Verwerkersovereenkomst Caresharing B.V.
Verwerkersovereenkomst Caresharing B.V.
Gebaseerd op model Verwerkersovereenkomst Brancheorganisaties Zorg
verenigd in
Colofon | ||
Document | : | |
Service | : | Caresharing |
Leverancier | : | Caresharing B.V. |
Auteur | : | Caresharing B.V. |
Versie | : | 2022.07 |
Datum | : | Juli 2022 (wijziging bijlage 1) |
Classificatie | : | Intern gebruik |
Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die Caresharing B.V, gevestigd en kantoorhoudende te Amsterdam (1012 DG) aan de Xxxxxxxxx Xxxxxxxxxxxxx 000-X, hierbij rechtsgeldig vertegenwoordigd door dhr. T.H.J. Rietjens en X.X.X. Xxxxxxxx, hierna te noemen: “Verwerker”, uitvoert ten behoeve van de wederpartij aan wie zij haar diensten levert, hierna te noemen:
“Verwerkingsverantwoordelijke”.
Verwerker en Verwerkingsverantwoordelijke worden hierna gezamenlijk ook aangeduid
als: “Partijen” en afzonderlijk als “Partij”.
(a) Verwerker diensten verricht ten behoeve van Verwerkingsverantwoordelijke, zoals beschreven in de in Bijlage 1 omschreven overeenkomsten.
(b) De diensten meebrengen dat Persoonsgegevens worden verwerkt, waaronder gegevens betreffende de gezondheid.
(c) Verwerker de betreffende gegevens louter in opdracht van Verwerkingsverantwoordelijke verwerkt en niet voor eigen doeleinden.
(d) Per 25 mei 2018 van toepassing zal zijn Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (Algemene verordening gegevensbescherming).
(e) Partijen in deze Verwerkersovereenkomst de afspraken met betrekking tot de verwerking van Persoonsgegevens in het kader van de diensten wensen vast te leggen.
(f) Deze Verwerkersovereenkomst, indien van toepassing, alle eerdere Overeenkomst(en) van gelijke strekking tussen Partijen vervangt.
VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:
Artikel 1. Definities
1.1. In deze Verwerkersovereenkomst wordt onder de volgende met een hoofdletter aangeduide begrippen het volgende verstaan:
a) | Algemene Verordening Gegevens Bescherming of AVG | Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG. |
b) | Algemene voorwaarden | De Algemene Voorwaarden Caresharing B.V. |
c) | Betrokkene | Een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4 sub 1 AVG). |
d) | Caresharing | De door Verwerker geleverde Software as a Service (SaaS) dienst, zoals bijvoorbeeld maar niet beperkt tot de SaaS-dienst cBoards en cKIS. |
e) | Derde | Een derde als bedoeld in artikel 4 sub 10 AVG. |
f) | Functionaris voor de Gegevensbescherming | Een functionaris als bedoeld in artikel 37 e.v. AVG. |
g) | Incident | i Een onderzoek naar of beslaglegging door overheidsfunctionarissen op de Persoonsgegevens of een vermoeden dat dit gaat plaatsvinden; ii Een inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 onder 12 AVG; iii Iedere ongeautoriseerde toegang, verwijdering, verminking, verlies of enige andere vorm van onrechtmatige verwerking van de Persoonsgegevens. iv Een gedetecteerde verstoring of dreigende verstoring van het overeengekomen serviceniveau van Caresharing. |
h) | Individuele Gebruiker | De aan de Verwerkings- verantwoordelijke of Lid verbonden persoon die niet aangeduid kan worden |
als Professionele Gebruiker zoals bijvoorbeeld maar niet beperkt tot een patiënt, cliënt of een mantelzorger. Verbondenheid aan de Verwerkingsverantwoordelijke of het Lid ontstaat doordat de Verwerkingsverantwoordelijke of het Lid de Individuele Gebruiker toegang verschaft tot het Netwerk. | ||
i) | Lid/Leden | Lid (in meervoud ‘Leden’), de aan de Verwerkingsverantwoordelijke verbonden ketenpartner zoals bijvoorbeeld maar niet beperkt tot een huisartsenpraktijk, een praktijk van medische specialisten, een praktijk van paramedici of een ziekenhuis. Verbondenheid aan de Verwerkingsverantwoordelijke ontstaat doordat de Verwerkingsverantwoordelijke het Lid toegang verschaft tot het Netwerk. |
j) | Medewerker | De door Partijen voor de uitvoering van deze Verwerkersovereenkomst betrokken natuurlijke persoon die werkzaam is bij of voor een van de Partijen. |
k) | Netwerk | De sociale kaart in het op grond van de Overeenkomst geleverde product (te weten: Caresharing), bestaande uit de Verwerkingsverantwoordelijke, Leden, de Professionele Gebruiker en/of Individuele Gebruiker. |
l) | Overeenkomst | De in Bijlage 1 vermelde overeenkomst(en) betreffende de levering van producten en/of diensten. |
m) | Partij | Verwerkingsverantwoordelijke of Verwerker. |
n) | Partijen | Verwerkingsverantwoordelijke en Verwerker. |
o) | Persoonsgegeven | Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van artikel 4 onder 1 AVG. |
p) | Professionele Gebruiker | De Medewerker(s) van de Verwerkingsverantwoordelijke of van een Lid. |
q) | Subverwerker | Iedere niet-ondergeschikte derde partij die door Xxxxxxxxx is betrokken bij de verwerking van Persoonsgegevens in het kader van de Overeenkomst, niet zijnde Medewerkers. |
r) | Vecozo | Landelijk communicatiepunt voor de zorg geleverd door Vecozo B.V. Biedt een veilige en kwalitatief hoogwaardige digitale omgeving waarin ketenpartijen administratieve gegevens kunnen uitwisselen. Alle zorgverzekeraars, zorgkantoren, en nagenoeg alle zorgaanbieders en (indirect) gemeenten zijn bij VECOZO aangesloten. |
s) | Verwerker | De verwerker als bedoeld in artikel 4 sub 8 AVG |
t) | De onderhavige overeenkomst. | |
u) | Verwerkingsverantwoordelijke | De verwerkingsverantwoordelijke als bedoeld in artikel 4 sub 7 AVG |
v) | Wet bescherming persoonsgegevens of Wbp | Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens), inclusief latere wijzigingen. |
1.2. Voornoemde en overige begrippen worden geïnterpreteerd overeenkomstig de AVG. Tot aan 25 mei 2018 worden begrippen geïnterpreteerd overeenkomstig de vergelijkbare bepaling uit de Wbp.
1.3. Waar in deze Verwerkersovereenkomst naar bepaalde normen wordt verwezen (zoals NEN7510) wordt daarmee steeds gedoeld op de meest actuele versie daarvan. Voor zover de betreffende norm niet meer wordt onderhouden, dient in de plaats daarvan de meest actuele versie van de logische opvolger van de betreffende norm gelezen te worden.
1.4. Eventuele aanpassingen op de oorspronkelijke tekst zijn opgenomen in bijlage 3.
Artikel 2. Onderwerp van deze Verwerkersovereenkomst
2.1. Deze Verwerkersovereenkomst heeft betrekking op de verwerking van Persoonsgegevens door Verwerker in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst(en).
2.2. Partijen sluiten de Overeenkomst(en) om de expertise die Verwerker heeft als het gaat om het verwerken en beveiligen van Persoonsgegevens te gebruiken voor de uit de Overeenkomst(en) voortvloeiende en in deze Verwerkersovereenkomst nader beschreven doeleinden. Verwerker staat er voor in dat hij hiertoe gekwalificeerd is.
2.3. Hetgeen in deze Verwerkersovereenkomst is bepaald ten aanzien van de Verwerkingsverantwoordelijke geldt onverkort voor een Lid, Professionele Gebruiker en/of Individuele Gebruiker.
2.4. Indien en voor zover een Lid, een Professionele Gebruiker en/of een Individuele Gebruiker niet wordt gekwalificeerd als verwerkingsverantwoordelijke zoals bedoeld in de AVG, zal dat Lid, Professionele Gebruiker en/of Individuele Gebruiker alle relevante wet- en regelgeving met betrekking tot het verwerken van Persoonsgegevens onverkort nakomen, en zal dat Lid, Professionele Gebruiker en/of Individuele Gebruiker handelen alsof zij verwerkingsverantwoordelijke zou zijn als bedoeld in de AVG.
2.5. Deze Verwerkersovereenkomst maakt onverbrekelijk deel uit van de Overeenkomst(en). Voor zover het bepaalde in de Verwerkersovereenkomst strijdig is met het bepaalde in de Overeenkomst(en), prevaleert het bepaalde in de Verwerkersovereenkomst.
Artikel 3. Uitvoering verwerking
3.1. Verwerker garandeert dat hij ten behoeve van Verwerkingsverantwoordelijke uitsluitend Persoonsgegevens zal verwerken voor zover:
a.) dit noodzakelijk is voor de uitvoering van de Overeenkomst (binnen de kader als gespecificeerd in Bijlage 1); of
b.) Verwerkingsverantwoordelijke daartoe nadere schriftelijke instructies heeft gegeven;
3.2. In het kader van het bepaalde in het eerste lid van artikel 3 onder a) zal Verwerker uitsluitend de in Bijlage 1 gespecificeerde Persoonsgegevens verwerken in het kader van de in die bijlage beschreven aard en doeleinden van de verwerking.
