Verwerkersovereenkomst
Verwerkersovereenkomst
Versie 9 februari 2018
Gebruiker en ZorgDomein (hierna: de "Partijen")
nemen in aanmerking dat:
(a) ZorgDomein middels generieke SaaS-diensten oplossingen biedt ter ondersteuning van de communicatie in de zorg;
(b) ZorgDomein de Gebruiker onder de Voorwaarden gebruik ZorgDomein gebruik laat maken van een Product;
(c) ZorgDomein in opdracht van de Gebruiker Persoonsgegevens verwerkt, waarvan de soort Persoonsgegevens nader zijn gespecificeerd in Annex 1, en Partijen in dat kader deze verwerkersovereenkomst ("Verwerkersovereenkomst") aangaan;
(d) deze Verwerkersovereenkomst niet van toepassing is indien en voor zolang de Gebruiker in dienst is van een partij waarmee ZorgDomein een overkoepelende verwerkersovereenkomst heeft gesloten.
Partijen zijn als volgt overeengekomen:
1. Algemeen
1.1 In deze Verwerkersovereenkomst wordt verstaan onder:
• AVG: de vanaf 25 mei 2018 van toepassing zijnde Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
• Betrokkene: degene op wie een Persoonsgegeven betrekking heeft, zoals patiënten.
• Gebruiker: de partij met wie ZorgDomein deze Verwerkersovereenkomst is aangegaan.
• Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, als bedoeld in de toepasselijke Privacywetgeving, welke Gebruiker binnen ZorgDomein Verwerkt of zal Verwerken, zoals gegevens van patiënten en verwerkers.
• Privacywetgeving: alle toepasselijke wet- en regelgeving met betrekking tot de verwerking en bescherming van persoonsgegevens, waaronder maar niet beperkt tot de Wbp (tot 25 mei 2018), vanaf 25 mei 2018 de AVG en de Uitvoeringswet AVG.
• Product: een applicatie-onderdeel van ZorgDomein.
• Verwerken/Verwerking: alle handelingen of reeks handelingen uitgevoerd met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van
doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van Persoonsgegevens.
• Wbp: de Wet bescherming persoonsgegevens.
• ZorgDomein: ZorgDomein Nederland B.V.
1.2 Deze Verwerkersovereenkomst is van toepassing indien Persoonsgegevens worden Verwerkt door ZorgDomein in opdracht van de Gebruiker. ZorgDomein kwalificeert in dat geval als "Verwerker" en de Gebruiker als "Verwerkingsverantwoordelijke" in de zin van de toepasselijke Privacywetgeving.
2. Verwerking door ZorgDomein
2.1 De Gebruiker heeft uitsluitend zeggenschap over en is verantwoordelijk voor de Persoonsgegevens die deze aan ZorgDomein ter beschikking stelt. ZorgDomein Verwerkt deze Persoonsgegevens uitsluitend ten behoeve van en in opdracht van de Gebruiker en overeenkomstig diens instructies behoudens afwijkende wettelijke verplichtingen. Indien sprake is van dergelijke wettelijke verplichtingen stelt ZorgDomein de Gebruiker, voorafgaand aan de Verwerking op de hoogte van dat wettelijk voorschrift, tenzij die wetgeving zulke kennisgeving om gewichtige redenen van algemeen belang verbiedt. ZorgDomein zal de rol van Xxxxxxxxx niet overstijgen.
2.2 ZorgDomein stelt Xxxxxxxxx zo spoedig als redelijkerwijs mogelijk schriftelijk in kennis indien een instructie naar het redelijk oordeel van ZorgDomein inbreuk oplevert op de toepasselijke Privacywetgeving.
2.3 Rekening houdend met de aard van de Verwerking en de haar ter beschikking staande informatie zal ZorgDomein Gebruiker bijstand verlenen bij het doen nakomen van de verplichtingen als neergelegd in artikel 35 en 36 AVG ten aanzien van het uitvoeren van een gegevensbeschermingseffectbeoordeling, alsmede de adequate beveiliging van de Persoonsgegevens als neergelegd in artikel 13 Wbp respectievelijk 32 AVG.
2.4 ZorgDomein stelt op verzoek van Xxxxxxxxx binnen redelijke termijn alle informatie ter beschikking die redelijkerwijs nodig is om nakoming aan te tonen van de verplichtingen van Xxxxxxxxx als neergelegd in artikel 14 Wbp respectievelijk 28 AVG.
