GEGEVENSVERWERKERSOVEREENKOMST
GEGEVENSVERWERKERSOVEREENKOMST
1. Onderwerp van deze Gegevensverwerkingsovereenkomst
1.1. Deze Gegevensverwerkingsovereenkomst (“DPA”) is van toepassing op de verwerking van alle Persoonsgegevens van of verstrekt door Verwerkingsverantwoordelijke of een van haar gelieerde ondernemingen door Verwerker in het kader van de diensten die Verwerker worden verleend en waarvoor de Verwerkingsverantwoordelijke de Verwerker inhuurt. Verwerker verwerkt Persoonsgegevens namens Verwerkingsverantwoordelijke in het kader van de overeenkomst die tussen Verwerkingsverantwoordelijke en Verwerker bestaat
(“Overeenkomst”).
1.2. Termen zoals “verwerking, “persoonsgegevens”, “verwerkingsverantwoordelijke” en “verwerker” hebben de betekenis die daaraan wordt toegekend in de Algemene Verordening Gegevensbescherming, “AVG”
1.3. De specifieke persoonsgegevens die op grond van de Overeenkomst kunnen worden verwerkt, worden beschreven in Bijlage 1 bij deze DPA (“Persoonsgegevens”).
2. Verwerking van Persoonsgegevens
2.1. Verwerker zal de Persoonsgegevens slechts verwerken voor zover dit noodzakelijk is voor de uitvoering van de Overeenkomst, en uitsluitend op grond van gedocumenteerde instructies van Verwerkingsverantwoordelijke.
2.2. Verwerker zal zich strikt houden aan de AVG of enige andere toepasselijke wetgeving inzake gegevensbescherming, en zal samenwerken met Verwerkingsverantwoordelijke om naleving van de AVG of enige andere toepasselijke wetgeving inzake gegevensbescherming voor Verwerkingsverantwoordelijke mogelijk te maken. In het bijzonder zal Verwerker samenwerken met Verwerkingsverantwoordelijke om Verwerkingsverantwoordelijke in staat te stellen te voldoen aan de verplichtingen op grond van Artikel 32 – 36 AVG.
2.3. Verwerkingsverantwoordelijke draagt Verwerker hierbij op om de Persoonsgegevens te verwerken in overeenstemming met de beperkte doeleinden en specificaties zoals uiteengezet in bijlage 1 bij deze DPA. Verwerker zal de Persoonsgegevens nimmer voor eigen doeleinden verwerken. Verwerker zal Verwerkingsverantwoordelijke onmiddellijk op de hoogte stellen indien een instructie naar zijn mening in strijd is met de AVG of enige andere toepasselijke wetgeving inzake gegevensbescherming.
3. Vertrouwelijkheid
3.1. De partijen zullen alle tussen Verwerker en Verwerkingsverantwoordelijke uit te wisselen persoonsgegevens strikt vertrouwelijk behandelen.
3.2. Onverminderd eventuele bestaande contractuele afspraken tussen Partijen, zal Verwerker alle Persoonsgegevens als strikt vertrouwelijk behandelen en dat hij al zijn werknemers, agenten en/of goedgekeurde subverwerkers die betrokken zijn bij de verwerking van de Persoonsgegevens, op de hoogte stelt van het vertrouwelijke karakter van deze informatie en van de Persoonsgegevens. Verwerker zal ervoor zorgdragen dat al deze personen of partijen een adequate geheimhoudingsovereenkomst hebben ondertekend en zal Verwerkingsverantwoordelijke op verzoek kopieën van dergelijke overeenkomsten verstrekken.
3.3. Verwerker zal ervoor zorgdragen dat de verwerking van Persoonsgegevens strikt beperkt blijft tot die werknemers die benodigd zijn om de diensten onder de Overeenkomst uit te voeren.
Dergelijke werknemers zijn gebonden aan geheimhoudingsverplichtingen met betrekking tot de verwerking van dergelijke Persoonsgegevens.