3.3. Verwerker zal alle redelijke instructies van Verwerkingsverantwoordelijke in verband met de verwerking van de Persoonsgegevens opvolgen. Verwerker stelt Verwerkingsverantwoordelijke zonder onredelijke vertraging op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens, onverlet de verantwoordelijkheid van Verwerkingsverantwoordelijke om zorg te dragen dat diens instructies in overeenstemming met de toepasselijke wetgeving zijn.
3.4. Onverminderd het bepaalde in het eerste lid van dit artikel 3, is het Verwerker toegestaan om Persoonsgegevens te verwerken indien een wettelijk voorschrift (waaronder begrepen daarop gebaseerde rechterlijke of bestuurlijke bevelen) hem tot een verwerking verplicht. In dat geval stelt de Verwerker voorafgaand aan de verwerking Verwerkingsverantwoordelijke in kennis van de beoogde verwerking en het wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Verwerker zal Verwerkingsverantwoordelijke, waar mogelijk, in staat stellen zich te verweren tegen deze verplichte verwerking en ook overigens de verplichte verwerking beperken tot het strikt noodzakelijke.
3.5. Verwerker zal de Persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze verwerken en in overeenstemming met de op hem als Verwerker rustende verplichtingen op grond van de AVG, voor zover nog van toepassing de Wbp, en overige wet- en regelgeving. Verwerker zal in dat kader ten minste een register van verwerkingen aanleggen als bedoeld in artikel 30 lid 2 AVG en
Verwerkingsverantwoordelijke op eerste verzoek een kopie van dat register verstrekken.
3.6. Indien de dienstverlening door Verwerker de verwerking van gezondheidsgegevens of andere bijzondere Persoonsgegevens impliceert, garandeert Verwerker dat hij conform de specifieke wetgeving op het gebied van de gezondheidszorg handelt waar deze voorgaat op overige relevante wetgeving, waaronder in ieder geval begrepen de AVG, mits de instructies van Verwerkingsverantwoordelijke niet in strijd zijn met voornoemde zorg-specifieke wetgeving.
3.7. Verwerker zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, geen Persoonsgegevens verwerken of laten verwerken door hemzelf of door derden in landen buiten de Europese Economische Ruimte (“EER”). Een onderdeel van het bedrijf van Verwerker, Caresharing Inc. is gevestigd in de Filippijnen. De
medewerkers van Caresharing Inc. hebben toegang tot persoonsgegevens, maar de persoonsgegevens worden enkel opgeslagen binnen de EER. Caresharing Inc. waarborgt een passend beschermingsniveau met betrekking tot de persoonsgegevens. Door ondertekening van deze Verwerkersovereenkomst stemt Verwerkingsverantwoordelijke expliciet in met de inschakeling van Caresharing Inc.
3.8. Verwerker waarborgt dat betrokken Medewerkers een geheimhoudings- overeenkomst hebben getekend en geeft Verwerkingsverantwoordelijke op verzoek inzage in deze geheimhoudingsovereenkomst.
Artikel 4. Beveiliging Persoonsgegevens en controle
4.1. Verwerker zal passende technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de (in Bijlage 1 gespecificeerde) aard van de te verwerken Persoonsgegevens, ter bescherming van de Persoonsgegevens tegen verlies, onbevoegde kennisname, verminking of enige vorm van onrechtmatige verwerking, alsmede om de overeengekomen beschikbaarheid van de gegevens te waarborgen. In deze beveiligingsmaatregelen zijn de mogelijk in de Overeenkomst reeds bepaalde maatregelen begrepen. De maatregelen omvatten in ieder geval:
a.) maatregelen om te waarborgen dat enkel bevoegde Medewerkers toegang hebben tot de Persoonsgegevens voor de doeleinden die zijn uiteengezet;
b.) maatregelen waarbij de Verwerker zijn Medewerkers en Subverwerkers uitsluitend toegang geeft tot Persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die Persoonsgegevens waartoe de toegang voor de betreffende (rechts)persoon noodzakelijk is;
c.) maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of openbaarmaking;
d.) maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verwerkingsverantwoordelijke;
e.) maatregelen om de overeengekomen beschikbaarheid van de Persoonsgegevens te waarborgen;
f.) maatregelen om te waarborgen dat Persoonsgegevens logisch gescheiden worden verwerkt van de Persoonsgegevens die hij voor zichzelf of namens derde partijen verwerkt;
g.) de overige maatregelen die Partijen zijn overeengekomen zoals vastgelegd in Bijlage 2.
4.2. Xxxxxxxxx werkt aantoonbaar in overeenstemming met ISO27001 en/of NEN 7510 en heeft een passend, geschreven beveiligingsbeleid geïmplementeerd voor de verwerking van Persoonsgegevens, waarin in ieder geval de in het eerste lid van dit artikel 4 genoemde maatregelen uiteen zijn gezet.
4.3. Ten tijde van het aangaan van de Verwerkersovereenkomst is Verwerker reeds aangevangen met de implementatie van de meer specifieke NEN7512 en zal zich naar behoren inspannen om binnen redelijke termijn aantoonbaar te voldoen aan NEN7512. Verwerker zal Verwerkingsverantwoordelijke informeren over de voortgang van de implementatie van NEN7512.
4.4. Ten tijde van het aangaan van de Verwerkersovereenkomst is Verwerker reeds aangevangen met de implementatie van de meer specifieke NEN7513 en zal zich naar behoren inspannen om binnen redelijke termijn aantoonbaar te voldoen aan NEN7513. Verwerker zal Verwerkingsverantwoordelijke informeren over de voortgang van de implementatie van NEN7513.
4.5. Verwerker voldoet aantoonbaar aan de eisen van andere NEN-normen voor zover die voor de gezondheidszorg van toepassing zijn verklaard en zijn opgenomen in de Overeenkomst.
4.6. Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke een door een onafhankelijke en ter zake deskundige derde afgegeven geldig certificaat overleggen, indien deze daarover beschikt, waaruit volgt dat Verwerker de verplichtingen uit dit artikel naleeft.
4.7. Verwerkingsverantwoordelijke heeft het recht toe te (laten) zien op de naleving van de hiervoor onder artikel 4.1 tot en met 4.4 genoemde maatregelen door een door Verwerkingsverantwoordelijke aan te wijzen en te bekostigen derde. Deze derde dient een onafhankelijke gecertificeerde auditor te zijn en dient voorafgaande aan het onderzoek bereid te zijn dienaangaande een geheimhoudingsverklaring te tekenen. Verwerker stelt Verwerkingsverantwoordelijke, indien Verwerkingsverantwoordelijke daarom verzoekt, hiertoe in elk geval eenmaal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip en verder indien Verwerkingsverantwoordelijke daar aanleiding toe ziet naar aanleiding van (vermoeden van) informatie- of privacy-incidenten, dat te (laten) controleren. Verwerker zal in alle redelijkheid haar medewerking verlenen aan een dergelijk onderzoek. Het onderzoek (waaronder begrepen de documentatie en overige gegevens waartoe het onderzoek zich uitstrekt) en de resultaten daarvan zullen door Verwerkingsverantwoordelijke en een eventuele auditor vertrouwelijk worden behandeld. Verwerker wordt zonder onnodige vertraging door Verwerkingsverantwoordelijke volledig op de hoogte gesteld van de bevindingen van het onderzoek. De bevindingen naar aanleiding van het uitgevoerde onderzoek zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.
4.8. Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Verwerker zal daarom de maatregelen zoals geïmplementeerd op basis van dit artikel 4 periodiek evalueren en, waar nodig, de maatregelen verbeteren om te blijven voldoen aan de verplichtingen onder dit artikel 4. Het voorgaande laat de instructiebevoegdheid van Verwerkingsverantwoordelijke om zo nodig aanvullende maatregelen te (doen) treffen onverlet.
4.9. Verwerkingsverantwoordelijke zal Verwerker zonder onnodige vertraging op de hoogte stellen van een wijziging of andere mededelingen gegeven door een daartoe bevoegde autoriteit (Autoriteit Persoonsgegevens) betreffende de persoonsgegevens zoals verwerkt door Verwerker in opdracht van Verwerkingsverantwoordelijke.
Artikel 5. Monitoring, informatieplichten en incidentenmanagement
5.1. Xxxxxxxxx zal actief monitoren op inbreuken op de beveiligingsmaatregelen opgenomen in artikel 4.1 en bijlage 2 van deze Verwerkersovereenkomst en over de resultaten van de monitoring in overeenstemming met dit artikel 5 rapporteren aan Verwerkingsverantwoordelijke.
5.2. Xxxxx zich een Incident voordoet, heeft voorgedaan of zou kunnen voordoen, is Verwerker verplicht Verwerkingsverantwoordelijke daarvan zonder onredelijke vertraging in kennis te stellen en daarbij alle relevante informatie te verstrekken over:
1) de aard van het Incident;
2) de (mogelijk) getroffen Persoonsgegevens;
3) de geconstateerde en de vermoedelijke gevolgen van het Incident; en
4) de maatregelen die getroffen zijn of zullen worden om het Incident op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken.
