GEGEVENSVERWERKINGSOVEREENKOMST ARTS - DOCTENA
GEGEVENSVERWERKINGSOVEREENKOMST ARTS - DOCTENA
Deze Gegevensverwerkingsovereenkomst (hierna de "Overeenkomst" of het “Addendum”), op datum van de digitale handtekening, maakt deel uit van de recentste overeenkomst inzake contractuele diensten (hierna de "Hoofdovereenkomst")
tussen:
huisartsenpraktijkapollo, oostrozebeke
, Xxxxxxxxxxxxxxxx 00, 0000 Xxxxxxxxxxxx
handelend voor zich (hierna de "Verwerkingsverantwoordelijke") EN
(vink het selectievakje aan dat overeenstemt met uw huidige contract)
Oostenrijk – Doctena Austria GmbH (formeel a3L esolutions), Xxxxxxxxxxxxxxx 00, Xx0000 Xxxxx
Xxxxxx:
Xxxxxxx Xxxxxxx Xxxx, Xx Xxxxxxxxxxx 00, Xx0000 Xxxxxxx
Sanmax Sprl, Xx Xxxxxxxxxxx 00, Xx0000 Xxxxxxx
Xxxxxxxxx Doctena Germany GmbH, Xxxxxxxxxxxx 000, 00000 Xxxxxxx
Xxxxxxxxx Xxxxxxx XX, 00X xx XX Xxxxxxx 0000 Xxxxxxxxx
Xxxxxxxxx Doctena Netherlands BV, Xxxxxxx Xxxxxxxxxxx 000, 0000 XX Xxxxxxxxx
Zwitserland Xxxxxxx Xxxxxxxxxxx XxxX, Xxxxxxxxxxxxxxxx 00x, 0000 Xxxxxx
handelend voor zich (hierna de “Gegevensverwerker” of “Verwerker”), (hierna gezamenlijk de “Partijen”).
De in deze Overeenkomst gebruikte termen hebben de betekenis die verwoord zijn in deze Overeenkomst. Termen die niet anders worden gedefinieerd in dit document, hebben de betekenis die er in de Hoofdovereenkomst aan wordt gegeven. Tenzij ze hieronder worden gewijzigd, blijven de voorwaarden van de Hoofdovereenkomst volledig geldig en van kracht.
De Partijen komen hierbij overeen dat de hieronder omschreven voorwaarden als Addendum worden toegevoegd aan de Hoofdovereenkomst.
1. Doel
Deze Overeenkomst heeft tot doel de voorwaarden vast te leggen waaronder de Gegevensverwerker zich ertoe verbindt namens de Verwerkingsverantwoordelijke de hieronder gedefinieerde persoonsgegevensverwerkingen uit te voeren.
In het kader van hun contractuele relaties verbinden de Partijen zich tot de naleving van de toepasselijke regelgeving betreffende de verwerking van persoonsgegevens en met name Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016, de Algemene Verordening Gegevensbescherming, die geldt vanaf 25 mei 2018 (hierna de “AVG”).
2. Definities
In deze Overeenkomst hebben de volgende termen de hieronder omschreven betekenis en worden verwante termen dienovereenkomstig uitgelegd:
"Verwerken/Verwerking/Verwerkt", "Verwerkingsverantwoordelijke", "Gegevensverwerker", "Betrokkene", "Persoonsgegevens", "Bijzondere Persoonsgegevenscategorieën", "Verwerkingsactiviteiten” en iedere andere definitie die niet opgenomen is in deze Overeenkomst of de Hoofdovereenkomst hebben dezelfde betekenis als in de AVG.
“EU” betekent Europese Unie.
"EER" betekent de Europese Economische Ruimte.
"Derde Land" betekent ieder land buiten de EU/EER, tenzij voor dat land een adequaatheidsbesluit van de Europese Commissie bestaat inzake de bescherming van Persoonsgegevens in Derde Landen.
