Verwerkersovereenkomst
Verwerkersovereenkomst
De ondergetekenden:
……………………………………………………., gevestigd aan ,
……….…….. te en ingeschreven in het register van de Kamer van
Koophandel onder nummer hierna te noemen: “Opdrachtgever” /
Verwerkingsverantwoordelijke en
MedITall B.V., gevestigd aan Xxxxxxxxxxxxxx 00, 0000 XX xx Xxxxxxx en ingeschreven in het register van de Kamer van Koophandel onder nummer 71407774, hierna te noemen
“Opdrachtnemer” / Verwerker
Hierna gezamenlijk ook aan te duiden als: “Partijen” en afzonderlijk als “Partij”.
Overwegende dat
(a) Opdrachtnemer diensten verricht ten behoeve van Opdrachtgever, zoals beschreven in de Samenwerkingsdocument.
(b) Opdrachtnemer zal bij het uitvoeren van diensten gegevens verwerken waarvoor Opdrachtgever verantwoordelijk blijft. Opdrachtnemer verwerkt gegevens louter in opdracht van Opdrachtgever en niet voor eigen doeleinden. Op deze gegevensverwerking zijn de bepalingen van toepassing uit de Algemene Verordening Gegevensbescherming (EU 2016/679), hierna de “AVG”.
(c) Partijen wensen middels deze overeenkomst, hierna te noemen: de
“Verwerkersovereenkomst”, afspraken met betrekking tot de verwerking van persoonsgegevens in het kader van de te verlenen diensten vast te leggen conform artikel 28 lid 3 AVG;
(d) Voor zover van toepassing, vervangt deze Verwerkersovereenkomst de eerdere overeenkomst(-en) van gelijke strekking die tussen Partijen zijn gesloten.
Verklaren te zijn overeengekomen als volgt:
Artikel 1. Definities
Voor zover begrippen met een hoofdletter niet afzonderlijk gedefinieerd zijn in deze Verwerkersovereenkomst, gelden de definities zoals genoemd in de Hoofdovereenkomst, welke overeenkomst onder overweging (a) nader is benoemd. Begrippen uit de Algemene Verordening Gegevensbescherming (AVG), zoals “verwerken”,
“persoonsgegevens”, “verwerkingsverantwoordelijke” en “verwerker” hebben de betekenis die daaraan is gegeven in de AVG.
Artikel 2. Onderwerp van deze Verwerkersovereenkomst
Opdrachtnemer kan gedurende de uitvoering van de in artikel 1 van deze Verwerkersovereenkomst genoemde Hoofdovereenkomst ten behoeve van Opdrachtgever en ter voldoening aan enige wettelijke verplichting persoonsgegevens verwerken. Een overzicht van de categorieën Persoonsgegevens en de doeleinden waarvoor de persoonsgegevens ten behoeve van Opdrachtgever worden verwerkt is opgenomen in Annex 1 bij deze Verwerkersovereenkomst.
Artikel 3. Uitvoering verwerking
3.1 Opdrachtnemer zal optreden als Verwerker en Opdrachtgever als Verwerkingsverantwoordelijke in de zin van de AVG.
3.2 Opdrachtnemer garandeert dat hij ten behoeve van Opdrachtgever uitsluitend persoonsgegevens zal verwerken voor zover dit noodzakelijk is voor de uitvoering van de onder de in artikel 1 van deze Verwerkersovereenkomst genoemde Hoofdovereenkomst. Overige verwerkingen zullen uitsluitend worden uitgevoerd in expliciete opdracht van Opdrachtgever of als daartoe een wettelijke verplichting bestaat na informeren van en onder verantwoordelijkheid van Opdrachtgever. In geen geval zal Opdrachtnemer persoonsgegevens verwerken voor eigen doeleinden.
3.3 Opdrachtnemer zal alle redelijke verzoeken en/of instructies van Opdrachtgever in verband met de verwerking van de persoonsgegevens opvolgen. Opdrachtnemer stelt Opdrachtgever onmiddellijk op de hoogte indien naar zijn oordeel verzoeken of instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van persoonsgegevens.
