ALGEMENE VOORWAARDEN DOORGIFTE PRAKTIJKGEGEVENS

ALGEMENE VOORWAARDEN DOORGIFTE PRAKTIJKGEGEVENS

Definities:

Opdracht: de door deze Algemene Voorwaarden Doorgifte Praktijkgegevens beheerste rechtsverhouding tussen de Opdrachtgever en het KNGF om Praktijkgegevens uit de LDF via een reeds bestaande infrastructuur door te geven aan de Zorgverzekeraar volgens het Dataprotocol;

AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de

bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening

Gegevensbescherming);

Betrokkene: de natuurlijke persoon op wie een Persoonsgegeven betrekking heeft;

Zorgverzekeraar: de zorgverzekeraar met wie de Opdrachtgever een Onderliggende Overeenkomst sluit;

Onderliggende Overeenkomst: de overeenkomst tussen Opdrachtgever en Zorgverzekeraar waarbij de Zorgverzekeraar op basis waarvan Opdrachtgever Praktijkgegevens aan de Zorgverzekeraar dient te verstrekken;

Opdrachtgever: de partij deelneemt aan de LDF en die Opdrachtnemer opdracht geeft tot doorgifte van de Praktijkgegevens;

KNGF: Het Koninklijk Nederlands Genootschap voor Fysiotherapie te Amersfoort, tevens Opdrachtnemer;

LDF: De Landelijke Database Fysiotherapie van het KNGF;

Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die

Opdrachtgever op grond van de Onderliggende Overeenkomst Verwerkt of dient te Verwerken als onderdeel van de Praktijkgegevens;

Praktijkgegevens: alle hier genoemde gegevens. In zeer beperkte gevallen gaat het hierbij om Persoonsgegevens, in welk geval “Deel 2. VERWERKERSREGLEMENT” van toepassing is;

Privacywetgeving: alle toepasselijke wet- en regelgeving met betrekking tot de Verwerking en bescherming van persoonsgegevens, waaronder maar niet beperkt tot de AVG en de Uitvoeringswet AVG;

Uitvoeringswet AVG: Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de

Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming);

Verwerken/verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het

verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van persoonsgegevens.

DEEL 1. OVEREENKOMST VAN OPDRACHT

1. Xxxx opdracht, zorgplicht en vergoeding

1.1 Het KNGF verricht de navolgende werkzaamheden voor Opdrachtgever: KNGF verzorgt twee keer per kalenderjaar doorgifte van de Praktijkgegevens aan Zorgverzekeraar in het kader van de Module Minimale Data Set voor lage rug en COPD. Op basis van de Praktijkgegevens en aan de hand van door Zorgverzekeraar bepaalde maatstaven bepaalt Zorgverzekeraar of de Opdrachtgever in aanmerking komt voor bepaalde vergoedingen. Opdrachtgever en Zorgverzekeraar hebben hiertoe een Onderliggende Overeenkomst gesloten of zij zullen deze binnen een jaar sluiten. KNGF is hierin geen partij; hij geeft enkel namens Opdrachtgever de Praktijkgegevens door aan Zorgverzekeraar.

1.2 Opdrachtgever is aan KNGF geen vergoeding verschuldigd voor het volbrengen van de Opdracht.

1.3 Het KNGF moet bij diens werkzaamheden de zorg van een goed opdrachtnemer in acht nemen. Voor het overige is de wijze van uitvoering van de opdracht geheel ter vrije bepaling de KNGF.

2. Xxxx opdracht en opzegging

2.1 De Opdracht betreft een eenmalige datalevering aan de Zorgverzekeraar in oktober 2021. Partijen kunnen de Opdracht op ieder moment tussentijds schriftelijk opzeggen met inachtneming van een opzegtermijn van een (1) maand.

2.2 Opdrachtgever zal op eerste verzoek desgevraagd een afschrift van de Onderliggende Overeenkomst aan Opdrachtnemer overleggen. Indien blijkt dat langer dan een (1) jaar geen Onderliggende Overeenkomst tussen Opdrachtgever en Zorgverzekeraar bestaat, zal de Opdracht van rechtswege eindigen.