"Diensten" betekent de diensten die door de Verwerker aan de Verwerkingsverantwoordelijke zullen worden verstrekt ingevolge de Xxxxxxxxxxxxxxxxx.
3. Duur van de Overeenkomst
Deze Overeenkomst wordt van kracht bij de digitale ondertekening van dit document (hierna de "Ingangsdatum van de Overeenkomst") en blijft van kracht tot het einde van de Hoofdovereenkomst.
De Verwerkingsverantwoordelijke heeft de Verwerker de opdracht gegeven de Diensten te leveren tot het einde van de Hoofdovereenkomst.
4. Verplichtingen van de Verwerkingsverantwoordelijke
De Verwerkingsverantwoordelijke is primair verantwoordelijk en verbindt zich ertoe om:
1. de Verwerker duidelijke en voldoende gedocumenteerde instructies te geven indien hij/zij om specifieke vereisten heeft verzocht die niet opgenomen zijn in de Hoofdovereenkomst betreffende de overeengekomen Diensten;
2. schriftelijk alle instructies met betrekking tot de gegevensverwerking door de Verwerker te documenteren;
3. de Verwerker de gegevens te verstrekken die worden vermeld in punt 5 van de Overeenkomst;
4. op eigen verantwoordelijkheid een register van de Verwerkingsactiviteiten bij te houden;
5. van zijn/haar kant alle technische en organisatorische beveiligingsmaatregelen te implementeren om een toereikend beschermingsniveau te bieden voor Persoonsgegevens die worden verwerkt in het kader van de Diensten van de Verwerker;
6. vóór en gedurende de verwerking toe te zien op de naleving van de verplichtingen die omschreven worden in de AVG;
7. de rechten van de Betrokkene te eerbiedigen;
8. eventuele veiligheidsincidenten m.b.t. de geleverde Diensten te melden aan de Verwerker;
9. toezicht te houden op de verwerking, onder andere door audits en inspecties bij de Verwerker uit te voeren.
5. Beschrijving van de verwerking die wordt uitbesteed
De Verwerkingsverantwoordelijke heeft de Verwerker de opdracht gegeven namens hem de volgende diensten te voorzien:
(i) Beheer van de gegevens van patiënten betreffende hun doktersafspraken en opvolg diensten;
(ii) Beheer van de agenda/kalender van de arts;
(iii)Beheer van de volledige IT-infrastructuur, de software, het onderhoud en het beheer van alle hardware en software die verband houden met de Diensten in het kader van de Hoofdovereenkomst.
De bewerkingen die met betrekking tot de gegevens worden uitgevoerd ten behoeve van (i), (ii) en (iii) zijn van de volgende aard:
• Het verzamelen, opslaan en aanpassen van persoonsgegevens van patiënten die worden vereist door de arts om de afspraak te regelen
• Het zoeken van patiëntaccounts a.d.h.v. opgeslagen persoonsgegevens
• Communicatie met betrokkenen over afspraken via e-mail of (mobiel) telefoonnummer
• Gegevensimport in de diensten van Doctena m.b.v. door de Arts verstrekte gestructureerde gegevens (bv. Onboarding)
• Geautomatiseerde gegevensback-up
De Verwerker verbindt zich ertoe de gegevens uitsluitend ten behoeve van het doel (of de doelen) van de Hoofdovereenkomst en voornoemde doelen te verwerken.
De categorie van de betrokkenen is: Patiënten.
