Algemene voorwaarden Sanday
Algemene voorwaarden Sanday
1
Versie 1.0
Inhoud
Artikel 2. De Algemene Voorwaarden 5
Artikel 3. De totstandkoming van de Overeenkomst 6
Artikel 4. De inhoud van de Overeenkomst 7
Artikel 5. Verantwoordelijkheden Opdrachtgever 8
Artikel 6. Het Sanday Platform en Gebruikers 9
Artikel 7. Gebruik van het Sanday Platform 10
Artikel 8. Privacy en geheimhouding 11
Artikel 9. Prijs en betaling 11
Artikel 10. Intellectuele Eigendomsrechten 12
Artikel 11. Aansprakelijkheid 14
Artikel 12. Garanties en vrijwaringen 15
Artikel 14. Duur en beëindiging 17
Artikel 15. Onrechtmatige Gegevens 18
1.1 In deze algemene voorwaarden hebben de volgende met hoofdletters aangeduide termen steeds de hiernavolgende betekenis:
Account de persoonlijke omgeving in het Sanday Platform van de Opdrachtgever of Gebruiker, waartoe zij toegang krijgen met behulp van de Inloggegevens en waarop zij Gegevens kunnen plaatsen, inzien of uitwisselen;
deze algemene voorwaarden van Sanday;
Apparatuur de door de Sanday te gebruiken hardware om gebruik te maken van het Sanday Platform.
Bijlage een bijlage bij de Overeenkomst, die daarvan onverkort onderdeel uitmaakt;
Extern Systeem producten, systemen, software en/of diensten van derden, waarmee het Sanday Platform integreert door middel van een Koppeling.
Gebrek het in substantiële mate en schriftelijk aantoonbaar niet voldoen van het Sanday Platform aan de gebruikersdocumentatie zoals gepubliceerd op xxxx.xxxxxx.xxx.
Gebruiker een Zorgmedewerker en/of Zorgconsument.
Gegevens alle gegevens en informatie die worden verwerkt via het Sanday Platform, Koppelingen en Apparatuur, inclusief maar niet beperkt tot patiëntgegevens, voorraadgegevens, administratieve gegevens en andere gerelateerde (persoons)gegevens die voortkomen uit het gebruik van het Sanday Platform door de Gebruiker.
IE-Rechten alle rechten van intellectuele en industriële eigendom, waar onder begrepen auteursrechten, merkrechten, octrooirechten, modelrechten, handelsnaamrechten, databankrechten en naburige rechten, alsmede rechten ten aanzien van domeinnamen, bedrijfsgeheimen en knowhow en alle aan intellectuele eigendomsrechten verwante rechten waaronder eenlijnsprestaties;
Implementatieplan document dat de werkzaamheden of diensten uiteenzet die door Sanday worden uitgevoerd in verband met de implementatie van het Sanday Platform voor Opdrachtgever;
Inloggegevens de gebruikersnaam, het wachtwoord en eventuele extra beveiligingsinformatie die door Opdrachtgever en Gebruikers zijn aangemaakt en waarmee zij toegang krijgen tot het Account en
gebruik kunnen maken van het Sanday Platform op de wijze zoals beschreven op xxxx.xxxxxx.xxx;
Koppeling de in de Overeenkomst aangeduide interfaces/API’s, gecreëerd door Sanday of een derde partij, van het Sanday Platform met een Extern Systeem waardoor (delen van) deze diensten van derden en/of de door deze derden ten behoeve van Opdrachtgever verwerkte informatie en bestanden over Zorgconsumenten, binnen het Sanday Platform voor Opdrachtgever en/of Gebruikers beschikbaar zijn;
Offerte het document waarmee de Opdrachtgever de commerciële voorwaarden worden aangeboden en waarin de Opdrachtgever aangeeft het Sanday Platform te willen gebruiken;
Opdrachtgever de zorginstelling die met Sanday de Overeenkomst is aangegaan; Overeenkomst de overeenkomst tussen Partijen op basis van de Offerte van
Sanday, op grond waarvan Opdrachtgever en haar Gebruikers gerechtigd zijn gebruik te maken van het Sanday Platform;
Partij(en) Opdrachtgever en/of Sanday;
Product een functioneel softwarecomponent binnen het Sanday Platform als nader benoemd in de Overeenkomst, die door Xxxxxx voor Opdrachtgever en Gebruikers beschikbaar kan worden gemaakt;
Sanday de besloten vennootschap met beperkte aansprakelijkheid Sanday B.V., statutair gevestigd aan de Xxxxxxxxxxxx 0X (0000XX) xx Xxxxxxx, ingeschreven in het handelsregister van de KvK onder registratienummer 30173391;
Sanday Platform het door Sanday ontwikkelde platform (inclusief onderliggende software en voorbereidend materiaal), dat door Opdrachtgever en haar Gebruikers op afstand benaderbaar is en waartoe zij, na afronding van het Implementatieplan, door middel van hun Inloggegevens toegang kunnen krijgen tot (een) Product(en) en, mede via Koppelingen, Externe Systemen en Apparatuur, Gegevens kunnen verwerken. De Koppelingen, Externe Systemen en Apparatuur zelf zijn niet inbegrepen in deze definitie, de Producten wel;
SLA de service level agreement die ziet op het Sanday Platform.
Zorgconsument de zorgconsument in persoon die via Opdrachtgever Inloggegevens heeft aangemaakt en daarmee toegang heeft tot en gebruik kan maken van het Sanday Platform;
Zorgmedewerker de zorgmedewerker in persoon die namens Opdrachtgever Inloggegevens heeft aangemaakt en daarmee toegang heeft tot en gebruik kan maken van het Sanday Platform;
Artikel 2. De Algemene Voorwaarden
2.1 De Algemene Voorwaarden zijn van toepassing op alle rechtshandelingen van Sanday, alle rechtsverhoudingen tussen Partijen, zoals de Overeenkomst, alsmede alle aanbiedingen en offertes van Sanday en het gebruik van het Sanday Platform door Opdrachtgever en haar Gebruikers.
2.2 De toepasselijkheid van inkoop- of andere voorwaarden van Opdrachtgever wordt hierbij uitdrukkelijk van de hand gewezen, en die afwijzing wordt als zodanig door Opdrachtgever aanvaard en geaccepteerd.
2.3 Indien enige bepaling van de Algemene Voorwaarden en/of Overeenkomst nietig is of vernietigd wordt, zullen de overige bepalingen van de Algemene Voorwaarden en/of Overeenkomst volledig van kracht blijven. Sanday zal de nietige c.q. vernietigde bepaling(en) vervangen door nieuwe bepalingen, waarbij zoveel mogelijk het doel en de strekking van de nietige c.q. vernietigde bepaling in acht wordt genomen.
2.4 Sanday behoudt zich het recht voor deze Algemene Voorwaarden te wijzigen of aan te vullen. Wijzigingen gelden ook ten aanzien van reeds gesloten Overeenkomsten met inachtneming van een termijn van 30 dagen na bekendmaking van de wijziging aan Opdrachtgever. Indien Opdrachtgever een wijziging van de Algemene Voorwaarden niet wil accepteren, kan hij tot de datum waarop de nieuwe Algemene Voorwaarden van kracht worden de Overeenkomst opzeggen met ingang van die datum, tenzij Partijen bepalen dat de oude versie van de Algemene Voorwaarden voor Opdrachtgever van toepassing blijft.
2.5 De Algemene Voorwaarden maken onverkort deel uit van de Overeenkomst. De Overeenkomst omvat de volgende documenten:
1. Algemene Voorwaarden;
2. Verwerkersovereenkomst;
3. SLA;
4. Offerte; en
5. Implementatieplan.
Indien de documenten in de Overeenkomst onderling tegenstrijdig zijn, geldt de rangorde waarbij de inhoud van het hoger genoemde document prevaleert boven de inhoud van het lager genoemde document.
Artikel 3. De totstandkoming van de Overeenkomst
3.1 Alle aanbiedingen van Xxxxxx zijn vrijblijvend, tenzij in het aanbod schriftelijk uitdrukkelijk anders is aangegeven. In het geval een aanbod van Xxxxxx vrijblijvend is gedaan, kan Xxxxxx dit aanbod nog tot onverwijld na de acceptatie door Opdrachtgever daarvan intrekken of wijzigen.
3.2 De Overeenkomst komt tot stand op het moment dat deze door beide Partijen is ondertekend, dan wel op het moment dat Xxxxxx is aangevangen met de uitvoering van de beoogde werkzaamheden zoals omschreven in de Overeenkomst. In het laatste geval zal de Overeenkomst worden geacht te worden gevormd door de afspraken die tussen Partijen voorlagen op het moment van aanvang van de werkzaamheden door Sanday, in welk geval Partijen zich inspannen om alsnog zo snel mogelijk tot een ondertekende Overeenkomst te komen.
3.3 Opdrachtgever staat in voor de juistheid en volledigheid van de door of namens hem aan Xxxxxx verstrekte informatie, waaronder het aantal Gebruikers, waarop Xxxxxx haar aanbieding baseert.
3.4 Informatie vermeld in catalogi, websites, offertes, reclamemateriaal e.d. binden Sanday niet, tenzij schriftelijk uitdrukkelijk anders is aangegeven. Mondelinge toezeggingen, opdrachten en/of andere uitlatingen van welke aard dan ook van werknemers van Sanday zijn uitsluitend rechtsgeldig en bindend indien deze schriftelijk worden bevestigd door bevoegde vertegenwoordigers van Sanday.
3.5 Indien er wijzigingen in de Overeenkomst plaatsvinden, hetzij op verzoek van Opdrachtgever, hetzij als gevolg van het feit dat door welke omstandigheden dan ook een andere uitvoering noodzakelijk is, zal er overleg tussen Partijen plaatsvinden en wordt het overleg en dat wat daaruit voortvloeit aangemerkt als meerwerk. De meerkosten die daaraan verbonden zijn komen voor rekening van Opdrachtgever, conform de dan geldende gebruikelijke tarieven van Sanday.
3.6 Sanday is niet verplicht om aan een verzoek van Opdrachtgever tot het verrichten van meerwerk te voldoen en kan verlangen dat daarvoor een afzonderlijke, schriftelijke overeenkomst wordt gesloten.
3.7 Naast het beschikbaar stellen van het Sanday Platform, kan aanvullende (zorg-) dienstverlening door Sanday (althans aan haar gelieerde ondernemingen) worden verricht, zoals adviesdienstverlening en de Sanday Academy. Aanvullende dienstverlening die wordt verleend door Xxxxxx is onderhevig aan aanvullende voorwaarden en bepalingen, die separaat overeen zullen worden gekomen met de Opdrachtgever.