3.4 Opdrachtnemer zal de persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze en in overeenstemming met de op hem als Verwerker op grond van de AVG en overige wetgeving rustende verplichtingen verwerken. Indien er sprake is van het verwerken van bijzondere persoonsgegevens volgens artikel 9 AVG zal Opdrachtnemer zich tevens houden aan de bepalingen van boek 7, titel 7, afdeling 5 BW (de Wet geneeskundige behandelingsovereenkomst, Wgbo) indien deze van toepassing zijn op Opdrachtgever. Partijen sluiten de Hoofdovereenkomst om de expertise die Opdrachtnemer heeft als het gaat om het beveiligen en het verwerken van Persoonsgegevens te gebruiken voor de doeleinden die uiteengezet zijn in Annex 1 bij deze Verwerkersovereenkomst. Opdrachtnemer is gehouden om, met inachtneming van hetgeen in deze Verwerkersovereenkomst is bepaald, naar eigen inzicht de middelen aan te wenden die hij noodzakelijk acht om die doeleinden na te streven.
3.5 Opdrachtnemer zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Opdrachtgever, geen persoonsgegevens verwerken of laten verwerken door hemzelf of door derden in landen buiten de Europese Economische Ruimte (“EER”) zonder een passend beschermingsniveau. Opdrachtnemer stelt de in Annex 4 genoemde medewerker van Opdrachtgever onmiddellijk schriftelijk op de hoogte van alle (geplande) permanente of tijdelijke doorgiftes van persoonsgegevens naar een land buiten de Europese Economische Ruimte en zal pas uitvoering geven aan dergelijke (geplande) doorgiftes na schriftelijke toestemming van Opdrachtgever. Opdrachtgever kan na overleg met Opdrachtnemer aanvullende voorwaarden verbinden aan haar toestemming voor een dergelijke verwerking.
3.6 Onverminderd enige andere contractuele geheimhoudingsverplichting die op Opdrachtnemer rust, garandeert Opdrachtnemer dat hij alle persoonsgegevens als strikt vertrouwelijk zal behandelen en dat hij al zijn werknemers, vertegenwoordigers en/of onderaannemers (‘sub-verwerkers’) die betrokken zijn bij de verwerking van persoonsgegevens ook van deze geheimhoudingsverplichting op de hoogte zal stellen.
3.7 Opdrachtnemer zal, binnen zijn invloedsfeer, zijn volledige en tijdige medewerking verlenen aan Opdrachtgever om:
a. Na goedkeuring van en in opdracht van Opdrachtgever betrokkenen toegang te laten krijgen tot de hun betreffende persoonsgegevens;
b. Persoonsgegevens te verwijderen of te corrigeren;
c. Aan te tonen dat persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect zijn (of, ingeval Opdrachtgever het er niet mee eens is dat persoonsgegevens incorrect zijn, het feit vast te leggen dat de betrokkene zijn persoonsgegevens als incorrect beschouwt);
d. De betreffende persoonsgegevens aan Opdrachtgever dan wel aan een door de Opdrachtgever aangewezen derde te verstrekken in een gestructureerde, gangbare en machine-leesbare vorm voor zover Opdrachtnemer zelf bestanden heeft aangelegd waarin persoonsgegevens zijn verzameld en ingeval van het verstrekken aan een door de Opdrachtgever aangewezen derde een betrokkene van de betreffende verwerking betreft voor zover de gegevens volledig onder controle van deze betrokkene blijven staan en alleen voor persoonlijke en huishoudelijke doeleinden gebruikt worden.;
e. Opdrachtgever anderszins in de gelegenheid te stellen om aan zijn verplichtingen onder de AVG of andere toepasselijke wetgeving op het gebied van verwerking van persoonsgegevens te voldoen.
3.8 Opdrachtnemer zal de persoonsgegevens betreffende Opdrachtgever strikt gescheiden opslaan en verwerken van de persoonsgegevens die hij voor zichzelf of namens derde partijen verwerkt.