2.5 Berichtgeving aan Xxxxxxxxxxx wordt door ZorgDomein in opdracht van de Gebruiker verzonden.
3. Geheimhouding en beveiliging
3.1 Als Verwerker hanteert ZorgDomein de grootst mogelijke zorg met betrekking tot de genomen beveiligingsmaatregelen. ZorgDomein handelt conform de verplichtingen die gelden voor Verwerkers ingevolge de toepasselijke Privacywetgeving.
3.2 De door de Gebruiker verstrekte Persoonsgegevens worden door ZorgDomein uitsluitend binnen de Europese Economische Ruimte (EER) Verwerkt. ZorgDomein zal de Persoonsgegevens enkel buiten de EER Verwerken met voorafgaande schriftelijke
toestemming van Xxxxxxxxx. Een dergelijke doorgifte en Verwerking van Persoonsgegevens vindt plaats onder in de toepasselijke Privacywetgeving opgenomen voorwaarden.
3.3 ZorgDomein behandelt alle Persoonsgegevens vertrouwelijk. Deze verplichting geldt ook voor de medewerkers en onderaannemers van ZorgDomein met toegang tot Persoonsgegevens. Deze hebben een geheimhoudingsverklaring ondertekend. De medewerkers van ZorgDomein zijn getraind in een veilige omgang met Persoonsgegevens. ZorgDomein heeft daarbij maatregelen genomen om de Persoonsgegevens onbegrijpelijk te maken voor onbevoegden, onder meer door middel van gebruik van cryptografische technieken, encryptie (versleuteling) en hashing.
3.4 Gebruiker stemt er mee in dat ZorgDomein derden kan inschakelen bij de uitvoering van deze Verwerkersovereenkomst om ten behoeve van Gebruiker specifieke Verwerkingsactiviteiten te verrichten ten aanzien van de Persoonsgegevens. ZorgDomein licht Gebruiker in over beoogde veranderingen inzake de toevoeging of vervanging van dergelijke (sub)Verwerkers, waarbij Gebruiker de mogelijkheid heeft tegen deze veranderingen bezwaar te maken. ZorgDomein zal aan deze derde(n) bij overeenkomst minstens dezelfde verplichtingen inzake de Verwerking en bescherming van Persoonsgegevens opleggen als de verplichtingen die zijn opgenomen in deze Verwerkersovereenkomst. ZorgDomein zal voldoen aan de in artikel 28 lid 2 en 4 AVG gestelde voorwaarden.
4. Passende beveiligingsmaatregelen
4.1 ZorgDomein heeft passende technische en organisatorische maatregelen genomen om Persoonsgegevens te beveiligen tegen verlies of een vorm van onrechtmatige Verwerking, welke een passend beveiligingsniveau bieden gelet op de stand van de techniek, de uitvoeringskosten, alsook gelet op de aard, de omvang, context en verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's die de Verwerking van de Persoonsgegevens met zich brengen voor de rechten en vrijheden van de Betrokkenen. Deze maatregelen zijn er mede op gericht onnodige verzameling en verdere Verwerking van Persoonsgegevens te voorkomen. ZorgDomein zal hierbij, voor zover van toepassing, ten minste de beveiligingsmaatregelen als genoemd in artikel 32 lid 1 sub a tot en met d AVG treffen. ZorgDomein maakt onder meer gebruik van cryptografische technieken, encryptie (versleuteling) en hashing. Daarbij zorgt ZorgDomein voor goed ingericht sleutelbeheer en versleutelingstechnieken. De sleutels worden door ZorgDomein geheim gehouden.
4.2 ZorgDomein is ISO 27001 gecertificeerd en NEN 7510 gekwalificeerd.
5. Incidentenmanagement (datalek)
5.1 Persoonsgegevens binnen de ZorgDomein systemen zijn in beginsel onbegrijpelijk en ontoegankelijk. In het onverhoopte geval van een inbreuk op de beveiliging van de ZorgDomein systemen die mede betrekking (kunnen) hebben op de Persoonsgegevens, zal ZorgDomein Gebruiker zodra ZorgDomein kennis heeft genomen van deze inbreuk daarover zonder onredelijke vertraging informeren. Hierbij verstrekt ZorgDomein in ieder geval aan Gebruiker informatie over:
(i) de aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van Betrokkenen en Persoonsgegevens in kwestie en, bij benadering, het aantal betrokkenen en Persoonsgegevens in kwestie;
(ii) de naam en de contactgegevens van de functionaris voor gegevensbescherming;
(iii) de waarschijnlijke gevolgen van de inbreuk; en
(iv) de maatregelen die ZorgDomein heeft voorgesteld of getroffen en zal treffen om de inbreuk in verband met de Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen van de inbreuk.