Artikel 4. De inhoud van de Overeenkomst
4.2 Sanday spant zich naar beste kunnen in om het Sanday Platform juist en volledig beschikbaar te stellen en te houden alsmede om Gebreken te verhelpen, laatstgenoemde conform het bepaalde in de SLA. Tenzij uitdrukkelijk schriftelijk anders overeengekomen, verleent Xxxxxx haar diensten op basis van een inspanningsverbintenis. De Opdrachtgever aanvaardt tevens dat voor de hosting en cloudomgeving van het Sanday Platform, de voorwaarden van de betreffende leverancier van toepassing zijn. Sanday geeft dan ook geen garanties ten aanzien van de goede werking en/of volledige beschikbaarheid van het Sanday Platform noch dat alle Gebreken zullen worden verholpen.
4.3 Door Sanday opgegeven termijnen van levering betreffen geen fatale termijnen, tenzij uitdrukkelijk en expliciet in de Overeenkomst anders is overeengekomen, als afwijking op deze voorwaarden. De enkele overschrijding van een door Xxxxxx genoemde of een tussen Partijen overeengekomen (leverings)termijn of (oplever)datum brengt Xxxxxx niet direct in verzuim, noch is Xxxxxx daardoor gehouden tot vergoeding van enige vorm van (vertragings)schade. In alle gevallen komt Xxxxxx wegens tijdsoverschrijding pas in verzuim nadat Opdrachtgever haar schriftelijk in gebreke heeft gesteld. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, alsmede een redelijke termijn om de tekortkoming te herstellen.
4.4 Sanday zal zo veel mogelijk van tevoren aankondigen indien zij voornemens is om onderhoud ten aanzien van het Sanday Platform uit te voeren en dergelijk onderhoud in overeenstemming met de SLA uit te voeren, doch Xxxxxx behoudt zich het recht voor om dergelijk onderhoud zonder voorafgaande aankondiging en direct uit te voeren, indien spoedeisendheid dit van Sanday vergt.
4.5 Sanday kan het Sanday Platform beschikbaar stellen met gebruikmaking van nieuwe of aangepaste versies van de onderliggende software. Sanday zal, naar eigen goeddunken en al dan niet tegen aanvullende financiële voorwaarden, updates en upgrades van het Sanday Platform beschikbaar stellen. Sanday is echter niet verplicht bepaalde specifieke eigenschappen of functionaliteit van het Sanday Platform in stand te houden, te wijzigen of toe te voegen. Sanday staat er niet voor in dat het Sanday Platform (upwards of downwards) altijd of direct compatible en/of interoperabel zal zijn met Externe Systemen, Apparatuur en/of Koppelingen.
Artikel 5. Verantwoordelijkheden Opdrachtgever
5.1 Opdrachtgever zal al datgene doen dat redelijkerwijs nodig en wenselijk is om een juiste uitvoering van de Overeenkomst mogelijk te maken, alsmede alle daartoe benodigde en door Xxxxxx wenselijk geachte medewerking te verlenen, waaronder begrepen maar niet beperkt tot de verplichtingen voor en afhankelijkheden van Opdrachtgever als beschreven in het Implementatieplan. In het bijzonder draagt de Opdrachtgever er zorg voor dat alle Gegevens, documenten, informatie, Apparatuur, programmatuur en overige materialen, documenten en/of informatie waarvan Sanday aangeeft dat deze nodig zijn of waarvan Opdrachtgever redelijkerwijs behoort te begrijpen dat deze nodig zijn voor een succesvolle implementatie, migratie en uitvoering van de Overeenkomst, tijdig en deugdelijk aan Sanday beschikbaar worden gesteld.
5.2 Indien Opdrachtgever aan het in het voorgaande lid bedoelde niet, niet tijdig of niet voldoende voldoet, heeft Xxxxxx het recht tot gehele of gedeeltelijke opschorting van de uitvoering van de Overeenkomst en heeft Xxxxxx tevens het recht een onkostenvergoeding in rekening te brengen, één en ander onverminderd het recht van Xxxxxx tot uitoefening van enig ander wettelijk en/of overeengekomen recht.
5.3 Opdrachtgever vrijwaart Xxxxxx voor alle schade die voortvloeit uit het niet of niet afdoende werken van de Apparatuur, Koppelingen en/of Externe Systemen, ongeacht of Sanday of een derde partij hierover een advies heeft gegeven. De Opdrachtgever blijft te allen tijde zelf verantwoordelijk voor de keuze, aanschaf en het gebruik van de Apparatuur, Koppelingen en/of Externe Systemen.
5.3 Opdrachtgever is zelf verantwoordelijk het gebruik van het Sanday Platform, en voor de verwerking van Xxxxxxxx, alsmede voor de toepassing van de Gegevens in de verlening van zorg aan Zorgconsumenten, alsmede voor het gebruik van het Sanday Platform en Apparatuur door Zorgconsumenten. De kwaliteit van de Gegevens die in het Sanday Platform worden weergegeven is afhankelijk van de Gegevens die door de Opdrachtgever (met of zonder behulp van een Koppeling) beschikbaar gesteld worden. Sanday kan daardoor geen toezeggingen doen over de juistheid of de volledigheid van deze Gegevens.
5.4 Opdrachtgever draagt zelf zorg voor de ingebruikneming en juiste instellingen daarvan, alsmede voor de juiste keuze van Apparatuur, Koppelingen en/of Externe Systemen, computer-, data- of telecommunicatiefaciliteiten, waaronder internet, die benodigd zijn voor het gebruik van het Sanday Platform.
5.5 Daar waar Sanday op locatie van de Opdrachtgever werkt, draagt deze zorg voor deugdelijke faciliteiten, zoals een werkruimte met computer-, data- en telecommunicatiefaciliteiten, welke dienen te voldoen aan alle wettelijke en overigens geldende eisen betreffende arbeidsomstandigheden. Xxxxxx zal ervoor zorgdragen dat medewerkers zich houden aan de op voorhand verstrekte huis- en beveiligingsregels van Opdrachtgever.
Artikel 6. Het Sanday Platform en Gebruikers
6.1 Na het sluiten van de Overeenkomst start de uitvoering van het Implementatieplan. Opdrachtgever en haar Gebruikers verkrijgen toegang tot het Sanday Platform door het aanmaken van een Account en Inloggegevens door Sanday en na het uitvoeren van een conversie, upgrade of klaarzetten van de omgeving voor de Opdrachtgever. Een akkoord van Opdrachtgever of enig operationeel gebruik door Gebruikers van het Sanday Platform houdt acceptatie ervan in door Opdrachtgever. Desgewenst kunnen Partijen een acceptietest afspreken. Opdrachtgever en Gebruikers zijn zelf verantwoordelijk voor het geheimhouden van de Inloggegevens. Zodra Opdrachtgever of een Gebruikers weet of reden heeft te vermoeden dat zijn Inloggegevens in handen zijn gekomen van onbevoegden zal Opdrachtgever Sanday daarvan onverwijld op de hoogte stellen, onverminderd zijn eigen verplichting om direct zelf doeltreffende maatregelen te treffen, zoals bijvoorbeeld het veranderen van de Inloggegevens.
6.2 De Opdrachtgever accepteert en aanvaardt dat hij te allen tijde verantwoordelijk en aansprakelijk is voor het gebruik dat Opdrachtgever van het Sanday Platform maakt, alsmede het gebruik dat via Opdrachtgever aangesloten Gebruikers van het Sanday Platform maken.
6.5 De Opdrachtgever staat ervoor in dat de Gebruikers te allen tijde in overeenstemming handelen met hetgeen bepaald is in deze Overeenkomst. De Opdrachtgever is dan ook zelf aansprakelijk voor al het gebruik dat door de Gebruikers van het Sanday Platform wordt gemaakt. Opdrachtgever zal gepaste maatregelen nemen om misbruik te detecteren en zo mogelijk te voorkomen. Eventueel kan de Opdrachtgever nadere regels ten aanzien van het gebruik van het Sanday Platform binnen het Sanday Platform ter beschikking stellen en aan de Gebruikers opleggen.
6.6 Elk gebruik van het Sanday Platform en overige diensten van Sanday is volledig voor rekening en risico van Opdrachtgever. Opdrachtgever is verantwoordelijk en aansprakelijk voor de Gegevens die via het Sanday Platform worden verwerkt en de resultaten van het Sanday Platform. Xxxxxx accepteert geen enkele verantwoordelijkheid voor welke beslissing dan ook genomen op basis van Sanday Platform door Opdrachtgever of Gebruikers. De Opdrachtgever vrijwaart Xxxxxx van alle aanspraken van derden die gebaseerd zijn op de stelling dat het gebruik van het Sanday Platform door de Opdrachtgever of de Gebruikers op enigerlei wijze onrechtmatig is, alsmede van alle aanspraken van derden als gevolg van het (beweerdelijk) niet naleven van de Overeenkomst door Opdrachtgever of Gebruikers.
6.7 Sanday is niet verantwoordelijk voor de (goede) werking van de Apparatuur en de Koppelingen die niet door Xxxxxx ontwikkeld zijn, en aldus dat dat deze Apparatuur en Koppelingen op elk moment beschikbaar zijn en steeds foutloos werken, noch dat de uit het gebruik ervan voortvloeiende Gegevens correct, volledig en/of up-to-date zijn. Opdrachtgever accepteert en aanvaardt dat de
(gebruiks-)voorwaarden van de leveranciers van de Apparatuur en/of Koppelingen van toepassing zijn op het gebruik ervan.
6.8 Rechten, waaronder gebruiksrechten, worden aan Opdrachtgever verleend onder de voorwaarde dat Opdrachtgever alle verschuldigde vergoedingen volledig heeft betaald. Indien Partijen voor de verlening van een gebruiksrecht een periodieke betalingsverplichting van Opdrachtgever zijn overeengekomen, komt aan Opdrachtgever het gebruiksrecht toe zolang hij zijn periodieke betalingsverplichting nakomt.
Artikel 7. Gebruik van het Sanday Platform
7.1 Door middel van het Sanday Platform kan Opdrachtgever en kunnen Gebruikers via hun Account Gegevens uploaden, die binnen het Sanday Platform voor (een deel van de) Gebruikers zichtbaar kan worden gemaakt. Het plaatsen van Gegevens leidt tot het gebruik van bij Sanday afgenomen opslagruimte. Sanday stelt dataverkeer en opslagruimte aan Opdrachtgever ter beschikking op basis van een fair use policy, hetgeen betekent dat Opdrachtgever een hoeveelheid dataverkeer en opslagruimte toekomt die Sanday op grond van het aantal Gebruikers redelijk acht. Sanday kan een maximum stellen aan de hoeveelheid opslagruimte of dataverkeer die Opdrachtgever per maand in het kader van het Sanday Platform gebruikt, indien dit gebruik de door Sanday bepaalde, redelijke gebruiksnormen overschrijdt. Voornoemde fair use policy is ook van toepassing op de Support, zoals het doen van Meldingen. Sanday kan hier ook een maximum per maand stellen aan de hoeveelheid Meldingen of het anderszins bezetten van de Support-desk, indien dit gebruik de door Sanday bepaalde, redelijke gebruiksnormen overschrijdt.
