VERWERKINGSOVEREENKOMST

VERWERKINGSOVEREENKOMST

Deze Verwerkersovereenkomst is opgesteld in het kader van de AVG en is bedoeld voor en is van toepassing op Gebruikers die (Bijzondere) Peroonsgegevens verwerken met Share-board. Gebruikers dienen zelf vast te stellen of zij (Bijzondere) Peroonsgegevens verwerken met Share-board en wat de rechten en plichten zijn uit de AVG. Deze Verwerkersovereenkomst is gebaseerd op de AVG en het gebruik van Share-board als Verwerker en geldt - standaard - voor alle Gebruikers van Share-board. Indien een Gebruiker een wijziging wenst op deze standaard Verwerkingovereenkomst, kunnen zij een verzoek daartoe doen aan Share-board via xxxx@Xxxxx-xxxxx.xx.

Deze Verwerkingsovereenkomst is een onderdeel van de Voorwaarden van Share-board.

Share-board heeft stringente technische en organisatorische beveiligingsmaatregelen genomen die het verwerken van Bijzondere Persoonsgegevens (patientengegevens) faciliteren.

HET GEBRUIK VAN PERSOONSGEGEVENS MET SHARE-BAORD

Gebruik1

De AVG voor de Persoonsgegevens van Gebruikers van Share-board betreffen de inlog- en profielgegevens van Gebruikers van Share-board met als doel die Gebruikers toegang te geven tot Share-board en te ondersteunen bij het gebruik van Share-board. In dit geval is Share-board de Verantwoordelijke, de Gebruiker de Betrokkene en zijn de leveranciers van Share-board de Verwerkers. De Verwerkingsovereenkomst is op Gebruik1 niet van toepassing. De AVG is uiteraard wel van toepassing op Gebruik1: lees het Privacy-statement.

Gebruik2

De AVG voor de Persoonsgegevens die Gebruikers van Share-board bewerken met Share-board, indien Gebruikers informatie over Personen onderling vastleggen en delen met Share-board, met als doel om - bijvoorbeeld - de communicatie en administratie met en voor leden te voeren of om informatie te delen over en met patiënten of cursisten. Deze pagina beschrijft de wijze waarop Xxxxxxxxxx met Xxxxx-xxxxx.xx werken: xxxxx://xxx.xxxxx-xxxxx.xx/xxxxxxxxxxx/xxxx/#Xxxxxxxxxxx-xxxxxxx. In dit geval zijn de Gebruikers de Verantwoordelijken en de Verwerkers, de Personen waarover de Persoonsgegevens worden verwerkt met Share-board de Betrokkenen en is Share-board (en haar leveranciers) de Verwerker. De Verwerkingsovereenkomst is op Gebruik2 van toepassing.

ACHTERGRONDINFORMATIE

Pagina ISMS 02.0 De Functionele setting van de Gebruikers beschrijft de wijze waarop Xxxxxxxxxx met Xxxxx-xxxxx.xx werken.

Het Privacy-statement van Share-board vind je op: xxxxx://xxx.xxxxx-xxxxx.xx/xxxxxxx/.

Pagina xxxxx://xxx.xxxxx-xxxxx.xx/xxxxxxxx/ geeft het soort gegevens dat door Gebruikers met Share-board kunnen verwerken en door Share-board BV worden verwerkt.

Pagina xxxxx://xxx.xxxxx-xxxxx.xx/xxxxxxxx/#xxxxxxxxxxxxxxxxxxxxx beschrijft welke rollen Share-board BV onderscheidt en welke verantwoordelijkheden gelden bij het verwerken van Persoonsgegevens met Xxxxx-xxxxx.xx.

Pagina xxxxx://xxx.xxxxx-xxxxx.xx/xxxxxxxx/#xxxxxxxxxxxxxxxxxxxxxxxxx beschrijft welke vertrouwelijkheidsniveaus van gegevens die met Xxxxx-xxxxx.xx worden verwerkt.