5.2 Melden van een datalek aan de Autoriteit Persoonsgegevens of aan Betrokkenen is en blijft te allen tijde de verantwoordelijkheid van de Gebruiker.
5.3 Rekening houdend met de aard van de Verwerking en de haar ter beschikking staande informatie, verleent ZorgDomein Gebruiker bijstand bij het doen nakomen van de verplichtingen uit hoofde van artikel 34a Wbp respectievelijk 33 en 34 AVG betreffende (melding van) datalekken. De Gebruiker kan ZorgDomein vragen te assisteren bij het opstellen van de melding aan de Autoriteit Persoonsgegevens en/of de berichtgeving aan de relevante Betrokkenen.
6. Controle van de beveiliging
6.1 ZorgDomein zal de beveiliging van Persoonsgegevens in haar systemen regelmatig (laten) controleren. De Gebruiker kan ZorgDomein verzoeken om inzage in beveiligingsprocedures en protocollen of controleresultaten. Indien en voor zover inzage in de beveiligingsprocedures of controleresultaten van ZorgDomein naar oordeel van ZorgDomein een onaanvaardbaar risico oplevert voor die beveiliging, kan ZorgDomein volstaan met een meer algemene beschrijving van de genomen beveiligingsmaatregelen of controleresultaten.
6.2 Gebruiker is bevoegd de naleving van de beveiligingsmaatregelen te inspecteren, of de gegevensverwerkingsfaciliteiten van ZorgDomein zelf of door een door Gebruiker aan te wijzen onderzoeksinstantie te (laten) inspecteren in verband met de Verwerkingsactiviteiten die onder deze Verwerkersovereenkomst vallen (de "Inspectie"). De Inspectie wordt uitgevoerd door een onderzoeksinstantie die neutraal en deskundig is. Gebruiker draagt zorg dat de onderzoeksinstantie verplicht is tot geheimhouding van haar bevindingen tegenover derden en zal alle kosten, vergoedingen en onkosten in verband met de Inspectie betalen, met inbegrip van door ZorgDomein in dat kader gemaakte interne kosten. De Inspectie wordt in overleg met ZorgDomein uitgevoerd op een datum en tijd waarbij de bedrijfsvoering van ZorgDomein zo min mogelijk wordt gehinderd en hoogstens eenmaal per jaar. Gebruiker zal ZorgDomein onverwijld een exemplaar van het rapport van de Inspectie verstrekken.
6.3 ZorgDomein kan aan de Inspectie de voorwaarde verbinden dat de Gebruiker een geheimhoudingsovereenkomst tekent die de Gebruiker verplicht de informatie waarin ZorgDomein inzage verleent, vertrouwelijk te behandelen, geheim te houden en op geen enkele wijze te delen met derden.
7. Bewaartermijn
7.1 Patiëntgegevens zijn binnen het Product/de Producten gedurende 18 maanden beschikbaar onder andere ten behoeve van het opnieuw doen of herzenden van een Verwijzing, Order of Teleconsult.
7.2 Op nadrukkelijk verzoek van de Gebruiker en na het eindigen van de Verwerking van de betreffende Persoonsgegevensgegevens zal ZorgDomein Persoonsgegevens waarvoor de Gebruiker als Verwerkingsverantwoordelijke geldt, verwijderen, tenzij ZorgDomein op grond van een op haar rustende wettelijke verplichting gehouden is om (een deel van) de Persoonsgegevens te bewaren of indien het bewaren van (een deel van) de Persoonsgegevens naar het oordeel van ZorgDomein noodzakelijk is ter verdediging van haar rechten en belangen. De Gebruiker zal het verzoek specificeren en aangeven welke Persoonsgegevens verwijderd dienen te worden uit de data binnen de systemen van ZorgDomein.
8. Verplichtingen Gebruiker
8.1 Gebruiker is ten aanzien van de Verwerking van Persoonsgegevens krachtens deze Verwerkersovereenkomst de 'Verwerkingsverantwoordelijke' in de zin van de AVG. De Gebruiker staat ervoor in dat alle wettelijke voorschriften betreffende de te Verwerken Persoonsgegevens, waaronder de voorschriften bij of krachtens de toepasselijke Privacywetgeving en Wet Geneeskundige Behandel Overeenkomst (WGBO) gesteld, in acht zijn genomen ten aanzien van de door Gebruiker aan ZorgDomein verstrekte en te verstrekken Persoonsgegevens.