7.2 Bij (dreigende) overschrijding van de door Xxxxxx bepaalde fair use policy als bedoeld in het vorige artikellid, is Xxxxxx ook gerechtigd om (i) een prijsverhoging door te voeren op het gebruik door Opdrachtgever, of (ii) de Overeenkomst te beëindigen op de voet van artikel 14.3. Sanday zal Opdrachtgever eerst (i) een waarschuwing doen toekomen, en als de waarschuwing niet tot verandering leidt (ii) escaleren op directieniveau. Enkel indien voornoemde waarschuwing en/of escalatie op directieniveau niet tot een oplossing van de overschrijding leiden, kan Xxxxxx dergelijke maatregelen treffen. Opdrachtgever, of (ii) de Overeenkomst te beëindigen op de voet van artikel 14.3.
7.3 Sanday is gerechtigd om naar eigen goeddunken monitoring toe te passen op het dataverkeer van Opdrachtgever en de door Gebruikers geplaatste Gegevens.
7.4 Onverminderd de overige bepalingen van deze Algemene Voorwaarden mogen de activiteiten in het kader van het Sanday Platform, waaronder mede het gebruik van het Sanday Platform door Opdrachtgever en de Gebruikers en de
door hen geplaatste Gegevens, i) niet in strijd zijn met enig wettelijk voorschrift en/of de Overeenkomst, ii) geen inbreuk maken op of afbreuk doen aan de belangen en goede naam van Xxxxxx of de goede zeden, iii) geen onredelijk of disproportioneel beslag op de infrastructuur van het Sanday Platform leggen of de functionaliteit van het Sanday Platform belemmeren, dan wel iv) inbreuk maken op enig recht van een derde partij, waar onder begrepen de IE-Rechten van een derde en rechten met betrekking tot de bescherming van de persoonlijke levenssfeer.
7.5 Sanday zal, als enige en exclusief rechtsmiddel, naar eigen keuze en inzicht, fouten en/of Gebreken trachten te herstellen conform de SLA. Indien Sanday, na het verrichten van commercieel redelijke inspanningen daartoe, hiertoe niet in staat is, is Sanday gerechtigd de Overeenkomst geheel of gedeeltelijk te beëindigen. Bij een dergelijke beëindiging zal Sanday Opdrachtgever, wederom als enig en exclusief rechtsmiddel, alle betaalde vergoedingen terugbetalen die reeds door Opdrachtgever zijn betaald voor het niet-conforme deel.
Artikel 8. Privacy en geheimhouding
8.1 Partijen zullen informatie die zij voor, tijdens of na de uitvoering van de Overeenkomst aan elkaar verstrekken, vertrouwelijk behandelen wanneer de ontvangende Partij weet of redelijkerwijs mag vermoeden dat de informatie vertrouwelijk is. Partijen leggen deze verplichting tevens op aan hun werknemers alsmede aan door hen ingeschakelde derden ter uitvoering van de Overeenkomst.
8.2 In het kader van de uitvoering van de Overeenkomst, in het bijzonder het beschikbaar stellen van het Sanday Platform zal Sanday persoonsgegevens in de zin van de AVG voor Opdrachtgever verwerken. Xxxxxx verwerkt enkel persoonsgegevens in opdracht van en namens Opdrachtgever, waardoor Sanday aan te merken is als de verwerker en Opdrachtgever als de verwerkingsverantwoordelijke. De verwerking van persoonsgegevens is nader gespecificeerd in de Verwerkersovereenkomst.
9.1 Voor het gebruik van het Sanday Platform is Opdrachtgever aan vergoeding verschuldigd. De hoogte van deze vergoeding is vastgesteld in de Overeenkomst.
9.2 Indien Opdrachtgever gebruik wenst te maken van (een) aanvullende Product(en), zal zij Xxxxxx daar schriftelijk om verzoeken, waarna Partijen
daartoe in overleg zullen treden om een Overeenkomst trachten te sluiten (waaronder de vergoedingen).
9.3 Tenzij anders aangegeven zijn alle door Xxxxxx genoemde tarieven in euro’s en exclusief omzetbelasting (BTW) en andere heffingen van overheidswege.
9.4 Sanday is gedurende de looptijd van de Overeenkomst gerechtigd de prijzen voor het gebruik van het Sanday Platform jaarlijks, op 1 januari van ieder jaar, aan te passen.
9.5 De betalingstermijn van facturen is dertig (30) dagen na factuurdatum, tenzij schriftelijk anders is overeengekomen of anders op de factuur is vermeld.
9.6 Bij niet (tijdige of volledige) betaling van een factuur, zal Xxxxxx een aanmaning aan Opdrachtgever versturen waarin Opdrachtgever een nadere termijn wordt gesteld om alsnog tot volledige betaling over te gaan. Indien Opdrachtgever het uitstaande bedrag niet binnen de in de aanmaning genoemde termijn heeft voldaan, is Opdrachtgever in verzuim met betrekking tot die betalingsverplichting. Vanaf het moment van verzuim is Opdrachtgever vertragingsschade over het openstaande bedrag verschuldigd, gelijk aan de wettelijke handelsrente.
9.7 Indien Opdrachtgever in verzuim is met betrekking tot een betalingsverplichting, kan Sanday de vordering uit handen geven. In dat geval komen alle door Sanday gemaakte kosten, zoals incassokosten, proceskosten en buitengerechtelijke en gerechtelijke kosten, daaronder begrepen de kosten voor juridische bijstand, deurwaarders en incassobureaus, gemaakt in verband met te late betalingen, ten laste van Opdrachtgever. De buitengerechtelijke kosten worden gesteld op ten minste 10% van het factuurbedrag met een minimum van EUR 250,- excl. BTW.
9.8 Klachten met betrekking tot facturen schorten de betalingsverplichtingen van Opdrachtgever niet op.
9.9 Sanday is gerechtigd de nakoming van haar verplichtingen uit de Overeenkomst op te schorten totdat Opdrachtgever aan al zijn opeisbare verplichtingen heeft voldaan.
Artikel 10. Intellectuele Eigendomsrechten
10.1 Alle IE-Rechten ten aanzien van het Sanday Platform, inclusief voorbereidend materiaal en onderliggende broncode, documentatie alsmede alle informatie (niet zijnde: Gegevens) die Sanday via het Sanday Platform, haar website of anderszins aan Opdrachtgever of de Gebruikers ter beschikking stelt, berusten uitsluitend bij Sanday of haar licentiegever(s).
10.2 Op voorwaarde dat Opdrachtgever voldoet aan zijn verplichtingen uit de Overeenkomst, waaronder in ieder geval zijn betalingsverplichtingen, verleent
Sanday aan Opdrachtgever een beperkt, persoonlijk, herroepbaar, niet-exclusief en niet-overdraagbaar recht om op afstand toegang te krijgen tot en gebruik te maken van het Sanday Platform en daarop Gegevens te verwerken, in overeenstemming met de bepalingen van deze Algemene Voorwaarden en de Overeenkomst. Opdrachtgever is onder geen beding gerechtigd tot broncodes van het Sanday Platform, met uitzondering van hetgeen bepaald is in 10.7.
10.3 Onder dezelfde voorwaarden als genoemd in het vorige artikellid is Opdrachtgever gerechtigd het gebruiksrecht als in het vorige lid bedoeld te sublicentiëren aan Gebruikers door Inloggegevens aan te (laten) maken.
10.4 Behoudens voor zover toegestaan op grond van dwingend recht mag Opdrachtgever het Sanday Platform niet wijzigen, reproduceren of decompileren, of reverse engineering toepassen op onderliggende software.
10.5 Het is Xxxxxx toegestaan technische maatregelen te nemen ter bescherming van haar IE-Rechten. Indien Sanday door middel van technische bescherming het Sanday Platform heeft beveiligd, is het Opdrachtgever niet toegestaan deze beveiliging te (laten) verwijderen of te (doen) ontwijken.
10.6 Sanday zal Opdrachtgever, met toepasselijk van de aansprakelijkheidsbeperking in artikel 11, vrijwaren tegen elke rechtsvordering welke gebaseerd is op de bewering dat het Sanday Platform inbreuk maakt op een in Nederland geldend auteursrecht, onder de voorwaarde dat Opdrachtgever Xxxxxx onverwijld schriftelijk informeert over het bestaan en de inhoud van de rechtsvordering en de afhandeling van de zaak, waaronder het treffen van eventuele schikkingen, geheel overlaat aan Xxxxxx. Opdrachtgever zal daartoe de nodige volmachten, informatie en medewerking aan Sanday verlenen om zich, zo nodig in naam van Opdrachtgever, tegen deze rechtsvorderingen te verweren. Deze verplichting tot vrijwaring vervalt indien en voor zover de betreffende inbreuk verband houdt met het gebruik door Opdrachtgever in strijd met deze Algemene Voorwaarden of anderszins (deels) veroorzaakt door Opdrachtgever. Indien in rechte onherroepelijk vast staat dat het Sanday Platform inbreuk maakt op voornoemd auteursrecht, of indien naar het oordeel van Xxxxxx daartoe een gerede kans bestaat, zal Xxxxxx, zulks naar haar eigen keuze (i) of zorgdragen dat de Opdrachtgever het platform ongestoord kan blijven gebruiken, of (ii) of de Overeenkomst (partieel) beëindigen tegen creditering van de betaalde vergoedingen onder aftrek van een redelijke gebruiksvergoeding. Iedere andere of verdergaande aansprakelijkheid of vrijwaringsverplichting van Xxxxxx is uitgesloten, daaronder begrepen aansprakelijkheid en vrijwaringverplichtingen van Sanday voor inbreuken die veroorzaakt worden door schending van gebruiksvoorschriften, inbreuken gerelateerd aan Apparatuur en/of Koppelingen en/of programmatuur van derden.
10.7 Gelet op de grote afhankelijkheid van Sanday alsmede het continuïteitsrisico bij incidenten en calamiteiten, verklaart Xxxxxx zich altijd bereid aanvullende afspraken te maken teneinde continuïteitsrisico’s te verkleinen. Deze aanvullende afspraken kunnen onder andere bestaan uit het sluiten van een
escrowovereenkomst, op basis waarvan Opdrachtgever bij een calamiteit als faillissement toegang heeft tot de broncode en de achterliggende databasestructuur en/of Gegevens.