Pagina xxxxx://xxx.xxxxx-xxxxx.xx/xxxxxxxxxxx/xxxx geeft het Information Security Management Systeem van Share-board BV dat voldoet aan de ISO27001 (inclusief Bijlage A) en NEN7510 (inclusief NEN7512 en NEN7513) en gecertificeerd is door Xxxx: xxxxx://xxx.xxxxx-xxxxx.xx/xxxxxxxxxxx/#xxxxxxxxxxxx tegen de ISO27001 en NEN7510.

Pagina xxxxx://xxx.xxxxx-xxxxx.xx/xxxxxxxxxxx/xxxx/xxxx00 beschrijft de manier waarop Gebruikers de vertrouwelijkheid van Team-Content kunnen borgen met Xxxxx-xxxxx.xx.

DEFINITIES

Partijen: Gebruiker als Verwerkingsverantwoordelijke en Share-board als Verwerker worden hieronder gezamenlijk aangeduid als Partijen.

Team-Content: de content die door Gebruikers worden verwerkt met behulp van Share-board. De gegevens die Share-board verwerkt zijn gegeven op pagina: xxxxx://xxx.xxxxx-xxxxx.xx/xxxxxxxx. Een typische samenwerking tussen de Gebruikers is gegeven op pagina: xxxxx://xxx.xxxxx-xxxxx.xx/xxxxxxxxxxx/xxxx/#Xxxxxxxxxxx-xxxxxxx.

Persoonsgegeven: Elk gegeven betreffende een natuurlijke persoon dat herleidbaar kan zijn naar die natuurlijke persoon.

Bijzondere Persoonsgegevens: Persoonsgegevens betreffende ondermeer gezondheid, geloof, politieke voorkeur en geaardheid.

Share-board: het cloud platform waarmee Gebruikers gegevens - waaronder Persoonsgegevens - kunnen opslaan, bewerken en delen. Met Share-board wordt ook Share-boardBV bedoeld dat Share-board functionaliteit aanbiedt voor Gebruik en de Verwerker is in het kader van deze Verwerkingsovereenkomst.

Verwerken: elke handeling of elk geheel van handelingen met betrekking tot (Bijzondere) Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van ter beschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens; 

Gebruiker: Beheerders en Teamleden die tezamen Team-Content verwerken in een of meer Share-board-team(s) en is de Verwerkingsverantwoordelijke in het kader van deze Verwerkingsovereenkomst.

Datalek: een inbreuk op de beveiliging van (Bijzondere) Persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte (Bijzondere) Persoonsgegevens, en die wellicht tot immateriële schade kan leiden of een risico inhoudt voor de rechten en vrijheden van Betrokkene(n);

Pseudonimiseren: betreft versleutelen van gegevens, waarbij een sleutel wordt bewaard en gegevens terug leesbaar te maken zijn met de sleutel. Anonimiseren betreft het willekeurig versleutelen, waarbij de sleutel niet wordt bewaard en gegevens nimmer meer terug te herleiden zijn.

Betrokkene: degene op wie de (Bijzondere) Persoonsgegevens betrekking hebben. 

AP: de Autoriteit Persoonsgegevens, het zelfstandig bestuursorgaan dat in Nederland bij wet als toezichthouder is aangesteld voor het toezicht op de Verwerking van Persoonsgegevens.

AVG: de Algemene Verordening Gegevensbescherming. Engels: GDPR: General Data Protection Regulation.

Verwerkersovereenkomst: deze verwerkersovereenkomst.

TOEPASSINGSGEBIED

1. Deze Verwerkersovereenkomst is van alleen toepassing op het Verwerken van Persoonsgegevens van Gebruikers door Share-board (Gebruik2). Op Gebruik1 is de AVG wel van toepassing maar niet deze Verwerkingsovereenkomst. De privacy-pagina: xxxxx://xxx.xxxxx-xxxxx.xx/xxxxxxx/ beschrijft hoe Share-board de AVG invult voor Gebruik1.

