VERWERKERSOVEREENKOMST

VERWERKERSOVEREENKOMST

United Care Company | EviCare

Partijen:

United Care Company B.V., kantoorhoudende en gevestigd te (3833 AG) Xxxxxxxxxxxx Xxxxxxxxxxx 00 te Leusden (hierna te noemen “Verwerker”) en de natuurlijke of rechtspersoon, handelend in de uitoefening van een beroep of bedrijf, welke diensten afneemt van Verwerker zoals gedefinieerd in de Overeenkomst (hierna te noemen “Verwerkingsverantwoordelijke”),

Gezamenlijk hierna ook te noemen “Partijen”,

In overweging nemende dat:

• Verwerkingsverantwoordelijke werkzaam is op het gebied van de gezondheid en/of het welzijn van mensen in de breedste zin van het woord en in dat kader gebruik maakt van Verwerker;

• Verwerkingsverantwoordelijke de EviCare Software afneemt van Verwerker, en Verwerker in die hoedanigheid (bijzondere) Persoonsgegevens voor Verwerkingsverantwoordelijke Verwerkt;

• Verwerkingsverantwoordelijke en Verwerker een Overeenkomst hebben gesloten inzake de EviCare Software waarvan deze Verwerkersovereenkomst deel uitmaakt;

• Verwerkingsverantwoordelijke ten aanzien van de verwerking van Persoonsgegevens als verantwoordelijke in de zin van artikel 4 aanhef en onder 7 van de Algemene verordening gegevensbescherming (“AVG”) is aan te merken;

• Verwerker ten aanzien van het voor Verwerkingsverantwoordelijke opslaan en verwerken van de persoonsgegevens als verwerker in de zin van artikel 4 aanhef en onder 8 AVG is aan te merken;

• Partijen – mede ter uitvoering van het bepaalde in artikel 28, derde lid van de AVG – in de onderhavige Verwerkersovereenkomst een aantal voorwaarden wensen vast te leggen die van toepassing zijn op hun relatie in verband met de (verwerking van persoonsgegevens in het kader van) genoemde activiteiten voor en in opdracht van Verwerkingsverantwoordelijke.

Verklaren als volgt te zijn overeengekomen:

Artikel 1 Definities

1.1 In deze Verwerkersovereenkomst hebben de volgende begrippen, steeds met een hoofdletter geschreven, de volgende betekenis ongeacht of deze in meervoud of enkelvoud worden gebruikt:

Annex: aanhangsel bij de Verwerkersovereenkomst, dat onlosmakelijk deel uitmaakt van de Verwerkersovereenkomst;

EviCare Software: de door Verwerker aangeboden software, die onder andere

bestaat uit het opstellen van rapportages ten behoeve van practice based evidence werken en de praktijkvoering, het bieden van ondersteuning bij het voeren van praktijkadministratie en het zenden van bevestigings- en herinneringse-mails alsmede de intake en klachtenlijsten;

Overeenkomst: de tussen Verwerkingsverantwoordelijke en Verwerker gesloten

overeenkomst met betrekking tot de EviCare Software, inclusief de Algemene Voorwaarden die daarop van toepassing zijn verklaard. Waar in deze Verwerkersovereenkomst ‘Overeenkomst’ wordt aangeduid, worden ook de op de Overeenkomst van toepassing verklaarde Algemene Voorwaarden bedoeld;

Persoonsgegevens: alle gegevens die direct of indirect herleidbaar zijn tot een

natuurlijk persoon als bedoeld in artikel 4 aanhef en onder 1 AVG;

Sub Verwerker: de door Verwerker ingeschakelde onderaannemer, die in het

kader van deze Verwerkersovereenkomst Persoonsgegevens Verwerkt voor rekening van Verwerkingsverantwoordelijke als bedoeld in artikel 28 lid 4 AVG;

Verwerken: het verwerken van Persoonsgegevens als bedoeld in artikel 4

aanhef en onder 2 AVG;

Verwerkersovereenkomst: de onderhavige overeenkomst welke deel uitmaakt van de

Overeenkomst.

