Zorgnet-Icuro - ADDENDUM LEVERANCIERSOVEREENKOMST M.B.T. GEGEVENSBESCHERMING
Zorgnet-Icuro - ADDENDUM LEVERANCIERSOVEREENKOMST M.B.T. GEGEVENSBESCHERMING
Aanpassingen vanuit Infoland op het addendum versie 20180227
Annex 1
Art. | Tekst die vervalt | Vervangende tekst | Reden |
1.1 | (…), met inbegrip van voor de sector toepasselijke goedgekeurde gedragscodes. | Tekst komt te vervallen. | Het is momenteel onduidelijk om welke specifieke normen uit welke gedragscodes en certificerings- mechanismen het gaat. Indien de verantwoordelijke wenst dat Infoland zich aan bepaalde normen houdt, worden we hier graag over geïnformeerd, zodat we kunnen kijken wat er mogelijk is. |
4.2 | - | Graag toevoegen: De hosting van Verwerker is ISO27001 gecertificeerd. Het resultaat hiervan is dat de diensten Zenya, support van de hosting en iQualify voldoen aan de ISO27001 normen. Met betrekking tot het support van de on-premise diensten is deze support niet ISO27001 gecertificeerd, maar volgt Xxxxxxxxx wel dezelfde werkwijze als bij het support van de hostingdiensten. De softwareontwikkeling van Verwerker is ISO9001 gecertifieerd. | Infoland informeert graag over de reeds aanwezige certificeringen. |
4.3 | (…) De Leverancier zal zich richten naar de normen van goedgekeurde gedragscodes en certificeringsmechanismen zoals die gelden binnen de sector. Hij voegt een bewijs daarvan bij als Annex bij dit Addendum. | (…) Hiertoe is Leverancier ISO 27001 gecertificeerd. Hij voegt een bewijs daarvan bij als Annex bij dit Addendum. | Het is momenteel onduidelijk om welke specifieke normen uit welke gedragscodes en certificerings- mechanismen het gaat. Indien de verantwoordelijke wenst dat Infoland zich aan bepaalde normen houdt, worden we hier graag over geïnformeerd, zodat we kunnen kijken wat er mogelijk is. |
4.4 | (…) Hij rapporteert op eigen initiatief aan het Ziekenhuis de wijzigingen die aan de maatregelen, zoals uiteengezet in Annex 3, worden doorgevoerd en dit binnen een termijn van veertien dagen na het aanbrengen van de wijzigingen. | (…) De genomen beveiligingsmaatregelen zijn op ieder moment inzichtelijk in de Service Level Description [link] van de Levernacier. | Infoland informeert niet proactief over wijzigingen in de beveiligingsmaatregelen. De genomen maatregelen zijn op ieder moment inzichtelijk in de Service Level Description. Mocht meer toelichting gewenst zijn, dan vernemen we dat graag. |
5.2 | De Leverancier neemt geen andere verwerker in dienst (“Subverwerker”) zonder de voorafgaande specifieke of algemene schriftelijke | Het Ziekenhuis verleent de Leverancier hierbij algemene toestemming om bij de verwerking van persoonsgegevens gebruik te maken van de in Annex 1 | Het is voor Infoland niet werkbaar om voor iedere nieuw in te schakelen subverwerker voorafgaande specifieke toestemming te verkrijgen. Dit zou de continuïteit van de dienst in de |
toestemming van het Ziekenhuis. In geval van een specifieke schriftelijke toestemming bezorgt de Leverancier in Annex 1 de volledige details van de door de subverwerker overgenomen verwerking bij dit Addendum. In geval van een algemene schriftelijke toestemming, schakelt de Leverancier enkel een derde partij als subverwerker in voor zover hij het Ziekenhuis tijdig en in ieder geval voorafgaand over de identiteit van de subverwerker heeft ingelicht en voorzover het Ziekenhuis zich hiertegen niet heeft verzet. | vermelde andere verwerkers (“Subverwerkers”). De Leverancier zal het Ziekenhuis zo spoedig mogelijk, d.w.z. voordat de uitbesteding plaatsvindt, informeren over voorgenomen wijzigingen in de door