VERPLICHTINGEN VAN SHARE-BOARD

2. Share-board als Verwerker zal de Persoonsgegevens uitsluitend ten behoeve van de Gebruiker als Verwerkingsverantwoordelijke Verwerken en slechts voor zover noodzakelijk voor de dienstverlening van Verwerker aan Verwerkingsverantwoordelijke, zoals gegeven in xxxxx://xxx.xxxxx-xxxxx.xx/xxxxxxxxxxx/xxxx/#Xxxxxxxxxxx-xxxxxxx.

3. Share-board zal ervoor zorgen dat haar verplichtingen uit deze Verwerkersovereenkomst worden opgelegd aan de Leveranciers die Persoonsgegevens verwerken onder het gezag van Share-board.

4. Share-board zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan de Gebruiker in het nakomen van zijn verplichtingen: om verzoeken van Betrokkenen te beantwoorden die hun rechten uitoefenen onder de AVG met de juiste beveiligingsmaatregelen voor de Verwerking van de (Bijzondere) Persoonsgegevens en het melden van Datalekken aan de AP en de Gebruikers.

5. Eventueel te maken kosten hiervoor zullen in rekening gebracht worden bij de Gebruiker. Dit zal tevoren aangeven worden.

6. In het geval dat een Betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten richt aan Share-board, zal Share-board het verzoek doorsturen aan Xxxxxxxxx en die het verzoek zal afhandelen en de Betrokkene daarvan op de hoogte stellen.

VERPLICHTINGEN VAN GEBRUIKERS

1. De Gebruikers zijn verantwoordelijk voor het toepassen van de AVG indien de Gebruikers Persoonsgegevens verwerken van andere personen dan de Gebruikers zelf.

2. Indien Gebruikers Bijzondere Persoonsgegevens zoals Zorg- of Patientengegevens, verwerken dienen de Gebruikers in het kader van de NEN7510 extra voorzieningen te treffen. Die voorzieningen zijn als tip gegeven op de pagina: xxxxx://xxx.xxxxx-xxxxx.xx/xxxxxxxxxxx/xxxx/xxxx00-0/

3. De Gebruiker is als Verwerkingsverantwoordelijke voor Gebruik2, volledig verantwoordelijk is voor het vaststellen van het doel en de middelen voor de verwerking van (Bijzondere) Persoonsgegevens. Het is Share-board als Verwerker onbekend met de (Bijzondere) Persoonsgegevens die in Share-board worden opgeslagen door Verwerkingsverantwoordelijke en met welk doel dat gebeurt. Het is aan de Gebruiker om te bepalen dat zij de (Bijzondere) Persoonsgegevens onder de overeengekomen voorwaarden bij Verwerker mag opslaan en verwerken. De volgende alinea beschrijft de verantwoordelijkheden die gelden bij het verwerken van (Bijzondere) Persoonsgegevens met Share-board: xxxxx://xxx.xxxxx-xxxxx.xx/xxxxxxxx/#xxxxxxxxxxxxxxxxxxxxx

4. Gebruiker zal Share-board op de hoogte stellen van de identiteit van haar functionaris voor de gegevensbescherming en/of vertegenwoordiger, voor zover zij die heeft aangesteld. Wijzigingen dienen onverwijld te worden doorgegeven aan Share-board. Indien Gebruiker geen functionaris of vertegenwoordiger opgeeft, gaat Share-board ervan uit dat de Beheerder de vertegenwoordiger is.

5. Gebruiker garandeert dat de inhoud, het gebruik van en de opdracht tot de Verwerkingen van de (Bijzondere) Persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.

LEVERANCIERS

1. Share-board maakt gebruik van derden. De contactpagina op de website van Share-board toont die leveranciers. Met de Leveranciers zijn Verwerkersovereenkomsten overeenkomstig de AVG van kracht. Share-board is vrij om andere Leveranciers te kiezen. Tussen Leveranciers en Share-board zijn eveneens verwerkersovereenkomsten van kracht die deze Verwerkersovereenkomst ondersteunen.

DOORGIFTE VAN GEGEVENS

1. Share-board mag de Team-content inclusief de (Bijzondere) Persoonsgegevens verwerken in landen binnen de Europees Economische Ruimte (EER). Doorgifte naar landen buiten de EER is zonder toestemming van de Gebruiker verboden.