1.2 De bepalingen uit de Overeenkomst zijn onverkort van toepassing op de Verwerkersovereenkomst. Voor zover er in de Overeenkomst bepalingen omtrent de verwerking van persoonsgegevens zijn opgenomen, prevaleren de bepalingen uit deze Verwerkersovereenkomst.

Artikel 2 Verwerkingsverantwoordelijke voor en Verwerker van de gegevens

2.1 Verwerker verbindt zich in het kader van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens te Verwerken. Een overzicht van het soort Persoonsgegevens, de categorieën van betrokkenen en de doelen waarvoor de Verwerking van Persoonsgegevens plaatsvindt, is opgenomen in Annex 1.

2.2 Verwerkingsverantwoordelijke is aansprakelijk voor de Verwerking van Persoonsgegevens in het kader van de Overeenkomst en garandeert dat de opdracht tot Verwerking van die Persoonsgegevens in overeenstemming is met alle toepasselijke wet- en regelgeving. Verwerkingsverantwoordelijke vrijwaart Verwerker tegen alle aanspraken van derden, in het bijzonder van de toezichthouder, welke op enigerlei wijze voortvloeien uit het niet naleven van deze garantie.

2.3 Verwerker verbindt zich uitsluitend Persoonsgegevens te Verwerken ten behoeve van de in deze Verwerkersovereenkomst en/of de Overeenkomst genoemde activiteiten. Verwerker garandeert dat zij, zonder uitdrukkelijke en schriftelijke toestemming van Verwerkingsverantwoordelijke, geen gebruik zal maken van de Persoonsgegevens die in het kader van deze Verwerkersovereenkomst worden Verwerkt, tenzij een op de Verwerker van toepassing zijnde wettelijke bepaling hem tot verwerking verplicht. In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke, voorafgaand aan de Verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

Artikel 3 Technische en organisatorische voorzieningen

3.1 Verwerker zal Verwerkingsverantwoordelijke, rekening houdend met de aard van de verwerking en voor zover redelijkerwijs mogelijk, bijstand verlenen bij het doen nakomen van diens plicht onder de AVG om passende technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. Deze maatregelen zullen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen, gelet op de risico’s die de Verwerking en de aard van de te beschermen gegevens met zich meebrengen. Verwerker zal in ieder geval maatregelen nemen om Persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk hetzij onrechtmatig, tegen toevallig en opzettelijk verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel tegen enige andere vorm van onrechtmatige Verwerking.

3.2 De door Verwerker genomen technische en organisatorische maatregelen staan beschreven in Annex 2. Verwerkingsverantwoordelijke erkent kennis te hebben genomen van de betreffende maatregelen en door ondertekening van deze Verwerkersovereenkomst gaat Verwerkingsverantwoordelijke akkoord met de door Verwerker genomen maatregelen.

Artikel 4 Vertrouwelijkheid

4.1 Verwerker zal al haar medewerkers en andere (hulp)personen die door Xxxxxxxxx onder diens verantwoordelijkheid worden ingeschakeld en die betrokken zijn bij de uitvoering van de Overeenkomst, een geheimhoudingsverklaring – al dan niet opgenomen in de arbeidsovereenkomst met die personen – laten tekenen waarin in ieder geval is opgenomen dat deze personen geheimhouding moeten betrachten ten aanzien van de Persoonsgegevens.

Artikel 5 Gegevensverwerking buiten de Europese Economische Ruimte

5.1 Het overbrengen van Persoonsgegevens door Verwerker buiten de Europese Economische Ruimte is alleen toegestaan met inachtneming van de daarvoor geldende wettelijke verplichtingen.

