgelegd naar aanleiding van een inbreuk op de Voorwaarden voor Gegevensverwerking door de Verwerker.
9.3 De Verwerker is in geen geval aansprakelijk voor niet-naleving door de Verwerkingsverantwoordelijke van de Voorwaarden voor Gegevensverwerking en/of de AVG en de overige toepasselijke wetgeving.
ARTIKEL 10 DUUR EN BEËINDIGING
10.1 De Voorwaarden voor Gegevensverwerking zijn van toepassing gedurende de looptijd van de Overeenkomst.
10.2 Binnen drie (3) maanden na beëindiging van de Overeenkomst vernietigt, anonimiseert en/of retourneert de Verwerker alle Persoonsgegevens en/of draagt de Verwerker deze over aan de Verwerkingsverantwoordelijke en/of aan een door de Verwerkingsverantwoordelijke aangewezen derde, naar keuze van de Verwerkingsverantwoordelijke. Alle bestaande (overige) kopieën van Persoonsgegevens, ongeacht of deze in het bezit zijn van Subverwerkers, moeten ook aantoonbaar definitief worden verwijderd, tenzij opslag van de Persoonsgegevens Unierechtelijk of lidstaatrechtelijk verplicht is.
10.3 De Verwerkingsverantwoordelijke kan aanvullende voorwaarden stellen aan de wijze waarop de Persoonsgegevens worden vernietigd, geretourneerd en/of overgedragen, inclusief voorwaarden betreffende het bestandsformaat. De kosten die deze aanvullende voorwaarden met zich meebrengen, komen voor rekening van de Verwerkingsverantwoordelijke.
10.4 Verplichtingen uit hoofde van de Voorwaarden voor Gegevensverwerking die naar hun aard bestemd zijn om van kracht te blijven na beëindiging van deze Gegevensverwerkingsovereenkomst, blijven na beëindiging van de Overeenkomst van toepassing.
ARTIKEL 11 WIJZIGINGEN, TOEPASSELIJK RECHT EN RECHTSMACHT
11.1 Als een of meer bepalingen van deze Voorwaarden voor Gegevensverwerking ongeldig of anderszins niet-bindend blijken te zijn, heeft dit geen gevolgen voor de geldigheid van de overige bepalingen van deze Voorwaarden voor Gegevensverwerking.
11.2 De Verwerker heeft te allen tijde het recht om deze Voorwaarden voor Gegevensverwerking te wijzigen. De Verwerkingsverantwoordelijke wordt Schriftelijk van deze wijzigingen in kennis gesteld voordat zij van kracht worden.
11.3 De Voorwaarden voor Gegevensbescherming en de tenuitvoerlegging daarvan worden beheerst door het Nederlands recht.
11.4 Alle geschillen tussen de Partijen die verband houden met de Voorwaarden voor Gegevensbescherming worden voorgelegd aan de bevoegde rechtbank in de plaats waar de Verwerker statutair gevestigd is.