Verwerkersovereenkomst De ondergetekenden:
Verwerkersovereenkomst De ondergetekenden:
Masters at Work, Xxxxxxx Xxxxxx, gevestigd en kantoorhoudende te Amsterdam aan de Borgerstraat 102, ingeschreven in het Handelsregister van de Kamer van Koophandel onder nummer 34335678 (hierna: de “Therapeut”), te dezen rechtsgeldig vertegenwoordigd door Xxxxxxx Xxxxxx;
En Icloud, gevestigd en kantoorhoudende te Amsterdam, ingeschreven in het Handelsregister van de Kamer van Koophandel onder nummer <onbekend> (hierna: de “Verwerker”), te dezen rechtsgeldig vertegenwoordigd door Xxxxxx;
De Therapeut en de Verwerker worden hierna gezamenlijk ook wel aangeduid als “Partijen” en
ieder afzonderlijk als “Partij”,
Overwegende dat:
De Therapeut persoonsgegevens bijhoudt van de cliënten in een cliëntendossier om de voortgang van de begeleiding c.q. behandeling vast te leggen conform de vereisten in de WGBO en de beroepscode van de beroepsvereniging en de RBCZ;
Beide Partijen op de hoogte zijn van de Algemene Verordening Gegevensbescherming en dat zij zich gezamenlijk zullen inspannen om aan alle wettelijke vereisten te voldoen; en
Deze Verwerkersovereenkomst onlosmakelijk verbonden is met de Overeenkomst.
Zijn overeengekomen als volgt: Definities en algemene bepalingen
In deze Verwerkersovereenkomst hebben de navolgende begrippen geschreven met een hoofdletter de betekenis als hieronder gespecificeerd:
Artikel | een artikel van deze Verwerkersovereenkomst; |
AVG | Algemene Verordening Gegevensbescherming; |
Betrokkene | de natuurlijke persoon op wie de Persoonsgegevens die worden verwerkt betrekking hebben; |
Datalek | een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens; |
Overeenkomst | heeft de betekenis die daaraan is toegekend in overweging 0; |
Partij(en) | heeft de daaraan hiervoor toegekende betekenis; |
Persoonsgegevens | alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon als bedoeld in de AVG die op welke wijze dan ook verwerkt wordt door de Verwerker in het kader van de Overeenkomst, waaronder, maar niet beperkt tot, de in Artikel 0 genoemde gegevens; |
PIA | Gegevensbescherming effectbeoordeling (privacy impact assessment) als bedoeld in artikel 35 AVG; |
deze verwerkersovereenkomst tussen Partijen; | |
Verwerking | elke handeling of geheel van handeling met betrekking tot de Persoonsgegevens, waaronder maar niet beperkt tot het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen; |
Verwerkingsdoeleinde(n) | heeft de betekenis die daaraan is toegekend in Artikel 0; |
Verwerkingsgrond(en) | heeft de betekenis die daaraan is toegekend in Artikel 0; en |
Verwerkingsregister | een register van verwerkingsactiviteiten als bedoeld in artikel 30 AVG. |
Verwerking Persoonsgegevens
In het kader van de uitvoering van de Overeenkomst, zal de Verwerker toegang hebben tot Persoonsgegevens van cliënten van de Therapeut. De Persoonsgegevens zijn en blijven eigendom van de Therapeut dan wel diens cliënten en de Verwerker heeft slechts toegang tot de Persoonsgegevens indien en voor zover dit noodzakelijk is op grond van de Overeenkomst. De Verwerker zal de Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de Therapeut dan wel in deze Verwerkersovereenkomst overeengekomen afspraken.
De Verwerker zal bij de Verwerking van Persoonsgegevens te allen tijde handelen in overeenstemming met de van tijd tot tijd toepasselijke wet- en regelgeving.
Doorgifte door de Verwerker van de Persoonsgegevens naar landen buiten de Europese Unie is onder deze Verwerkersovereenkomst uitdrukkelijk niet toegestaan.