Artikel 4. Beveiliging persoonsgegevens & controle
4.1 Opdrachtnemer zal passende technische en organisatorische beveiligingsmaatregelen nemen, die op grond van de AVG, waaronder in ieder geval artikel 32 AVG, vereist zijn.
4.2 Opdrachtnemer heeft te allen tijde een passend, geschreven beveiligingsbeleid conform ISO27001 en/of NEN7510 geïmplementeerd voor de verwerking van persoonsgegevens. Een beschrijving van de beveiligingsmaatregelen en gehanteerde normen is opgenomen in Annex 2 bij deze Verwerkersovereenkomst.
4.3 Opdrachtgever heeft het recht toe te laten zien op de naleving van de hiervoor onder
4.1 en 4.2 genoemde maatregelen door een onafhankelijke, deskundige derde partij. Opdrachtnemer stelt Opdrachtgever, indien Opdrachtgever daarom verzoekt, hiertoe in elk geval eenmaal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip en verder indien Opdrachtgever daar aanleiding toe ziet naar aanleiding van (vermoeden van) informatie- of privacy-incidenten, zulks te laten controleren door een onafhankelijke, deskundige derde partij. Opdrachtnemer zal eventuele door Opdrachtgever naar aanleiding van een dergelijke controle in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.
4.4 Opdrachtnemer zal in alle redelijkheid aan het onder 4.3 hiervoor bedoelde onderzoek haar medewerking verlenen.
4.5 Kosten voortvloeiende uit een onderzoek als bedoeld onder 4.3 zijn voor rekening van Opdrachtgever, daaronder uitdrukkelijk niet inbegrepen is een vergoeding voor de tijd die Opdrachtnemer moet inzetten voor het uitvoeren van dit onderzoek. Voor zover uit het onderzoek naar voren komt dat Opdrachtnemer aanpassingen zal moeten doen die noodzakelijk zijn voor de naleving van de verplichtingen uit deze Verwerkersovereenkomst, komen de daarmee gepaard gaande kosten voor rekening van Opdrachtnemer.
4.6 Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Opdrachtnemer zal daarom de maatregelen zoals geïmplementeerd op basis van dit artikel 4 voortdurend evalueren en verscherpen, aanvullen of verbeteren om te blijven voldoen aan zijn verplichtingen onder dit artikel.
Artikel 5. Monitoring beveiliging en afspraken bij datalekken
5.1 Opdrachtnemer zal actief monitoren op inbreuken op de beveiligingsmaatregelen en over de resultaten van de monitoring, voor zover relevant voor Verwerkingsverantwoordelijke, in overeenstemming met dit artikel 5 rapporteren aan Opdrachtgever, voor zover relevant voor Opdrachtgever.
5.2 Zodra zich een incident met betrekking tot de verwerking van de persoonsgegevens voordoet, heeft voorgedaan of zou kunnen voordoen, is Opdrachtnemer verplicht Opdrachtgever daarvan onverwijld, doch binnen 24 uur na ontdekking, in kennis te stellen en daarbij alle relevante informatie te verstrekken om aan de verplichtingen uit artikel 33 AVG te kunnen voldoen, waaronder in ieder geval:
a. De aard van het incident;
b. Het risico dat gegevens onrechtmatig verwerkt zijn of kunnen worden;
c. De (mogelijk) getroffen gegevens en tot welke categorie die gegevens behoren;
d. Bij benadering het aantal getroffen betrokkenen;
e. De naam en de contactgegevens van de functionaris gegevensbescherming van Opdrachtnemer of een ander contactpunt waar meer informatie kan worden verkregen;
f. De geconstateerde en vermoedelijke gevolgen van het incident;
g. De maatregelen die getroffen zijn of zullen worden om het incident op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken;
5.3 Opdrachtnemer is, onverminderd de overige verplichtingen uit dit artikel, verplicht om de eventuele negatieve gevolgen die voortvloeien uit een incident zo snel mogelijk ongedaan te maken dan wel de verdere gevolgen te minimaliseren. Opdrachtnemer en Opdrachtgever treden hierover met elkaar in overleg om nadere afspraken te maken.