11.1 De aansprakelijkheid van Sanday voor een toerekenbare tekortkoming in de uitvoering van de Overeenkomst, een onrechtmatige daad of enig ander handelen of nalaten door Xxxxxx, diens werknemers of door haar ingeschakelde derden, daaronder uitdrukkelijk ook begrepen iedere tekortkoming in de nakoming van een met Opdrachtgever overeengekomen garantieverplichting, is beperkt tot de vergoeding van directe schade. De totale, cumulatieve, geaggregeerde aansprakelijkheid van Sanday ter zake van directe schade is per kalenderjaar gemaximeerd tot het totale bedrag dat Opdrachtgever daadwerkelijk aan Sanday uit hoofde van de Overeenkomst heeft betaald in dat kalenderjaar.
11.2 “Directe schade” als bedoeld in het vorige artikellid betekent uitsluitend:
a. zaakschade;
b. redelijkerwijs gemaakte onkosten die Opdrachtgever zou moeten maken om ervoor te zorgen dat de prestaties van Sanday in overeenstemming zijn met de Overeenkomst; deze alternatieve schade wordt echter niet vergoed indien de Overeenkomst door Opdrachtgever is ontbonden (waaronder begrepen een ontbinding door de bevoegde rechter ten behoeve van Opdrachtgever) (artikel 6:265 BW);
c. redelijkerwijs door Opdrachtgever gemaakte onkosten om de oorzaak en omvang van de schade vast te stellen, voor zover de vaststelling verband houdt met directe schade in de zin van deze Overeenkomst;
d. redelijkerwijs gemaakte onkosten om schade te voorkomen of te beperken, voor zover Opdrachtgever kan aantonen dat deze onkosten hebben geleid tot een beperking van de directe schade in de zin van deze Overeenkomst;
11.3 Sanday is niet aansprakelijk voor andere schade dan directe schade zoals omschreven in Artikel 11.2, waaronder gevolgschade voortvloeiend uit of in verband met de Overeenkomst, met inbegrip van, zonder enige beperking, schade aan en/of verlies van Xxxxxxxx, winstderving, omzetderving, verlies van verwachte besparingen en overige soortgelijke financiële verliezen zoals verlies van goodwill of goede naam of andere incidentele, indirecte schade, of schadevergoeding bij wijze van straf of voorbeeld, van welke aard dan ook, ongeacht de vraag of Opdrachtgever Sanday in kennis heeft gesteld van dergelijke mogelijke schade, schadevergoeding of verlies.
11.4 In afwijking van artikel 11.1, zal de totale aansprakelijkheid van Sanday, voor zover deze door haar bedrijfsaansprakelijkheidsverzekering wordt gedekt, voor schade door dood, lichamelijk letsel of wegens materiële beschadiging van zaken xxxxxx meer bedragen dan € 100.000,- (honderdduizend Euro) per jaar.
11.5 De in de voorgaande leden van dit artikel genoemde beperkingen zijn niet van toepassing indien en voor zover de schade is veroorzaakt door opzet of grove schuld aan de zijde van Xxxxxx of haar bestuurders.
11.6 De aansprakelijkheid van Sanday wegens toerekenbare tekortkoming in de nakoming van de Overeenkomst ontstaat slechts indien Opdrachtgever Sanday onverwijld deugdelijk schriftelijk in gebreke stelt, stellende daarbij een redelijke termijn ter zuivering van de tekortkoming, en Sanday ook na die termijn toerekenbaar in de nakoming van haar verplichtingen tekort blijft schieten. De ingebrekestelling dient een zo gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, zodat Xxxxxx in staat is om daarop adequaat te reageren.
11.7 Voorwaarde voor het ontstaan van enig recht op schadevergoeding is steeds dat Opdrachtgever de schade tijdig na het ontstaan daarvan schriftelijk bij Sanday meldt. Het recht van Opdrachtgever om schadevergoeding te eisen krachtens deze Overeenkomst, op grond van onrechtmatige daad of anderszins vervalt in elk geval indien Opdrachtgever niet binnen één (1) jaar na aanvang van de schadeveroorzakende gebeurtenis bij de bevoegde rechter een vordering tot schadevergoeding heeft ingesteld ten aanzien van die gebeurtenis.
11.8 Xxxxxx heeft zich adequaat verzekerd en zal zich gedurende de looptijd van de Overeenkomst adequaat verzekerd houden.
11.9 Sanday kan aanvullende diensten verlenen, met inbegrip van, maar niet beperkt tot consultancy diensten en Sanday Academy. Sanday is niet aansprakelijk voor de door de Opdrachtgever geleden directe en indirecte schade (zoals gedefinieerd in dit artikel) als gevolg van enige tekortkoming in de uitvoering van deze aanvullende dienstverlening, tenzij de schade het gevolg is van opzet of grove schuld van Xxxxxx, een van haar medewerkers of ingeschakelde derden.
Artikel 12. Garanties en vrijwaringen
12.1 Opdrachtgever garandeert dat zij, noch haar Gebruikers Gegevens op het Sanday Platform zullen plaatsen die onrechtmatig is en/of inbreuk maakt op de rechten van een derde, waar onder begrepen IE-Rechten en rechten op het gebied van bescherming van persoonlijke levenssfeer. Indien Opdrachtgever de aanwezigheid van dergelijke Gegevens op het Sanday Platform constateert, zal zij onverwijld actie ondernemen om deze onrechtmatige Gegevens onverwijld te verwijderen of anderszins niet-beschikbaar te maken.
12.2 Opdrachtgever is jegens Sanday aansprakelijk voor, en vrijwaart Sanday volledig van, alle schade en kosten die Sanday lijdt of maakt ten gevolge van (i) een toerekenbare tekortkoming in de nakoming van de Overeenkomst of deze Algemene Voorwaarden door Opdrachtgever, (ii) enig handelen van Opdrachtgever of de Gebruikers bij het gebruik van het Sanday Platform of (iii) van een onrechtmatige daad.
13.1 Geen der Partijen is gehouden tot nakoming van enige verplichting onder de Overeenkomst indien hij daartoe gehinderd wordt als gevolg van een omstandigheid die niet is te wijten aan schuld, en noch krachtens de wet, een rechtshandeling of in het verkeer geldende opvattingen voor zijn rekening komt (“Overmacht”).
13.2 Onder Overmacht wordt mede verstaan, naast hetgeen daaromtrent in de wet en jurisprudentie wordt begrepen, alle van buitenkomende oorzaken, voorzien of niet-voorzien, waarop een Partij geen invloed kan uitoefenen, doch waardoor Xxxxxx niet in staat is zijn verplichtingen na te komen. In het bijzonder wordt onder overmacht verstaan; binnenlandse onlusten, synflood, cybercrime, cyberaanval, netwerkaanval, Denial-of-Service of Distributed Denial of Service- attacks, mobilisatie, oorlog, stremming in het vervoer, staking, uitsluiting, bedrijfsstoornissen, storingen van telecommunicatie en/of internetverbindingen, stagnatie in toelevering, brand, overstroming, in- en uitvoerbelemmeringen en in het geval dat een Partij door zijn eigen leveranciers, ongeacht de reden daartoe, niet tot levering in staat wordt gesteld, waardoor nakoming van de Overeenkomst redelijkerwijs niet van die Partij kan worden gevergd.
13.3 De wederpartij van de Partij die in een overmachtssituatie verkeert kan gedurende de periode dat de Overmacht voortduurt de verplichtingen uit de Overeenkomst opschorten. Indien deze periode langer duurt dan twee maanden, dan is ieder der Partijen gerechtigd de Overeenkomst te ontbinden, zonder verplichting tot vergoeding van schade aan de andere partij.
13.4 Voor zover Xxxxxx ten tijde van het intreden van Overmacht inmiddels gedeeltelijk zijn verplichtingen uit de Overeenkomst is nagekomen of deze zal kunnen nakomen, en aan het nagekomen respectievelijk na te komen gedeelte zelfstandige waarde toekomt, is Xxxxxx gerechtigd om het reeds nagekomen respectievelijk na te komen gedeelte apart te factureren. Opdrachtgever is gehouden deze factuur te voldoen.
Artikel 14. Duur en beëindiging
14.1 De Overeenkomst wordt aangegaan voor de duur van vierentwintig (24) maanden, tenzij Partijen anders hebben bepaald in de Overeenkomst (“Initiële looptijd”). Ieder der Partijen is echter gerechtigd om de Overeenkomst schriftelijk op te zeggen tegen het einde van de Initiële Looptijd, met inachtneming van een opzegtermijn van minimaal één (1) maand. Na verloop van de Initiële Looptijd wordt de Overeenkomst automatisch verlengd voor onbepaalde duur. Na verloop van de Initiële Looptijd mag Opdrachtgever de Overeenkomst opzeggen met inachtneming van een opzegtermijn van minimaal één kalendermaand.
14.2 Sanday mag de Overeenkomst gedurende de Initiële Looptijd opzeggen met inachtneming van een opzegtermijn van minimaal drie (3) maanden. Sanday is niet aansprakelijk voor de gevolgen van deze opzegging noch gehouden tot enige (financiële) compensatie.
14.3 Indien de Overeenkomst wordt ontbonden wegens een tekortkoming van één der Partijen zullen de prestaties die Opdrachtgever op het moment van ontbinding reeds ter uitvoering van de Overeenkomst heeft ontvangen en de daarmee samenhangende betalingsverplichting geen voorwerp van ongedaan making zijn. Bedragen die Sanday vóór de ontbinding heeft gefactureerd blijven onverminderd verschuldigd en worden op het moment van de ontbinding direct opeisbaar.
14.4 Sanday komt de bevoegdheid tot gehele of gedeeltelijke opzegging toe, zonder dat een ingebrekestelling is vereist, indien Opdrachtgever – al dan niet voorlopig
– surséance van betaling wordt verleend, indien het faillissement van Opdrachtgever wordt aangevraagd, indien de onderneming van Opdrachtgever wordt geliquideerd of beëindigd, anders dan ten behoeve van reconstructie of samenvoeging van ondernemingen, of indien de beslissende zeggenschap over de onderneming van Opdrachtgever wijzigt.
14.5 Sanday zal wegens opzegging, ontbinding of andere wijze van beëindiging van de Overeenkomst nooit gehouden zijn tot restitutie van reeds ontvangen gelden dan wel tot enige schadevergoeding, onverminderd het in Artikel 11 bepaalde.
14.6 Het recht van Opdrachtgever tot gebruik van en toegang tot het Sanday Platform vervalt in geval van opzegging, ontbinding of andere wijze van beëindiging van de Overeenkomst, van rechtswege.
