Contract
9.5
Convenant gegevensuitwisseling gezamenlijk verantwoordelijken
INHOUD
1. Definities 4
2. Scope 4
3. Ingangsdatum convenant, werkingsduur en opzegging 5
4. Rollen en verhoudingen 5
5. Gegevensverwerking 6
6. Wettelijke grondslag voor gegevensverwerkingen 6
7. Rechten van betrokkenen 6
8. Inbreuk in verband met persoonsgegevens 7
9. Geheimhouding 7
10. Aansprakelijkheid 7
11. Tussentijdse wijzigingen van het convenant en evaluatie 8
12. Toepasselijke recht en geschillenbeslechting 8
13. Contactpersonen 8
14. Overige bepalingen 8
15. Ondertekeningspagina’s 9-34
Bijlagen | ||
Bijlage I: | Overzicht met verwerkingen van persoonsgegevens | 35 |
Bijlage II: | Overzicht met beveiligingsmaatregelen | 36 |
Bijlage III: | Verwerkers | 37 |
De ondergetekenden:
1) De Stichting Projectenbureau Publieke Gezondheid en Veiligheid Nederland, gevestigd te (3524 SJ) Utrecht aan het adres Zwarte Woud 2, ingeschreven in het handelsregister onder KvK nummer 41184548, hierna eveneens te noemen “GGD GHOR Nederland”, rechtsgeldig vertegenwoordigd door
;
en
2) De Gemeentelijke Gezondheidsdienst Rotterdam-Rijnmond gevestigd te Rotterdam aan de Schiedamsedijk 95, ingeschreven in het handelsregister onder KvK nummer 24483298, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door
;
3) De Gemeentelijke Gezondheidsdienst IJsselland, gevestigd te Zwolle aan de Zeven Alleetjes 1, ingeschreven in het handelsregister onder KvK nummer 50594761, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
4) De Gemeentelijke Gezondheidsdienst Noord- en Oost-Gelderland, gevestigd te Warnsveld aan de Rijksstraatweg 65, ingeschreven in het handelsregister onder KvK nummer 51158957, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door
;
5) De Gemeentelijke Gezondheidsdienst Haaglanden, gevestigd te Den Haag aan het Westeinde 128, ingeschreven in het handelsregister onder KvK nummer 63629216, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
6) De Gemeentelijke Gezondheidsdienst Twente, gevestigd te Enschede aan de Nijverheidstraat 30, ingeschreven in het handelsregister onder KvK nummer 8195873, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
7) De Gemeentelijke Gezondheidsdienst Drenthe, gevestigd te Assen aan de Mien Ruysweg 1, ingeschreven in het handelsregister onder KvK nummer 1139196, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
8) De Gemeentelijke Gezondheidsdienst Hart voor Brabant, gevestigd te ‘s-Hertogenbosch aan de Vogelstraat 2, ingeschreven in het handelsregister onder KvK nummer 17247544, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
9) De Gemeentelijke Gezondheidsdienst Hollands Midden, gevestigd te Leiden aan de Parmentierweg 49, ingeschreven in het handelsregister onder KvK nummer 27365105, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door
;
10) De Veiligheidsregio Fryslân, gevestigd te Leeuwarden aan de Harlingertrekweg 58, ingeschreven in het handelsregister onder KvK nummer 1175778, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
11) De Dienst Gezondheid & Jeugd Zuid-Holland Zuid, gevestigd te Dordrecht aan de Xxxxx Xxxxxxxx 40, ingeschreven in het handelsregister onder KvK nummer 54038111, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
12) De Gemeentelijke Gezondheidsdienst GGD Brabant-Zuidoost, gevestigd te Eindhoven aan het Xxxxxxxxxx 00, ingeschreven in het handelsregister onder KvK nummer 50451154, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
13) De Gemeentelijke Gezondheidsdienst Zuid-Limburg, gevestigd te Heerlen aan het Overloon 2, ingeschreven in het handelsregister onder KvK nummer 14131474, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door de ;
14) De Gemeentelijke Gezondheidsdienst Amsterdam, gevestigd te Amsterdam aan de Nieuwe Achtergracht 100, ingeschreven in het handelsregister onder KvK nummer 70036896 , hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