5.3. Verwerker is, onverminderd de overige verplichtingen uit dit artikel, verplicht om maatregelen te treffen die redelijkerwijs van hem kunnen worden verwacht om het Incident zo snel mogelijk te herstellen dan wel de verdere gevolgen zoveel mogelijk te beperken. Verwerker treedt zo snel als redelijkerwijs mogelijk in overleg met Verwerkingsverantwoordelijke teneinde hierover nadere afspraken te maken.
5.4. Verwerker zal Verwerkingsverantwoordelijke zonder onnodige vertraging zijn medewerking verlenen en zal de redelijke instructies van Verwerkingsverantwoordelijke opvolgen, met als doel Verwerkingsverantwoordelijke in staat te stellen een deugdelijk onderzoek te verrichten naar het Incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het Incident, waaronder begrepen het indien nodig informeren van de Autoriteit Persoonsgegevens (AP) en/of de Betrokkene zoals bepaald in artikel 5.8.
5.5. Verwerker zal geschreven procedures voorhanden hebben die hem in staat stellen om Verwerkingsverantwoordelijke zonder onnodige vertraging een reactie over een Incident te voorzien, en om effectief samen te werken met Verwerkingsverantwoordelijke om het Incident af te handelen. Verwerker zal Verwerkingsverantwoordelijke voorzien van een afschrift van dergelijke procedures indien Verwerkingsverantwoordelijke daarom verzoekt.
5.6. Meldingen die worden gedaan op grond van artikel 5.2 worden zonder onnodige vertraging gericht aan Verwerkingsverantwoordelijke of, indien relevant, aan een door Verwerkingsverantwoordelijke tijdens de duur van deze Verwerkersovereenkomst schriftelijk bekendgemaakte Medewerkers van Verwerkingsverantwoordelijke. Indien Verwerkingsverantwoordelijke een Functionaris voor de Gegevensbescherming (FG) heeft aangesteld, worden de meldingen gericht aan deze FG.
5.7. Het is Verwerker niet toegestaan informatie te verstrekken over Incidenten aan betrokkenen of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is of Partijen anderszins zijn overeengekomen.
5.8. Indien en voor zover Partijen zijn overeengekomen dat Xxxxxxxxx in relatie tot een Incident rechtstreeks contact onderhoudt met autoriteiten of andere derde partijen, dan houdt de Verwerker de Verwerkingsverantwoordelijke daarvan voortdurend op te hoogte.
Artikel 6. Medewerkingsverplichtingen
6.1. De AVG en overige (privacy)wetgeving kent aan de Betrokkene bepaalde rechten toe. Verwerker zal zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke bij de nakoming van de op Verwerkingsverantwoordelijke rustende verplichtingen voortvloeiend uit deze rechten.
6.2. Een door Verwerker ontvangen klacht of een verzoek van een Betrokkene met betrekking tot verwerking van Persoonsgegevens wordt door Verwerker zonder onnodige vertraging doorgestuurd naar Verwerkingsverantwoordelijke.
6.3. Verwerker zal voorts op eerste verzoek van Verwerkingsverantwoordelijke alle noodzakelijke bijstand verlenen bij de nakoming van de op grond van de toepasselijke privacywetgeving op Verwerkingsverantwoordelijke rustende wettelijke verplichtingen (zoals het uitvoeren van een PIA).
Artikel 7. Inschakeling subverwerkers
7.1. Verwerker is gerechtigd om zijn activiteiten die bestaan uit het verwerken van Persoonsgegevens of vereisen dat Persoonsgegevens verwerkt worden uit te besteden aan een Subverwerker binnen de Europese Economische Ruimte zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
7.2. Voor zover Verwerkingsverantwoordelijke geen bezwaar heeft gemaakt tegen de inschakeling van een Subverwerker, zal Verwerker aan deze Subverwerker dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien. Verwerker zal deze afspraken schriftelijk vastleggen en zal toezien op de naleving daarvan door de Subverwerker.
7.3. Niettegenstaande de toestemming van Verwerkingsverantwoordelijke, zoals opgenomen in artikel 7.1, voor het inschakelen van een Subverwerker die in opdracht van de Verwerker (gedeeltelijk) gegevens verwerkt, blijft Verwerker volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een Subverwerker De toestemming van Verwerkingsverantwoordelijke voor het uitbesteden van werkzaamheden aan een Subverwerker laat onverlet dat voor de inzet van Subverwerkers in een land buiten de Europese Economische Ruimte toestemming vereist is in overeenstemming met artikel 3.7 van deze Verwerkersovereenkomst.
Artikel 8. Aansprakelijkheid
8.1. Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen. 8.2.
a.) Verwerker is aansprakelijk voor schade of nadeel, voortvloeiende uit het niet- nakomen van deze Verwerkersovereenkomst, met inachtname van de aansprakelijkheidsbeperkingen zoals bepaald in lid c) van dit artikel.
b.) Verwerker is gehouden tot het (onmiddellijk) beperken van schade en/of voorkomen van verder nadeel van Betrokkene en/of Verwerkingsverantwoordelijke.
c.) De totale aansprakelijkheid van Verwerker wegens een toerekenbare tekortkoming in de nakoming van deze Verwerkersovereenkomst of op welke rechtsgrond dan ook, daaronder is beperkt tot vergoeding van directe schade tot maximaal het bedrag van de voor de Overeenkomst bedongen prijs (excl. BTW). Indien de Overeenkomst hoofzakelijk een duurovereenkomst is met een looptijd van meer dan één jaar, wordt de voor de Overeenkomst bedongen prijs gesteld op het totaal van de vergoedingen (excl. BTW) bedongen voor één jaar. In geen geval zal de totale aansprakelijkheid van Verwerker voor directe schade, op welke rechtsgrond dan ook, echter meer dan € 100.000,- (honderdduizend Euro) bedragen. Deze beperking geldt tevens ten aanzien van boetes van de Autoriteit Persoonsgegevens die Verwerkingsverantwoordelijke maakt of lijdt en die direct voortvloeien uit of tot stand komen met een tekortkoming door Verwerker.
8.3. Verwerker vrijwaart Verwerkingsverantwoordelijke en stelt de Verwerkingsverantwoordelijke schadeloos voor alle claims, acties, aanspraken van derden, alsmede boetes van de Autoriteit Persoonsgegevens, die rechtstreeks voortvloeien uit een toerekenbare tekortkoming door Xxxxxxxxx en/of diens onderaannemers/Subverwerkers in de nakoming van zijn verplichtingen onder deze Verwerkersovereenkomst en/of enige schending door Verwerker en/of diens onderaannemers/Subverwerkers van de van toepassing zijnde wetgeving op het gebied van verwerking van Persoonsgegevens. Deze vrijwaring is beperkt tot het bedrag waarvoor Verwerker op grond van artikel 8.2 van deze Verwerkersovereenkomst maximaal aansprakelijk kan worden gesteld.
8.4. Voor zover Partijen hoofdelijk aansprakelijk zijn jegens derden, waaronder begrepen de betrokkene, of gezamenlijk een boete opgelegd krijgen door de Autoriteit Persoonsgegevens, zijn zij jegens elkaar, ieder voor het gedeelte van de schuld dat hem in hun onderlinge verhouding aangaat, verplicht overeenkomstig het bepaalde in Boek 6, Titel 1, Afdeling 2 van het Burgerlijk Wetboek in de schuld en kosten bij te dragen, tenzij de AVG anders bepaalt in welk geval de AVG voorgaat. De beperking van aansprakelijkheid uit artikel 8.2 van deze Verwerkersovereenkomst is van overeenkomstige toepassing.
8.5. Voor zover in de Overeenkomst geen beperking van aansprakelijkheid voor Verwerkingsverantwoordelijke is opgenomen, geldt de in lid 2 opgenomen beperking voor Verwerker eveneens voor de Verwerkingsverantwoordelijke.
8.6. Iedere beperking van aansprakelijkheid komt voorts voor de betreffende Partij te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van de bedrijfsleiding van desbetreffende Partij.
8.7. Partijen dragen zorg voor afdoende dekking van de aansprakelijkheid.
Artikel 9. Kosten
9.1. De kosten voor de verwerking van gegevens die inherent zijn aan de normale uitvoering van de Overeenkomst, worden geacht besloten te liggen in de op grond van de Overeenkomst reeds verschuldigde vergoedingen.
9.2. Enige ondersteuning of enige andere aanvullende dienstverlening die Verwerker op grond van deze Verwerkersovereenkomst dient te verlenen, of die wordt verzocht door Verwerkingsverantwoordelijke, inclusief alle verzoeken tot aanvullende informatie, zullen in rekening worden gebracht bij Verwerkingsverantwoordelijke tegen de dan geldende tarieven.
9.3. De voorgaande bepaling is niet van toepassing indien de werkzaamheden verband houden met een tekortkoming van Verwerker onder deze Verwerkersovereenkomst. De werkzaamheden zullen in dat geval kosteloos worden verricht.