haar ingeschakelde subverwerkers. Het Ziekenhuis heeft het recht om tegen de beoogde verandering, schriftelijk en gemotiveerd binnen twee weken bezwaar te maken. Mocht het Ziekenhuis geen bezwaar maken, dan zal de nieuwe Subverwerker worden toegevoegd aan dit Addendum middels een addendum op Annex 1. Wanneer het Ziekenhuis bezwaar maakt, zullen Partijen onderling in overleg treden om tot een oplossing te komen. Mochten Partijen hier niet uitkomen, dan is het het Ziekenhuis toegestaan om de Basisovereenkomst op te zeggen met een gehalveerde opzegtermijn, in verhouding tot hetgeen Partijen zijn overeengekomen in de Basisovereenkomst. | weg zitten. Algemene toestemming, met een mogelijkheid tot bezwaar, is daarentegen wel werkbaar. Bij geen bezwaar, is het voor beide partijen praktisch als de nieuw ingeschakelde subverwerker wordt toegevoegd aan de huidige verwerkers-overeenkomst middels een addendum op Annex 1. Als tegemoetkoming wordt de opzegmogelijkheid voor verantwoordelijke erkend, mochten partijen er samen niet uit komen. NB. De standaard opzegtermijn voor SaaS-klanten bedraagt, wanneer hiervan contractueel niet is afgeweken, één maand. Voor klanten met een jaarcontract geldt dat dit contract één maand voor het einde van het jaar kan worden opgezegd. De halvering heeft aldus betrekking op deze termijnen. | |
5.3 | (…) De Leverancier bezorgt op eerste verzoek aan het Ziekenhuis de overeenkomst met de subverwerker. | (…) De Leverancier bezorgt op eerste verzoek aan het Ziekenhuis de overeenkomst met de subverwerker, tenzij dit op basis van de afspraken met de Subverwerker niet is toegestaan. Het is de Leverancier toegestaan bij verstrekking van een afschrift van een subverwerkers- overeenkomst de voor het Ziekenhuis irrelevante onderdelen, onleesbaar te maken. | Infoland is wettelijk gezien niet verplicht om afschriften te verstrekking van (sub)verwerkers- overeenkomsten. Tenzij het Infoland niet is toegestaan om een afschrift te verstrekken, zal zij hier echter wel gehoor aan geven. Irrelevante onderdelen uit deze afspraken (zoals aansprakelijkheid) zullen wel onleesbaar worden gemaakt, om geen inbreuk te maken op het vertrouwen van haar contractspartijen. |
6.1 | (…) De tijd en middelen die de Leverancier spendeert voor het verlenen van de bijstand, zijn voor eigen rekening van de Leverancier. | (…) Leverancier kan redelijke kosten in rekening brengen bij het Ziekenhuis voor het verlenen van bijstand. Leverancier zal alvorens kosten te maken, deze ter goedkeuring voorleggen aan het Ziekenhuis. | Het is redelijk dat indien het ziekenhuis bijstand vereist bij het voldoen aan haar verplichtingen onder de AVG, de leverancier hiervoor redelijke kosten in rekening kan brengen. Uiteraard zal zij deze eerst ter goedkeuring voorleggen aan het ziekenhuis. |
6.2 | In het verlengde van artikel 6.1, licht de Leverancier het Ziekenhuis omstandig en onmiddellijk in over een (vermoedelijke) inbreuk in verband met persoonsgegevens alsook | In het verlengde van artikel 6.1, licht de Leverancier het Ziekenhuis zonder onredelijke vertraging in over een inbreuk in verband met persoonsgegevens in de zin van artikel 4 onder 12) van de Algemene Verordening | Op basis van de AVG dient een datalek aan de verantwoordelijke zonder onredelijke vertraging te worden gemeld. Daarnaast begint de termijn van de verantwoordelijke pas te lopen op het moment dat deze op de |