15) De Gemeentelijke Gezondheidsdienst Zeeland, gevestigd te Goes aan de Westwal 37, ingeschreven in het handelsregister onder KvK nummer 20171605, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
16) De Gemeentelijke Gezondheidsdienst Hollands Noorden , gevestigd te Alkmaar aan de Xxxxxx Xxxxxxxxxxxx 00, ingeschreven in het handelsregister onder KvK nummer 37159559, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
3
17) De Veiligheids- en gezondheidsregio Gelderland-Midden, gevestigd te Arnhem aan de Eusebiusbuitensingel 43, ingeschreven in het handelsregister onder KvK nummer 9217053,
hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
18) De Gemeentelijke Gezondheidsdienst Gelderland-Zuid, gevestigd te Nijmegen aan de Groenewoudseweg 275, ingeschreven in het handelsregister onder KvK nummer 9212724, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door
;
19) De Gemeentelijke Gezondheidsdienst GGD Groningen, gevestigd te Groningen aan het Xxxxxxxxxx 000, ingeschreven in het handelsregister onder KvK nummer 62089781, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
20) De Gemeentelijke Gezondheidsdienst GGD Regio Utrecht, gevestigd te Zeist aan de Dreef 5, ingeschreven in het handelsregister onder KvK nummer 50909185, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
21) De Gemeenschappelijke Gezondheidsdienst GGD Zaanstreek-Waterland, gevestigd te Zaandam aan de Vurehout 2, ingeschreven in het handelsregister onder KvK nummer 34370893, hierna eveneens “GGD”, rechtsgeldig vertegenwoordigd door
;
22) De Gemeentelijke Gezondheidsdienst Gooi & Vechtstreek, gevestigd te Bussum aan de Xxxxxxxxxxxx xx Xxxxxxxxxxx 00, ingeschreven in het handelsregister onder KvK nummer 32152259, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door
;
23) De Gemeentelijke Gezondheidsdienst Kennemerland, gevestigd te Haarlem aan de Zijlweg 200, ingeschreven in het handelsregister onder KvK nummer 34377971 , hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
24) De Gemeentelijke Gezondheidsdienst GGD Flevoland, gevestigd te Lelystad aan de Noorderwagenstraat 2, ingeschreven in het handelsregister onder KvK nummer 32170514, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
25) De Gemeentelijke Gezondheidsdienst GGD Limburg-Noord, gevestigd te Blerick aan de Drie Decembersingel 50, ingeschreven in het handelsregister onder KvK nummer 14110234, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door
;
26) De Gemeentelijke Gezondheidsdienst GGD West-Brabant, gevestigd te Breda aan de Doornboslaan 225-227, ingeschreven in het handelsregister onder KvK nummer 20164916, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door
;
De partijen sub 1 t/m 26, hierna gezamenlijk te noemen: “Partijen”, de partijen sub 2 t/m 26 ook “GGD’en”;
OVERWEGENDE DAT:
• Partijen in een specifieke relatie tot elkaar staan en vanuit hun publiekrechtelijke taken (voortvloeiend uit de Wet publieke gezondheid) dienen te acteren ter bevordering van de publieke gezondheid.
• De hierboven genoemde specifieke relatie tussen Partijen onder meer blijkt uit de vastgestelde Verenigingsgovernance van GGD GHOR Nederland versie 29 juni 2018.
• Partijen in een eerder stadium met elkaar zijn overeengekomen dat GGD GHOR Nederland het opzetten van een landelijk informatiesysteem met daaraan verbonden hard- en softwarekoppelingen ten behoeve van de bestrijding van COVID-19 door de GGD’en (‘CoronIT’) coördineert en ten behoeve van die bestrijding in Nederland zorg draagt voor de continuïteit van het systeem en de voornoemde bestrijding.
• De ingebruikneming van CoronIT met zich meebrengt dat persoonsgegevens worden verwerkt en daarmee wet- en regelgeving van toepassing is die de bescherming van persoonsgegevens beoogt, waaronder de Algemene Verordening Gegevensbescherming (“AVG”) en de daarop van toepassing zijnde Uitvoeringswet.
• De verwerking van persoonsgegevens via CoronIT ex artikel 6 lid 1 sub c en e AVG een rechtmatige basis heeft, namelijk artikel 22 e.v. en artikel 29 Wet publieke gezondheid.