Artikel 10. Duur en beëindiging
10.1. Deze Verwerkersovereenkomst gaat in op de datum van ondertekening en de duur van deze Verwerkersovereenkomst is gelijk aan de duur van de in Bijlage 1 genoemde Overeenkomst(en), inclusief eventuele verlengingen daarvan.
10.2. De Verwerkersovereenkomst maakt na ondertekening ervan door beide Partijen integraal en onlosmakelijk deel uit van de Overeenkomst(en). Beëindiging van de Overeenkomst, op welke grond dan ook (opzegging/ontbinding), heeft tot gevolg dat de Verwerkersovereenkomst eveneens op dezelfde grond beëindigd wordt (en vice versa), tenzij Partijen in voorkomend geval anders overeenkomen.
10.3. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van deze Verwerkersovereenkomst gelden. Tot deze bepalingen behoren bijvoorbeeld die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid, geschillenbeslechting en toepasselijk recht.
10.4. Gelet op de grote afhankelijkheid van Verwerker alsmede het continuïteitsrisico bij incidenten en calamiteiten (zoals faillissement), verklaart Xxxxxxxxx zich reeds nu voor alsdan bereid op eerste verzoek en op kosten van Verwerkingsverantwoordelijke aanvullende afspraken met Verwerkingsverantwoordelijke te maken teneinde voornoemde risico’s te verkleinen. Deze aanvullende afspraken kunnen onder meer bestaan uit:
a.) het maken van afspraken over het periodiek terug of aan een derde partij leveren van de door Verwerker verwerkte gegevens; en/of
b.) het met een derde partij sluiten van een overeenkomst die ertoe strekt dat de betreffende derde partij zich hoofdelijk verbindt tot of borg staat voor de nakoming van de Overeenkomst; en/of
c.) het met een derde partij sluiten van een (tri-partite) overeenkomst die ertoe strekt dat de betreffende derde partij (voortdurend) over alle benodigde gegevens komt te beschikken om in voorkomend geval (een deel van) de op grond van de Overeenkomst te verrichten prestaties – al dan niet op basis van een nieuwe overeenkomst – in plaats van of parallel aan Verwerker te kunnen (gaan) verrichten.
10.5. Op verzoek en op kosten van Verwerkingsverantwoordelijke zal Verwerker meewerken aan het opstellen van een exit-plan.
10.6. Verwerkingsverantwoordelijke is gerechtigd deze Verwerkersovereenkomst en de Overeenkomst per direct op te zeggen indien Verwerker expliciet te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de Persoonsgegevens worden gesteld.
Artikel 11. Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
11.1. Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk, waaronder begrepen de wettelijke bewaartermijnen of een eventueel tussen Partijen gemaakte afspraak over bewaartermijnen zoals vastgelegd in Bijlage 1. In geen geval bewaart Verwerker de Persoonsgegevens langer dan tot het einde van deze Verwerkersovereenkomst.
11.2. Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker, tegen redelijke kosten, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens onherroepelijk (doen) vernietigen of teruggeven aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens onherroepelijk zijn vernietigd of verwijderd. Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd en gedocumenteerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk is, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken, anders dan opslag.
Artikel 12. Intellectuele eigendomsrechten
12.1. Voor zover de (verzameling van) Persoonsgegevens wordt beschermd door enig intellectueel eigendomsrecht, verleent Verwerkingsverantwoordelijke toestemming aan Verwerker de Persoonsgegevens te gebruiken in het kader van de uitvoering van deze Verwerkersovereenkomst.
Artikel 13. Slotbepalingen
13.1. De overwegingen maken onderdeel uit van deze Verwerkersovereenkomst.
13.2. In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.
13.3. In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen Partijen in onderling overleg.
13.4. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
13.5. Partijen zullen zich inspannen conflicten in onderling overleg op te lossen. Hierbij is inbegrepen de mogelijkheid het geschil te beëindigen door een in onderling overleg vast te stellen mediation.
13.6. Geschillen over of in verband met deze Verwerkersovereenkomst worden uitsluitend voorgelegd aan de daartoe in de Overeenkomst aangewezen rechtbank of mediators.
13.7. De bepalingen uit de Algemene Voorwaarden zijn onverkort van toepassing op de Verwerkersovereenkomst. Ingeval van tegenstrijdigheden prevaleert de Verwerkersovereenkomst.
Verwerker: | Caresharing B.V. |
T.H.J. Rietjens | X.X.X. Xxxxxxxx |
Directeur (Chief Executive Officer, CEO) | Directeur (Chief Product Officer, CPO) |
Plaats: Amsterdam | Plaats: Amsterdam |
Bijlage 1: Overeenkomsten, omschrijving Persoonsgegevens, aard verwerkingen, etc.
Bijlage 1, behorend bij verwerkersovereenkomst Caresharing B.V., versie 2022.07
Deze versie van bijlage 1, d.d. 15-07-2022, vervangt de eerdere versie(s) en krijgt versienummer: 2022.07
Ingangsdatum contract | Kenmerk / nummer / titel contract | Korte omschrijving diensten | Aard van de verwerking | Soort Persoonsgegevens | Categorieën van betrokkenen | Doeleinden van de verwerking | Goedgekeurde Subverwerkers | Afspraken bewaarter- mijnen |
Datum acceptatie Algemene Voorwaarden Caresharing B.V. | Algemene Voorwaarden Caresharing B.V. | Ter beschikking stellen en technisch onderhouden van Caresharing | Verwerking accountgegevens | Gegevens van gebruikers van Caresharing | Medewerkers Gebruikers van Caresharing | Identificatie en authenticatie van gebruikers van Caresharing | • Nexmo • Sinch • Bluem (tbv iDIN) • Xxxx • DigiD • Zorg-ID (VZVZ) | 20 jaar |
Datum acceptatie Algemene Voorwaarden Caresharing B.V. | Algemene Voorwaarden Caresharing B.V. | Ter beschikking stellen en technisch onderhouden van Caresharing | Verwerking patiëntgegevens | Gegevens van patiënten, waaronder data over gezondheid zoals maar niet beperkt tot lichamelijk onderzoek, laboratorium-diagnostiek, vragenlijsten, medicatie, demografische gegevens, assessments, wilsverklaring, advance careplanning, familie anamnese, Netwerkpersonen, Allergieën, Problemen. | Patiënten | Medische dossiervoering | • BIT • Google Cloud Services • Amazon Web Services • Zorgmail • E-Zorg | 20 jaar |
Ingangsdatum contract | Kenmerk / nummer / titel contract | Korte omschrijving diensten | Aard van de verwerking | Soort Persoonsgegevens | Categorieën van betrokkenen | Doeleinden van de verwerking | Goedgekeurde Subverwerkers | Afspraken bewaartermijn en |
Datum acceptatie Algemene Voorwaarden Caresharing B.V. | Algemene Voorwaarden Caresharing B.V. | Ter beschikking stellen en technisch onderhouden van Caresharing | Verwerking van financiële gegevens | Financiële gegevens ; verzekeringsnummer, UZOVI, Zorgverzekeraar. | Patiënten Professionele Gebruikers van Caresharing | Faciliteren van declaratie en facturatie Facturatie van cBoards premium accounts | • Vecozo • Mollie | 20 jaar |
Datum acceptatie Algemene Voorwaarden Caresharing B.V. | Algemene Voorwaarden Caresharing B.V. | Ter beschikking stellen en technisch onderhouden van Caresharing | Verwerking van wijzigingsverzoeken en het opvolgen van gemelde incidenten | Gegevens van gebruikers van Caresharing; email adres, voornaam, achternaam, IP-adres. Wijzigingsverzoeken en gemelde incidenten kunnen persoonsgegevens bevatten van gebruikers en/of patiënten | Medewerkers Individuele en Professionele Gebruikers van Caresharing Patiënten | Leveren van support aan gebruikers | • Zendesk • Intercom • Gmail • Teamviewer | 20 jaar |
Ingangsdatum contract | Kenmerk / nummer / titel contract | Korte omschrijving diensten | Aard van de verwerking | Soort Persoonsgegevens | Categorieën van betrokkenen | Doeleinden van de verwerking | Goedgekeurde Subverwerkers | Afspraken bewaartermijn en |
Datum acceptatie Algemene Voorwaarden Caresharing B.V. | Algemene Voorwaarden Caresharing B.V. | Ter beschikking stellen en technisch onderhouden van Caresharing | Verwerking van loggegevens en andere diagnostische data over de techniek | IP-adres van gebruikers van Caresharing | Medewerkers Individuele en Professionele Gebruikers van Caresharing | Monitoren van (technische) systeemprestaties en capaciteitsbeheer Triage en diagnose in geval van systeemstoringen | • Sentry • Firebase • Scout | 20 jaar |
Datum acceptatie Algemene Voorwaarden Caresharing B.V. | Algemene Voorwaarden Caresharing B.V. | Ter beschikking stellen en technisch onderhouden van Caresharing | Verwerking van gegevens over hoe gebruikers Caresharing gebruiken | Gebruikersnaam, naam, stad, professie, rol. | Professionele Gebruikers van Caresharing | Verwerking van gegevens ten behoeve van business intelligence, optimalisatie en innovatie van Caresharing | • Tableau | 20 jaar |