over iedere gegevenslek (ook bij de subverwerker) zodra de Leverancier hiervan kennis heeft genomen. (...) De Leverancier vrijwaart het Ziekenhuis conform artikel 9.2. (…) | Gegevensbescherming (ook bij de subverwerker) zodra de Leverancier hiervan kennis heeft genomen. Graag verwijderen. | hoogte is van het datalek. Niet vanaf het moment dat de verwerker op de hoogte is van het datalek. Zie hiervoor ook de richtlijnen van de Artikel 29- Werkgroep (p. 15). Daarnaast bevat artikel 9 al afspraken over aansprakelijkheid. | |
6.3 | De Leverancier stelt het Ziekenhuis onmiddellijk in kennis van enige gemaakte klacht, beschuldiging of aanvraag (ook indien afkomstig van een regulator) met betrekking tot de verwerking van persoonsgegevens door de Leverancier. De Leverancier biedt alle nodige medewerking en ondersteuning die het Ziekenhuis redelijkerwijze kan verwachten met betrekking tot dergelijke klacht, beschuldiging of aanvraag, onder meer door volledige informatie te verstrekken over dergelijke klacht, beschuldiging of aanvraag samen met een kopie van de persoonsgegevens betreffende de betrokkene in het bezit van de Leverancier. | De Leverancier stelt het Ziekenhuis onverwijld in kennis van enige gemaakte klacht of beschuldiging (ook indien afkomstig van een regulator) met betrekking tot de verwerking van persoonsgegevens door de Leverancier. De Leverancier biedt alle nodige medewerking en ondersteuning die het Ziekenhuis redelijkerwijze kan verwachten met betrekking tot dergelijke klacht of beschuldiging, onder meer door volledige informatie te verstrekken over dergelijke klacht of beschuldiging samen met een kopie van de persoonsgegevens betreffende de betrokkene in het bezit van de Leverancier. De Leverancier zal het Ziekenhuis niet informeren als dat niet is toegestaan op grond van de wet. | De kennisgeving hoeft niet onmiddellijk plaats te vinden, maar wel onverwijld (zonder onredelijke vertraging). Het is toegestaan om enige tijd te nemen om te onderzoeken wat de situatie precies is. Daarnaast is het niet duidelijk wat met ‘aanvraag’ bedoeld wordt. Het kan hier ook om een informatievordering van een handhavingsinstantie gaan. In dit geval kan het mogelijk zijn dat het ziekenhuis niet geïnformeerd mag worden. |
7.1 | (…) De tijd en middelen die de Leverancier spendeert voor het verlenen van de bijstand, zijn voor eigen rekening van de Leverancier. | (…) Leverancier kan redelijke kosten in rekening brengen voor bijstand bij het afhandelen van verzoeken van betrokkenen. Alvorens kosten te maken, zal zij deze aan het Ziekenhuis ter goedkeuring voorleggen. | De verantwoordelijke besluit welke ondersteuning benodigd en gewenst is. Wanneer dit veel tijd vraagt van de verwerker, dienen de redelijke kosten te kunnen worden doorberekend aan de verantwoordelijke, daar de werkzaamheden in opdracht van de verantwoordelijke plaatsvinden. |
8.1 | Het Ziekenhuis heeft steeds het recht om de naleving door de Leverancier van het Addendum te controleren. De Leverancier stelt het Ziekenhuis alle informatie ter beschikking die nodig is om de nakoming van de verplichtingen in het kader van de Wetgeving Gegevensbescherming aan te tonen. De Leverancier maakt audits, waaronder inspecties, door het Ziekenhuis of een door het | Het Ziekenhuis heeft het recht om ten minste eenmaal per kalenderjaar een audit uit te laten voeren door een onafhankelijke deskundige derde die aan geheimhouding is gebonden, ter controle van naleving van alle punten uit dit Addendum, en alles wat daar direct verband mee houdt. De audit vindt uitsluitend plaats nadat het Ziekenhuis bij de Leverancier de aanwezige ISO- certificering heeft opgevraagd, | Een audit heeft nogal bedrijfsverstorende effecten waar ook andere klanten van Infoland hinder van kunnen ondervinden. Om die reden is het gewenst om het auditrecht, tot op redelijke hoogte, te beperken. |