Teneinde de in lid (i), (ii) en (iii) vermelde diensten te leveren, is de Verwerker gemachtigd namens de Verwerkingsverantwoordelijke de volgende noodzakelijke persoonsgegevenscategorieën te verwerken, afhankelijk van de gegevens die door de Verwerkingsverantwoordelijke en/of de Betrokkene worden verstrekt:
1. Persoonsgegevens ter identificatie: naam, titel, e-mailadres, adres (privé en op het werk), vorige adressen, (mobiel) telefoonnummer (privé, op het werk), identificatoren die worden toegewezen door de Verwerkingsverantwoordelijke;
2. Persoonlijke gegevens: leeftijd, geslacht, geboortedatum, geboorteplaats, verblijfplaats en nationaliteit;
3. Identificatiegegevens: uitgereikt door overheidsdiensten, bv. nationaal identificatienummer, socialezekerheidsnummer, identiteitskaartnummer, paspoort;
4. Elektronische identificatiegegevens: IP-adressen, cookies, verbindingstijden, elektronische handtekening;
5. Zorggegevens: gegevens betreffende de middelen en procedures die worden gebruikt voor de medische en paramedische zorg voor de patiënten (bv. arts-/patiënt notities, reden voor bezoek);
6. Gegevens van de andere leden van het gezin of huishouden: kinderen, personen ten laste, andere leden van het huishouden, informatie over ouders en familieleden;
7. Pseudonimisering: Controlemaatregelen om de Vertrouwelijkheid, Integriteit en Beschikbaarheid van gegevens te beschermen (bv. versleutelde hashwaarden).
6. Verplichtingen van de Verwerker
Zolang de Verwerker Persoonsgegevens verwerkt voor de Verwerkingsverantwoordelijke gelden de volgende voorwaarden overeenkomstig artikel 28 van de VGA:
Verplichtingen van de Verwerker jegens de Verwerkingsverantwoordelijke
1. De Verwerker verbindt zich ertoe alle wettelijke bepalingen in de AVG en de nationale wetgeving inzake gegevensbescherming na te leven en de gegevensverwerking (logisch en fysiek) uitsluitend binnen de EU of de EER uit te voeren. Voor iedere vorm van verplaatsing van de gegevensverwerking (met inbegrip van de verplaatsing van de zetel van de Verwerker) naar een derde land (buiten de EU of de EER) is de uitdrukkelijke voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke vereist.
2. De Verwerker verbindt zich ertoe de gegevens te verwerken in overeenstemming met de schriftelijke instructies van de Verwerkingsverantwoordelijke. Wanneer de Verwerker verplicht is persoonsgegevens door te geven aan een derde land of een internationale organisatie, krachtens het recht van de EU of van een Lidstaat waaraan de Verwerker onderworpen is, stelt de Verwerker de Verwerkingsverantwoordelijke voorafgaand aan de verwerking in kennis van het wettelijk voorschrift, tenzij deze kennisgeving om gewichtige redenen van algemeen belang verboden is volgens het recht in kwestie.
3. Indien de Verwerker acht dat een richtlijn die door de Verwerkingsverantwoordelijke wordt gegeven de AVG of andere gegevensbeschermingswetgeving van de EU of een Lidstaat schendt, dient de Verwerker de Verwerkingsverantwoordelijke onverwijld en te goeder trouw in kennis te stellen.
4. De Verwerkingsverantwoordelijke is gerechtigd de naleving van alle toepasselijke regelgeving inzake gegevensbescherming en van de contractuele bepalingen bij de Verwerker en eventuele onderaannemers zelf of via derden te controleren. Te dien einde verschaft de Verwerker de Verwerkingsverantwoordelijke de nodige documentatie om de Verwerkingsverantwoordelijke, of eventuele derden die hij heeft gemachtigd, in staat te stellen audits, met inbegrip van inspecties, uit te voeren en draagt hij bij aan de audit.
5. De Verwerker verschaft de Verwerkingsverantwoordelijke alle nodige informatie om de naleving van de verplichtingen die hem worden opgelegd in de overeenkomst aan te tonen.
6. De Verwerker verbindt zich ertoe de gegevens uitsluitend ten behoeve van het doel (of de doelen) van de Hoofdovereenkomst te verwerken.