Ingangsdatum contract | Kenmerk / nummer / titel contract | Korte omschrijving diensten | Aard van de verwerking | Soort Persoonsgegevens | Categorieën van betrokkenen | Doeleinden van de verwerking | Goedgekeurde Subverwerkers | Afspraken bewaartermijn en |
Datum acceptatie Algemene Voorwaarden Caresharing B.V. | Algemene Voorwaarden Caresharing B.V. | Ter beschikking stellen en technisch onderhouden van Caresharing | Verwerking van gegevens op basis van functionele, analytische en tracking cookies | Gegevens over hoe een gebruiker gebruik maakt van Caresharing | Medewerkers Individuele en Professionele Gebruikers van Caresharing | Verbetering en optimalisatie van gebruik van Caresharing zodat diensten zo goed mogelijk aansluiten op behoeften van gebruikers | • CookieConsent • Intercom | Intercom ID 270 dagen Intercom sessie 6 dagen CookieConsent 1 jaar |
Datum acceptatie Algemene Voorwaarden Caresharing B.V. | Algemene Voorwaarden Caresharing B.V. | Ter beschikking stellen en technisch onderhouden van Caresharing | Verwerking van in- en uitschrijvingen op digitale nieuwsbrieven; updates over functioneren van verschillende onderdelen van Caresharing | Contactgegevens van personen die zich inschrijven op een digitale nieuwsbrief en/of op zogenaamde ‘statusupdates’ | Medewerkers Individuele en Professionele Gebruikers van Caresharing | E-mail nieuwsbrieven Updaten van gebruikers in geval er storing is van (onderdelen van) Caresharing | • Mailchimp • Atlassian Statuspage | Uitschrijving leidt tot verwijderen contactgegeve ns |
Datum acceptatie Algemene Voorwaarden Caresharing B.V. | Algemene Voorwaarden Caresharing B.V. | Het beheersen van afgesproken dienstenniveaus en het leveren van support aan gebruikers van Caresharing | Verwerking contactgegevens | Contactgegevens van medewerkers die een rol hebben in contractbeheer. Deze contactgegevens zijn naam, achternaam, email adres, mobiele telefoonnummer, functie. | Medewerkers | Strategisch management: beheer overeenkomsten (contractbeheer) | Geen | 20 jaar |
Ingangsdatum contract | Kenmerk / nummer / titel contract | Korte omschrijving diensten | Aard van de verwerking | Soort Persoonsgegevens | Categorieën van betrokkenen | Doeleinden van de verwerking | Goedgekeurde Subverwerkers | Afspraken bewaartermijn en |
Datum acceptatie Algemene Voorwaarden Caresharing B.V. | Algemene Voorwaarden Caresharing B.V. | Het beheersen van afgesproken dienstenniveaus en het leveren van support aan gebruikers van Caresharing | Verwerking contactgegevens | Contactgegevens van medewerkers die een rol hebben in procedures, werkafspraken en kwaliteit van de dienstverlening. Naam, achternaam, email adres, mobiele telefoonnummer, functie. | Medewerkers | Tactisch management: procedures, werkafspraken en kwaliteit van de dienstverlening | Geen | 20 jaar |
Datum acceptatie Algemene Voorwaarden Caresharing B.V. | Algemene Voorwaarden Caresharing B.V. | Het beheersen van afgesproken dienstenniveaus en het leveren van support aan gebruikers van Caresharing | Verwerking van wijzigingsverzoeken en het opvolgen van gemelde incidenten | Gegevens van gebruikers van Caresharing; email adres, voornaam, achternaam, IP-adres. Wijzigingsverzoeken en gemelde incidenten kunnen persoonsgege- vens bevatten van gebruikers en/of patiënten | Medewerkers Individuele en Professionele Gebruikers van Caresharing Patiënten | Operationeel management: dagelijkse operatie (opvolgen incidenten en wijzigingswensen) | • Zendesk • Intercom • Gmail • Teamviewer | 20 jaar |
Datum acceptatie Algemene Voorwaarden Caresharing B.V. | Algemene Voorwaarden Caresharing B.V. | Beeldbellen binnen cBoards | Verwerking beeldcommunicatie data: audio, video, schermdeling | Gegevens van gebruikers van Caresharing; IP-adres om de locatie van gebruiker te bepalen, deze wordt niet opgeslagen. Data (audio, video, schermdeling) wordt niet opgeslagen. | Medewerkers Individuele en Professionele Gebruikers van Caresharing Patiënten | Faciliteren van realtime communicatie tussen gebruikers in de vorm van beeldbellen | • Whereby | Data wordt niet opgeslagen, dus bewaartermijn is niet van toepassing |
Bijlage 2: Omschrijving van eventueel overeengekomen overige beveiligingsmaatregelen
[Indien en voorzover daar sprake van is, specificeert deze bijlage de overige beveiligingsmaatregelen die Partijen zijn overeengekomen, naast hetgeen al is opgenomen in art 4 lid 1]
Partijen zijn geen overige beveiligingsmaatregelen overeengekomen.
Bijlage 3 - Aanpassingen t.o.v. standaard tekst
Art. | Tekst die vervalt | Vervangende tekst |
1.1, sub e | i een klacht of (informatie)verzoek van een Betrokkene met betrekking tot de verwerking van Persoonsgegevens door Verwerker; | |
1.1 | De volgende definities zijn toegevoegd: - Incident: IV Een gedetecteerde verstoring of dreigende verstoring van het overeengekomen serviceniveau van Caresharing. - Individuele Gebruiker: De aan de Verwerkingsverantwoordelijke of Lid verbonden persoon die niet aangeduid kan worden als Professionele Gebruiker zoals bijvoorbeeld maar niet beperkt tot een patiënt, cliënt of een mantelzorger. Verbondenheid aan de Verwerkingsverantwoordelijke of het Lid ontstaat doordat de Verwerkingsverantwoordelijke of het Lid de Individuele Gebruiker toegang verschaft tot het Netwerk. - Lid/Leden: Lid (in meervoud ‘Leden’), de aan de Verwerkingsverantwoordelijke verbonden ketenpartner zoals bijvoorbeeld maar niet beperkt tot een huisartsenpraktijk, een praktijk van medische specialisten, een praktijk van paramedici of een ziekenhuis. Verbondenheid aan de Verwerkingsverantwoordelijke ontstaat doordat de Verwerkingsverantwoordelijke het Lid toegang verschaft tot het Netwerk. - Netwerk: De sociale kaart in het op grond van de Overeenkomst geleverde product (te weten: Caresharing), bestaande uit de Verwerkingsverantwoordelijke, Leden, de Professionele Gebruiker en/of Individuele Gebruiker. - Professionele Gebruiker: De Medewerker(s) van de |
Verwerkingsverantwoordelijke of van een Lid. - Vecozo: Landelijk communicatiepunt voor de zorg geleverd door Vecozo B.V. Biedt een veilige en kwalitatief hoogwaardige digitale omgeving waarin ketenpartijen administratieve gegevens kunnen uitwisselen. Alle zorgverzekeraars, zorgkantoren, en nagenoeg alle zorgaanbieders en (indirect) gemeenten zijn bij VECOZO aangesloten. | ||
1.4 | Eventuele afwijkingen op de tekst zijn alleen geldig voor zover deze zijn gespecificeerd in bijlage 4. Het bepaalde in bijlage 4 prevaleert op het overigens bepaalde in deze verwerkersovereenkomst. | Eventuele aanpassingen op de oorspronkelijke tekst zijn opgenomen in bijlage 3. |
2 | Aan dit artikel zijn de navolgende bepalingen toegevoegd: 2.3 Hetgeen in deze Verwerkersovereenkomst is bepaald ten aanzien van de Verwerkingsverantwoordelijke geldt onverkort voor een Lid, Professionele Gebruiker en/of Individuele Gebruiker. 2.4 Indien en voor zover een Lid, een Professionele Gebruiker en/of een Individuele Gebruiker niet wordt gekwalificeerd als verwerkingsverantwoordelijke zoals bedoeld in de AVG, zal dat Lid, Professionele Gebruiker en/of Individuele Gebruiker alle relevante wet- en regelgeving met betrekking tot het verwerken van Persoonsgegevens onverkort nakomen, en zal dat Lid, Professionele Gebruiker en/of Individuele Gebruiker handelen alsof zij verwerkingsverantwoordelijke zou zijn zoals bedoeld in de AVG. | |
3.3 | Verwerker zal alle redelijke instructies van Verwerkingsverantwoordelijke in verband met de verwerking van de | Verwerker zal alle redelijke instructies van Verwerkingsverantwoordelijke in verband met de verwerking van de |
Persoonsgegevens opvolgen. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens. | Persoonsgegevens opvolgen. Verwerker stelt Verwerkingsverantwoordelijke zonder onredelijke vertraging op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens, onverlet de verantwoordelijkheid van Verwerkingsverantwoordelijke om zorg te dragen dat diens instructies in overeenstemming met de toepasselijke wetgeving zijn. | |
3.5 | Verwerker zal in dat kader ten minste een register van verwerkingen aanleggen als bedoeld in artikel 30 AVG en Verwerkingsverantwoordelijke op eerste verzoek een kopie van dat register verstrekken. | Verwerker zal in dat kader ten minste een register van verwerkingen aanleggen als bedoeld in artikel 30 lid 2 AVG en Verwerkingsverantwoordelijke op eerste verzoek een kopie van dat register verstrekken. |
