BEWERKERSOVEREENKOMST Affinity Domain


BEWERKERSOVEREENKOMST Affinity Domain



PARTIJEN


[Ziekenhuis], gevestigd te[plaats], aan de [adres], te dezen rechtsgeldig vertegenwoordigd door [naam], [functie], hierna te noemen ‘Ziekenhuis’;

\

en


[RSO] … , gevestigd te [postcode plaats], aan de (straat + nummer) (KvKnr), te dezen rechtsgeldig vertegenwoordigd door NAAM, [FUNCTIE], hierna te noemen ‘het RSO’,


Hierna gezamenlijk te noemen ‘Partijen’


OVERWEGENDE DAT


- Partijen een Raamovereenkomst hebben gesloten, onder andere inzake de levering van diensten op het gebied van beelden- en documentenverkeer;


- in het kader van genoemde diensten persoonsgegevens worden verwerkt;


- Ziekenhuis ten aanzien van de verwerking van persoonsgegevens tezamen met de andere deelnemende Gebruikers optreedt als verantwoordelijke in de zin van de Wet bescherming persoonsgegevens (Wbp);


  • Het RSO optreedt als bewerker in de zin van de Wbp;


  • Het RSO gerechtigd is om de verwerking van persoonsgegevens uit te besteden aan een derde partij, welke partij in dat geval zal optreden als sub-bewerker;


- Partijen hun wederzijdse rechten en verplichtingen ten aanzien van de genoemde gegevensverwerking wensen vast te leggen in onderhavige bewerkersovereenkomst.


KOMEN OVEREEN ALS VOLGT


  1. Relatie tot Raamovereenkomst


Deze bewerkersovereenkomst vormt een bijlage bij de Raamovereenkomst tussen Ziekenhuis en het RSO (de “Raamovereenkomst") en geldt voor alle diensten die in het kader van de Raamovereenkomst worden aangeboden waarbij het RSO optreedt als bewerker. De bepalingen uit de Raamovereenkomst zijn van toepassing op deze bewerkersovereenkomst, tenzij daarvan is afgeweken in deze bewerkersovereenkomst.


Deze bewerkersovereenkomst wordt aangegaan voor de duur van de Raamovereenkomst. Voor het geval dat de Raamovereenkomst voor het einde van de overeengekomen looptijd eindigt maken Partijen in de Raamovereenkomst nadere afspraken over de wijze waarop Xxxxxxxxxx de verwerkte persoonsgegevens ter beschikking krijgt en hoe wordt geborgd dat het RSO na het beëindigen van de relatie niet meer over de persoonsgegevens kan beschikken.


Partijen zullen opnieuw in onderhandeling treden over de inhoud van deze bewerkersovereenkomst indien zich een wijziging voordoet in de verwerking van de persoonsgegevens of in de daarvoor geldende betrouwbaarheidseisen.


2) Positie partijen


Het ziekenhuis treedt tezamen met de overige gebruikers van de Beeldendienst op als verantwoordelijke in de zin van de Wbp ten aanzien van de in het kader van de Raamovereenkomst door het RSO te verwerken persoonsgegevens. het RSO treedt op als bewerker in de zin van de Wbp en verwerkt de persoonsgegevens in opdracht van Ziekenhuis en de overige gebruikers van de Beeldendienst.


3) Verwerking


het RSO is uitsluitend gerechtigd persoonsgegevens te verwerken in het kader van de uitvoering van de Raamovereenkomst. De diensten die het RSO in dit kader zal leveren zijn beschreven in de Dienstenbeschrijving, welke deel uitmaakt van de Raamovereenkomst.


het RSO is gerechtigd om bij de verwerking een of meerdere subbewerkers in te schakelen. Met deze subbewerkers zullen overeenkomsten worden afgesloten waarin alle verplichtingen uit deze bewerkersovereenkomst die relevant zijn voor de beveiliging van de verwerkte persoonsgegevens zullen worden overgenomen. Daarnaast zal worden opgenomen dat de subbewerker gerechtigd is om subsubbewerkers in te schakelen .Daarbij zal als voorwaarde gelden dat de subbewerker dit voorafgaand aan het RSO mededeelt en dat zij een kopie overlegt van de overeenkomst met de subsubbewerker waarin de verplichtingen uit de subbewerkersovereenkomst zijn overgenomen.


4) Nakoming Wbp


Partijen zullen hun verplichtingen op grond van de Wbp zorgvuldig nakomen.


5) Beveiliging


Het RSO zal de binnen het wettelijke kader voorgeschreven passende technische en organisatorische maatregelen ten uitvoer leggen om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. De gehanteerde beveiligingsmaatregelen voldoen aan de toepasselijke NEN-normen, waaronder de NEN 7510, de NEN 7512 en de NEN 7513. Op eerste verzoek van Xxxxxxxxxx zal het RSO een door het Ziekenhuis daartoe geaccrediteerde auditor informeren over de getroffen maatregelen. het RSO zal Ziekenhuis een keer per jaar informeren over de getroffen beveiligingsmaatregelen.


6) Geheimhouding


het RSO en de door haar ingezette personen zijn verplicht tot geheimhouding van persoonsgegevens waarvan zij bij het verwerken ten behoeve van Ziekenhuis kennis nemen, behoudens en voor zover enig wettelijk voorschrift hen tot openbaarmaking en/of afgifte verplicht. het RSO zal erop toezien dat de door haar ingezette personen deze geheimhoudingsverplichting betrachten. Daarnaast verzekert het RSO dat de geheimhoudingsverplichting een onderdeel is van de arbeidsvoorwaarden van al haar medewerkers.