5.4 Opdrachtnemer zal Opdrachtgever te allen tijde haar medewerking verlenen en zal de instructies van Opdrachtgever opvolgen, met als doel Opdrachtgever in staat te stellen een deugdelijk onderzoek te verrichten naar het incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het incident, waaronder begrepen het informeren van de Autoriteit persoonsgegevens (AP) en/of de betrokkene zoals bepaald in artikel 5.8.
5.5 Onder “incident” wordt in elk geval het volgende verstaan:
a. Een klacht of (informatie)verzoek van een natuurlijk persoon via Opdrachtgever, met betrekking tot de verwerking van persoonsgegevens door Opdrachtnemer;
b. Een onderzoek naar of beslaglegging door overheidsfunctionarissen op de persoonsgegevens of een vermoeden dat dit gaat plaatsvinden;
c. Iedere ongeautoriseerde toegang, verwerking, verwijdering, verminking, verlies of enige vorm van onrechtmatige verwerking van de persoonsgegevens;
d. Een inbreuk op de beveiliging en/of de vertrouwelijkheid, zoals uiteengezet in artikel 3 en 4 van deze Verwerkersovereenkomst, althans ieder ander incident, die/dat leidt (of mogelijk leidt) tot onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, onbevoegde openbaarmaking van – of toegang tot – de persoonsgegevens, of enige aanwijzing dat een dergelijke inbreuk zal plaatsvinden of heeft plaatsgevonden.
5.6 Opdrachtnemer zal te allen tijde geschreven procedures voorhanden hebben die hem in staat stellen om Opdrachtgever van een onmiddellijke reactie over een incident te voorzien, en om effectief samen te werken met Opdrachtgever om het incident af te handelen en zal Opdrachtgever voorzien van een exemplaar van dergelijke procedures indien Opdrachtgever daarom verzoekt.
5.7 Meldingen die worden gedaan op grond van dit artikel worden onverwijld gericht aan de in Annex 4 opgenomen werknemer van Opdrachtgever of, indien relevant, aan een andere door Opdrachtgever tijdens de duur van deze Verwerkersovereenkomst schriftelijk bekendgemaakte andere werknemer van Opdrachtgever.
5.8 Opdrachtgever zal, indien naar haar oordeel noodzakelijk en zover relevant voor het betreffende incident, betrokkenen en de AP informeren over incidenten. Het is Opdrachtnemer niet toegestaan informatie te verstrekken over incidenten aan betrokkenen of andere derde partijen, behoudens voor zover Opdrachtnemer daartoe wettelijk verplicht is.
5.9 Uitsluitend indien de Opdrachtgever daarvoor uitdrukkelijke toestemming geeft, zal Opdrachtnemer de eerste melding van een incident aan de AP doen. Over deze melding en over de voortgang daarvan, houdt de Opdrachtnemer de Opdrachtgever voortdurend op te hoogte.
Artikel 6. Inschakeling onderaannemers (‘sub-verwerkers’)
6.1 Opdrachtnemer zal zijn activiteiten die (deels) bestaan uit het verwerken van persoonsgegevens of vereisen dat persoonsgegevens verwerkt worden niet uitbesteden aan een derde partij (‘sub-verwerker’) zonder voorafgaande schriftelijke toestemming van Opdrachtgever.
6.2 Opdrachtnemer zal aan de door hem ingeschakelde derde dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien en ziet toe op de naleving daarvan door de derde. De betreffende afspraken met de derde zullen schriftelijk worden vastgelegd. Opdrachtnemer zal Opdrachtgever op verzoek afschrift verstrekken van deze overeenkomst(en) voor zover relevant voor naleving van deze Verwerkersovereenkomst.