3.6 | Indien de dienstverlening door Verwerker de verwerking van gezondheidsgegevens of andere bijzondere Persoonsgegevens impliceert, garandeert Verwerker dat hij niet in strijd met gezondheidswetgeving zal handelen. | Indien de dienstverlening door Verwerker de verwerking van gezondheidsgegevens of andere bijzondere Persoonsgegevens impliceert, garandeert Verwerker dat hij conform de specifieke wetgeving op het gebied van de gezondheidszorg handelt waar deze voorgaat op overige relevante wetgeving, waaronder in ieder geval begrepen de AVG, mits de instructies van Verwerkingsverantwoordelijke niet in strijd zijn met voornoemde zorg- specifieke wetgeving. |
3.7 | Verwerker zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, geen Persoonsgegevens verwerken of laten verwerken door hemzelf of door derden in landen buiten de Europese Economische Ruimte (“EER”). | Verwerker zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, geen Persoonsgegevens verwerken of laten verwerken door hemzelf of door derden in landen buiten de Europese Economische Ruimte (“EER”). Een onderdeel van het bedrijf van Verwerker, Caresharing Inc. is gevestigd in de Filippijnen. De medewerkers van Caresharing Inc. hebben toegang tot persoonsgegevens, maar de persoonsgegevens worden enkel opgeslagen binnen de EER. |
Caresharing Inc. waarborgt een passend beschermingsniveau met betrekking tot de persoonsgegevens. Door ondertekening van deze Verwerkersovereenkomst stemt Verwerkingsverantwoordelijke expliciet in met de inschakeling van Caresharing Inc. | ||
4.1 | Verwerker zal aantoonbaar, passende en doeltreffende technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de (in Bijlage 1 gespecificeerde) aard van de te verwerken Persoonsgegevens, ter bescherming van de Persoonsgegevens tegen verlies, onbevoegde kennisname, verminking of enige vorm van onrechtmatige verwerking, alsmede om de (tijdige) beschikbaarheid van de gegevens te garanderen. In deze beveiligings- maatregelen zijn de mogelijk in de Overeenkomst reeds bepaalde maatregelen begrepen. De maatregelen omvatten in ieder geval: (…) e.) maatregelen om de tijdige beschikbaarheid van de Persoonsgegevens te garanderen; (…). | Verwerker zal passende technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de (in Bijlage 1 gespecificeerde) aard van de te verwerken Persoonsgegevens, ter bescherming van de Persoonsgegevens tegen verlies, onbevoegde kennisname, verminking of enige vorm van onrechtmatige verwerking, alsmede om de overeengekomen beschikbaarheid van de gegevens te waarborgen. In deze beveiligings- maatregelen zijn de mogelijk in de Overeenkomst reeds bepaalde maatregelen begrepen. De maatregelen omvatten in ieder geval: (…) e.) maatregelen om de overeengekomen beschikbaarheid van de Persoonsgegevens te waarborgen; (…). |
4.3 | Verwerker voldoet aantoonbaar aan de veiligheidseisen voor netwerkverbindingen zoals beschreven in NEN7512. | Ten tijde van het aangaan van de Verwerkersovereenkomst is Verwerker reeds aangevangen met de implementatie van de meer specifieke NEN7512 en zal zich naar behoren inspannen om binnen redelijke termijn aantoonbaar te voldoen aan NEN7512. Verwerker zal Verwerkingsverantwoordelijke informeren over de voortgang van de implementatie van NEN7512. |
4.4 | Verwerker voldoet aantoonbaar aan de eisen ten aanzien van logging zoals beschreven in NEN7513. | Ten tijde van het aangaan van de Verwerkersovereenkomst is Verwerker reeds aangevangen met de |
implementatie van de meer specifieke NEN7513 en zal zich naar behoren inspannen om binnen redelijke termijn aantoonbaar te voldoen aan NEN7513. Verwerker zal Verwerkingsverantwoordelijke informeren over de voortgang van de implementatie van NEN7513. | ||
4.5 | Verwerker voldoet aantoonbaar aan de eisen van andere NEN-normen voor zover die voor de gezondheidszorg van toepassing zijn verklaard. | Verwerker voldoet aantoonbaar aan de eisen van andere NEN-normen voor zover die voor de gezondheidszorg van toepassing zijn verklaard en zijn opgenomen in de Overeenkomst. |
4.7 | Verwerkingsverantwoordelijke heeft het recht toe te (laten) zien op de naleving van de hiervoor onder artikel 4.1 tot en met 4.4 genoemde maatregelen. Verwerker stelt Verwerkingsverantwoordelijke, indien Verwerkingsverantwoordelijke daarom verzoekt, hiertoe in elk geval eenmaal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip en verder indien Verwerkingsverantwoordelijke daar aanleiding toe ziet naar aanleiding van (vermoeden van) informatie- of privacy- incidenten, dat te (laten) controleren. Verwerker zal in alle redelijkheid haar medewerking verlenen aan een dergelijk onderzoek. Verwerker zal eventuele door Verwerkingsverantwoordelijke naar aanleiding van een dergelijk onderzoek in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen. | Verwerkingsverantwoordelijke heeft het recht toe te (laten) zien op de naleving van de hiervoor onder artikel 4.1 tot en met 4.4 genoemde maatregelen door een door Verwerkingsverantwoordelijke aan te wijzen en te bekostigen derde. Deze derde dient een onafhankelijke gecertificeerde auditor te zijn en dient voorafgaande aan het onderzoek bereid te zijn dienaangaande een geheimhoudingsverklaring te tekenen. Verwerker stelt Verwerkingsverantwoordelijke, indien Verwerkingsverantwoordelijke daarom verzoekt, hiertoe in elk geval eenmaal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip en verder indien Verwerkingsverantwoordelijke daar aanleiding toe ziet naar aanleiding van (vermoeden van) informatie- of privacy- incidenten, dat te (laten) controleren. Verwerker zal in alle redelijkheid haar medewerking verlenen aan een dergelijk onderzoek. Het onderzoek (waaronder begrepen de documentatie en overige gegevens waartoe het onderzoek zich uitstrekt) en de resultaten daarvan zullen door Verwerkingsverantwoordelijke en |
een eventuele auditor vertrouwelijk worden behandeld. Verwerker wordt zonder onnodige vertraging door Verwerkingsverantwoordelijke volledig op de hoogte gesteld van de bevindingen van het onderzoek. De bevindingen naar aanleiding van het uitgevoerde onderzoek zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk. | ||
4.9 | Deze bepaling is toegevoegd: Verwerkingsverantwoordelijke zal Verwerker zonder onnodige vertraging op de hoogte stellen van een wijziging of andere mededelingen gegeven door een daartoe bevoegde autoriteit (Autoriteit Persoonsgegevens) betreffende de persoonsgegevens zoals verwerkt door Verwerker in opdracht van Verwerkingsverantwoordelijke. | |
5.1 | Verwerker zal actief monitoren op inbreuken op de beveiligingsmaatregelen en over de resultaten van de monitoring in overeenstemming met dit artikel 5 rapporteren aan Verwerkingsverantwoordelijke. | Xxxxxxxxx zal actief monitoren op inbreuken op de beveiligingsmaatregelen opgenomen in artikel 4.1 en bijlage 2 van deze Verwerkersovereenkomst en over de resultaten van de monitoring in overeenstemming met dit artikel 5 rapporteren aan Verwerkingsverantwoordelijke. |
5.2 | Zodra zich een Incident voordoet, heeft voorgedaan of zou kunnen voordoen, is Verwerker verplicht Verwerkingsverantwoordelijke daarvan onmiddellijk in kennis te stellen en daarbij alle relevante informatie te verstrekken over: (…) | Xxxxx zich een Incident voordoet, heeft voorgedaan of zou kunnen voordoen, is Verwerker verplicht Verwerkingsverantwoordelijke daarvan zonder onredelijke vertraging in kennis te stellen en daarbij alle relevante informatie te verstrekken over: (…) |
5.3 | Verwerker is, onverminderd de overige verplichtingen uit dit artikel, verplicht om maatregelen te treffen die redelijkerwijs van hem kunnen worden verwacht om het Incident zo snel mogelijk te herstellen dan wel de verdere gevolgen zoveel mogelijk te beperken. Verwerker treedt | Verwerker is, onverminderd de overige verplichtingen uit dit artikel, verplicht om maatregelen te treffen die redelijkerwijs van hem kunnen worden verwacht om het Incident zo snel mogelijk te herstellen dan wel de verdere gevolgen zoveel mogelijk te beperken. Verwerker treedt |
zonder uitstel in overleg met Verwerkingsverantwoordelijke teneinde hierover nadere afspraken te maken. | zo snel als redelijkerwijs mogelijk in overleg met Verwerkingsverantwoordelijke teneinde hierover nadere afspraken te maken. | |