14.7 Indien Opdrachtgever niet, niet volledig of niet tijdig voldoet aan haar verplichtingen onder de Overeenkomst, is Xxxxxx gerechtigd om, nadat Sanday in een ingebrekestelling de kans is gegeven om alsnog behoorlijk na te komen, de uitvoering van alle met Opdrachtgever gesloten Overeenkomsten geheel of gedeeltelijk op te schorten of te ontbinden. Deze bepaling laat onverminderd het recht van Xxxxxx tot uitoefening van enig ander wettelijk en/of overeengekomen recht.
14.8 Bepalingen die naar hun aard bestemd zijn om ook na opzegging, ontbinding of andere wijze van beëindiging van de Overeenkomst voort te duren, blijven na opzegging c.q. ontbinding van de Overeenkomst bestaan. Tot deze verplichtingen behoren onder meer: (i) vrijwaring voor schending van IE-rechten;
(ii) geheimhouding; (iii) geschillenbeslechting en toepasselijk recht.
14.9 In het geval van beëindiging van de Overeenkomst, om welke reden dan ook, is Xxxxxx niet verplicht om enige Gegevens of andere door Opdrachtgever verstrekte gegevens te bewaren, behoudens in geval van een wettelijke of contractuele verplichting. Het is derhalve de eigen verantwoordelijkheid van Opdrachtgever om adequate back-ups van de opgeslagen en geplaatste Gegevens en overige data te bewaren.
Artikel 15. Onrechtmatige Gegevens
15.1 Sanday zal niet kennisnemen van Xxxxxxxx die Opdrachtgever en/of haar Gebruikers opslaat en/of verspreidt via de systemen van Sanday, tenzij dit noodzakelijk is voor een goede uitvoering van de Overeenkomst of Sanday daartoe verplicht is krachtens een wettelijke bepaling of gerechtelijk bevel. In dat geval zal Xxxxxx zich inspannen de kennisname van de data zo veel mogelijk te beperken, voor zover dit binnen haar macht ligt.
15.2 Na ontvangst van een of meer klachten, meldingen of verzoeken met betrekking tot vermeend onrechtmatige Gegevens, zal Sanday onverwijld de inhoud van de Gegevens beoordelen. Xxxxxx is gerechtigd om in dergelijke gevallen maatregelen te treffen, zoals het ontoegankelijk maken of verwijderen van Gegevens, het blokkeren van het Account van de betrokken Gebruiker die de Gegevens heeft geplaatst en het – onder voorwaarden – verstrekken aan derden van persoonsgegevens van de gebruiker die de onrechtmatige Gegevens heeft geplaatst. Sanday zal Opdrachtgever in dat geval informeren, tenzij Sanday dat vanuit rechtswege is verboden.
15.3 Xxxxxx behoudt zich het recht om niet tot inwilliging van een verzoek tot verwijdering c.q. blokkering van Gegevens of stopzetting van een account over te gaan, indien zij gegronde redenen heeft om aan de juistheid van de melding of de rechtmatigheid van het daarbij geleverde bewijs te twijfelen of indien een belangenafweging dit van haar eist. In dat kader kan Xxxxxx bijvoorbeeld een rechterlijke uitspraak verlangen van een bevoegde rechter in Nederland, welke uitspraak aantoont dat de betreffende Gegevens of de betreffende activiteit onmiskenbaar onrechtmatig is.
16.1 Informatie en mededelingen op de website van Sanday en binnen het Sanday Platform zijn te allen tijde onder voorbehoud van programmeer- en typfouten. In geval van enige inconsistentie tussen de Overeenkomst en enige ander informatiebron, prevaleert de Overeenkomst.
16.2 Waar in deze Algemene Voorwaarden gesproken wordt over ‘schriftelijk’ wordt daaronder ook een e-mail verstaan. Een e-mail wordt geacht te zijn ontvangen na verzending.
16.3 Sanday is gerechtigd om de op grond van de Overeenkomst aan haar toekomende rechten en op haar rustende verplichtingen aan een derde over te dragen. Indien Opdrachtgever de op grond van de Overeenkomst aan haar toekomende rechten en op haar rustende verplichtingen wil overdragen aan een derde, dan is schriftelijke instemming van Xxxxxx vereist.
16.4 De Overeenkomst wordt beheerst door Nederlands recht. De toepasselijkheid van het Weens Koopverdrag is uitgesloten.
16.5 Alle geschillen, welke tussen Sanday en Opdrachtgever mochten ontstaan naar aanleiding van of in verband met deze Overeenkomst zullen worden voorgelegd aan de bevoegde rechter in het arrondissement Midden-Nederland.
16.6 Partijen beogen geen vorm van agentuur te creëren. Partijen dragen te allen tijde ieder hun eigen verantwoordelijkheid als aangegeven in deze Algemene Voorwaarden en conform de Overeenkomst. Sanday mag in reclame-uitingen en publicaties Opdrachtgever als referentie opnemen.
Verwerkersovereenkomst
PARTIJEN:
1. Opdrachtgever, hierna te noemen: “Verwerkingsverantwoordelijke”; en
2. Sanday B.V. gevestigd en kantoorhoudende te 3526 KV te Utrecht, handelend onder de naam Sanday en ingeschreven in het register van de Kamer van Koophandel onder nummer 30173391 in deze rechtsgeldig vertegenwoordigd door
X.X. xxx xxx Xxxxxx, directeur (hierna “Verwerker”).
Hierna gezamenlijk ook aan te duiden als: “Partijen” en afzonderlijk als “Partij”.
OVERWEGENDE DAT:
(a) Verwerker diensten verricht ten behoeve van Verwerkingsverantwoordelijke, zoals beschreven in de Hoofdovereenkomst/offerte waarbij deze Verwerkersovereenkomst een Bijlage is.
(b) De diensten meebrengen dat Persoonsgegevens worden verwerkt.
(c) Verwerker de betreffende gegevens louter in opdracht van Verwerkingsverantwoordelijke verwerkt en niet voor eigen doeleinden.
(d) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (hierna: “AVG”) op deze verwerking van toepassing is.
(e) Partijen in deze Verwerkersovereenkomst de afspraken met betrekking tot de verwerking van Persoonsgegevens in het kader van de diensten wensen vast te leggen.
(f) Deze Verwerkersovereenkomst, indien van toepassing, alle eerdere Verwerkersovereenkomst(en) van gelijke strekking tussen Partijen vervangt.
VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:
Definities
1.1. Termen met een hoofdletter die in deze Verwerkersovereenkomst worden gebruikt en die hierin niet worden gedefinieerd, hebben de betekenis die is uiteengezet in de AVG (waaronder Persoonsgegevens, Betrokkene, Verwerkingsverantwoordelijke en Verwerker).
1.2. In deze Verwerkersovereenkomst wordt onder de volgende met een hoofdletter aangeduide begrippen het volgende verstaan:
a) Inbreuk i een onderzoek naar of beslaglegging door overheidsfunctionarissen op de Persoonsgegevens of een vermoeden dat dit gaat plaatsvinden;
ii een Inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 onder 12 AVG;
b) Medewerker een bij de uitvoering van deze Verwerkersovereenkomst betrokken natuurlijke persoon die werkzaam is bij of voor een van de Partijen.
c) Hoofdovereenkomst de Hoofdovereenkomst(en) betreffende de levering van producten en/of diensten. waarvan deze Verwerkersovereenkomst als Bijlage onderdeel uitmaakt.
d) Verzoek van Xxxxxxxxxx Een klacht over de verwerking dan wel
een verzoek tot uitoefening van de rechten van Betrokkene zoals omschreven in Hoofdstuk III van de AVG.
1.3. Waar in deze Verwerkersovereenkomst naar bepaalde normen wordt verwezen (zoals NEN 7510) wordt daarmee steeds gedoeld op de meest actuele versie daarvan. Voor zover de betreffende norm niet meer wordt onderhouden, dient in de plaats daarvan de meest actuele versie van de logische opvolger van de betreffende norm gelezen te worden.
Onderwerp van deze Verwerkersovereenkomst en beschrijving Bijlagen
1.4. Deze Verwerkersovereenkomst betreft de verwerking van Persoonsgegevens door Verwerker in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Hoofdovereenkomst.
1.5. Onderdeel van deze Verwerkersovereenkomst zijn de volgende Bijlagen: a.) Bijlage 1: Omschrijving van de verwerking
b.) Bijlage 2: Beveiliging Persoonsgegevens
c.) Bijlage 3: Contactinformatie mbt. verwerking/Inbreuken/Verzoeken van Betrokkenen.
d.) Bijlage 4: Aanpassingen t.o.v. standaard tekst
e.) Bijlage 5: Totstandkoming van deze overeenkomst
1.6. Deze Verwerkersovereenkomst maakt onverbrekelijk deel uit van de Hoofdovereenkomst, . Voor zover het bepaalde in de Verwerkersovereenkomst strijdig is met het bepaalde in de Hoofdovereenkomst, prevaleert het bepaalde in de Verwerkersovereenkomst.
Uitvoering verwerking
1.7. Verwerker garandeert dat hij ten behoeve van Verwerkingsverantwoordelijke uitsluitend Persoonsgegevens zal verwerken voor zover:
a.) dit noodzakelijk is voor de uitvoering van de Hoofdovereenkomst (binnen de gespecificeerde omschrijving in Bijlage 1); of
b.) Verwerkingsverantwoordelijke daartoe nadere schriftelijke instructies heeft gegeven.
1.8. Verwerker zal alle redelijke instructies van Verwerkingsverantwoordelijke in verband met de verwerking van de Persoonsgegevens opvolgen. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens.
1.9. Onverminderd het bepaalde in het eerste lid van dit artikel 3, is het Verwerker toegestaan om Persoonsgegevens te verwerken indien een wettelijk voorschrift (waaronder begrepen daarop gebaseerde rechterlijke of bestuurlijke bevelen) hem tot een verwerking verplicht. In dat geval stelt de Verwerker voorafgaand aan de verwerking Verwerkingsverantwoordelijke in kennis van de beoogde verwerking en het wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Verwerker zal Verwerkingsverantwoordelijke, waar mogelijk, in staat stellen zich te verweren tegen deze verplichte verwerking en ook overigens de verplichte verwerking beperken tot het strikt noodzakelijke.
1.10. Verwerker zal de Persoonsgegevens aantoonbaar op behoorlijke en zorgvuldige wijze verwerken en in overeenstemming met de op hem als Verwerker rustende verplichtingen op grond van de AVG en overige wet- en regelgeving.
1.11. Verwerker zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, geen Persoonsgegevens verwerken of door derden laten verwerken in landen buiten de Europese Economische Ruimte (“EER”).