Ziekenhuis gemachtigde controleur, mogelijk en draagt er aan bij. De Leverancier verleent volledige medewerking met betrekking tot een dergelijke audit en levert, op vraag van het Ziekenhuis, het bewijs van de naleving van zijn verplichtingen onder dit Addendum. | beoordeeld en redelijke argumenten aanbrengt die een door het Ziekenhuis geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij de Leverancier aanwezige soortgelijke rapportages geen of onvoldoende uitsluitsel geven over het naleven van dit Addendum door de Leverancier of dat over die naleving door de Leverancier gerede twijfel bij het Ziekenhuis bestaat. De door het Ziekenhuis geïnitieerde audit vindt twee weken na voorafgaande aankondiging door het Ziekenhuis plaats. De Leverancier zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk ter beschikking stellen, waarbij een termijn van maximaal twee weken redelijk is. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld. Naar aanleiding daarvan zullen indien noodzakelijk wijzigingen worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk. De kosten van de audit worden door de Leverancier gedragen indien er door de Leverancier toerekenbaar niet conform het Addendum blijkt te zijn gewerkt, en/of er fouten worden gevonden die toegerekend moeten worden aan de Leverancier. In ieder ander geval zullen de kosten van de audit worden gedragen door het Ziekenhuis. | ||
9.2 | De Leverancier vergoedt en vrijwaart het Ziekenhuis voor alle claims, acties, aanspraken van derden en voor alle schade en verliezen (waaronder ook boetes van de Gegevensbeschermings- | De Leverancier vergoedt en vrijwaart het Ziekenhuis voor alle claims, acties, aanspraken van derden en voor alle schade en verliezen (waaronder ook boetes van de Gegevensbeschermings- | Qua bedrijfsrisico is het voor Infoland onacceptabel om een ongelimiteerde en onvoorwaardelijke aansprakelijkheid en vrijwaring te accepteren. Als tegemoetkoming is Infoland bereid om een |
autoriteit) die rechtstreeks of onrechtstreeks voortvloeien uit een verwerking van persoonsgegevens wanneer bij de verwerking niet is voldaan aan de specifiek tot de verwerkers gerichte verplichtingen van de Wetgeving Gegevensbescherming of wanneer buiten dan wel in strijd met de rechtmatige instructies van het Ziekenhuis is gehandeld. | autoriteit) die rechtstreeks voortvloeien uit een verwerking van persoonsgegevens wanneer bij de verwerking toerekenbaar niet is voldaan aan de specifiek tot de verwerkers gerichte verplichtingen van de Wetgeving Gegevensbescherming of wanneer buiten dan wel in strijd met de rechtmatige instructies van het Ziekenhuis is gehandeld. | vrijwaring te accepteren, mits hieraan de voorgestelde voorwaarden en beperking wordt toegevoegd (zie hieronder). | |
9.3 | De Partijen dragen zorg voor een afdoende dekking van hun aansprakelijkheid. | [verplaatsen naar 9.5] De aansprakelijkheid uit artikel 9.1 en de vrijwaring uit artikel 9.2 gelden onder de voorwaarden dat het Ziekenhuis a. de Leverancier onmiddellijk op de hoogte stelt van de details van de claims, acties en/of aanspraken van derden; en b. geen enkele toezegging of acceptatie doet in relatie tot de claims, acties en/of aanspraken van derden; en c. alle redelijke stappen zal ondernemen om de schade, verliezen en kosten voortvloeiende uit de claims, acties en/of aanspraken van derden te voorkomen of te beperken; d. de Leverancier in staat stelt om de claims, acties en/of aanspraken van derden te verdedigen en/of af te wikkelen; en e. de Leverancier alle redelijke ondersteuning (op kosten van de Leverancier) zal bieden bij het afhandelen van de claims, acties en/of aanspraken van derden, en rekening houden met het feit dat de in artikel 9.1 en 9.2 genoemde aansprakelijkheid en vrijwaring zijn beperkt tot het bedrag dat daadwerkelijk door de verzekeraar van de Levernacier wordt uitgekeerd. Mocht de verzekeraar van de Leverancier niet uitkeren, dan is de in artikel 9.1 en 9.2 genoemde | Zie toelichting hierboven. |