Xxxxxxx at Work hanteert in beginsel de volgende bewaartermijnen:
• Medische gegevens: ten minste 15 jaar na het einde van de behandelovereenkomst;
• (financieel-)administratieve gegevens: 7 jaar na vastlegging van de gegevens;
• gegevens van medewerkers en zzp’ers, xxxxxx xxx (financieel-)administratieve gegevens: 5 jaar na uitdiensttreding respectievelijk na het einde van de overeenkomst van opdracht.
Geen functionaris voor de gegevensbescherming
Een verwerkingsverantwoordelijke dient een functionaris voor de gegevensbescherming (FG) aan te wijzen, onder meer in geval deze hoofdzakelijk is belast met grootschalige verwerking van bijzondere persoonsgegevens (zoals medische gegevens). ‘Hoofdzakelijk belast’ heeft betrekking op de kernactiviteiten van de verwerkingsverantwoordelijke. De Artikel 29- werkgroep definieert kernactiviteiten als processen die essentieel zijn om de doelen van de organisatie te bereiken, of die tot de hoofdtaken van de organisatie horen.
Masters at Work heeft geen FG aangesteld aangezien geen sprake is van een grootschalige verwerking van bijzondere persoonsgegevens.
Verwerkingsdoeleinden
De doelen van de gegevensverwerking zijn gelegen in het voeren van de financiële administratie en verwerken van Begeleidingsovereenkomsten, Eindevaluaties en Offertes en bestaan uit (de “Verwerkingsdoeleinden”):
(a) [ doel]
(b) [ doel];
(c) [ doel]; en
(d) [ doel].
De Verwerker zal bij de Verwerking van de Persoonsgegevens ervoor zorgen dat in beginsel alleen Persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek Verwerkingsdoeleinde.
Verwerkingsgronden
De Verwerker zal de Persoonsgegevens uitsluitend verwerken op basis van één van de volgende
wettelijke gronden (de: “Verwerkingsgronden”):
(e) verwerkingsgrond
(f) verwerkingsgrond
(g) verwerkingsgrond
Persoonsgegevens
Beveiligingsmaatregelen
De Verwerker is verplicht passende technische en organisatorische maatregelen te nemen ter bescherming van de Persoonsgegevens tegen ongeoorloofde of onrechtmatige Verwerking en
tegen onbedoeld verlies, vernietiging, beschadiging, wijziging of openbaarmaking, met inbegrip van maar niet beperkt tot:
(h) de Persoonsgegevens worden opgeslagen op locaties die zowel fysiek als technisch beveiligd zijn;
(i) draagbare apparatuur waarop Persoonsgegevens zijn opgeslagen wordt niet onbeheerd achtergelaten;
(j) personeel gebruikt passende veilige wachtwoorden voor aanmelding in systemen of databases met Persoonsgegevens en de wachtwoorden worden regelmatig gewijzigd;
(k) de toegang tot Persoonsgegevens is beperkt tot uitsluitend die personen voor wie toegang noodzakelijk is in verband met de Verwerkingsdoeleinden;
(l) er worden regelmatig dreigingsanalyses of penetratietesten uitgevoerd op de systemen;
(m) en al het personeel is op de hoogte van hun verantwoordelijkheden met betrekking tot de verwerking van persoonsgegevens, waaronder maar niet beperkt tot de verplichting om een (mogelijk) Datalek zo snel mogelijk aan de directie of een daartoe aangewezen verantwoordelijke te melden.
2.
PIA en Verwerkingsregister
De Verwerker informeert de Therapeut of en wanneer zij een PIA uitvoert en brengt de Therapeut onverwijld schriftelijk op de hoogte van de uitkomst daarvan. De Verwerker is verplicht op het eerste verzoek van de Therapeut een PIA uit te voeren.
De Verwerker houdt een Verwerkingsregister bij en is verplicht de Therapeut op het eerste verzoek inzage te verschaffen in dat Verwerkingsregister.