• Op basis van de AVG en de wijze waarop CoronIT dataverkeer tussen Partijen mogelijk maakt, het van belang is dat – afhankelijk van de datastroom tussen Partijen – wordt beoordeeld wie (mede)verwerkingsverantwoordelijke of (sub)verwerker is.
• Partijen op basis van jurisprudentie van het Hof van Justitie van de Europese Unie uit 2018 hun rol ten aanzien van de verwerking van persoonsgegevens via CoronIT hebben geanalyseerd. Partijen tot het oordeel zijn gekomen dat zij, ten aanzien van de voornoemde beoordeling, ex artikel 26 AVG gezamenlijk verwerkingsverantwoordelijken zijn.
• Artikel 26 lid 1 AVG onder meer bepaalt dat gezamenlijk verwerkingsverantwoordelijken op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit de AVG vaststellen door middel van een onderlinge regeling.
• Partijen de voornoemde verplichting wensen vast te leggen in dit document (hierna “Convenant”);
• Het Convenant als zodanig niet een op zichzelf staand document is, maar onderdeel vormt van een eerder (gedocumenteerd) besluitvormingsproces tussen Partijen en daaruit voortvloeiende contractuele afspraken namens Partijen.
KOMEN OVEREEN:
Artikel 1: Definities
1. Aan de hierna genoemde begrippen wordt dezelfde betekenis gegeven als bedoeld in art. 4 AVG: Persoonsgegevens,Verwerking, Verwerkingsverantwoordelijke, Betrokkene, Inbreuk in verband met persoonsgegevens, Toezichthoudende autoriteit.
Artikel 2: Scope
1. Dit Convenant heeft uitsluitend betrekking op de verwerking van persoonsgegevens ter uitvoering van werkzaamheden verbonden aan CoronIT, Partijen genoegzaam bekend.
2. Partijen hebben in Bijlage I de aard, het soort persoonsgegevens en de categorieën van betrokkenen omschreven.
3. Het Convenant is een leidend document tussen Partijen betreffende de verwerking van persoonsgegevens via CoronIT. Partijen sluiten onderling geen andersoortige overeenkomsten betreffende de verwerking van persoonsgegevens via CoronIT. Andersoortige overeenkomsten tussen Partijen betreffende CoronIT kunnen op geen enkele wijze afbreuk doen aan rechten en plichten als vastgelegd in het Convenant noch aan de doelstelling die ten grondslag ligt aan CoronIT en welke – geparafraseerd – inhoudt:
• CoronIT maakt het mogelijk om de bestrijding van COVID-19 doelmatig en efficiënt in de verschillende regio’s van het land te organiseren;
• CoronIT voorziet in laagdrempelige en veilige toegang tot gegevens van te testen en geteste personen en de daarbij behorende testresultaten;
• CoronIT wordt ondersteund door een landelijk te gebruiken testplatform.
4. Partijen verplichten zich tegenover elkaar op een zodanig pro-actieve en transparante wijze te handelen dat de doelstelling die ten grondslag ligt aan CoronIT, wordt gerealiseerd.
Artikel 4: Rollen en verhoudingen
1. GGD GHOR Nederland draagt er, met behulp van door haar geselecteerde partijen welke zijn weergegeven in Bijlage 2, zorg voor dat CoronIT operationeel beschikbaar is voor de GGD’en. Daartoe heeft GGD GHOR Nederland namens Partijen ook contractuele afspraken gemaakt met de in Bijlage 2 genoemde partijen, waaronder – indien daartoe een verplichting bestaat
- afspraken over de verwerking van persoonsgegevens in verwerkersovereenkomsten.
2. GGD GHOR Nederland fungeert ten opzichte van de in Bijlage 2 genoemde partijen als exclusief aanspreekpunt voor aangelegenheden die CoronIT betreffen. De GGD’en verbinden zich om eventuele kwesties betreffende CoronIT welke gerelateerd zijn aan een of meerdere van de in Bijlage 2 genoemde partijen, te allen tijde eerst voor te leggen aan GGD GHOR Nederland. De laatstgenoemde verplichting geldt niet voor eventuele eerste-lijns-hulp welke
ten behoeve van de GGD’en door GGD GHOR Nederland is afgesloten bij een of meerdere van de partijen genoemd in Bijlage 2.