Artikel 6 Derden en onderaannemers

6.1 Het is Verwerker toegestaan om in het kader van deze Verwerkersovereenkomst en de Overeenkomst gebruik te maken Sub Verwerkers, zoals opgenomen in Annex 3. Indien Verwerker een andere Sub Verwerker wenst in te schakelen, zal Verwerker de Verwerkingsverantwoordelijke inlichten over de beoogde veranderingen. Verwerkingsverantwoordelijke dient binnen 7 werkdagen bezwaar te maken tegen deze veranderingen. Verwerker zal binnen 14 werkdagen reageren op het bezwaar van Verwerkingsverantwoordelijke.

6.2 Verwerker verplicht iedere Sub Verwerker contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na te leven met betrekking tot de Verwerking van Persoonsgegevens welke verplichtingen en maatregelen minimaal dienen te voldoen aan het bepaalde in deze Verwerkersovereenkomst.

Artikel 7 Aansprakelijkheid

7.1 Ten aanzien van de aansprakelijkheid van Verwerker onder de Verwerkersovereenkomst alsmede ten aanzien van de in de Verwerkersovereenkomst opgenomen vrijwaringsverplichtingen voor Verwerker, geldt onverkort de in de Overeenkomst opgenomen regeling inzake de beperking van aansprakelijkheid.

7.2 Onverminderd artikel 7.1 van deze Verwerkersovereenkomst, is Verwerker slechts aansprakelijk voor de schade die door Verwerking is veroorzaakt wanneer bij deze Verwerking niet is voldaan aan specifiek tot Verwerker gerichte verplichtingen van de AVG of indien in strijd met de rechtmatige instructies van Verwerkingsverantwoordelijke is gehandeld.

Artikel 8 Incidenten

8.1 Indien Verwerker kennis krijgt van een incident dat een (wezenlijke) impact kan hebben op de beveiliging van Persoonsgegevens, zal zij i) Verwerkingsverantwoordelijke daarvan zonder onredelijke vertraging op de hoogte stellen en ii) alle redelijke maatregelen nemen om (verdere) schending van de AVG te voorkomen of te beperken.

8.2 Verwerker zal, voor zover redelijk, haar medewerking verlenen aan Verwerkingsverantwoordelijke en Verwerkingsverantwoordelijke ondersteunen in het uitvoeren van haar wettelijke verplichtingen ten aanzien van het geconstateerde incident.

8.3 Verwerker zal, voor zover redelijk, Verwerkingsverantwoordelijke ondersteunen bij de op Verwerkingsverantwoordelijke rustende meldplicht ten aanzien van de inbreuk in verband met Persoonsgegevens bij de Autoriteit Persoonsgegevens (“AP”) en/of de betrokkene, zoals bedoeld in artikel 33, lid 3 en 34, lid 1 AVG. Verwerker is nimmer gehouden tot het zelfstandig verrichten van een melding van een inbreuk in verband met Persoonsgegevens bij de AP en/of de betrokkene.

8.4 Verwerker is nimmer aansprakelijk voor de (correcte en/of tijdige uitvoering van de) op Verwerkingsverantwoordelijke rustende meldplicht zoals bedoeld in artikel 33 en 34 AVG.

Artikel 9 Bijstand aan Verwerkingsverantwoordelijke

9.1. Verwerker zal Verwerkingsverantwoordelijke, voor zover redelijkerwijs mogelijk, bijstand verlenen bij het vervullen van diens plicht onder de AVG om verzoeken om uitoefening van de rechten van een betrokkene te beantwoorden, in het bijzonder het recht op inzage (art. 15 AVG), rectificatie (art. 16 AVG), gegevenswissing (art. 17 AVG), beperking (art. 18 AVG), overdraagbaarheid (art. 20 AVG) en het recht van bezwaar (art. 21 en 22 AVG). Verwerker zal een klacht of een verzoek van een betrokkene met betrekking tot de Verwerking van Persoonsgegevens zo snel mogelijk doorsturen naar de Verwerkingsverantwoordelijke, die verantwoordelijk is voor de afhandeling van het verzoek. Verwerker is gerechtigd de eventuele kosten die gemoeid zijn met de medewerking, in rekening te brengen bij Verwerkingsverantwoordelijke.