8.2 De Gebruiker staat er voor in dat het gebruik en Verwerking van de in de data opgenomen Persoonsgegevens door ZorgDomein niet onrechtmatig is of een inbreuk oplevert op de rechten van derden en vrijwaart ZorgDomein voor eventuele aanspraken van toezichthouders, Betrokkenen of (andere) derden ter zake.
8.3 De Gebruiker garandeert dat hij aan zijn informatieverplichtingen voortvloeiende uit de Privacywetgeving heeft voldaan en de Betrokkenen onder meer heeft geïnformeerd over de doeleinden van de Verwerking, en hen heeft gewezen op hun recht van verzet, inzage, correctie of verwijdering, beperking van Verwerking en overdracht van Persoonsgegevens. De Gebruiker erkent dat de informatieverplichtingen richting de Betrokkenen uitsluitend voor rekening komen van de Gebruiker.
9. Rechten van Betrokkene
9.1 ZorgDomein zal Xxxxxxxxx in kennis stellen van alle verzoeken met betrekking tot Persoonsgegevens die ZorgDomein rechtstreeks van een Betrokkene ontvangt, waaronder maar niet beperkt tot verzoeken tot inzage, rectificatie, wissing, beperking van de Verwerking of overdracht van de Persoonsgegevens. ZorgDomein geeft aan een dergelijk verzoek alleen gevolg indien Gebruiker ZorgDomein daartoe schriftelijk opdracht heeft gegeven via xxxxxxxxxxxxxxxxxxx@xxxxxxxxxx.xx. ZorgDomein zal Gebruiker door middel van passende technische en organisatorische maatregelen op haar eerste verzoek alle medewerking verlenen
bij het vervullen van diens plicht om verzoeken om uitoefening van de vastgestelde rechten van de Betrokkenen te beantwoorden.
10. Registratie
10.1 Per 25 mei 2018 zal ZorgDomein een register bijhouden van alle categorieën van Verwerkingen die zij ten behoeve van de Gebruiker verricht overeenkomstig het bepaalde in artikel 30 AVG.
10.2 Desgevraagd stelt ZorgDomein het register ter beschikking van de toezichthoudende autoriteit.
11. Beëindiging Verwerkingsdiensten
11.1 Deze Verwerkersovereenkomst is met ingang van de ingangsdatum van de Overeenkomst aangegaan en eindigt op het tijdstip dat de Overeenkomst eindigt.
11.2 Naar keuze van Gebruiker worden, na beëindiging van de Verwerkersovereenkomst, alle Persoonsgegevens gewist of deze aan Gebruiker geretourneerd, en worden bestaande kopieën van Persoonsgegevens door ZorgDomein verwijderd, tenzij ZorgDomein op grond van een op haar rustende wettelijke verplichting gehouden is om (een deel van) de Persoonsgegevens te bewaren of indien het bewaren van (een deel van) de Persoonsgegevens naar het oordeel van ZorgDomein noodzakelijk is ter verdediging van haar rechten en belangen.
Annex 1 – Persoonsgegevens en Betrokkenen
(Soort) Persoonsgegevens
Patiëntgegevens, waaronder begrepen maar niet beperkt tot:
- Naam
- Adres en woonplaats
- E-mailadres
- Telefoonnummer (vaste lijn en/of mobiele telefoon)
- Geboortedatum
- Verzekeringsgegevens: naam verzekeraar en polisnummer
- Geslacht
- BSN
- Medische gegevens in het kader van verwijzingen die kunnen worden verstrekt, waaronder begrepen maar niet beperkt tot:
- Reden van Verwijzing
- Actuele medicatie
- Allergieën en intoleranties
- Contra-indicaties
- Onderzoeksuitslagen
- Familieanamnese
- Psychosociale anamnese
- Reanimatiebeleid
- Levenstestament, donorcodicil
- Verslagen van specialisten over de patiënt, waarbij de soort medische gegevens gezien de individuele aard van de Verwijzingen per Betrokkene kunnen verschillen.
Persoonsgegevens van de Verwijzer, waaronder begrepen maar niet beperkt tot:
- Naam
- Adres en woonplaats
- E-mailadres
- Telefoonnummer (vaste lijn en/of mobiele telefoon)
- Geboortedatum
- AGB code en/of BIG registratienummer
- Geslacht
(Categorieën van) Xxxxxxxxxxx
- patiënten
- (medewerkers van) de Verwijzer