4. Beveiliging
4.1. Onverminderd eventuele andere beveiligingsnormen die de Partijen zijn overeengekomen, neemt de Verwerker passende technische en organisatorische maatregelen om de beveiliging van de verwerking van Persoonsgegevens te waarborgen. Deze maatregelen omvatten:
(a) Maatregelen om ervoor te zorgen dat de Persoonsgegevens alleen toegankelijk zijn voor geautoriseerd personeel voor de in deze DPA uiteengezette doeleinden;
(b) Maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, ongeoorloofde of onrechtmatige opslag, verwerking, toegang of openbaarmaking; en
(c) Maatregelen om kwetsbaarheden te identificeren met betrekking tot de verwerking van persoonsgegevens in systemen die worden gebruikt om diensten te verlenen aan Verwerkingsverantwoordelijke.
4.2. Verwerker zal te allen tijde beschikken over een passend beveiligingsbeleid met betrekking tot de verwerking van Persoonsgegevens, waarin in ieder geval (i) de in Artikel 4.1 hierboven uiteengezette maatregelen en (ii) de in Artikel 32 AVG uiteengezette vereisten worden beschreven.
5. Audits
5.1. Verwerkingsverantwoordelijke heft het recht om eenmaal per jaar een audit uit te voeren om te bepalen in hoeverre Verwerker voldoet aan de bepalingen van de DPA. Een dergelijke audit kan worden uitgevoerd door een onafhankelijke derde en zal plaatsvinden op een door beide Partijen overeengekomen tijdstip. Verwerker zal medewerking verlenen aan een dergelijke audit en zal de auditors – op verzoek van de auditor – toegang verschaffen tot de faciliteiten, het personeel, het beleid en de documenten die redelijkerwijs noodzakelijk zijn voor het doel van de audit. Verwerkingsverantwoordelijke draagt de externe kosten van een dergelijke audit, tenzij uit de audit blijkt dat Verwerker wezenlijk inbreuk maakt op deze DPA. In dat geval draagt Verwerker de externe kosten van de audit. De interne kosten (het beschikbaar stellen van de faciliteiten, het personeel, het beleid en de documenten) zullen worden gedragen door de partij die deze kosten maakt.
5.2. Verwerker zal op eigen kosten meewerken aan een audit die door de relevante autoriteiten, waaronder de Autoriteit Persoonsgegevens, wordt ingesteld. Verwerker zal auditors – op verzoek van de auditor – toegang verlenen tot de faciliteiten, het personeel, het beleid en de documenten die redelijkerwijs noodzakelijk zijn voor het doel van de audit. Dit omvat alle gegevens die op grond van de overeenkomst als Vertrouwelijke Informatie worden beschouwd.
6. Gegevensinbreuken en incidentenbeheer
6.1. Verwerker zal Verwerkingsverantwoordelijke ten allen tijde op de hoogte stellen van elk incident met betrekking tot de verwerking van de Persoonsgegevens, en zal te allen tijde samenwerken met Verwerkingsverantwoordelijke, teneinde Verwerkingsverantwoordelijke in staat te stellen een grondig onderzoek naar het incident uit te voeren, een correcte reactie te formuleren en passende verdere stappen te ondernemen met betrekking tot het incident. In het bijzonder zal Verwerker aan Verwerkingsverantwoordelijke alle informatie verstrekken die nodig is om aan zijn wettelijke verplichtingen te voldoen, zoals de verplichting om incidenten te melden op grond van Artikel 33 en 34 AVG.
6.2. De term “incident” gebruikt in Artikel 6.1 wordt gebruikt, omvat ten minste het volgende:
(a) een klacht of een verzoek (om informatie) van een natuurlijke person met betrekking tot de verwerking van de Persoonsgegevens door Verwerker;
(b) een onderzoek naar of inbeslagneming van de Persoonsgegevens door overheidsfunctionarissen, of enige aanwijzing dat dit ophanden is;
(c) een inbreuk op de beveiliging en/of vertrouwelijkheid zoals uiteengezet in Artikel 32 AVG en/of in deze DPA, die leidt tot de toevallige of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot de Persoonsgegevens, of enige aanwijzing dat een dergelijke inbreuk heeft plaatsgevonden of op het punt staat plaats te vinden.