9.2. Verwerker zal Verwerkingsverantwoordelijke, voor zover redelijkerwijs mogelijk, bijstand verlenen bij het doen nakomen van diens plicht onder de AVG om een gegevensbeschermingseffectbeoordeling (art. 35 en 36 AVG) uit te voeren.

9.3. Verwerker zal de Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die redelijkerwijs nodig is om aan te tonen dat Verwerker voldoet aan haar verplichtingen onder de AVG. Voorts zal Verwerker op verzoek van Verwerkingsverantwoordelijke audits, waaronder inspecties, door Verwerkingsverantwoordelijke of een door Verwerkingsverantwoordelijke gemachtigde controleur mogelijk maken en eraan bijdragen. Indien de Verwerker van mening is dat een instructie in verband met het bepaalde in dit artikellid een inbreuk oplevert op de AVG of op andere op haar van toepassing zijnde

privacywetgeving, stelt de Verwerker de Verwerkingsverantwoordelijke daarvan onmiddellijk in kennis.

9.4. Verwerker is gerechtigd de eventuele kosten die met het bepaalde uit artikel 9.3 gemoeid zijn, in rekening te brengen bij Verwerkingsverantwoordelijke.

Artikel 10 Beëindiging & Varia

10.1 Ten aanzien van opzegging en/of ontbinding van deze Verwerkersovereenkomst, gelden de specifieke bepalingen uit de Overeenkomst. Onverminderd de specifieke bepalingen uit de Overeenkomst, zal de Verwerker op eerste verzoek van de Verwerkingsverantwoordelijke alle Persoonsgegevens wissen of deze aan hem terugbezorgen, en bestaande kopieën verwijderen, tenzij Verwerker wettelijk verplicht is (delen van) de Persoonsgegevens op te blijven slaan.

10.2 Verwerkingsverantwoordelijke zal Verwerker adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens voor Verwerker.

10.3 De verplichtingen uit deze Verwerkersovereenkomst die naar hun aard bestemd zijn om beëindiging te overleven, blijven ook na beëindiging van deze Verwerkersovereenkomst van kracht.

10.4 De rechtskeuze en bevoegde rechter komen overeen met het bepaalde te dien aanzien in de Overeenkomst.

ANNEX 1 OVERZICHT PERSOONSGEGEVENS

Soort Persoonsgegevens:

- Administratieve gegevens die Verwerkingsverantwoordelijke over een cliënt invoert, zoals NAW-gegevens, geboortedatum, geboorteplaats, e-mailadres, geslacht, de zorgverzekeraar van een cliënt, het polisnummer, en alle overige Persoonsgegevens die Verwerkingsverantwoordelijke invoert in de EviCare Software over cliënten in het kader van de administratie;

- Financiële gegevens die Verwerkingsverantwoordelijke over een cliënt invoert of door middel van de EviCare Software genereert, zoals bankrekeningnummer, betalingsdata, facturaties, bedragen waarvoor behandelingen zijn gevolgd en alle overige Persoonsgegevens die Verwerkingsverantwoordelijke invoert in- en/of genereert met de EviCare Software over cliënten in het kader van de financiële afhandeling;

- Gezondheidsgegevens en behandelgegevens, zoals de behandelingen die een cliënt bij Verwerkingsverantwoordelijke heeft gevolgd, welke medewerker van Verwerkingsverantwoordelijke de behandeling heeft uitgevoerd, de symptomen van een cliënt, geboekte resultaten en alle overige Persoonsgegevens die Verwerkingsverantwoordelijke invoert in de EviCare Software over cliënten in het kader van behandeling;

- IP-adres en bezoekgedrag van (medewerkers van) Verwerkingsverantwoordelijke, waaronder wanneer (een medewerker van) Verwerkingsverantwoordelijke voor het laatst heeft ingelogd;

- Alle overige gegevens die Verwerkingsverantwoordelijk wenst in te voeren in de EviCare Software in de het kader van de hierna genoemde doeleinden.