6.3 Niettegenstaande de toestemming van Opdrachtgever voor het inschakelen van een derde partij blijft Opdrachtnemer volledig aansprakelijk jegens Opdrachtgever voor de gevolgen van het uitbesteden van werkzaamheden aan een derde. De toestemming van Opdrachtgever voor het uitbesteden van werkzaamheden aan een derde partij laat onverlet dat voor de inzet van sub-verwerkers in een land buiten de Europese
Economische Ruimte zonder een passend beschermingsniveau toestemming vereist is in overeenstemming met artikel 3.5 van deze Verwerkersovereenkomst.
6.4 Opdrachtgever geeft hierbij toestemming voor het inschakelen van de in Annex 3 opgenomen sub-verwerker(s) door Opdrachtnemer. Partijen zorgen ervoor dat deze bijlage up-to-date blijft. Opdrachtnemer zal Opdrachtgever direct informeren wanneer een overeenkomst met een sub-verwerker is beëindigd.
Artikel 7. Aansprakelijkheid
7.1 Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen. De in dit artikel 7 geregelde aansprakelijkheid heeft uitsluitend betrekking op boetes en schade ten directe gevolge van een verwijtbare tekortkoming in de naleving van het bepaalde in deze Verwerkersovereenkomst. Opdrachtnemer is derhalve niet verantwoordelijk en aansprakelijk voor indirecte schade voortvloeiende uit een verwijtbare tekortkoming aan zijn zijde. Voor dergelijke tekortkomingen geldt geen beperking van aansprakelijkheid, tenzij anders schriftelijk overeengekomen.
7.2 Opdrachtnemer vrijwaart Opdrachtgever tegen claims en aanspraken van derden voor schade (beweerdelijk) veroorzaakt door wederrechtelijke verwerking van persoonsgegevens of door enige daad die in strijd is met de AVG, andere toepasselijke wettelijke bepalingen of met deze Verwerkersovereenkomst of de Hoofdovereenkomst, alsmede voor boetes opgelegd door bevoegde autoriteiten als gevolg van voornoemde daad. Het voorgaande geldt niet indien dergelijke claims het gevolg zijn van een toerekenbare tekortkoming van Opdrachtgever.
7.7 Partijen zorgen ervoor dat zij zich adequaat verzekerd hebben en houden, zodat er sprake is van een afdoende dekking van de aansprakelijkheid als genoemd in dit artikel.
Artikel 8. Duur, beëindiging en wijziging
8.1 Deze Verwerkersovereenkomst gaat in op datum van ondertekenen en de duur van deze Verwerkersovereenkomst is gelijk aan de duur van de in artikel 1 genoemde Hoofdovereenkomst.
8.2 Na ondertekening door beide Partijen zal deze Verwerkersovereenkomst onderdeel uitmaken van de Hoofdovereenkomst en zijn deze beide overeenkomsten onlosmakelijk met elkaar verbonden. Dat wil zeggen dat beëindiging van de Verwerkersovereenkomst, op welke grond dan ook (opzegging/ontbinding), tot gevolg heeft dat de Hoofdovereenkomst eveneens op dezelfde grond beëindigd wordt (en vice versa), tenzij partijen in voorkomend geval anders overeenkomen.
8.3 Opzegging van de Verwerkersovereenkomst kan alleen op schriftelijke wijze plaatsvinden.
8.4 Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van de Verwerkersovereenkomst gelden. Tot deze bepalingen behoren onder meer die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid en toepasselijk recht.
8.5 Ieder der partijen is gerechtigd, onverminderd hetgeen daartoe bepaald is in de Hoofdovereenkomst, de uitvoering van deze Verwerkersovereenkomst en de daarmee samenhangende Hoofdovereenkomst op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:
a. De andere partij wordt ontbonden of anderszins ophoudt te bestaan;
b. De andere partij aantoonbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die ernstige toerekenbare tekortkoming niet binnen redelijke en in samenspraak vastgestelde termijn is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;
c. Een partij in staat van faillissement wordt verklaard of surséance van betaling aanvraagt.