6.3. In geval van een incident als bedoeld in artikel 6.2, onder c), stelt Verwerker Verwerkingsverantwoordelijke daarvan zonder onnodige vertraging in kennis. Deze kennisgeving omvat: (i) de aard van het incident; (ii) de datum en het tijdstip waarop het incident heeft plaatsgevonden en is ontdekt; (iii) de (hoeveelheid) betrokkenen die door het incident zijn getroffen; (iv) welke categorieën Persoonsgegevens bij het incident betrokken waren; en (v) welke beveiligingsmaatregelen – zoals encryptie – zijn getroffen om onrechtmatige verwerking van de Persoonsgegevens te voorkomen. Alleen de Verwerkingsverantwoordelijke kan overheidsinstanties op de hoogte brengen.
6.4. Verwerker zal alle redelijke en noodzakelijke corrigerende maatregelen nemen om de schadelijke gevolgen te beperken en herhaling van dergelijke incidenten te voorkomen, voor zover de maatregelen redelijkerwijs binnen de macht van Verwerker liggen. Deze verplichtingen zijn niet van toepassing op incidenten die door de Verwerkingsverantwoordelijke of de betrokkenen zijn veroorzaakt.
7. Contracten met subverwerkers
7.1. Het is Verwerker toegestaan om haar activiteiten die (mede) bestaan uit het verwerken van de Persoonsgegevens of het verplichten tot het verwerken van har Persoonsgegevens uit te besteden aan een derde, en Verwerkingsverantwoordelijke verleent hierbij haar algemene schriftelijke toestemming. Verwerker zal Verwerkingsverantwoordelijke op de hoogte stellen van voorgenomen wijzigingen betreffende de toevoeging of vervanging van andere subverwerkers, waarbij Verwerkingsverantwoordelijke de mogelijkheid wordt aangeboden om bezwaar te maken tegen dergelijke wijzigingen.
7.2. Xxxxxxxxx ziet erop toe dat alle subverwerkers gebonden zijn aan de verplichtingen van Verwerker uit hoofde van deze DPA, en ziet toe op de naleving daarvan. Verwerker blijft ten opzichte van Verwerkingsverantwoordelijke volledig aansprakelijk voor alle gevolgen van onderaanneming bij een dergelijke derde.
7.3. Het recht om subverwerkers zonder toestemming uit te besteden overeenkomstig bovenstaand Artikel 7.1 doet niets af aan de noodzaak van toestemming voor gegevensoverdracht naar landen buiten de Europese Economische Ruimte zonder passend beschermingsniveau overeenkomstig onderstaand Artikel 8.
7.4. Bijlage 1 bevat een lijst van subverwerkers die kunnen worden uitbesteed en waarvoor de Verwerkingsverantwoordelijke hierbij zijn toestemming verleent. De toestemming van de Verwerkingsverantwoordelijke heft ook betrekking op eventuele toekomstige wijzigingen van deze lijst.
8. Internationale Doorgifte van Gegevens
8.1 Verwerker mag de Persoonsgegevens niet zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke permanent of tijdelijk doorgeven aan een land buiten de Europese Economische Ruimte zonder passend beschermingsniveau. Deze verplichting omvat ook het inschakelen van een subverwerkers die de Persoonsgegevens permanent of tijdelijk doorgeeft aan een land buiten de Europese Economische Ruimte zonder passend beschermingsniveau.
8.2 Onverminderd bovenstaand Artikel 8.1 zal Verwerker te allen tijde Hoofdstuk 5 van de AVG in acht nemen bij de doorgifte van Persoonsgegevens naar een land buiten de Europese Economische Ruimte.
9. Aansprakelijkheid en schadeloosstelling
9.1. De aansprakelijkheid van Verwerker jegens Verwerkingsverantwoordelijke in verband met deze DPA is per gebeurtenis en per jaar beperkt tot maximaal het totaal van de vergoedingen die Verwerker van Verwerkingsverantwoordelijke heft ontvangen in de loop van 12 opeenvolgende maanden voorafgaand aan de schadeveroorzakende gebeurtenis. Een reeks van gebeurtenissen die met elkaar in verband staan, wordt beschouwd als één en dezelfde gebeurtenis.