1.12. Verwerker waarborgt dat Xxxxxxxxxxx een geheimhoudingsovereenkomst hebben getekend dan wel garandeert dat Xxxxxxxxxxx geheimhouding zullen betrachten ten aanzien van de verwerking van de Persoonsgegevens.
Beveiliging Persoonsgegevens en controle
1.13. Verwerker zal aantoonbaar passende en doeltreffende technische en organisatorische beveiligingsmaatregelen nemen die, gezien de huidige stand der techniek en de daarmee gemoeide kosten, afgestemd zijn op de (in Bijlage 1 gespecificeerde) aard van de te verwerken Persoonsgegevens, ter bescherming van de Persoonsgegevens tegen verlies, onbevoegde kennisname, verminking of enige vorm van onrechtmatige
verwerking, alsmede om de (tijdige) beschikbaarheid en integriteit van de gegevens te garanderen. In deze beveiligingsmaatregelen zijn de mogelijk in de Hoofdovereenkomst reeds beschreven maatregelen begrepen.
1.14. Verwerker beschikt over ISO 27001-certificering, vergelijkbare certificering of werkt aantoonbaar in overeenstemming met ISO 27001 en heeft een passend, geschreven beveiligingsbeleid geïmplementeerd voor de verwerking van Persoonsgegevens, waarin in ieder geval de in het eerste lid van dit artikel 4 genoemde maatregelen uiteengezet zijn.
1.15. Verwerker beschikt over NEN 7510-certificering of werkt aantoonbaar in overeenstemming met NEN 7510 en heeft een passend, geschreven beveiligingsbeleid geïmplementeerd voor de verwerking van Persoonsgegevens. Verwerker voldoet aantoonbaar (indien van toepassing) aan de veiligheidseisen voor netwerkverbindingen zoals beschreven in NEN 7512 en aan de eisen ten aanzien van logging zoals beschreven in NEN 7513.
1.16. Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke een (kopie van een) door een onafhankelijke en ter zake deskundige derde afgegeven geldig certificaat overleggen alsmede de verklaring van toepasselijkheid, indien deze daarover beschikt, of een Third Party Memorandum (TPM), waaruit volgt dat Verwerker de verplichtingen uit dit artikel naleeft.
1.17. Xxxxxxxxx laat zelf regelmatig interne en/of externe audits uitvoeren met betrekking tot de naleving van bovengenoemde normen.
1.18. Verwerkingsverantwoordelijke heeft het recht toe te (laten) zien op de naleving van de hiervoor onder artikel 4.1 tot en met 4.3 genoemde maatregelen naar aanleiding van (vermoeden van) informatiebeveiligings- of privacy-Inbreuken. Verwerker en Verwerkingsverantwoordelijke bepalen in gezamenlijk wanneer en door welke onafhankelijke derde partij de controle wordt uitgevoerd. Verwerker zal eventuele door Verwerkingsverantwoordelijke naar aanleiding van een dergelijk onderzoek in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.
1.19. Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Verwerker zal daarom de maatregelen zoals geïmplementeerd op basis van dit artikel 4 periodiek evalueren en, waar nodig, de maatregelen verbeteren om te blijven voldoen aan de verplichtingen onder dit artikel 4. Het voorgaande laat de instructiebevoegdheid van Verwerkingsverantwoordelijke om zo nodig aanvullende maatregelen te (doen) treffen onverlet.
Artikel 4. Beveiliging Persoonsgegevens en controle (versie niet- gezondheidsgegevens)
[Doorhalen indien niet van toepassing]
1.1. Verwerker zal aantoonbaar, passende en doeltreffende technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de (in Bijlage 1 gespecificeerde) aard van de te verwerken Persoonsgegevens, ter bescherming van de Persoonsgegevens
tegen verlies, onbevoegde kennisname, verminking of enige vorm van onrechtmatige verwerking, alsmede om de (tijdige) beschikbaarheid en integriteit van de gegevens te garanderen. In deze beveiligings- maatregelen zijn de mogelijk in de Hoofdovereenkomst reeds bepaalde maatregelen begrepen.
1.2. Verwerker beschikt over een ISO27001 certificering, een vergelijkbare certificering of werkt aantoonbaar in overeenstemming met ISO27001 en heeft een passend, geschreven beveiligingsbeleid geïmplementeerd voor de verwerking van Persoonsgegevens.
1.3. Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke (een kopie van) een door een onafhankelijke en ter zake deskundige derde afgegeven geldig certificaat overleggen, indien deze daarover beschikt, of een Third Party Memorandum (TPM), waaruit volgt dat Verwerker de verplichtingen uit dit artikel naleeft.
1.4. Xxxxxxxxx laat zelf regelmatig interne en/of externe audits uitvoeren met betrekking tot
de naleving van bovengenoemde normen.
1.5. Verwerkingsverantwoordelijke heeft het recht toe te (laten) zien op de naleving van de hiervoor onder artikel 4.1 tot en met 4.3 genoemde maatregelen indien Verwerkingsverantwoordelijke daarom vraagt naar aanleiding van (vermoeden van) informatie- of privacy-Inbreuken. Verwerker en Verwerkingsverantwoordelijke bepalen in gezamenlijk overleg het tijdstip waarop en de onafhankelijke derde partij die de controle uitvoert. Verwerker zal eventuele door Verwerkingsverantwoordelijke naar aanleiding van een dergelijk onderzoek in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.
1.6. Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Verwerker zal daarom de maatregelen zoals geïmplementeerd op basis van dit artikel 4 periodiek evalueren en, waar nodig, de maatregelen verbeteren om te blijven voldoen aan de verplichtingen onder dit artikel 4. Het voorgaande laat de instructiebevoegdheid van Verwerkingsverantwoordelijke om zo nodig aanvullende maatregelen te (doen) treffen onverlet.
Monitoring, informatieplichten en incidentenmanagement
1.7. Xxxxxxxxx zal actief monitoren op Inbreuken op de beveiliging en over de resultaten van de monitoring in overeenstemming met dit artikel 5 rapporteren aan Verwerkingsverantwoordelijke.
1.8. Wanneer zich een Inbreuk voordoet of heeft voorgedaan, is Verwerker verplicht de contactpersoon van Verwerkingsverantwoordelijke genoemd in Bijlage 3 daarvan onmiddellijk, doch uiterlijk binnen 24 uur nadat Verwerker er kennis van heeft genomen, in kennis te stellen en daarbij alle relevante informatie te verstrekken over:
1) de aard van de Inbreuk;
2) de (mogelijk) getroffen Persoonsgegevens;
3) de geconstateerde en de vermoedelijke gevolgen van de Inbreuk; en
4) de maatregelen die getroffen zijn of zullen worden om de Inbreuk op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken.
1.9. Verwerker is, onverminderd de overige verplichtingen uit dit artikel, verplicht om maatregelen te treffen die redelijkerwijs van hem kunnen worden verwacht om de
Inbreuk zo snel mogelijk te herstellen dan wel de verdere gevolgen zoveel mogelijk te beperken. Verwerker treedt zo snel als mogelijk, doch binnen 24 uur, in overleg met Verwerkingsverantwoordelijke teneinde hierover nadere afspraken te maken.
1.10. Verwerker zal Verwerkingsverantwoordelijke te allen tijde zijn medewerking verlenen en zal de instructies van Verwerkingsverantwoordelijke opvolgen en deugdelijk onderzoek naar de Inbreuk verrichten. Verwerker stelt daarover een rapportage op, inclusief een correcte respons en passende vervolgstappen. Deze rapportage deelt Verwerker zo spoedig mogelijk met Verwerkingsverantwoordelijke zodat deze tijdig de Autoriteit Persoonsgegevens (hierna: AP) en/of de Betrokkene kan informeren. Het melden van een Inbreuk aan de AP en/of Betrokkene kan alleen gedaan worden door de Verwerkingsverantwoordelijke.
1.11. Meldingen met betrekking tot Inbreuken en Verzoeken van Betrokkenen worden gedaan aan de contactpersoon van Verwerkingsverantwoordelijke zoals beschreven in Bijlage 3.
1.12. Het is Verwerker niet toegestaan informatie te verstrekken over Inbreuken aan Xxxxxxxxxxx of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is of Partijen anderszins zijn overeengekomen.
1.13. Indien en voor zover Partijen zijn overeengekomen dat Xxxxxxxxx in relatie tot een Inbreuk rechtstreeks contact onderhoudt met autoriteiten anders dan de AP, of andere derde partijen, dan houdt de Verwerker de Verwerkingsverantwoordelijke daarvan voortdurend op te hoogte.
Medewerkingsverplichtingen
1.14. De AVG en overige wetgeving kent aan de Betrokkene bepaalde rechten toe. Verwerker zal zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke bij de nakoming van de op Verwerkingsverantwoordelijke rustende verplichtingen voortvloeiend uit deze rechten.
1.15. Een door Verwerker ontvangen Verzoek van een Betrokkene met betrekking tot verwerking van Persoonsgegevens wordt door Verwerker zo snel als mogelijk, doch binnen 24 uur, doorgestuurd naar Verwerkingsverantwoordelijke.
1.16. Op het eerste daartoe strekkende verzoek van Verwerkingsverantwoordelijke zal Verwerker aan Verwerkingsverantwoordelijke alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte verwerking van Persoonsgegevens zodat Verwerkingsverantwoordelijke, mede aan de hand van die informatie, aan kan tonen dat zij de toepasselijke (privacy) wetgeving naleeft.
1.17. Verwerker zal voorts op verzoek van Verwerkingsverantwoordelijke alle noodzakelijke bijstand verlenen bij de nakoming van de op grond van de toepasselijke privacywetgeving op Verwerkingsverantwoordelijke rustende wettelijke verplichtingen, zoals het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA).
Inschakeling subverwerkers
1.18. Verwerker zal zijn activiteiten die bestaan uit het verwerken van Persoonsgegevens of vereisen dat Persoonsgegevens verwerkt worden, niet uitbesteden aan een subverwerker zonder drie maanden van te voren dat mede te delen aan
Verwerkingsverantwoordelijke en de Verwerkingsverantwoordelijke de gelegenheid te geven om eventuele bezwaren aan de Verwerker kenbaar te maken. Indien Verwerkingsverantwoordelijke bezwaren heeft, zal Verwerker redelijke inspanningen leveren om de bezwaren van de Verwerkingsverantwoordelijke op te lossen of om de levering van de diensten zoals genoemd in de Hoofdovereenkomst - zonder daaraan afbreuk te doen - aan te passen om verwerking van Persoonsgegevens door de voorgestelde (nieuwe) subverwerker te voorkomen.