5.4 | Verwerker zal Verwerkingsverantwoordelijke te allen tijde zijn medewerking verlenen en zal de instructies van Verwerkingsverantwoordelijke opvolgen en stelt Verwerkingsverantwoordelijke in staat een deugdelijk onderzoek te verrichten naar het Incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het Incident, waaronder begrepen het informeren van de Autoriteit Persoonsgegevens (AP) en/of de Betrokkene zoals bepaald in artikel 5.8. | Verwerker zal Verwerkingsverantwoordelijke zonder onnodige vertraging zijn medewerking verlenen en zal de redelijke instructies van Verwerkingsverantwoordelijke opvolgen, met als doel Verwerkingsverantwoordelijke in staat te stellen een deugdelijk onderzoek te verrichten naar het Incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het Incident, waaronder begrepen het indien nodig informeren van de Autoriteit Persoonsgegevens (AP) en/of de Betrokkene zoals bepaald in artikel 5.8. |
5.5 | Verwerker zal te allen tijde geschreven procedures voorhanden hebben die hem in staat stellen om Verwerkingsverantwoordelijke van een onmiddellijke reactie over een Incident te voorzien, en om effectief samen te werken met Verwerkingsverantwoordelijke om het Incident af te handelen. Verwerker zal Verwerkingsverantwoordelijke voorzien van een afschrift van dergelijke procedures indien Verwerkingsverantwoordelijke daarom verzoekt. | Verwerker zal geschreven procedures voorhanden hebben die hem in staat stellen om Verwerkingsverantwoordelijke zonder onnodige vertraging een reactie over een Incident te voorzien, en om effectief samen te werken met Verwerkingsverantwoordelijke om het Incident af te handelen. Verwerker zal Verwerkingsverantwoordelijke voorzien van een afschrift van dergelijke procedures indien Verwerkingsverantwoordelijke daarom verzoekt. |
5.6 | Meldingen die worden gedaan op grond van artikel 5.2 worden ogenblikkelijk gericht aan Verwerkingsverantwoordelijke of, indien relevant, aan een door Verwerkingsverantwoordelijke tijdens de duur van deze Verwerkersovereenkomst schriftelijk bekendgemaakte Medewerkers van Verwerkingsverantwoordelijke. Indien Verwerkingsverantwoordelijke een Functionaris voor de Gegevensbescherming (FG) heeft aangesteld, worden de meldingen gericht aan deze FG. | Meldingen die worden gedaan op grond van artikel 5.2 worden zonder onnodige vertraging gericht aan Verwerkingsverantwoordelijke of, indien relevant, aan een door Verwerkingsverantwoordelijke tijdens de duur van deze Verwerkersovereenkomst schriftelijk bekendgemaakte Medewerkers van Verwerkingsverantwoordelijke. Indien Verwerkingsverantwoordelijke een Functionaris voor de Gegevensbescherming (FG) heeft |
aangesteld, worden de meldingen gericht aan deze FG. | ||
6.2 | Een door Verwerker ontvangen klacht of een verzoek van een Betrokkene met betrekking tot verwerking van Persoonsgegevens wordt door Verwerker zonder uitstel doorgestuurd naar Verwerkingsverantwoordelijke. | Een door Verwerker ontvangen klacht of een verzoek van een Betrokkene met betrekking tot verwerking van Persoonsgegevens wordt door Verwerker zonder onnodige vertraging doorgestuurd naar Verwerkingsverantwoordelijke. |
6.3 | Op het eerste daartoe strekkende verzoek van Verwerkingsverantwoordelijke zal Verwerker aan Verwerkingsverantwoordelijke alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte verwerking van Persoonsgegevens zodat Verwerkingsverantwoordelijke, mede aan de hand van die informatie, aan kan tonen dat zij de toepasselijke (privacy) wetgeving naleeft. | verwijderd |
7.1 | Verwerker zal zijn activiteiten die bestaan uit het verwerken van Persoonsgegevens of vereisen dat Persoonsgegevens verwerkt worden, niet uitbesteden aan een Subverwerker zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Het voorgaande is niet van toepassing op de in Bijlage 1 vermelde Subverwerkers. | Verwerker is gerechtigd om zijn activiteiten die bestaan uit het verwerken van Persoonsgegevens of vereisen dat Persoonsgegevens verwerkt worden uit te besteden aan een Subverwerker binnen de Europese Economische Ruimte zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. |
7.2 | Voor zover Verwerkingsverantwoordelijke instemt met de inschakeling van een Subverwerker, zal Verwerker aan deze Subverwerker dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien. Verwerker zal deze afspraken schriftelijk vastleggen en zal toezien op de naleving daarvan door de Subverwerker. Verwerker zal Verwerkingsverantwoordelijke op verzoek afschrift verstrekken van de | Voor zover Verwerkingsverantwoordelijke geen bezwaar heeft gemaakt tegen de inschakeling van een Subverwerker, zal Verwerker aan deze Subverwerker dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien. Verwerker zal deze afspraken schriftelijk vastleggen en zal toezien op de naleving daarvan door de Subverwerker. |
met de Subverwerker gesloten overeenkomst(en). | ||
7.3 | Niettegenstaande de toestemming van Verwerkingsverantwoordelijke voor het inschakelen van een Subverwerker die in opdracht van de Verwerker (gedeeltelijk) gegevens verwerkt, blijft Verwerker volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een Subverwerker De toestemming van Verwerkingsverantwoordelijke voor het uitbesteden van werkzaamheden aan een Subverwerker laat onverlet dat voor de inzet van Subverwerkers in een land buiten de Europese Economische Ruimte toestemming vereist is in overeenstemming met artikel 3.7 van deze Verwerkersovereenkomst. | Niettegenstaande de toestemming van Verwerkingsverantwoordelijke, zoals opgenomen in artikel 7.1, voor het inschakelen van een Subverwerker die in opdracht van de Verwerker (gedeeltelijk) gegevens verwerkt, blijft Verwerker volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een Subverwerker De toestemming van Verwerkingsverantwoordelijke voor het uitbesteden van werkzaamheden aan een Subverwerker laat onverlet dat voor de inzet van Subverwerkers in een land buiten de Europese Economische Ruimte toestemming vereist is in overeenstemming met artikel 3.7 van deze Verwerkersovereenkomst. |
8.2 | Enige beperking van de aansprakelijkheid in de Overeenkomst is mutatis mutandis ook van toepassing op deze Verwerkersovereenkomst, met dien verstande dat: a.) eventuele (impliciete of expliciete) uitsluitingen van aansprakelijkheid voor verlies en/of verminking van Persoonsgegevens zijn uitgesloten; b.) eventuele (impliciete of expliciete) uitsluitingen van aansprakelijkheid voor boetes die door de Autoriteit Persoonsgegevens of een andere toezichthouder worden opgelegd die rechtstreeks verband houden met een toerekenbare tekortkoming van Verwerker, of een aan Verwerker toerekenbaar gedraging of nalaten, zijn uitgesloten. | Deze bepaling wordt als volgt vervangen: Verwerker is aansprakelijk voor schade of nadeel, voortvloeiende uit het niet- nakomen van deze Verwerkersovereenkomst, met inachtname van de aansprakelijkheidsbeperkingen zoals bepaald in lid c) van dit artikel. Verwerker is gehouden tot het (onmiddellijk) beperken van schade en/of voorkomen van verder nadeel van Betrokkene en/of Verwerkingsverantwoordelijke. De totale aansprakelijkheid van Verwerker wegens een toerekenbare tekortkoming in de nakoming van deze Verwerkersovereenkomst of op welke rechtsgrond dan ook, daaronder is beperkt tot vergoeding van directe schade tot maximaal het bedrag van de voor de Overeenkomst bedongen prijs (excl. BTW). Indien de Overeenkomst hoofzakelijk een duurovereenkomst is met een looptijd van meer dan één jaar, wordt de voor de Overeenkomst bedongen prijs gesteld op het totaal van |
de vergoedingen (excl. BTW) bedongen voor één jaar. In geen geval zal de totale aansprakelijkheid van Verwerker voor directe schade, op welke rechtsgrond dan ook, echter meer dan € 100.000,- (honderdduizend Euro) bedragen. Deze beperking geldt tevens ten aanzien van boetes van de Autoriteit Persoonsgegevens die Verwerkingsverantwoordelijke maakt of lijdt en die direct voortvloeien uit of tot stand komen met een tekortkoming door Verwerker. | ||
8.3 | Verwerker vrijwaart Verwerkingsverantwoordelijke en stelt de Verwerkingsverantwoordelijke schadeloos voor alle claims, acties, aanspraken van derden, alsmede boetes van de Autoriteit Persoonsgegevens, die rechtstreeks voortvloeien uit een toerekenbare tekortkoming door Xxxxxxxxx en/of diens onderaannemers/Subverwerkers in de nakoming van zijn verplichtingen onder deze Verwerkersovereenkomst en/of enige schending door Xxxxxxxxx en/of diens onderaannemers/Subverwerkers van de van toepassing zijnde wetgeving op het gebied van verwerking van Persoonsgegevens. | Verwerker vrijwaart Verwerkingsverantwoordelijke en stelt de Verwerkingsverantwoordelijke schadeloos voor alle claims, acties, aanspraken van derden, alsmede boetes van de Autoriteit Persoonsgegevens, die rechtstreeks voortvloeien uit een toerekenbare tekortkoming door Xxxxxxxxx en/of diens onderaannemers/Subverwerkers in de nakoming van zijn verplichtingen onder deze Verwerkersovereenkomst en/of enige schending door Verwerker en/of diens onderaannemers/Subverwerkers van de van toepassing zijnde wetgeving op het gebied van verwerking van Persoonsgegevens. Deze vrijwaring is beperkt tot het bedrag waarvoor Verwerker op grond van artikel 8.2 van deze Verwerkersovereenkomst maximaal aansprakelijk kan worden gesteld. |