9.2. Niettegenstaande Artikel 9.1 is Verwerker jegens Verweringsverantwoordelijke aansprakelijk voor punitieve schade, gevolgschade, verlies van goodwill, gederfde winst, gederfde inkomsten, gemiste besparingen en schade door bedrijfsstagnatie of vertragingen.
9.3. De uitsluitingen en beperkingen van aansprakelijkheid in deze DPA zijn niet van toepassing op schade als gevolg van opzet en bewuste roekeloosheid door een Verwerker of diens leidinggevend management.
10. Duur en beëindiging
10.1. Deze DPA treedt in werking op de ingangsdatum van de Overeenkomst en eindigt automatisch wanneer de Overeenkomst wordt beëindigd of afloopt.
10.2. Beëindiging of afloop van deze DPA ontslaat de Verwerker niet van zijn verplichtingen die bedoeld zijn om de beëindiging of afloop van de DPA te overleven, met inbegrip van de verplichtingen die voortvloeien uit de Artikelen 3, 5, 9, 10, 11, en 12 van deze DPA.
11. Teruggave of Vernietiging van Persoonsgegevens
11.1. Bij beëindiging van deze DPA, of op schriftelijk verzoek van Verwerkingsverantwoordelijke, zal Verwerker, naar keuze van Verwerkingsverantwoordelijke de Persoonsgegevens vernietigen of retourneren aan de Verwerkingsverantwoordelijke.
11.2. Verwerker zal alle derden die betrokken zijn bij de verwerking van de Persoonsgegevens op de hoogte stellen van de beëindiging van de DPA en zal ervoor zorgen dat al deze derden de Persoonsgegevens zullen vernietigen of de Persoonsgegevens aan Verwerkingsverantwoordelijke zullen retourneren, zulks ter beoordeling van Verwerkingsverantwoordelijke.
12. Choice of law and forum
12.1. Deze DPA wordt beheerst door Nederlands recht. Alle geschillen die voortvloeien uit of verband houden met deze DPA zullen bij uitsluiting worden voorgelegd aan de bevoegde rechter te Oost-Brabant, locatie ’s-Hertogenbosch, Nederland.
BIJLAGE 1: DETAILS VAN VERWERKING VAN PERSOONSGEGEVENS
Deze Bijlage 1 bevat bepaalde details van de Verwerking van Persoonsgegevens zoals vereist door Artikel 28(3) van de AVG en andere toepasselijke wetgeving inzake gegevensbescherming:
1. Onderwerp en duur van de Verwerking van Persoonsgegevens
Onderwerp: de diensten die op grond van de artikelen 2, 3 en 4 van de Overeenkomst door Verwerker worden geleverd.
Duur van de Verwerking: de duur van de Overeenkomst, dan wel de duur van de betreffende diensten op grond van de Overeenkomst, al naar gelang van toepassing, of zoals anderszins schriftelijk overeengekomen door Partijen of verplicht op grond van de wet.
2. De aard en het doel van de verwerking van Persoonsgegevens
De Persoonsgegevens worden verzameld en verwerkt om de diensten aan de betrokkenen te verlenen. Verwerkingsverantwoordelijke en Verwerker verzamelen en ontvangen de Persoonsgegevens van de betrokkene en/of de behandelaar die de Persoonsgegevens verstrekkken die worden gebruikt om onze diensten aan te bieden. Er worden geen verdere of openbare bronnen gebruikt, tenzij uitdrukkelijk anders vermeld.
De doeleinden van de verwerking van de Persoonsgegevens:
- Om Verwerkingsverantwoordelijke in staat te stellen de door betrokkene gewenste diensten aan te bieden in het kader van de beschreven diensten in de Overeenkomst;
- Om Verwerkingsverantwoordelijke in staat te stellen door de betrokkene uit te voeren waarvoor betrokkene uitdrukkelijk toestemming heeft gegeven met betrekking tot de verwerking van de bijzondere persoonsgegevens.