Categorieën van betrokkenen:

- Cliënten van Verwerkingsverantwoordelijke;

- Verwerkingsverantwoordelijke en/of medewerkers van Verwerkingsverantwoordelijke of andere (hulp)personen die onder diens verantwoordelijkheid vallen.

Doelen waarvoor de verwerking van Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke plaatsvindt:

- Het voeren van een consult administratie;

- Het technisch onderhouden en beveiligen van de EviCare Software;

- Het verwerken van behandelresultaten ten einde de effectiviteit van behandelingen te meten en daarover rapportages op te stellen;

- Het bieden van de mogelijkheid om Persoonsgegevens te exporteren vanuit de EviCare Software, opdat Verwerkingsverantwoordelijke bijvoorbeeld nieuwsbrieven kan versturen aan cliënten;

- Het factureren van kosten voor behandelingen bij cliënten van Verwerkingsverantwoordelijke;

- Het zenden van bevestigings- en herinneringse-mails aan cliënten van Verwerkingsverantwoordelijke;

- Het opstellen van intake- en klachtenlijsten;

- Het anonimiseren van Persoonsgegevens zodat deze op geen enkele wijze zijn terug te herleiden naar een natuurlijke persoon, opdat deze kunnen worden gebruikt voor onderzoeksdoeleinden.

ANNEX 2 SPECIFICATIE VAN BEVEILIGING

In het kader van de beveiliging heeft Verwerker o.a. de volgende maatregelen genomen:

a) De opslag van de gegevens voldoet aan de AVG wetgeving

b) De toegang tot gegevens is beperkt tot de gegevens die medewerkers nodig hebben om hun functie uit te oefenen en deze medewerkers hebben een geheimhoudingsverklaring (arbeidsovereenkomst) getekend. Met subverwerkers is een aparte Verwerkersovereenkomst getekend, inclusief geheimhoudingsverklaring, welke voldoet aan de met u gemaakte afspraken uit de overeenkomst.

c) Persoonsgegevens worden versleuteld en geanonimiseerd;

d) Er wordt gebruik gemaakt van een beveiligde VPN verbinding met Secure Socked Layer

e) Er wordt gebruik gemaakt van servers met de juiste certificaten zoals ISO 27001:2013, de ISO 14001:2015, de ISO 9001:2015 en de NEN 7510

f) Bij het versturen van het dossier naar cliënten wordt gebruik gemaakt van een beveiligd mail welke voldoet aan de wettelijke richtlijnen zoals XXX, XXX 0000 en WvGGZ. Bovendien is deze beveiligde verbinding ISO27001:2017 en NEN 7510:2017 gecertificeerd door XxX.

g) Toegang tot gegevens kan alleen plaatsvinden via een twee-staps-verificatie;

h) Iedere 24 uur wordt er een back up gemaakt.

ANNEX 3: SPECIFICATIE SUB-VERWERKERS

Voor het onderhouden, hosten, de maandelijkse betaling, effectiviteitsonderzoek etc. maakt Verwerker gebruik van derden. Met deze partijen hebben wij een verwerkersovereenkomst afgesloten, welke voldoet aan de gemaakte afspraken in de verwerkersovereenkomst met u. Zij krijgen alleen inzage in gegevens die zij nodig hebben m.b.t. de functie waarvoor Verwerker hun inschakelt. Voor (wetenschappelijk) onderzoek met derden worden alleen versleutelde en geanonimiseerde data gebruikt en nimmer data die terug te herleiden zijn naar Verwerkersverantwoordelijke of diens cliënten. Voor het technisch onderhoud en het hosten van EviCare maakt verwerker gebruik van Appelit BV. De afhandelingen van uw lidmaatschap wordt afgehandeld door het betalingssysteem van E curring. Indien u kiest voor de koppeling met e-Boekhouden zullen bepaalde gegevens gedeeld worden met e-Boekhouden.