7) Vorderingen tot gegevensverstrekking


het RSO zal slechts tegemoet komen aan vorderingen van derde partijen, waaronder overheidsinstanties, tot het verstrekken van (persoons)gegevens indien zij hiertoe verplicht is op grond van wet- en regelgeving of op grond van een rechterlijke uitspraak.


het RSO zal Ziekenhuis onverwijld informeren indien een daartoe bevoegde overheidsinstantie een op de wet gebaseerd verzoek tot verstrekking van persoonsgegevens heeft gedaan. Hierbij wordt voor de diensten van [NAAM], een van de subbewerkers, het beleid gehanteerd zoals overeengekomen met [NAAM]. Dit beleid is aangehecht in bijlage 1.


8) Datalekken


het RSO zal Ziekenhuis onverwijld in kennis stellen van inbreuken op de beveiligingsmaatregelen die het RSO, of een door haar ingeschakelde subbewerker, heeft getroffen indien redelijkerwijs kan worden aangenomen dat deze inbreuk leidt tot een aanmerkelijk risico op verlies of onrechtmatige verwerking waaraan nadelige gevolgen voor de persoonsgegevens en de persoonlijke levenssfeer van de betrokkene zijn verbonden.


9) Toezicht door Xxxxxxxxxx


Op eerste verzoek van Xxxxxxxxxx zal het RSO haar of een door Ziekenhuis aangewezen onafhankelijke derde de mogelijkheid geven te controleren of het RSO de beveiligingsmaatregelen als voorzien in deze bewerkersovereenkomst naleeft. Ziekenhuis zal hiertoe het RSO tijdig schriftelijk berichten wanneer zij of de onafhankelijke derde de controle wenst uit te voeren. In gezamenlijk overleg zal hiervoor een datum worden bepaald. In beginsel zal een controle ingevolge dit artikel lid maximaal tweemaal per jaar plaatsvinden, tenzij Ziekenhuis aanwijzingen heeft dat het RSO haar verplichtingen ter zake niet nakomt, één en ander ter beoordeling van Ziekenhuis.


Het RSO zal aan Ziekenhuis of de door haar aangewezen geaccrediteerde auditor, ten behoeve van de controle toegang verschaffen tot haar kantoren, werkruimten en systemen en zal op verzoek van Xxxxxxxxxx of de door haar aangewezen derde kosteloos assisteren bij deze controle en vragen ter zake beantwoorden.


10) Vrijwaring


het RSO vrijwaart Ziekenhuis tegen aanspraken van betrokkenen in de zin van de Wbp die het gevolg zijn van een schending of niet nakoming door het RSO van haar verplichtingen voortvloeiend uit deze bewerkersovereenkomst of uit de wettelijke bepalingen ter bescherming van persoonsgegevens.


Aldus in tweevoud opgemaakt en ondertekend,



Ziekenhuis RSO


Naam: Naam:


Plaats: Plaats:


Datum: Datum:


Handtekening: Handtekening:
























Bijlage 1: Beleid vorderingen data

Policy

- [NAAM] komt slechts tegemoet aan vorderingen van derde partijen, waaronder overheidsinstanties, tot het verstrekken van (persoons)gegevens indien zij hiertoe verplicht is op grond van wet- en regelgeving of op grond van een rechterlijke uitspraak. Dit geldt ook indien:

    • [NAAM] geen eigenaar is van de opgevraagde data

    • [NAAM] geen eigenaar is van de informatiesystemen waarop de data zich bevinden

  • De Chief Information and Security Officer (CISO) is bevoegd om, zonder tussenkomst of goedkeuring van leidinggevende(n) of Directie, te beschikken over alle benodigde resources om de vordering op te volgen.

  • Bij het opvolgen van een vordering worden zo min mogelijk medewerkers geïnformeerd (“Need To Know”) en zo min mogelijk medewerkers ingezet.



Procedure

  • De ontvanger van een vordering informeert onverkort en enkel de CISO

  • Indien de vordering niet op naam van [NAAM] staat, dan stuurt de CISO deze door naar de tenaamgestelde en informeert de indiener van de vordering hierover.

  • De CISO wijst de vordering af bij de indiener als

    • De vordering niet afkomstig is van Justitie of het OM

    • De data zich bevinden op een informatiesysteem waartoe [NAAM] geen legitieme toegang heeft

  • Indien de vordering op naam van [NAAM] staat en afkomstig is van Justitie of het OM, dan verzorgt de CISO de oplevering van de data

  • De CISO wijst iedere geïnformeerde medewerker expliciet op de geheimhoudingsplicht

  • De CISO doet na afhandeling van iedere vordering verslag aan de Directie en de Compliance Officer

    • Datum ontvangst

    • Indiener

    • Tenaamgestelde

    • Omschrijving gevraagde data

    • Omschrijving geleverde data

  • De Compliance Officer beoordeelt achteraf de afhandeling en doet daarvan verslag aan de Directie





Bewerkersovereenkomst [RSO] [datum] Pagina 1 van 4


Document Metadata

Filed: June 5th, 2018