Register van verwerkingsactiviteiten
7. De Verwerker voert de gegevensverwerking op gedocumenteerde wijze uit, tenzij een op de Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem daartoe anders verplicht; in dat geval stelt de Verwerker de Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
8. Krachtens artikel 30 van de AVG houdt de Verwerker een schriftelijk register bij van alle categorieën van verwerkingsactiviteiten die namens de Verwerkingsverantwoordelijke worden uitgevoerd. Dat bevat de volgende zaken:
- de naam en contactgegevens van de Verwerkingsverantwoordelijke namens wie de Verwerker optreedt, van eventuele andere verwerkers en, in voorkomend geval, van de functionaris voor gegevensbescherming;
- de categorieën van de verwerking die wordt uitgevoerd namens de Verwerkingsverantwoordelijke;
- in voorkomend geval, doorgiften van persoonsgegevens aan derde landen of aan een internationale organisatie, met inbegrip van de identificatie van dat derde land en, in geval van doorgiften waarnaar wordt verwezen in de tweede subparagraaf van artikel 49, lid 1, van de AVG, de documentatie van de passende waarborgen.
- indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen, waaronder:
• De pseudonimisering en versleuteling van persoonsgegevens;
• Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
• Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
• Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
Technische en organisatorische maatregelen
9. De Verwerker verbindt zich ertoe met betrekking tot zijn hulpmiddelen, producten, applicaties of diensten de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen in aanmerking te nemen.
10. De Verwerker dient de Verwerkingsverantwoordelijke bij te staan om de verplichtingen die worden omschreven in artikelen 32 t.e.m. 36 van de AVG (het treffen van technische en organisatorische maatregelen, het melden van beveiligingslekken, het beoordelen van het effect op de persoonlijke levenssfeer) na te komen. De Verwerker staat de Verwerkingsverantwoordelijke bij om de beoordeling van het effect op de persoonlijke levenssfeer inzake Gegevensbescherming uit te voeren. De Verwerkingsverantwoordelijke staat de Verwerker bij om de toezichthoudende autoriteit voorafgaand te raadplegen.
11. De Verwerker neemt redelijke technische en organisatorische maatregelen om voor de Gegevens en/of Gegevensverwerking een op de geïdentificeerde risico’s afgestemd beveiligingsniveau te waarborgen, die onder meer het volgende omvatten:
- de pseudonimisering en versleuteling van persoonsgegevens;
- het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
- het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
- een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
De beveiligingsmaatregelen zijn bedoeld om Persoonsgegevens te beschermen tegen vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang, hetzij per ongeluk, hetzij onrechtmatig.
Functionaris voor gegevensbescherming
12. De Verwerker deelt de Verwerkingsverantwoordelijke de naam en de contactgegevens van zijn functionaris voor gegevensbescherming mee, indien hij er een heeft aangewezen overeenkomstig artikel 37 van de AVG.
Onderaanneming
13. Het is de Verwerker in principe toegestaan onderaannemers (hierna “onderaannemers”) aan te stellen of in te schakelen. De Verwerkingsverantwoordelijke zal op voorhand in kennis gesteld worden van iedere beoogde aanstelling of inschakeling van onderaannemers indien hij zich op de notificaties heeft geabonneerd (zie onderstaande website), en het staat de Verwerkingsverantwoordelijke vrij bezwaar te maken tegen deze aanstelling binnen de 14 dagen na aankondiging van de wijzigingen. De Verwerker dient alle onderaannemers in de zin van artikel 28, lid 4, van de AVG te verplichten zich te binden aan hun verplichtingen en dient alle verplichtingen die de Verwerker moet nakomen over te dragen aan de onderaannemer. Het is onderaannemers verboden om gegevens te verwerking in derde landen. Een lijst met onderaannemers kan u op onderstaande website vinden, waar u zich ook kan inschrijven om per mail geinformeerd te worden over iedere geplande wijziging.
xxxxx://xxx.xxxxxxx.xxx/xxxxx/xxx-xxxxxxxxxx.xxxx
Geheimhouding
14. De Verwerker ziet erop toe dat gemachtigde personen die de verwerkte gegevens verwerken of er toegang toe hebben of kunnen verkrijgen, zich hebben gebonden aan een geheimhoudingsplicht alvorens deze gegevens te verwerken of zich er toegang toe te verschaffen, tenzij ze in ieder geval gehouden zijn tot een geheimhoudingsplicht, en zorgt voor de gepaste bewustmaking en opleiding inzake gegevensbescherming.