8.4 | Voor zover Partijen hoofdelijk aansprakelijk zijn jegens derden, waaronder begrepen de betrokkene, of gezamenlijk een boete opgelegd krijgen door de Autoriteit Persoonsgegevens, zijn zij jegens elkaar, ieder voor het gedeelte van de schuld dat hem in hun onderlinge verhouding aangaat, verplicht overeenkomstig het bepaalde in Boek 6, Titel 1, Afdeling 2 van het Burgerlijk Wetboek in de schuld en kosten bij te | Voor zover Partijen hoofdelijk aansprakelijk zijn jegens derden, waaronder begrepen de betrokkene, of gezamenlijk een boete opgelegd krijgen door de Autoriteit Persoonsgegevens, zijn zij jegens elkaar, ieder voor het gedeelte van de schuld dat hem in hun onderlinge verhouding aangaat, verplicht overeenkomstig het bepaalde in Boek 6, Titel 1, Afdeling 2 van het Burgerlijk Wetboek in de schuld en kosten bij te dragen, tenzij de AVG anders bepaalt in |
dragen, tenzij de AVG anders bepaalt in welk geval de AVG voorgaat. | welk geval de AVG voorgaat. De beperking van aansprakelijkheid uit artikel 8.2 van deze Verwerkersovereenkomst is van overeenkomstige toepassing. | |
8.6 | Iedere beperking van aansprakelijkheid komt voorts voor de betreffende Partij te vervallen in geval van opzet of grove schuld aan de zijde van de betreffende Partij. | Iedere beperking van aansprakelijkheid komt voorts voor de betreffende Partij te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van de bedrijfsleiding van desbetreffende Partij |
9.2 | Enige ondersteuning of enige andere aanvullende dienstverlening die Verwerker op grond van deze Verwerkersovereenkomst dient te verlenen, of die wordt verzocht door Verwerkingsverantwoordelijke, inclusief alle verzoeken tot aanvullende informatie, zullen in rekening worden gebracht bij Verwerkingsverantwoordelijke overeenkomstig de in Error! Reference source not found. gespecificeerde tarieven. | Enige ondersteuning of enige andere aanvullende dienstverlening die Verwerker op grond van deze Verwerkersovereenkomst dient te verlenen, of die wordt verzocht door Verwerkingsverantwoordelijke, inclusief alle verzoeken tot aanvullende informatie, zullen in rekening worden gebracht bij Verwerkingsverantwoordelijke tegen de dan geldende tarieven. |
9.3 | De voorgaande bepaling is niet van toepassing indien de werkzaamheden verband houden met een tekortkoming van Verwerker onder deze Verwerkersovereenkomst. De werkzaamheden zullen in dat geval kosteloos worden verricht (onverminderd het recht van Verwerkingsverantwoordelijke de daadwerkelijk geleden schade op Verwerker te verhalen). | De voorgaande bepaling is niet van toepassing indien de werkzaamheden verband houden met een tekortkoming van Verwerker onder deze Verwerkersovereenkomst. De werkzaamheden zullen in dat geval kosteloos worden verricht. |
10.4 | Ieder der Partijen is gerechtigd, onverminderd hetgeen daartoe bepaald is in de Overeenkomst, de uitvoering van deze Verwerkersovereenkomst en de daarmee samenhangende Overeenkomst op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien: a.) de andere Partij wordt ontbonden of anderszins ophoudt te bestaan; | Deze bepaling is verwijderd. |
b.) de andere Partij aantoonbaar [ernstig] tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling; c.) een Partij in staat van faillissement wordt verklaard of surséance van betaling aanvraagt. | ||
10.4 | Gelet op de grote afhankelijkheid van Verwerker alsmede het continuïteitsrisico bij incidenten en calamiteiten (zoals faillissement), verklaart Xxxxxxxxx zich reeds nu voor alsdan bereid op eerste verzoek van Verwerkingsverantwoordelijke aanvullende afspraken met Verwerkingsverantwoordelijke te maken teneinde voornoemde risico’s te verkleinen. Deze aanvullende afspraken kunnen onder meer bestaan uit: (…) | Gelet op de grote afhankelijkheid van Verwerker alsmede het continuïteitsrisico bij incidenten en calamiteiten (zoals faillissement), verklaart Xxxxxxxxx zich reeds nu voor alsdan bereid op eerste verzoek en op kosten van Verwerkingsverantwoordelijke aanvullende afspraken met Verwerkingsverantwoordelijke te maken teneinde voornoemde risico’s te verkleinen. Deze aanvullende afspraken kunnen onder meer bestaan uit: (…) |
10.5 | Verwerker heeft een exit-plan voor het nakomen van alle verplichtingen uit deze Verwerkersovereenkomst, ingeval de Overeenkomst of de Verwerkersovereenkomst (tussentijds) beëindigd wordt. Xxxxxxxxx geeft op eerste verzoek van Verwerkingsverantwoordelijke afschrift van dit plan. | Op verzoek en op kosten van Verwerkingsverantwoordelijke zal Verwerker meewerken aan het opstellen van een exit-plan. |
10.6 | Verwerkingsverantwoordelijke is gerechtigd deze Verwerkersovereenkomst en de Overeenkomst per direct te ontbinden indien Verwerker te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de Persoonsgegevens worden gesteld. | Verwerkingsverantwoordelijke is gerechtigd deze Verwerkersovereenkomst en de Overeenkomst per direct op te zeggen indien Verwerker expliciet te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de Persoonsgegevens worden gesteld. |
10.8 | Verwerker dient Verwerkingsverantwoordelijke voorafgaand en tijdig te informeren over een voorgenomen overname of eigendomsoverdracht. | Deze bepaling is verwijderd. |
10.9 | Het is Verwerker niet toegestaan om zonder uitdrukkelijke en schriftelijke toestemming van Verwerkingsverantwoordelijke deze Verwerkersovereenkomst en de rechten en plichten die samenhangen met deze Verwerkersovereenkomst over te dragen aan een derde partij. | Deze bepaling is verwijderd. |
11.1 | Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk, waaronder begrepen de wettelijke bewaartermijnen of een eventueel tussen Partijen gemaakte afspraak over bewaartermijnen zoals vastgelegd in Bijlage 1. In geen geval bewaart Verwerker de Persoonsgegevens langer dan tot het einde van deze Verwerkersovereenkomst. Verwerkingsverantwoordelijke bepaalt of en zo ja hoe lang gegevens bewaard moeten blijven. | Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk, waaronder begrepen de wettelijke bewaartermijnen of een eventueel tussen Partijen gemaakte afspraak over bewaartermijnen zoals vastgelegd in Bijlage 1. In geen geval bewaart Verwerker de Persoonsgegevens langer dan tot het einde van deze Verwerkersovereenkomst. |
11.2 | Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker, tegen redelijke kosten, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens onherroepelijk (doen) vernietigen of teruggeven aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens onherroepelijk zijn vernietigd of verwijderd. Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd en gedocumenteerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk is, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de | Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker, tegen redelijke kosten, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens onherroepelijk (doen) vernietigen of teruggeven aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens onherroepelijk zijn vernietigd of verwijderd. Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd en gedocumenteerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk is, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk zal |
Persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken. | behandelen en niet langer zal verwerken, anders dan opslag. | |
13.5 | Partijen zullen zich inspannen conflicten in onderling overleg op te lossen. Hierbij is inbegrepen de mogelijkheid het geschil te beëindigen door een in onderling overleg vast te stellen mediation of arbitrage. | Partijen zullen zich inspannen conflicten in onderling overleg op te lossen. Hierbij is inbegrepen de mogelijkheid het geschil te beëindigen door een in onderling overleg vast te stellen mediation. |
13.6 | Geschillen over of in verband met deze Verwerkersovereenkomst worden uitsluitend voorgelegd aan de daartoe in de Overeenkomst aangewezen rechtbank of arbiter(s). | Geschillen over of in verband met deze Verwerkersovereenkomst worden uitsluitend voorgelegd aan de daartoe in de Overeenkomst aangewezen rechtbank of mediators. |
13.7 | Bepaling is toegevoegd: De bepalingen uit de Algemene Voorwaarden zijn onverkort van toepassing op de Verwerkersovereenkomst. Ingeval van tegenstrijdigheden prevaleert de Verwerkersovereenkomst. |