3. Aansprakelijkheid

Partijen zijn slechts aansprakelijk voor schade die is veroorzaakt door een toerekenbare tekortkoming of onrechtmatige daad tot enig bedrag dat de beroeps- of bedrijfsaansprakelijkheidsverzekering van de schadeveroorzakende partij (eventueel) uitkeert, behoudens opzet en grove schuld. Vergoeding van enige indirecte/ gevolgschade is uitgesloten.

4. Onderaanneming

Het is het KNGF toegestaan om bepaalde rechten en/of verplichtingen die voorvloeien uit deze Opdracht in onderaanneming te laten uitvoeren door een derde. Het KNGF is verplicht om aan die derde dezelfde verplichtingen uit de Opdracht op te leggen en ziet toe op de naleving daarvan door die derde. De betreffende afspraken met de derde zullen schriftelijk worden vastgelegd. Het KNGF staat jegens Opdrachtgever in voor een correcte naleving van de plichten uit de Opdracht door die derde.

5. Geheimhouding

5.1 Opdrachtnemer is zowel tijdens de looptijd van de opdracht als daarna verplicht tot geheimhouding van de Praktijkgegevens, waaronder de Persoonsgegevens die direct en indirect door Opdrachtgever aan hem worden verstrekt, behoudens indien Opdrachtgever voor enige mededeling uitdrukkelijke toestemming heeft gegeven, enig wettelijk voorschrift of rechterlijk bevel hem tot mededeling verplicht dan wel dit vanwege de uitvoering van de Opdracht noodzakelijk is.

5.2 Opdrachtnemer draagt ervoor zorg dat een ieder die onder zijn gezag handelt, verplicht is tot geheimhouding van de persoonsgegevens waarvan hij/zij kennis neemt overeenkomstig het gestelde in lid 1 van dit artikel.

6. Diversen

6.1 Indien één of meer bepalingen van deze Opdracht niet rechtsgeldig blijkt te zijn, zal de Opdracht voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.

6.2 Op deze overeenkomst is uitsluitend Nederlands recht van toepassing.

6.3 Alle geschillen welke tussen partijen mochten ontstaan – naar aanleiding van de opdracht, nadere overeenkomsten of andere (rechts)handelingen in samenhang met de Opdracht – zullen worden beslecht door de bevoegde rechter in het arrondissement Midden-Nederland.

6.4 Een geschil ten aanzien van een bepaalde rechtsvordering dient aanhangig gemaakt te zijn binnen twee (2) jaar nadat de rechtsvordering is ontstaan en aan de eisende partij bekend is geraakt, onverminderd de mogelijkheid van eerder verval of van verjaring overeenkomstig de wet.

DEEL 2. VERWERKERSREGLEMENT

7. Inleiding

Het KNGF Verwerkt Persoonsgegevens ten behoeve van de Opdrachtgever, overeenkomstig diens schriftelijke instructies en onder diens verantwoordelijkheid en op de wijze vastgelegd in de Onderliggende Overeenkomst.

8. Algemene verplichtingen KNGF

8.1 Het KNGF heeft geen zeggenschap over het doel van en de middelen voor de Verwerking van Persoonsgegevens en neemt geen zelfstandige beslissingen over het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van Persoonsgegevens.

8.2 Het KNGF stelt Opdrachtgever onmiddellijk schriftelijk in kennis indien een instructie naar het redelijk oordeel van het KNGF inbreuk oplevert op de toepasselijke Privacywetgeving.

8.3 Het KNGF stelt op eerste verzoek van Opdrachtgever de redelijkerwijs benodigde informatie ter beschikking die nodig is om de nakoming van de in deze Opdracht neergelegde verplichtingen aan te tonen.

8.4 Het KNGF dient zorg te dragen voor de naleving van de voorwaarden die op grond van de toepasselijke Privacywetgeving worden gesteld aan het Verwerken van Persoonsgegevens.

8.5 Het KNGF verschaft enkel toegang tot de Persoonsgegevens aan haar werknemers voor zover dit nodig is voor het verrichten van de diensten op grond van de Onderliggende Overeenkomst.

9. Verstrekking Persoonsgegevens aan derden

9.1 KNGF zal geen Persoonsgegevens aan een derde verstrekken of ter beschikking stellen tenzij (i) dit expliciet is toegestaan in de Onderliggende Overeenkomst, (ii) op grond van een uitdrukkelijke schriftelijke opdracht van Opdrachtgever of (iii) op bevel van een gerechtelijke of bestuurlijke instantie, op voorwaarde dat het KNGF in dat geval de Opdrachtgever binnen vierentwintig (24) uur na ontvangst van een dergelijk bevel daarvan in kennis stelt om Opdrachtgever zodoende in staat te stellen daartegen een haar ter beschikking staand rechtsmiddel in te stellen.