15. De Verwerker verbindt zich ertoe de vertrouwelijkheid van persoonsgegevens die in het kader van deze overeenkomst worden verwerkt, te garanderen.
Recht van de betrokkenen op informatie
16. Op het tijdstip waarop de gegevens worden verzameld, dient de Verwerker de Betrokkenen bij de persoonsgegevensverwerkingen informatie te verschaffen over de gegevensverwerking die hij uitvoert.
Uitoefening van de rechten van de betrokkene
17. Indien een getroffen Betrokkene zich wendt tot de Verwerker of een onderaannemer in plaats van tot de Verwerkingsverantwoordelijke, verbindt de Verwerker zich ertoe het verzoek aan de Verwerkingsverantwoordelijke te overhandigen zodat de Verwerkingsverantwoordelijke het verzoek tijdig kan verwerken.
18. In de mate van het mogelijke staat de Verwerker de Verwerkingsverantwoordelijke met passende technische en organisatorische maatregelen bij in het vervullen van diens plicht om binnen een redelijke termijn verzoeken van de Betrokkene om uitoefening van de in hoofdstuk III van de AVG vastgestelde rechten te beantwoorden (onderzoek en recht van inzage, van rectificatie en wissing van gegevens, op informatie, op gegevensoverdraagbaarheid, van bezwaar en inzake geautomatiseerde individuele besluitvorming, waaronder profilering) . De Verwerker dient namens en ten behoeve van de Verwerkingsverantwoordelijke binnen de termijnen die worden vermeld in de AVG te reageren op verzoeken van betrokkenen om hun rechten uit te oefenen met betrekking tot gegevens die in onderaanneming worden behandeld.
Melding van inbreuken in verband met persoonsgegevens
19. De Verwerker meldt eventuele inbreuken in verband met persoonsgegevens uiterlijk 48 uur nadat hij er kennis van heeft genomen aan de Verwerkingsverantwoordelijke middels: e-mail. Met deze melding
wordt alle nodige documentatie meegeleverd om de Verwerkingsverantwoordelijke in staat te stellen deze inbreuk indien nodig te melden aan de bevoegde toezichthoudende autoriteit.
Lot van de Persoonsgegevens
20. De Verwerker zal bij de beëindiging van de Hoofdovereenkomst ervoor kiezen de gegevens te verwijderen of terug te geven aan de Verwerkingsverantwoordelijke, tenzij opslag van de persoonsgegevens Unierechtelijk of lidstaatrechtelijk verplicht is. Bij het teruggeven van de gegevens dient de Verwerker ook schriftelijk aan te tonen dat deze vernietiging heeft plaatsgevonden.
Deze Overeenkomst treedt in werking bij ondertekening door de Partijen.
Verwerkingsverantwoordelijke: huisartsenpraktijk Apollo Oostrozebeke Naam: Xxxxxxxxxx Xxxxx | Xxxxxxxxx: Doctena (zie aangevinkte entiteit) Naam: Xxx Xxxx |
Gelezen en goedgekeurd | Gelezen en goedgekeurd |
Audit Trail
TITLE
FILE NAME
DOCUMENT ID STATUS
Doctena AVG Gegevensverwerkingsovereenkomst (NL) 2018-05_14_DPA-Do..._NL-hellosign.pdf d112a873d306d1e51cbd324735e7131aba78941f
Completed
28/05/2018
15:37:58 UTC+1
28/05/2018
15:41:03 UTC+1
28/05/2018
15:41:03 UTC+1
Viewed by - (xxxxxxxxxx@xxxxx.xxx) IP: 81.244.185.9
Signed by - (xxxxxxxxxx@xxxxx.xxx) IP: 81.244.185.9
The document has been completed.