3. Iedere GGD is zelfstandig verantwoordelijk voor het gebruik van CoronIT bij de uitvoering van aan haar toebedeelde taken. Onder gebruik wordt mede verstaan de invoer, verwijdering, aanpassing, beschikbaarstelling, vernietiging van Persoonsgegevens binnen CoronIT. Zonder nadrukkelijke toestemming dan wel wettelijke verplichting, zal GGD GHOR Nederland geen persoonsgegevens van betrokkenen - in de zin van de AVG - binnen CoronIT invoeren, aanpassen, verwijderen en/of vernietigen.
4. Partijen zijn zelfstandig verantwoordelijk voor het nemen van interne technische en organisatorische maatregelen ter voorkoming van ongeautoriseerde toegang en verwerking van Persoonsgegevens binnen CoronIT.
Artikel 5: Gegevensverwerking
1. Ieder van de Partijen is zelfstandig verantwoordelijk voor de verwerking van de Persoonsgegevens in eigen beheer zijnde. Partijen verwerken de Persoonsgegevens alleen op de wijze zoals in dit Convenant is overeengekomen en zullen Persoonsgegevens niet op een andere manier verwerken, tenzij dit gezamenlijk is overeengekomen.
2. Partijen verwerken Persoonsgegevens binnen CoronIT uitsluitend in overeenstemming met geldende wet- en regelgeving, met name de AVG en de Uitvoeringswet AVG.
3. Onverminderd hetgeen is bepaald in artikel 4.4 van het Convenant, komen Partijen overeen dat de in Bijlage 2 opgesomde maatregelen ten tijde van het sluiten van het Convenant de basismaatregelen zijn welke aantoonbaar nageleefd dienen te worden ter uitvoering van de verplichting als opgenomen in artikel 24 en 32 AVG. Partijen zullen – via het alsdan bestaande overlegorgaan – jaarlijks de in Bijlage 2 getroffen maatregelen evalueren en toetsen of deze toereikend zijn in de zin van voornoemde artikelen. Eventuele aanpassingen die voortvloeien uit de evaluatie, worden door Partijen zo spoedig mogelijk ten uitvoer gebracht.
4. Indien een van de Partijen wordt benaderd (bezoek/e-mail/brief/telefoon) door een toezichthoudende autoriteit (waaronder de Autoriteit Persoonsgegevens) of een gerechtelijk bevel ontvangt betreffende een kwestie die op enigerlei wijze gekoppeld is of kan worden gekoppeld aan CoronIT zal zij de andere Partij daarover direct informeren. Daartoe zal de betreffende Partij in ieder geval onmiddellijk en onverwijld GGD GHOR Nederland informeren via de Functionaris Gegevensbescherming van de GGD GHOR Nederland via een e-mail aan het adres xx@xxxxxxx.xx en via . De desbetreffende Partij verplicht zich geen inhoudelijk standpunt tegenover de toezichthoudende autoriteit in te nemen voordat afstemming heeft plaatsgevonden met GGD GHOR Nederland.
Artikel 6: Wettelijke grondslag voor de gegevensverwerkingen
1. Partijen verwerken de persoonsgegevens voor de uitvoering van de plichten gesteld in de Wet publieke gezondheid (art. 22 e.v.).
2. Partijen dragen er zorg voor dat aan de AVG en Uitvoeringswet AVG (UAVG) wordt voldaan.
Artikel 7: Rechten van betrokkenen
1. Indien een betrokkene zich wendt tot een GGD, zal de desbetreffende Partij zelfstandig uitvoering geven aan haar verplichtingen die voortvloeien uit de AVG en andere wet- en regelgeving tegenover die betrokkene. Mocht een GGD van oordeel zijn dat een andere GGD uitvoering dient te geven aan verplichtingen tegenover die betrokkene, dan stemmen de GGD’en dit onderling af zonder dat dit rechten van betrokkenen schaadt. Mocht een GGD van mening zijn dat de medewerking van GGD GHOR Nederland noodzakelijk is voor het nakomen van verplichtingen tegenover een betrokkene, dan zal de betreffende GGD dit gemotiveerd verzoeken aan GGD GHOR Nederland.
2. Indien een betrokkene zich rechtstreeks wendt tot GGD GHOR Nederland, dan zal GGD GHOR Nederland zo spoedig mogelijk contact opnemen met de GGD die als laatste verbonden is
aan deze betrokkene, waarna die GGD uitvoering geeft aan haar verplichtingen als omschreven in artikel 7.1.