BEVEILIGING

1. Share-board heeft, rekening houdend met de stand van de techniek, de uitvoeringskosten en de haar bekende informatie over de verwerkingsdoeleinden en de risico’s van de Verwerking, passende technische en organisatorische maatregelen genomen voor het laten Verwerken van (Bijzondere) Persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige Verwerking waaronder het onbevoegde toegang tot of ongeoorloofde aantasting, wijziging of verstrekking van de (Bijzondere) Persoonsgegevens). 

2. De pagina Beveiliging beschrijft de maatregelen die Share-board heeft genomen voor het passende gewenste (hoge) beveiligingsniveau: xxxxx://xxx.xxxxx-xxxxx.xx/xxxxxxxxxxx/

3. Share-board mag de maatregelen op ieder moment eenzijdig aanpassen doch zal altijd hetzelfde of een hoger beveiligingsniveau garanderen.

4. Share-board werkt conform standaarden die geacht worden te voldoen aan de beveiligingseisen rekening houdend met de stand van de techniek.

5. Share-board zorgt ervoor dat periodiek een audit of test wordt gehouden door een gekwalificeerde derde partij, waarin deze het oordeel en de bevindingen over de beveiligingsmaatregelen in het licht van deze Verwerkersovereenkomst en het door Share-board gestelde doel en toegepaste standaarden. Het auditrapport wordt op de pagina xxxxx://xxx.xxxxx-xxxxx.xx/xxxxxxxxxxx/ getoond, teneinde Gebruikers in staat te stellen om de naleving objectief vast te stellen.

MELDPLICHT

1. Verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor de wettelijk vereiste melding van een Datalek aan de AP en/of Gebruikers.

2. Om Gebruiker in staat te stellen aan deze wettelijke plicht te voldoen, stelt Share-board de Gebruiker onverwijld en indien mogelijk binnen 24 uur nadat is vastgesteld dat sprake is van een Datalek, op de hoogte van een eventueel Datalek. Melding wordt gedaan aan de Beheerder(s) van de Betrokken team(s). 

3. De mededeling door de Share-board maakt in elk geval melding van het feit dat er een Datalek is geweest. Daarnaast beschrijft de mededeling: de aard van het Datalek, waar mogelijk onder vermelding van de categorieën van Betrokkenen en, bij benadering, de duur en omvang van het Datalek; de contactgegevens van helpdesk van Share-board voor meer informatie; de waarschijnlijke gevolgen van het Datalek; de maatregelen die Share-board voorstelt of neemt om het Datalek aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

GEHEIMHOUDING

1. Op alle (Bijzondere) Persoonsgegevens die Share-board van Gebruiker bewerkt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Share-board zal Team-Content deze informatie nimmer voor een ander doel gebruiken dan waarvoor zij deze verwerkt en nimmer ontsluiten (naar derden).

OVERDRAGEN

1. Indien Share-board op grond van een wettelijke verplichting gehouden is om (Bijzondere) Persoonsgegevens aan een derde te verstrekken, zal zij Gebruiker hiervan tevoren op de hoogte stellen, tenzij dit verboden is onder de betreffende wetgeving. De Team-Content is gepseudonimiseerd (versleuteld) en kan op bevel van een rechter worden ontsleuteld door Share-board en overdragen aan de door de rechter aangegeven overheidsinstantie.

AUDIT

1. Gebruiker kan de eerder genoemde auditrapporten inzien via de website. Indien het in het kader van haar verantwoordingsplicht voor Gebruiker redelijkerwijs noodzakelijk is om, in aanvulling op dit auditrapport, nadere zekerheden te verkrijgen dan zal Xxxxxxxxx dit faciliteren en zullen Partijen in overleg treden over de nadere invulling en uitwerking daarvan. Share-board is gerechtigd de kosten daarvoor in rekening te brengen.