aansprakelijkheid en vrijwaring in totaal beperkt tot maximaal het bedrag dat door het Ziekenhuis aan de Leverancier is betaald voor haar Dienst onder de Basisovereenkomst voor de twaalf (12) maanden voorafgaande aan de schadeveroorzakende gebeurtenis. | |||
9.4 | - | In aanvulling op artikel 9.1, 9.2 en 9.3, dient het Ziekenhuis: a. de Leverancier onmiddellijk op de hoogte te stellen van (i) een daadwerkelijk of vermoedelijk onderzoek door de toezichthoudende autoriteit en/of door andere derden of belanghebbenden (bijvoorbeeld betrokkenen) en/of een waarschuwing van een toezichthoudende autoriteit; en b. alle redelijke maatregelen te nemen ter voorkoming of vermindering van de claims, acties en/of aanspraken van derden. De aansprakelijkheid en vrijwaring uit artikel 9.1 en 9.2 zijn niet van toepassing voor zover de claims, acties en/of aanspraken van derden redelijkerwijs voorkomen hadden kunnen worden doordat de Leverancier hierover tijdig was geïnformeerd. | Zie toelichting hierboven. |
9.5 | - | Originele artikel 9.3 invoegen: De Partijen dragen zorg voor een afdoende dekking van hun aansprakelijkheid | Mocht inzage in de verzekeringspolis gewenst zijn, dan is een samenvatting hiervan op te vragen bij Infoland. |
10.3 | Onmiddellijk bij (eender welke) beëindiging of verstrijken van de Basisovereenkomst, dan wel na afloop van de bewaartermijn, zal de Leverancier – naar keuze van het Ziekenhuis – de persoonsgegevens terugbezorgen aan het Ziekenhuis (…) | Onverwijld bij (eender welke) beëindiging of verstrijken van de Basisovereenkomst zal de Leverancier – naar keuze van het Ziekenhuis – de persoonsgegevens in een gebruikelijk format terugbezorgen aan het Ziekenhuis (…) | Gezien het exitplan dat in werking treedt aan het einde van de overeenkomst, is het helaas niet mogelijk om e.e.a. ‘onmiddellijk’ uit te voeren. Indien het ziekenhuis dit wenst, zal Infoland de gegevens terugleveren in een gebruikelijk format. Indien een ander format gewenst is, bekijken we graag wat de mogelijkheden zijn. Mogelijk zijn hier aanvullende kosten mee gemoeid. Daarnaast is het ziekenhuis zelf verantwoordelijk voor het |
verwijderen van gegevens na het verstrijken van de bewaartermijn. Infoland kan hier uiteraard bij assisteren, maar gaat dit niet op eigen initiatief doen. |
(Sub)verwerkers Infoland
Sub-verwerkers bij gebruik hosting/SaaS Zenya en/of Zenya Cloud services i.c.m. Zenya on-premise en/of iQualify:
Uniserver Internet BV
Leverancier van clouddiensten t.b.v. het leveren van Xxxxx XxxX, iQualify en Zenya Cloud Services. Verwerkingen vinden plaats in Nederland.
Microsoft Corporation
Leverancier van Microsoft Azure t.b.v. het leveren van Xxxxx XxxX, iQualify en Zenya Cloud Services. Er wordt hierbij uitsluitend gebruik gemaakt van Microsoft Azure-regio’s binnen de EER.
Flowmailer
Leverancier van diensten om e-mails af te leveren t.b.v. van het versturen van e-mail berichten vanuit Zenya SaaS, iQualify en Zenya Cloud Services. Verwerkingen vinden plaats in Nederland.
Infoland Veldhoven
x00 (0)00 000 00 00
xxxxxxxxxxx@xxxxxxxx.xx xxx.xxxxxxxx.xx
Infoland België
x00 (0)00 00 00 00