8.6 Opdrachtnemer informeert Opdrachtgever onverwijld indien de situatie dreigt te ontstaan zoals benoemd in het vorige lid van dit artikel onder (c), zodat Opdrachtgever tijdig een besluit kan nemen over het terugvorderen van persoonsgegevens.
8.7 Opdrachtgever is gerechtigd deze Verwerkersovereenkomst en de Hoofdovereenkomst per direct te ontbinden indien Opdrachtnemer te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet
en/of de rechtspraak aan de verwerking van de persoonsgegevens worden gesteld. Artikel 9.2 is van overeenkomstige toepassing.
8.8 Wijzigingen van deze Verwerkersovereenkomst zijn uitsluitend geldig indien deze tussen Partijen schriftelijk zijn overeengekomen.
8.9 Partijen zullen deze Verwerkersovereenkomst in ieder geval wijzigen indien daarvoor een aanleiding bestaat op basis van ontwikkelingen in de jurisprudentie en/of relevante wet- en regelgeving.
Artikel 9. Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
9.1 Opdrachtnemer bewaart de persoonsgegevens niet langer dan strikt noodzakelijk voor de doelen als omschreven in Annex 1 en in geen geval langer dan tot het einde van deze Verwerkersovereenkomst of, indien tussen partijen een bewaartermijn is overeengekomen, niet langer dan deze termijn.
9.2 Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Opdrachtgever zal Opdrachtnemer, naar keuze van Opdrachtgever, kosteloos de persoonsgegevens onherroepelijk vernietigen of teruggeven aan Opdrachtgever. Op verzoek van Opdrachtgever verstrekt Opdrachtnemer bewijs van het feit dat de gegevens vernietigd of verwijderd zijn. Indien teruggave, vernietiging of verwijdering niet mogelijk zijn, stelt Opdrachtnemer Opdrachtgever daarvan onmiddellijk op de hoogte. In dat geval garandeert Xxxxxxxxxxxxx dat hij de persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
9.3 Bij het einde van de Verwerkersovereenkomst zal Opdrachtnemer alle, bij haar bekende en door haar ingeschakelde derden die betrokken zijn bij het verwerken van persoonsgegevens op de hoogte stellen van de beëindiging van de Verwerkersovereenkomst. De verplichtingen uit artikel 9.2 zijn van overeenkomstige toepassing op de deze derden. Opdrachtnemer zal waarborgen dat alle betrokken derden hieraan uitvoering zullen geven.
Artikel 10. Slotbepalingen
10.1 De overwegingen en bijlagen maken onderdeel uit van deze Verwerkersovereenkomst.
10.2 In het geval van strijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en bepalingen uit de in artikel 1 genoemde Hoofdovereenkomst zullen de bepalingen van de Verwerkersovereenkomst leidend zijn.
10.3 In geval van nietigheid c.q. vernietigbaarheid van één of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.
10.4 Op deze Verwerkersovereenkomst is louter Nederlands recht van toepassing.
10.5 Eventuele conflicten zullen eerst met elkaar besproken worden waarbij beide partijen zich inspannen om deze in goed overleg met elkaar op te lossen.
10.6 Geschillen over of in verband met deze Verwerkersovereenkomst worden uitsluitend voorgelegd aan de bevoegde rechter in het arrondissement van de Opdrachtnemer.
10.7 In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen Partijen in onderling overleg.
Handtekening | Handtekening MedITall | ||
Naam: | ………..………………………………….. | Naam: | Xxxxxx Xxxxxx |
Functie: | ………..………………………………….. | Functie: | Eigenaar |
Plaats: | ………..………………………………….. | Plaats: | Alkmaar |
Datum: | ………..………………………………….. | Datum: | ………..………………………………….. |
Aantal bijlagen bij deze Verwerkersovereenkomst (totaal 4):
Annex 1 – Te verwerken persoonsgegevens en doeleinden Annex 2 – Beveiligingsmaatregelen
Annex 3 – Sub-verwerker(s) Annex 4 – Contactgegevens
ANNEX 1: Te verwerken persoonsgegevens en doeleinden
Opdrachtgever zal verwerker alle persoonsgegevens laten verwerken; o Voornaam
o Achternaam
o Telefoonnummer
o Email adres
o Geboorte datum
o BSN
o …. En overig welke opgeslagen op het IT-systeem van de opdrachtgever Opdrachtgever zal de verwerker de volgende bijzondere persoonsgegevens laten verwerken.