3. Iedere GGD is tegenover een betrokkene, waarvan zij Persoonsgegevens verwerkt, zelfstandig verplicht om uitvoering te geven aan de informatieverplichtingen als genoemd in artikel 13 en 14 AVG.
Artikel 8: Inbreuk in verband met persoonsgegevens
1. Indien zich een Inbreuk in verband met persoonsgegevens bij één van de Partijen voordoet, handelt iedere Partij deze volledig in eigen verantwoordelijkheid en conform de vereisten van de AVG af.
2. Ieder der Partijen is zelfstandig gehouden tot een afweging van eventuele maatregelen – en zo nodig het treffen van maatregelen – indien zij bekend raakt met een inbreuk in verband met persoonsgegevens in de zin van artikel 33 AVG. Alvorens een van de Partijen op basis van een afweging als bedoeld in het voorgaande lid besluit tot een melding aan de bevoegde toezichthoudende autoriteit, zal zij daarover voorafgaand afstemming hebben met de andere Partij.
Artikel 10: Geheimhouding
1. Partijen en alle personen die voor of namens Partijen werkzaamheden uitvoeren, zijn verplicht tot geheimhouding met betrekking tot de Persoonsgegevens waarvan zij kennis kunnen nemen, met uitzondering van de wettelijke voorschriften die de verstrekking verplichten.
2. Partijen zorgen ervoor dat de geheimhoudingsverplichting van de in lid 1 genoemde personen bij een verklaring is ondertekend ofwel onderdeel uitmaakt van de ondertekende arbeidsovereenkomst.
3. Na het beëindigen van dit Convenant, blijft de geheimhoudingsplicht van kracht.
Artikel 11: Aansprakelijkheid
1. Schade welke voortvloeit uit het niet nakomen van verplichtingen uit het Convenant, komt voor rekening van de partij(en) die toerekenbaar is tekort geschoten. Ingeval schade ontstaat op grond van dit Convenant zullen Partijen met elkaar in overleg treden.
2. Partijen verplichten zich jegens elkaar om bij constatering van fouten in de gegevensuitwisseling, zoals bedoeld in dit Convenant, elkaar daarvan zo spoedig mogelijk op de hoogte te stellen. Bij constatering van fouten zetten Partijen zich maximaal in om de ontstane fout te herstellen en gegevens op correcte wijze uit te wisselen. Een en ander conform de vastgestelde normen die daarvoor zijn beschreven.
3. Ieder van de Partijen is verantwoordelijk voor de schade ontstaan uit de onrechtmatige verwerkingen van persoonsgegevens die onder eigen verantwoordelijkheid conform dit Convenant zijn verwerkt en eventueel de daarvoor opgelegde sancties door de Autoriteit Persoonsgegevens en de schadevorderingen vanuit de betrokkenen.
Artikel 12: Tussentijde wijzigingen van het convenant en evaluatie
1. Partijen verbinden zich om minimaal een keer per jaar het Convenant en de daaruit voortvloeiende verplichtingen en werkzaamheden te evalueren. Daarbij verklaren Partijen zich bereid om het Convenant aan te passen indien een evaluatie, inbreuk in verband met persoonsgegevens, gewijzigde wet- en regelgeving, beleid van toezichthoudende instanties dan wel de stand der techniek dit vereist.
Uitgangspunt daarbij is dat het Convenant te allen tijde ten minste aan de wettelijke vereisten ter zake de bescherming van Persoonsgegevens dient te voldoen.
2. GGD GHOR Nederland is penvoerder met betrekking tot het Convenant. Eventuele wijzigingen ten aanzien van Bijlage 4 worden door Partijen gecommuniceerd via het mailadres xx@xxxxxxx.xx en zullen door GGD GHOR Nederland zo spoedig mogelijk met Partijen worden gedeeld.
2. Aanpassingen van het Convenant en/of de overige Bijlagen kan alleen plaatsvinden nadat daarover besluitvorming tot stand is gekomen via het Directieteam op advies van de FG.
.
Artikel 13: Toepasselijk recht en geschillenbeslechting
1. Op dit Convenant en op alle geschillen, die daaruit voortvloeien of daarmee samenhangen, is in Nederland van toepassing zijnde recht van toepassing.