1.19. Indien de Verwerker de bezwaren van de Verwerkingsverantwoordelijke niet kan
oplossen of de levering van de diensten niet kan aanpassen om de verwerking van Persoonsgegevens door de voorgestelde subverwerker te voorkomen, kan de Verwerkingsverantwoordelijke de Hoofdovereenkomst opschorten of geheel of gedeeltelijk beëindigen, met inachtneming van een opzegtermijn van zes maanden, gerekend vanaf de einddatum van de bezwaartermijn. Gedurende een schorsing van de Hoofdovereenkomst vanwege bezwaar tegen een (nieuwe) subverwerker en vanaf de einddatum van de Hoofdovereenkomst is de Verwerkingsverantwoordelijke niet verplicht om de Verwerker enige vergoeding op grond van de Hoofdovereenkomst of anderszins of enige schadevergoeding te betalen.
1.20. Artikel 7.1 is niet van toepassing op de in Bijlage 1 vermelde subverwerkers.
1.21. Verwerker zal aan deze subverwerker minstens dezelfde verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien. Verwerker zal deze afspraken schriftelijk vastleggen en zal toezien op de naleving daarvan door de subverwerker. Verwerker zal Verwerkingsverantwoordelijke op verzoek afschrift verstrekken van de met de subverwerker gesloten verwerkersovereenkomst.
1.22. Verwerker blijft volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een subverwerker. Voor de inzet van subverwerkers buiten de EER is toestemming vereist in overeenstemming met artikel 3.5 van deze Verwerkersovereenkomst.
Kosten
1.23. De kosten voor de verwerking van gegevens die inherent zijn aan de normale uitvoering van de Verwerkersovereenkomst en de uitoefening van rechten van Betrokkenen, worden geacht besloten te liggen in de op grond van de Hoofdovereenkomst reeds verschuldigde vergoedingen.
Duur en beëindiging
1.24. Deze Verwerkersovereenkomst gaat in op de datum van ondertekening en de duur van deze Verwerkersovereenkomst is gelijk aan de duur van de Hoofdovereenkomst inclusief eventuele verlengingen daarvan.
1.25. De Verwerkersovereenkomst maakt na ondertekening ervan door beide Partijen integraal en onverbrekelijk deel uit van de Hoofdovereenkomst. Beëindiging van de Hoofdovereenkomst, op welke grond dan ook (opzegging/ontbinding), heeft tot gevolg dat de Verwerkersovereenkomst eveneens op dezelfde grond beëindigd wordt, tenzij Partijen in voorkomend geval anders overeenkomen.
1.26. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van deze Verwerkersovereenkomst gelden. Tot deze verplichtingen behoren bijvoorbeeld die
welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid, geschillenbeslechting en toepasselijk recht.
1.27. Ieder der Partijen is gerechtigd, onverminderd hetgeen daartoe bepaald is in de Hoofdovereenkomst, de uitvoering van deze Verwerkersovereenkomst en de daarmee samenhangende Hoofdovereenkomst op te schorten, dan wel deze Verwerkersovereenkomst [en de daarmee samenhangende Hoofdovereenkomst] zonder rechterlijke tussenkomst met onmiddellijke ingang te beëindigen indien:
a.) de andere Partij wordt ontbonden of anderszins ophoudt te bestaan;
b.) de andere Partij aantoonbaar ernstig tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;
c.) een Partij in staat van faillissement wordt verklaard of surseance van betaling aanvraagt.
1.28. Gelet op de grote afhankelijkheid van Verwerkingsverantwoordelijke van Verwerker alsmede het continuïteitsrisico bij incidenten en calamiteiten (zoals faillissement), verklaart Verwerker zich reeds nu voor alsdan bereid op eerste verzoek van Verwerkingsverantwoordelijke aanvullende afspraken met Verwerkingsverantwoordelijke te maken teneinde voornoemde risico’s te verkleinen.
1.29. Verwerkingsverantwoordelijke is gerechtigd deze Verwerkersovereenkomst en de Hoofdovereenkomst per direct te ontbinden indien Verwerker te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van de wet en/of de rechtspraak aan de verwerking van de Persoonsgegevens worden gesteld.
1.30. Verwerker dient Verwerkingsverantwoordelijke zo spoedig mogelijk te informeren over een voorgenomen overname of eigendomsoverdracht. Verwerkingsverantwoordelijke heeft het recht bij zwaarwegende bezwaren tegen de verandering van eigenaar de Hoofdovereenkomst te beëindigen zonder schadeplichtig te zijn.
1.31. Het is Verwerker niet toegestaan om zonder uitdrukkelijke en schriftelijke toestemming van Verwerkingsverantwoordelijke deze Verwerkersovereenkomst en de rechten en plichten die samenhangen met deze Verwerkersovereenkomst over te dragen aan een derde partij.
1.32. De verplichtingen uit deze Verwerkersovereenkomst duren voort zolang de Verwerker Persoonsgegevens van Verwerkingsverantwoordelijke verwerkt, ook nadat de Verwerker is opgehouden de in de Hoofdovereenkomst opgedragen zorg, diensten en/of faciliteiten ten behoeve van Verwerkingsverantwoordelijke te verlenen.
Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
1.33. Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk, waaronder begrepen de wettelijke bewaartermijnen of een eventueel tussen Partijen gemaakte afspraak over bewaartermijnen zoals vastgelegd in Bijlage 1. In geen geval bewaart Verwerker de Persoonsgegevens langer dan tot het einde van deze Verwerkersovereenkomst. Verwerkingsverantwoordelijke bepaalt of en zo ja hoe lang gegevens bewaard moeten blijven.
1.34. Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker, tegen redelijke kosten, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens definitief (doen) vernietigen of teruggeven aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens onherroepelijk zijn vernietigd of verwijderd. Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd en gedocumenteerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave, definitieve vernietiging of verwijdering niet mogelijk is, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
Slotbepalingen
1.35. In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.
1.36. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
1.37. Geschillen over of in verband met deze Verwerkersovereenkomst worden uitsluitend voorgelegd aan de daartoe in de Hoofdovereenkomst aangewezen rechtbank of arbiter(s).
Bijlage 1: Omschrijving van de verwerking
Omschrijving van activiteiten en/of diensten, omvang en algemeen doel van de verwerking:
Hoofdovereenkomst: Sanday SaaS dienstverlening voor 1e lijns zorg
Geef een omschrijving van activiteiten en/of diensten:
Saas diensten, projecten, consultancy en ondersteuning voor de 1e lijns zorg.
Wat is het algemeen doel van de verwerking:
• het bewaken/ faciliteren van de (organisatie van) zorg aan de Betrokkene;
• het inrichten en optimaliseren van integrale zorg aan de Betrokkene;
• faciliteren van het invullen van de financiële verantwoordelijkheden van Verantwoordelijke in het perspectief van de opdracht;
• het kunnen faciliteren van het verlenen van zorg aan de Betrokkene door derden (binnen de wettelijke kaders van de WGBO);
• het faciliteren van wetenschappelijk onderzoek en/of statistisch onderzoek;
Over hoeveel Persoonsgegevens/Betrokkenen gaat het:
• Patiëntendossiers binnen de organisatie van de Verwerkingsverantwoordelijke die binnen de scope van de hoofdovereenkomst vallen;
De volgende (categorieën) persoonsgegevens worden verwerkt:
1. Identificerende persoonsgegevens van patiënten, bijvoorbeeld:
• Geslacht
• NAW-gegevens
• BSN
• Geboortedatum
• Verzekeringsgegevens
2. Bijzondere persoonsgegevens van patiënten, bijvoorbeeld:
• Medische gegevens
• Aandoeningen
• Diagnostische bepalingen
3. Identificerende persoonsgegevens van debiteuren, bijvoorbeeld:
• Identificerende persoonsgegevens zoals NAW gegevens
• Bankrekeningnummer
4. Identificerende persoonsgegevens van de gebruikers van het Sanday platform, bijvoorbeeld:
• NAW gegevens
• AGB
• UZI pasnummer
Subverwerkers
Subverwerker | Dientst(en) | Locatie van de gegevens |
Microsoft | Azure Storage/computing | Noord: Ierland (EU West: Nederland (EU) |
RAM-IT | Netwerkdiensten (o.a. lsp/ezorg) | Nederland (EU) |
Conclusion | Kantoorautomatisering verwerker (IT) | Nederland (EU) |
AFAS | Klanten facturatie | Ierland (EU) |
VECOZO | Opvragen zorgverzekering van betrokkenen | Nederland (EU) |
DOMO Inc. | Data storage, BI portal, onboarding, uitspoel (exports) | Ierland (EU) |
SBV-Z | Opvragen BSN (BHBSN) | Nederland (EU) |
Stichting ION | Faciliteren inschrijving bij 1 huisarts (optioneel; GP) | Nederland (EU) |
Nederland (EU) | ||
Oracle OCI | OCI Storage/computing | Frankfurt (EU) |
Madrid (EU) | ||
AMIS | Technisch beheer ism Sanday | Nederland (EU) |
TopDesk | Incidenten beheer, self service portal | Nederland (EU) Ierland (EU) |
Ebbot (optioneel) | chatbot, verwerkt enkel de gegevens die u invoert | Ierland (EU) |
Bijlage 2: Beveiliging Persoonsgegevens
Sanday BV is gecertificeerd voor ISO 27001 informatiebeveiliging en NEN 7510 informatiebeveiliging in de zorg, met als scope: Informatiebeveiliging in relatie tot het bouwen, leveren en onderhouden van software voor de eerstelijnszorg. De certificaten zijn opvraagbaar en tevens vindbaar op onze website. De verklaring van toepasselijkheid is eveneens opvraagbaar.
Benodigde beveiligingsmaatregelen zijn getroffen door de implementatie van deze normen. Voorbeelden hiervan zijn o.a. (maar niet uitsluitend):
Fysieke beveiliging
Technische en organisatorische maatregelen zijn genomen waarmee fysieke toegang door onbevoegden moet worden voorkomen tot gebouwen waar de gegevensverwerking plaatsvindt:
• Deurbeveiliging (receptie, afgesloten dmv sleutel, gelogde sleuteltoewijzing);
• Inbraakalarmsysteem met opvolging van de veiligheidsdienst.