Datalekken
De Verwerker verplicht zich om zo spoedig mogelijk, doch uiterlijk binnen 24 uur, na het plaatsvinden of – indien dat niet langer mogelijk is – na de eerste ontdekking van een (vermoedelijk) Datalek of ander beveiligingsincident de Therapeut daarvan in kennis te stellen, onverminderd de verplichting om alle redelijkerwijs benodigde maatregelen te treffen om (verdere) onbevoegde kennisneming, wijziging, verstrekking of anderszins onrechtmatige verwerking te voorkomen of te beperken en een schending van de beveiligingsmaatregelen of de geheimhoudingsplicht of verder verlies van Persoonsgegevens te beëindigen en in de toekomst te voorkomen.
De Verwerker zal de Therapeut op het eerste verzoek alle inlichtingen verschaffen die de Therapeut noodzakelijk acht om het (vermoedelijke) Datalek of andere beveiligingsincident te kunnen beoordelen en zal meewerken aan het informeren door de Therapeut van de bevoegde autoriteit(en) en – indien van toepassing – de Betrokkene(n). De Verwerker zal niet zelfstandig bij de bevoegde autoriteit(en) of de Betrokkene(n) melding maken van een (vermoedelijk) Datalek, anders dan na voorafgaande schriftelijke toestemming van de Therapeut.
De Verwerker beschikt over een gedegen plan van aanpak betreffende de omgang met en afhandeling van Datalekken en andere beveiligingsincidenten en houdt een gedetailleerd logboek bij van alle (vermoedens van) beveiligingsincidenten en de maatregelen die naar
aanleiding daarvan zijn genomen. De Verwerker is verplicht de Therapeut op het eerste verzoek inzage te verschaffen in de in de voorgaande volzin bedoelde documentatie en alle instructies van de Therapeut in dat verband zo snel en goed mogelijk op te volgen.
Rechten Betrokkenen
De Verwerker verplicht zich ertoe om de Therapeut op het eerste verzoek alle inlichtingen te verschaffen die nodig zijn voor de Therapeut om de Betrokkenen te informeren over de Verwerkingsdoeleinden en hen alle informatie te verstrekken waar zij op grond van de van tijd tot tijd geldende wet- en regelgeving recht op hebben.
Inzet van derden door de Verwerker
Het is de Verwerker niet toegestaan om zonder voorafgaande schriftelijke toestemming van de Therapeut aan derden toegang te verlenen tot de Persoonsgegevens. De Therapeut zal deze toestemming niet op onredelijke gronden onthouden. De Therapeut is gerechtigd nadere voorwaarden te verbinden aan een eventuele toestemming, die in ieder geval (maar niet uitsluitend) het volgende zullen inhouden:
(a) De Verwerker heeft een schriftelijke overeenkomst met de derde, waarin in ieder geval het volgende is opgenomen: (i) een verplichting dat de derde met betrekking tot de Verwerking van Persoonsgegevens dient te handelen in overeenstemming met alle bepalingen uit deze Verwerkersovereenkomst; (ii) een verplichting dat de derde alle aanwijzingen van de Therapeut en de Verwerker opvolgt met betrekking tot de Verwerking van Persoonsgegevens; (iii) een verplichting van de derde om de Persoonsgegevens uitsluitend in opdracht en volgens de instructies van Verwerker te verwerken; (iv) een verplichting van de derde om zelf geen sub-bewerkers in te schakelen voor de Verwerking van Persoonsgegevens, zonder voorafgaande schriftelijke toestemming van de Therapeut; en (v) een verplichting voor de derde om de Therapeut en de Verwerker in staat te stellen hun verplichtingen in het geval van een (vermoedelijk) Datalek na te komen;
(b) De Verwerker zal de derde pas toegang verlenen tot de Persoonsgegevens na de toestemming van de Therapeut; en
(c) De Therapeut is gerechtigd om de gemaakte afspraken tussen de Verwerker en de derde op te vragen.
De eventuele door de Therapeut te verlenen toestemming aan de Verwerker laat onverlet de verantwoordelijkheid en aansprakelijkheid van de Verwerker voor de nakoming van haar verplichtingen uit deze Verwerkersovereenkomst.
Aansprakelijkheid en vrijwaring
De Verwerker is volledig aansprakelijk jegens de Therapeut voor enige schade die voortvloeit uit of betrekking heeft op de uitvoering door de Verwerker van deze Verwerkersovereenkomst.