2. Alle geschillen die tussen de Partijen ontstaan in verband met dit Convenant worden voorgelegd aan de bevoegde rechter van de rechtbank Midden-Nederland locatie Utrecht.
Artikel 14: Contactpersonen
1. In Bijlage 4 bij het Convenant is een lijst met contactpersonen opgenomen waarin ieder der Partijen is vertegenwoordigd. Daar waar het Convenant Partijen verplicht elkaar te informeren, zal die informatie gericht dienen te zijn tot de contactpersoon als genoemd is Bijlage 4. Om te voorkomen dat informatie een Partij niet bereikt zal ieder der Partijen ook een algemeen e-mail account opnemen in Bijlage 4 zodat in geval van absentie of wijzigingen van functies dan wel het personeelsbestand, de informatiedeling in dat opzicht is geborgd.
Artikel 15: Overige bepalingen
1. Indien één of meerdere bepalingen van dit Convenant nietig blijken te zijn of door de rechter nietig worden verklaard, behouden de overige bepalingen van dit Convenant hun rechtskracht. Partijen zullen voor (elk van) de nietige of vernietigde bepaling(en) een rechtsgeldige bepaling in de plaats stellen die zoveel mogelijk benaderd wat Partijen beoogden overeen te komen.
2. Indien onduidelijkheid bestaat omtrent de uitleg van één of meerdere bepalingen in onderhavige overeenkomst, dan dient de uitleg plaats te vinden ‘naar de geest’ van deze bepalingen.
3. Ten tijde van ondertekening behoorden tot onderhavige overeenkomst de volgende Bijlagen:
a. Bijlage 1: Overzicht met verwerkingen van persoonsgegevens en verwerkingsdoeleinden
b. Bijlage 2: Overzicht met beveiligingsmaatregelen
c. Bijlage 3: Verwerkers
d. Bijlage 4: Contactgegevens
Aldus overeengekomen en ondertekend in ……Utrecht……………….., op ……30 april…….2020
1. de Stichting Projectenbureau Publieke Gezondheid en Veiligheid Nederland, rechtsgeldig vertegenwoordigd door ;
12 -06-
Rotterdam
Aldus overeengekomen en ondertekend in ………………………………….., op 2020
2. De Gemeentelijke Gezondheidsdienst Rotterdam-Rijnmond gevestigd te Rotterdam aan de Schiedamsedijk 95, ingeschreven in het handelsregister onder KvK nummer 24483298, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door
Aldus overeengekomen en ondertekend in Zwolle op 30 april 2020
3. De Gemeentelijke Gezondheidsdienst IJsselland, gevestigd te Zwolle aan de Zeven Alleetjes 1, ingeschreven in het handelsregister onder KvK nummer 50594761, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
Aldus overeengekomen en ondertekend in s’-Hertogenbosch, op 4 mei 2020
8. De Gemeentelijke Gezondheidsdienst Hart voor Brabant, gevestigd te ‘s-Hertogenbosch aan de Vogelstraat 2, ingeschreven in het handelsregister onder KvK nummer 17247544, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
Aldus overeengekomen en ondertekend in Leiden op 29 april 2020
9. De Gemeentelijke Gezondheidsdienst Hollands Midden, gevestigd te Leiden aan de Parmentierweg 49, ingeschreven in het handelsregister onder KvK nummer 27365105, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door
;
Aldus overeengekomen en ondertekend in Leeuwarden, op 1 mei 2020
10. De Veiligheidsregio Fryslân, gevestigd te Leeuwarden aan de Harlingertrekweg 58, ingeschreven in het handelsregister onder KvK nummer 1175778, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
Aldus overeengekomen en ondertekend in Eindhoven op 6 mei 2020
12. De Gemeentelijke Gezondheidsdienst GGD Brabant-Zuidoost, gevestigd te Eindhoven aan het Cla het handelsregister onder KvK nummer 50451154, hierna
eve chtsgeldig vertegenwoordigd door ;
…… …………………………………………………
20
Aldus overeengekomen en ondertekend in Arnhem, op 1 mei 2020
17. De Veiligheids- en gezondheidsregio Gelderland-Midden, gevestigd te Arnhem aan de Eusebiusbuitensingel 43, ingeschreven in het handelsregister onder KvK nummer 9217053,
hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
………………………
Aldus overeengekomen en ondertekend in Gronignen, op 1 mei 2020
19. De Gemeentelijke Gezondheidsdienst GGD Groningen, gevestigd te Groningen aan het Xxxxxxxxxx 000, ingeschreven in het handelsregister onder KvK nummer 62089781, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
27
Aldus overeengekomen en ondertekend in Haarlem op 20 mei 2020
23. De Gemeentelijke Gezondheidsdienst Kennemerland, gevestigd te Haarlem aan de Zijlweg 200, ingeschreven in het handelsregister onder KvK nummer 34377971 , hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
………………………………
Aldus overeengekomen en ondertekend in Lelystad, op 30 april 2020
24. De Gemeentelijke Gezondheidsdienst GGD Flevoland, gevestigd te Lelystad aan de Noorderwagenstraat 2, ingeschreven in het handelsregister onder KvK nummer 32170514, hierna eveneens te noemen “GGD”, rechtsgeldig vertegenwoordigd door ;
drs.