o Medische gegevens
⮚ De doeleinden waarvoor Xxxxxxxxxxxxx persoonsgegevens zal gaan verwerken zoals eveneens van belang voor de uitvoering van de diensten zoals overeengekomen in de Hoofdovereenkomst tussen Partijen (dus hier zo concreet mogelijk beschrijven wat er met de gegevens wordt gedaan en met welk doel);
o Het registreren van storingen en werkzaamheden met als doel een optimale support en kloppende administratie. Hiervoor kunnen de volgende gegevens worden verwerkt: Voornaam, Achternaam, Telefoonnummer, NAW-gegevens, E- mailadres.
o Het onderzoeken van storingen en ondersteunen van het gebruik van dentale software. Hiervoor kunnen de volgende gegevens worden verwerkt: Persoonsgegevens, BSN en Medische gegevens.
o Migreren, Installeren en Testen van door opdrachtgever gebruikte systemen. Hiervoor kunnen de volgende persoonsgegevens en bijzondere persoonsgegevens worden gebruikt : Voornaam, Achternaam, Telefoonnummer, E-mail adres, BSN en Medische gegevens.
Alle verwerkingen van persoonsgegevens dienen ter support van de opdrachtgever haar ICT- systeem.
⮚ De wijze waarop Opdrachtnemer de persoonsgegevens zal gaan verwerken (welke middelen en/of systemen worden hiervoor gebruikt);
De persoonsgegevens en bijzondere persoonsgegevens zullen door opdrachtnemer op de volgende wijze worden verwerkt.
o De registratie van storingen; Voornaam, Achternaam, Telefoonnummer, E-mailadres.
o Het verwerken van de boekhouding: Voornaam, Achternaam, Telefoonnummer, E- mailadres.
o Het bijhouden van klantgegevens in eigen klantbeheer: Voornaam, Achternaam,
Telefoonnummer, E-mailadres en logingegevens
o Support op afstand middels remote support tools zoals N-Central, Screenconnect en RDP: Voornaam, Achternaam, Telefoonnummer, E-mailadres, BSN en Medische gegevens.
o Support op locatie: Voornaam, Achternaam, Telefoonnummer, E-mailadres, BSN en Medische gegevens.
⮚ De bewaartermijnen die zullen worden gehanteerd voor de betreffende persoonsgegevens.
ANNEX 2: Beveiligingsmaatregelen
Beveiligingsmaatregelen voor uw netwerk zijn gedocumenteerd in de speciaal door MedITall ontwikkelde checklist: Checklist ICT netwerk veiligheid
Deze checklist is echter niet statisch, en de ICT continue n beweging. Voor alle klanten met een SLA wordt deze checklist periodiek geüpdatet. Heeft u geen SLA, dan dient opdrachtgever zelf te verzorgen dat documentatie up-to-date is.
ANNEX 3: Sub – verwerker(s)
Sub verwerker(s) die door opdrachtnemer worden ingeschakeld zijn gedocumenteerd in het samenwerkingsdocument. Dit is echter geen statisch document en in beweging om u altijd een optimaal dienstenaanbod te kunnen bieden. Heeft u een SLA, dan voorzien wij u periodiek van de actuele documentatie. Indien u geen SLA afneemt, dient opdrachtgever periodiek actuele informatie op te vragen.
ANNEX 4: Contactgegevens
Contactgegevens voor uw praktijk bij een privacy gerelateerd vraagstuk zijn gedocumenteerd in de speciaal door MedITall ontwikkelde Datalek procedure. Heeft u een SLA, dan voorzien wij u proactief in deze procedure. Indien u geen SLA afneemt, dient opdrachtgever zelf te verzorgen dat documentatie aanwezig is.