2. Xxxxxxxxx heeft het recht om audits uit te laten voeren op de naleving van deze Verwerkersovereenkomst indien dit gebeurt door of namens een wettelijke toezichthouder (“right to examine/right to audit”) op grond van een wettelijke bevoegdheid tot controle van naleving van de AVG of andere op Gebruiker toepasselijke wet- en regelgeving. Op verzoek van Share-board toont Gebruiker aan dat sprake is van een dergelijke wettelijke bevoegdheid. Share-board zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante gegevens tijdig ter beschikking stellen. De kosten voor de audit worden door Gebruiker gedragen. Share-board is gerechtigd redelijke kosten voor deze bijstand aan Gebruiker door te en zal Gebruiker dit zo mogelijk tevoren aangeven.

3. De bevindingen naar aanleiding van de uitgevoerde audit zullen aan Share-board beschikbaar worden gesteld en door Share-board worden beoordeeld en kunnen, naar eigen goeddunken van Share-board en op de wijze zoals Share-board zelf bepaalt, worden doorgevoerd door Share-board. 

AANSPRAKELIJKHEID

1. De aansprakelijkheid van Share-board jegens Gebruiker voor schade (waaronder schade als gevolg van eventuele aanspraken van de AP en/of Betrokkenen en alle daarmee verband houdende kosten) als gevolg van een toerekenbare tekortkoming door Share-board in de nakoming van zijn verplichtingen onder deze Verwerkersovereenkomst, de AVG, dan wel uit onrechtmatige daad of anderszins, is per gebeurtenis (waarbij een reeks van opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot de licentie-inkomsten voor Share-board afkomstig van de betrokken Gebruiker opgeteld van de laatste 12 maanden. 

2. Gebruiker vrijwaart Share-board voor schade (waaronder schade als gevolg van eventuele aanspraken van de AP en/of Betrokkenen, en alle daarmee verband houdende kosten), indien deze aanspraak een toerekenbare tekortkoming betreft van Gebruiker van zijn verplichtingen onder deze Verwerkersovereenkomst of de AVG.

DUUR EN BEËINDIGING

1. Deze Verwerkersovereenkomst komt tot stand door het starten van een ‘Share-board Team’ in Share-board. Deze Verwerkersovereenkomst duurt zo lang als Gebruiker gebruik maakt van dienstverlening van Share-board, waarbij Share-board de Gebruiker (Bijzondere) Persoonsgegevens laat verwerken.

2. Bij beëindiging van de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, heeft de Gebruiker de mogelijkheid om een download te maken van alle Team-Content inclusief de (Bijzondere) Persoonsgegevens. Na de aangegeven spijt-periode verwijdert Share-board de Team-Content inclusief de (Bijzondere) Persoonsgegevens definitief.

OVERIGE BEPALINGEN

1. In geval van strijdigheid van de bepalingen van deze Verwerkersovereenkomst met de Algemene Voorwaarden van Share-board prevaleert deze Verwerkersovereenkomst. 

2. Deze Verwerkersovereenkomst is aangegaan met het doel te voldoen aan de vereisten gesteld door de AVG aan de Verwerking van (Bijzondere) Persoonsgegevens door Verwerker ten behoeve van Gebruiker.

3. Share-board is gerechtigd deze Verwerkersovereenkomst van tijd tot tijd eenzijdig te herzien. Ondermeer indien de wettelijke vereisten dat vergen en ten einde weer te voldoen aan de wettelijke aanpassing. Een nieuwe versie zal worden getoond op de website van Share-board. Share-board zal via een Notificatie in Share-board de Gebruikers daarvan op te hoogte stellen en een nieuwe versie van de Verwerkersovereenkomst wordt getoond op de website van Share-board.

4. De Gebruiker kan op elk moment de dienstverlening beeindigen door het verwijderen van de teams van de Gebruiker. Na de aangegeven spijt-periode verwijdert Share-board de Team-Content inclusief de (Bijzondere) Persoonsgegevens definitief.

5. Op de Verwerkersovereenkomst en de uitvoering daarvan is het Nederlands recht van toepassing. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Share-board gevestigd is.

Share-board BV

Xxxxx-xxxxx.xx

1 april 2018