directeur Publieke Gezondheid
32
Aldus overeengekomen en ondertekend in . , op
26. De Gemeentelijke Gezondheidsdienst GGD West-Brabant, gevestigd te Breda aan de Doornboslaan 225-227, ingeschreven in het handelsregister onder KvK nummer
2020
Bijlage 1: Overzicht met verwerkingen van persoonsgegevens
Het onderwerp/aard en doel van de Verwerking: Functioneel beheer van de CoronIT applicatie, via welke een test kan worden aangevraagd, de geteste persoon kan worden geregistreerd en gekoppeld aan een barcode, de testresultaten kunnen worden geregistreerd en de uitslag kan worden gecommuniceerd naar de aanvrager en de betrokkene. Bestrijding van COVID-19 kan zo landelijk worden gecoördineerd op basis van de Wet publieke gezondheid. Coronavirussen behoren tot infectiegroep A en de registratie ervan is verplichting op grond van artikel 29 Wet publieke gezondheid .
Het soort Persoonsgegevens: Er worden hoofdzakelijk gegevens verwerkt over de gezondheid, dus bijzondere persoonsgegevens zoals bedoeld in artikel 9 van de AVG waardoor de verwerking in de risicoklasse ‘hoog’ valt.
Beschrijving categorieën Persoonsgegevens: Er worden 3 categorieën gegevens verwerkt. Deze zijn:
• Contactgegevens en BSN van de geteste persoon;
• Gegevens over de gezondheid van de geteste persoon (anamnese, uitslag test);
• Contactgegevens van de aanvrager (voor het terugkoppelen van het testresultaat).
Beschrijving categorieën Betrokkenen: Iedereen in Nederland die vermoedelijk geïnfecteerd is met het virus en aangemeld is voor een test voor COVID-19. In eerste instantie gaat het om een groep van zorgmedewerkers die getest moet worden, waarna de groep geleidelijk zal worden uitgebreid tot iedereen die vermoedelijk geïnfecteerd is.
Beschrijving categorieën ontvangers van Persoonsgegevens:
• Aanvrager van de test;
• Laboratoria;
• GGD;
• RIVM.
Bewaartermijn: 5 jaar (art. 29 Wet publieke gezondheid)
Bijlage 2: Beveiligingsmaatregelen
Partijen werken aantoonbaar in overeenstemming met IS027001 en NEN 7510. Indien een of meerdere van de hierboven genoemde normen wijziging ondergaat of wordt vervangen door een nieuwe norm, zullen Partijen vanaf het bekend worden van die nieuwe normering binnen redelijke termijn, de beveiliging van de Persoonsgegevens uitvoeren conform de nieuwe normering.
Partijen voldoen aantoonbaar aan de veiligheidseisen voor netwerkverbindingen op basis van NEN7512.
Partijen voldoen aantoonbaar aan de eisen ten aanzien van logging op basis van NEN7513.
Bijlage 3: Verwerkers
1) Topicus Healthcare B.V. gevestigd te 7411HW, Deventer aan de Xxxxxx 00 ingeschreven zijnde in het register van de Kamer van Koophandel onder het nummer 64768147.
Contactpersoon Verwerker: | Naam: Contactgegevens: |
FG Verwerker: | Naam: Contactgegevens: |