3. De te verwerken soort Persoonsgegevens
De volgende Persoonsgegevens van betrokkenen worden verzameld en verwerkt:
- Naam en achternaam;
- Adres;
- Contactegevens, zoals e-mailadressen en telefoonnummers;
- Geboortedatum en geslacht;
- Lichamelijke kenmerken indien vereist en noodzakelijk voor de Dienst, zoals lichaamslengte en lichaamsgewicht;
- Bankrekeningnummer;
- Lichaamsmateriaal voor het uitvoeren van de Dienst, zoals bloed, speeksel en urine;
- De contactgegevens van de behandelaar; en
- De resultaten van de (diagnostische) test.
4. De categorieën van personen op wie de Persoonsgegevens betrekking hebben
De categorieën van personen op wie de Persoonsgegevens betrekking hebben, zijn de Patiënten (“betrokkenen”) van wie de Persoonsgegevens.door de Verwerker moeten worden verzameld en verwerkt uit hoofde van de Overeenkomst die tussen de Partijen bestaat.
5. De verplichtingen en rechten van de Partijen
De verplichtingen en rechten van de Verwerkingsverantwoordelijke en de Verwerker zijn uiteengezet in de Overeenkomst en de DPA.
6. Vooraf goedgekeurde subverwerkers
Subverwerkers | Locatie van verwerking | Type van dienst |
TOPICUS/LabObline | Xxxxxx 00, 0000 XX Xxxxxxxx, Xxx Xxxxxxxxxxx | Laboratoriumdienst / IT dienst |
HeiperICT | Xxxxxxxxxxx 00, 0000 XX Xxxxxx, Xxx Xxxxxxxxxxx | IT dienst |
XXX-Xxxxx | Xxxxxxxxxxx 0x, 00000 Xxx Xxxxxxxxxxx, Xxxxxxx | Laboratoriumdienst |
CoGAP | Xxxxxxxxxxx 00-00, 00000 Xxxxxxx, Xxxxxxx | Laboratoriumdienst |
Medisch laboratorium Stein | Xxxxxxxxxxxx 00, 0000 XX Xxxxxxxxxx, Xxx Xxxxxxxxxxx | Laboratoriumdienst |
AML-Lab | Xxxxx Xxxxxxxxxxxx 0, 0000 Xxxxxxx, Xxxxxxx | Laboratoriumdienst |
IMD Labor Berlin | Xxxxxxxxxxxxxx 00, 00000 Xxxxxx, Xxxxxxx | Laboratoriumdienst |
UPS | Xxxxxxxxx Xxxxx 00-00, 0000 XX Xxxxxxxxx, Xxx Xxxxxxxxxxx | Post- en pakketdienst |
Ganzimmun Diagnotics GmbH | Xxxx-Xxxxxxx-Xxxxxx 000 00000 Xxxxx Xxxxxxx | Laboratoriumdienst |
InVitaLab – LMVA GmbH | Xxxxxxxxxxxx 000 00000 Xxxx Xxxxxxx | Laboratoriumdienst |
XX-Xxx | Xxxxxxxxxxx 00 0000 XX Xxxxxxxxxx Xxx Xxxxxxxxxxx | Laboratoriumdienst |
Microtrace | Xxxxxxxxxx. 00 00000 Xxxxxxxxx Xxxxxxx | Laboratoriumdienst |
Mosaic Dx | 0000 X 000xx Xxxxxx Xxxxx 000 Xxxxxxxx Xxxx, XX 00000 Xxxxxx Xxxxxx | Laboratoriumdienst |
Lab1 | Xxxxx Xxxxxx vei 10, inngang D, 2. etg, 1337 Sandvika Norway | Laboratoriumdienst |
Omegametrix GmbH | Xx Xxxxxxxxxxxx 00, 00000 Xxxxxxxxxxx Xxxxxxx | Laboratoriumdienst |