De Verwerker vrijwaart de Therapeut met betrekking tot alle vorderingen van derden die op enigerlei wijze betrekking hebben op de uitvoering door de Verwerker van deze Verwerkersovereenkomst. De Therapeut zal de Verwerker in een voorkomend geval onverwijld in kennis stellen van vorderingen van derden waartegen de Verwerker verplicht is de Therapeut te vrijwaren.
Boete
Indien de Verwerker een of meerdere van de verplichtingen ingevolge deze Verwerkersovereenkomst schendt, dan is zij gehouden tot betaling aan de Therapeut, zonder dat een ingebrekestelling is vereist, van een onmiddellijk opeisbare boete van €10.000,-- per schending, te vermeerderen met een boete van € 500,-- voor iedere dag dat de schending voortduurt, onverminderd het recht van de Therapeut om volledige schadevergoeding te vorderen en onverminderd de overige rechten die op grond van de wet aan de Therapeut toekomen. De boete wordt verbeurd vanaf de eerste dag die volgt op de dag waarop de schending zich voordeed, tot en met de dag waarop de schending eindigt.
Duur en beëindiging
Deze Verwerkersovereenkomst is onlosmakelijk verbonden met de Overeenkomst, zodat de duur van deze Verwerkersovereenkomst gelijk is aan die van de Overeenkomst (inclusief eventuele verlengingen) en deze Verwerkersovereenkomst niet afzonderlijk van de Overeenkomst kan worden beëindigd.
Bij beëindiging van de Overeenkomst om welke reden dan ook, dan wel op eerste verzoek van de Therapeut gedurende de looptijd van de Overeenkomst, zal de Verwerker ervoor zorgdragen dat – tegen een beperkte vergoeding die de door de Verwerker hiervoor redelijkerwijs en aantoonbaar gemaakte kosten niet overschrijdt – naar de keuze van de Therapeut op voor de Therapeut op eenvoudige en bruikbare wijze alle of een door de Therapeut te bepalen gedeelte van de in het kader van de Verwerkingsdoeleinden en/of de Overeenkomst aan de Verwerker ter beschikking gestelde Persoonsgegevens worden vernietigd of aan de Therapeut of een opvolgende leverancier ter beschikking worden gesteld. In geval van ter beschikking stellen van de Persoonsgegevens aan de Therapeut of een opvolgend leverancier als bedoeld in de voorgaande volzin, zal de Verwerker te allen tijde de dataportabiliteit waarborgen op zodanige wijze dat er geen sprake is van verlies van functionaliteit of (gedeelten van) gegevens.
Verplichtingen die naar hun aard en inhoud bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven onverminderd van kracht.
Overige
Overdracht
Overdracht in strijd met dit Artikel 0 is nietig.
Goede trouw
2.2 Indien zich enige aangelegenheid voordoet waarin deze Verwerkersovereenkomst niet uitdrukkelijk dan wel impliciet voorziet, verklaren Partijen dat die aangelegenheid te goeder trouw zal worden afgehandeld en opgelost met inachtneming van de redelijke belangen van Partijen.
Ongeldigheid
2.3 Indien enig deel, enige voorwaarde of enige bepaling van deze Verwerkersovereenkomst ongeldig, nietig of niet afdwingbaar wordt geoordeeld, blijven alle overige bepalingen en voorwaarden van deze Verwerkersovereenkomst onverkort van kracht en zullen deze daardoor op geen enkele wijze ongeldig worden of daardoor worden aangetast. Partijen zullen de ongeldige, nietige of niet-afdwingbare bepaling vervangen door een geldige en afdwingbare bepaling die zo veel mogelijk de in de oorspronkelijke bepaling vervatte bedoeling van Partijen weergeeft.
3.
Toepasselijk recht en geschillen
3.1 Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
3.2 Elk geschil voortvloeiende uit of verband houdende met deze Verwerkersovereenkomst zal in eerste instantie of in kort geding worden voorgelegd aan de bevoegde rechtbank in Amsterdam, Nederland.
Ondertekend in tweevoud op 25 mei 2018 te Amsterdam door:
Masters at Work
Xxxxxxx Xxxxxx directeur