Netwerk en computers
Technische en organisatorische maatregelen waarmee toegang door onbevoegden moet worden voorkomen tot het netwerk en de computers van Verwerker:
• Schijfencryptie wordt toegepast op alle werkstations en servers;
• Ieder werkstation is voorzien van antivirussoftware die automatisch wordt bijgewerkt
• Computers worden automatisch bijgewerkt zodra beveiligingsupdates beschikbaar zijn;
• Authenticatie dmv Windows Hello (icm 2-factor authenticatie) en complexe wachtwoorden;
• Computers automatisch vergrendelen na periode van inactiviteit;
• De netwerken worden beschermd door een firewall, zonering, en monitorring
Applicatie beheer
Technische en organisatorische maatregelen waarmee toegang door onbevoegden moet worden voorkomen tot de applicatie die Persoonsgegevens verwerkt:
• Alle communicatie met de applicatie is versleuteld;
• Authenticatie met 2 facor authenticator;
• Gebruik van gedifferentieerde autorisaties (o.b.v. klant, rollen en permissies);
• Loggen van toegang en acties van alle gebruikers;
• Applicatie toegang is op basis van GEOIP en voor beheer op IP-adres afgeschermd;
• De beveiliging van de applicatie wordt periodiek getest door onafhankelijke partij(en)
Applicatie ontwikkeling
Technische en organisatorische maatregelen die Verwerker volgt tijdens het (door)ontwikkelen van de applicatie.
• Beveiligingseisen worden vastgesteld bij het opstellen van specificaties;
• Alle communicatie van/naar de applicatie is versleuteld;
• Er zijn gescheiden omgevingen voor ontwikkelen, testen, acceptatie en productie
• Persoonsgegevens (van productie) worden niet gebruikt voor ontwikkelen, testen en acceptatie
Medewerkers van de verwerker
Maatregelen waaraan werknemers van Verwerker moeten voldoen:
• Werknemers ontvangen training op het gebied van privacy en informatiebeveiliging;
• Werknemers hebben een geheimhoudingsverklaring ondertekend
• Werknemers dienen bij indiensttreding een Verklaring Omtrent het Gedrag (VOG) te overleggen;
• Werknemers dienen (potentiële) beveiligingsincidenten te melden bij de security officer.
Beschikbaarheid
Technische en organisatorische maatregelen waarmee de beschikbaarheid van de systemen en applicaties van Verwerker worden gewaarborgd:
• Systemen waarop de applicatie van Verwerker staat, zijn ondergebracht bij een ISO 27001 en NEN 7510 gecertificeerde provider;
• Systemen waarop de applicatie van Verwerker staat, zijn redundant uitgevoerd;
• Gegevensback-ups worden minimaal 1 maand bewaard;
• Verwerker heeft een Business Continuity Plan opgesteld.
Bijlage 3: Contactinformatie mbt. Inbreuken/Verzoeken van Betrokkenen
Contactinformatie van Verwerkingsverantwoordelijke:
.
Contactinformatie van Verwerker:
Functionaris Gegevensbescherming van Xxxxxx; R. xxx xxx Xxxxx, xx@xxxxxx.xxx
(zie de privacy policy op Xxxxxx.xxx voor de laatste contact gegevens)
Bijlage 4 - Aanpassingen t.o.v. standaard tekst
In onderstaande tabel staat de reden waarom wij bepaalde teksten aangepast hebben
Art. Tekst die vervalt Vervangende tekst Reden
1.3
Waar in deze Verwerkersovereenkomst naar bepaalde normen wordt verwezen (zoals NEN 7510) wordt daarmee steeds gedoeld op de meest actuele versie daarvan. Voor zover de betreffende norm niet meer wordt onderhouden, dient in de plaats daarvan de meest actuele versie van de logische opvolger van de betreffende norm gelezen te worden.
Waar in deze Verwerkersovereenkomst naar bepaalde normen wordt verwezen (zoals NEN 7510) wordt daarmee steeds gedoeld op de dan geldende versie daarvan. Voor zover de betreffende norm niet meer wordt onderhouden, dient in de plaats daarvan de meest actuele versie van de logische opvolger van de betreffende norm gelezen te worden.
NEN en ook ISO- normeringen hebben een vastgestelde geldigheidsdatum waarbij er vaak tijdelijk overlap is tussen de meest actuele en nog geldige ‘vorige’ versie.
Toelichting: De actuele versie en de versie die uitgefaseerd wordt kunnen tijdelijk naast elkaar bestaan.
2.3
Deze Verwerkersovereenkomst maakt onverbrekelijk deel uit van de Hoofdovereenkomst, voor zover het bepaalde in de Verwerkersovereenkomst strijdig is met het bepaalde in de Hoofdovereenkomst, prevaleert het bepaalde in de
Verwerkersovereenkomst.
Deze Verwerkersovereenkomst maakt onverbrekelijk deel uit van de Hoofdovereenkomst, en aldus zijn bepalingen uit de Hoofdovereenkomst onverkort van toepassing op deze Verwerkersovereenkomst.
Voor zover het bepaalde in de Verwerkersovereenkomst strijdig is met het bepaalde in de Hoofdovereenkomst, prevaleert het bepaalde in de
Verwerkersovereenkomst.
Ook de hoofdovereenkomst is
in scope.
7.1
Verwerker zal zijn activiteiten die bestaan uit het verwerken van Persoonsgegevens of vereisen dat Persoonsgegevens verwerkt worden, niet uitbesteden aan een subverwerker zonder drie maanden van te voren dat mede te delen aan Verwerkingsverantwoordelijke en de Verwerkingsverantwoordelijke de gelegenheid te geven om eventuele bezwaren aan de Verwerker kenbaar te maken. Indien Verwerkingsverantwoordelijke bezwaren heeft, zal Verwerker redelijke inspanningen leveren om de bezwaren van de Verwerkingsverantwoordelijke op te lossen of om de levering van de diensten zoals genoemd in de Hoofdovereenkomst - zonder daaraan afbreuk te doen - aan te passen om verwerking van Persoonsgegevens door de voorgestelde (nieuwe) subverwerker te voorkomen.
Verwerker zal zijn activiteiten die bestaan uit het verwerken van Persoonsgegevens of vereisen dat Persoonsgegevens verwerkt worden, niet uitbesteden aan een subverwerker binnen de Europese Economische Ruimte (EER) zonder minimaal een (1) maand van te voren dat digitaal mede te delen aan Verwerkingsverantwoordelijke.
De Verwerkingsverantwoordelijke heeft dan een (1) maand de tijd om niet bindend bezwaar maken. Verwerker zal aan de hand van de bezwaren evalueren of deze bewijskrachtige informatie bevatten waaruit blijkt dat de nieuwe subverwerker niet het voldoende beschermingsniveau biedt.
Verwerker zal redelijke inspanningen leveren om de bezwaren van de Verwerkingsverantwoordelijke op te lossen.
De uitkomsten hiervan zal de Verwerker terugkoppelen aan de Verwerkingsverantwoordelijke.
Na deze bezwaar periode is de Verwerker echter gerechtigd zijn activiteiten uit te besteden aan sub-verwerkers gevestigd binnen de Europese Economische Ruimte (EER).
Met in achtneming van alle de
Het is niet werkbaar bij afname van een standaard product met grote groep gebruikers, zoals Sanday, dat toestemming gevraagd moet worden. De AVG staat bovendien een generieke toestemming toe.
Xxxxx gelden ook voor de nieuw in te zetten subverwerker.
geldende eisen uit deze overeenkomst.
Voor
7.2
Indien de Verwerker de bezwaren van de Verwerkingsverantwoordelijke niet kan oplossen of de levering van de diensten niet kan aanpassen om de verwerking van Persoonsgegevens door de voorgestelde subverwerker te voorkomen, kan de Verwerkingsverantwoordelijke de Hoofdovereenkomst opschorten of geheel of gedeeltelijk beëindigen, met inachtneming van een opzegtermijn van zes maanden, gerekend vanaf de einddatum van de bezwaartermijn. Gedurende een schorsing van de Hoofdovereenkomst vanwege bezwaar tegen een (nieuwe) subverwerker en vanaf de einddatum van de Hoofdovereenkomst is de Verwerkingsverantwoordelijke niet verplicht om de Verwerker enige vergoeding op grond van de Hoofdovereenkomst of anderszins of enige schadevergoeding te betalen.
Indien de Verwerker de bezwaren van de Verwerkingsverantwoordelijke niet kan oplossen of de levering van de diensten niet kan aanpassen om de verwerking van Persoonsgegevens door de voorgestelde subverwerker te voorkomen, kan de Verwerkingsverantwoordelijke de Hoofdovereenkomst opschorten of geheel of gedeeltelijk beëindigen, met inachtneming van een opzegtermijn van 30 dagen, gerekend vanaf de einddatum van de bezwaartermijn.
Gedurende een schorsing van de Hoofdovereenkomst vanwege bezwaar tegen een (nieuwe) subverwerker en vanaf de einddatum van de Hoofdovereenkomst is de Verwerkingsverantwoordelijke niet verplicht om de Verwerker enige vergoeding op grond van de Hoofdovereenkomst of anderszins of enige schadevergoeding te betalen.
Opzegtermijn overeenkomstig met de Sanday algemene voorwaarden.
7.4
Verwerker zal aan deze subverwerker minstens dezelfde verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien.
Verwerker zal deze afspraken schriftelijk vastleggen en zal toezien op de naleving daarvan door de subverwerker.
Verwerker zal Verwerkingsverantwoordelijke op verzoek afschrift verstrekken van de met de subverwerker gesloten verwerkersovereenkomst.
Verwerker zal aan deze subverwerker minstens dezelfde verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien, uitgezonderd het bepaalde in bijlage 1 voor zogenaamde “grote subverwerkers”.
Verwerker zal deze afspraken schriftelijk vastleggen en zal toezien op de naleving daarvan door de subverwerker.
Verwerker zal Verwerkingsverantwoordelijke op verzoek afschrift verstrekken van de met de subverwerker gesloten verwerkersovereenkomst.
Grote subverwerkers zoals (maar niet uitsluitend) Microsoft, Amazon en Oracle kunnen geen voorwaarden worden opgelegd. Tegelijk zijn de voorwaarden in hun service voorwaarden strenger en uitgebreider dan deze overeenkomst vereist.
7.5
Verwerker blijft volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een subverwerker. Voor de inzet van subverwerkers buiten de EER is toestemming vereist in overeenstemming met artikel
3.5 van deze
Verwerkersovereenkomst.
Verwerker blijft, onder toepasselijkheid van de bepalingen uit deze Verwerkersovereenkomst en Hoofdovereenkomst, volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een subverwerker. Voor de inzet van subverwerkers buiten de EER is toestemming vereist in overeenstemming met artikel
3.5 van deze
Verwerkersovereenkomst.
Ook de hoofdovereenkomst is
in scope.
Bijlage 5: Totstandkoming van deze verwerkersovereenkomst
Deze overeenkomst is tot stand gekomen met gebruik making van Model Verwerkersovereenkomst Brancheorganisaties Zorg versie 2022, met wijzigingen van Sanday.
Verenigd in