9.2 Indien het KNGF van oordeel is dat zij op grond van een wettelijke verplichting Persoonsgegevens ter beschikking dient te stellen aan een daartoe bevoegde instantie zal zij daar niet toe overgaan, dan na overleg met Opdrachtgever. Zij zal Opdrachtgever zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die de Opdrachtgever redelijkerwijs nodig heeft om de benodigde maatregelen te treffen om te bepalen of verstrekking kan plaatsvinden en, zo ja, onder welke voorwaarden.

10. Verwerking buiten Nederland/de EER

Het KNGF mag de Persoonsgegevens enkel buiten de Europese Economische Ruimte Verwerken met voorafgaande schriftelijke toestemming van Opdrachtgever, waaraan de Opdrachtgever bepaalde voorwaarden kan verbinden.

11. Verzoeken van Betrokkenen

11.1 Het KNGF dient Opdrachtgever in kennis te stellen van alle verzoeken die rechtstreeks van Betrokkenen zijn ontvangen met betrekking tot de rechten van Betrokkenen op grond van de toepasselijke Privacywetgeving, waaronder maar niet beperkt tot verzoeken tot inzage, rectificatie, wissing, beperking van verwerking of overdracht van de Persoonsgegevens. Het KNGF geeft aan een dergelijk verzoek alleen gevolg indien de Opdrachtgever het KNGF daartoe schriftelijk opdracht heeft gegeven. Het KNGF zal de Opdrachtgever door middel van passende technische en organisatorische maatregelen op haar eerste verzoek alle medewerking verlenen bij het vervullen van diens plicht om verzoeken om uitoefening van de vastgestelde rechten van de Betrokkenen te beantwoorden.

11.2 Het KNGF handelt alle verzoeken om inlichtingen van Opdrachtgever met betrekking tot de Verwerking van de Persoonsgegevens vlot en behoorlijk af. Het KNGF stelt op eerste verzoek van Opdrachtgever alle informatie ter beschikking die nodig is om de nakoming van de verplichtingen van Opdrachtgever als neergelegd in deze Opdracht en artikel 28 AVG aan te tonen.

11.3 Het KNGF zal Opdrachtgever op verzoek medewerking verlenen aan het uitvoeren van een gegevensbeschermingseffectbeoordeling (data protection impact assessment) en een eventuele voorafgaande raadpleging op grond van toepasselijke Privacywetgeving.

12. Inschakelen derden door het KNGF bij uitvoering Opdracht

Het KNGF heeft een derde – Mediquest B.V. te Utrecht - ingeschakeld om ten behoeve van Opdrachtgever specifieke verwerkingsactiviteiten te verrichten (als sub-verwerker), waarbij het KNGF aan deze andere derde bij overeenkomst minstens dezelfde verplichtingen inzake de Verwerking en bescherming van Persoonsgegevens heeft opgelegd als de verplichtingen die zijn opgenomen in deze opdracht.

13. Meldplicht datalekken

13.1 Het KNGF dient Opdrachtgever onverwijld en in ieder geval uiterlijk binnen 24 uur nadat het KNGF ervan kennis heeft gekregen, in kennis te stellen van iedere inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de Verwerking van Persoonsgegevens.

13.2 Het KNGF dient de Opdrachtgever in ieder geval informatie te verstrekken over het volgende:

(i) de aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van Betrokkenen in kwestie en, bij benadering, het aantal Betrokkenen in kwestie;

(ii) de (mogelijk) getroffen Persoonsgegevens en, bij benadering, het aantal getroffen Persoonsgegevens in kwestie;

(iii) de vastgestelde en verwachte gevolgen van de inbreuk voor de Verwerking van de Persoonsgegevens en de daarbij betrokken personen; en

(iv) de maatregelen die het KNGF heeft getroffen en zal treffen om de inbreuk te corrigeren/ aanpassingen te doen om verdere schade te beperken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele negatieve gevolgen van de inbreuk.

13.3 De kennisgeving als bedoeld in artikel 13.1 zal zowel telefonisch als per e-mail worden gedaan. Na ontvangst van de kennisgeving zal de Opdrachtgever het KNGF informeren over de wijze waarop de Opdrachtgever, indien noodzakelijk, een eventueel datalek zal melden bij de Autoriteit Persoonsgegevens.

13.4 Het KNGF erkent dat de Opdrachtgever onder omstandigheden wettelijk verplicht is om een inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de Persoonsgegevens die het KNGF Verwerkt, aan Betrokkenen en/of autoriteiten te melden. Een dergelijke melding door de Opdrachtgever zal nimmer als tekortkoming in de nakoming van deze Opdracht of Onderliggende Overeenkomst of anderszins als onrechtmatige handeling worden beschouwd. Het KNGF zal alle maatregelen treffen die nodig zijn om de (mogelijke) schade van een inbreuk op de beveiliging te beperken en zal de Opdrachtgever ondersteunen bij meldingen aan Betrokkenen en/of de Autoriteit Persoonsgegevens.

13.5 Het KNGF zal ervoor zorgdragen dat (mogelijk) bewijs met betrekking tot de inbreuk bedoeld in artikel 13.1, met inbegrip maar niet beperkt tot log files, analyses van netwerkverkeer en access control data, zo veel als mogelijk bewaard blijft en desgevraagd aan Opdrachtgever ter beschikking wordt gesteld.

14. Bewaartermijn Persoonsgegevens

Het KNGF zal de Persoonsgegevens niet langer dan 6 maanden na doorgifte van de Praktijkgegevens aan de Zorgverzekeraar vernietigen. Indien bepaalde Persoonsgegevens naar het oordeel van de Opdrachtgever niet langer bewaard mogen of behoeven worden, zal het KNGF op schriftelijk verzoek van de Opdrachtgever, onverwijld de betreffende door Opdrachtgever gespecificeerde Persoonsgegevens vernietigen en aan de Opdrachtgever verklaren dat hij dit heeft uitgevoerd.

15. Beveiligingsmaatregelen en inspectie

15.1 Het KNGF zal conform artikel 32 AVG alle passende technische en organisatorische maatregelen nemen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen, garanderen een passend beveiligingsniveau gelet op de stand van de techniek, de uitvoeringskosten, alsook gelet op de aard, de omvang, context en verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's die Verwerking van de Persoonsgegevens die het KNGF Verwerkt met zich meebrengen voor de rechten en vrijheden van de Betrokkenen.

15.2 Het KNGF dient de Opdrachtgever te informeren indien een van de beveiligingsmaatregelen materieel wijzigt.

15.3 Het KNGF staat toe dat de Opdrachtgever de naleving van de beveiligingsmaatregelen door het KNGF inspecteert of dat op verzoek van Opdrachtgever de gegevensverwerkingsfaciliteiten van het KNGF door een door Opdrachtgever aan te wijzen onderzoeksinstantie worden geïnspecteerd in verband met de verwerkingsactiviteiten die onder deze Opdracht vallen ('de Inspectie'). De Inspectie wordt na een aanzegtermijn van ten minste twee (2) werkdagen uitgevoerd door een onderzoeksinstantie, die naar het redelijk oordeel van het KNGF neutraal en deskundig is. Opdrachtgever draagt zorg dat de onderzoeksinstantie verplicht is tot geheimhouding van haar bevindingen tegenover derden.

15.4 De Opdrachtgever zal alle kosten, vergoedingen en onkosten in verband met de Inspectie betalen, met inbegrip van redelijke door het KNGF gemaakte interne kosten.

15.5 De Opdrachtgever zal het KNGF een exemplaar van het rapport van de Inspectie verstrekken.

16. Verplichtingen Verwerkingsverantwoordelijken

16.1 Opdrachtgever is – gezamenlijk met de Zorgverzekeraar - ten aanzien van de Verwerking van Persoonsgegevens krachtens deze Opdracht de 'Verwerkingsverantwoordelijke' zoals omschreven in artikel 4 sub 7 AVG.

16.2 Opdrachtgever gaat ermee akkoord en staat in voor de Verwerking van de Persoonsgegevens overeenkomstig deze Opdracht in overeenstemming is met de toepasselijke Privacywetgeving.