Bewerkingsovereenkomst Ivido b.v. – Health consultant b.v.
Bewerkingsovereenkomst Ivido b.v. – Health consultant b.v.
De Wet bescherming persoonsgegevens bepaalt dat een Verantwoordelijke schrikelijke (of gelijkwaardige) afspraken moet maken met een bewerker over een aantal in de wet genoemde onderwerpen. Dit model is een hulpmiddel om die afspraken vast te leggen. Voordat u dit model gebruikt moet u zich afvragen of u als accountant bewerker bent of Verantwoordelijke. Meer informatie daarover vindt u op de website van de NBA. U kunt dit model alleen gebruiken als u als accountant bewerker bent en de gegevens niet buiten de Europese Economische Ruimte (“EER”) verwerkt. Als u in een bepaalde opdracht Verantwoordelijke bent, dan kunt u dit model voor die opdracht niet gebruiken. Datzelfde geldt indien u in het kader van de uitvoering van een opdracht op uw beurt een (sub)bewerker inschakelt. Raadpleegt u in die gevallen het overzicht van beschikbare model-overeenkomsten. Voor verwerkingen buiten de EER kunt u dit model ook niet gebruiken.
Partijen:
Health consultant B.V., gevestigd te Lelystad, Pascallaan 70, hierna te noemen: “Verantwoordelijke”, “U” of “Uw”, ten deze rechtsgeldig vertegenwoordigd door Xxxx Xxxxxxxxx, in diens hoedanigheid van Directeur;
en
Ivido B.V. , gevestigd te Xxxxx, Xxxxxxxxxx 0, hierna te noemen: “Bewerker” , “Wij”, “Ons” of “Onze”, te dezen rechtsgeldig vertegenwoordigd door Xxxx Xxxxxxxxxx, Directeur;
hierna gezamenlijk aangeduid als “Partijen”, “We” of “Wij Gezamenlijk”
Overwegingen:
A. Wij zijn met U op ….- de opdracht met naam/kenmerk licentieovereenkomst aangegaan
vanwege het verrichten van de volgende diensten door Ons:
• Afname van licentieovereenkomst voor het softwarepakket van Ivido b.v.
• Doorvoeren van registraties en medische gegevens
• Verstrekking van medische gegevens aan cliënten
• Inzage voor medisch specialisten van medische gegevens van cliënten
B. Wij zijn - vanwege het uitvoeren van deze Overeenkomst én met betrekking tot de Persoonsgegevens die Wij hierbij zullen Verwerken - aan te merken als “Bewerker” en U als “Verantwoordelijke” in de zin van de Wet bescherming persoonsgegevens (hierna: Wbp). In deze Overeenkomst leggen We onze wederzijdse rechten en verplichtingen vast, mede met het oog op de artikelen 13, 14 en 34a Wbp.
Partijen komen het volgende overeen:
1. Definities
In deze overeenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. De genoemde begrippen worden in deze overeenkomst met een hoofdletter geschreven. Veelal wordt in de opsomming hieronder verwezen naar de wettelijke omschrijving van het begrip, maar waar mogelijk worden de begrippen verduidelijkt met niet-limitatieve voorbeelden. Voor meer voorbeelden kunt U de website van de Autoriteit Persoonsgegevens raadplegen.
Betrokkene: Degene op wie een Persoonsgegeven betrekking heeft.
Datalek: Een inbreuk op de beveiliging zoals bedoeld in artikel 34a lid 1 Wbp die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen, dan wel die ernstige nadelige gevolgen heeft voor de bescherming van Persoonsgegevens.
Derden: Anderen dan U en Wij en Onze Medewerkers.
Meldplicht Datalekken: De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n), op basis van artikel 34a Wbp.
Medewerkers Personen die werkzaam zijn bij of voor de Bewerker, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.
Onderliggende opdracht:
De opdracht zoals hierboven bedoeld in de overwegingen onder A.
Overeenkomst: Deze bewerkersovereenkomst.
Persoonsgegevens: Persoonsgegevens in de zin van artikel 1 onder a Wbp. Persoonsgegevens zijn alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijke persoon.
Verwerken / Verwerking:
Verwerken in de zin van artikel 1 onder b Wbp. Verwerken omvat elke handeling (of een serie handelingen) met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Wbp: Wet bescherming persoonsgegevens. De meest recente versie van de wet is te raadplegen via xxx.xxxxxxxx.xx
2. Toepasselijkheid en looptijd
2.1 Deze Overeenkomst is van toepassing op iedere Verwerking die door Ons als Bewerker wordt gedaan op basis van de Onderliggende opdracht, gegeven door U als Verantwoordelijke.
2.2 Deze Overeenkomst treedt in werking op de datum waarop de Onderliggende opdracht van kracht wordt en eindigt op hetzelfde moment als de Onderliggende opdracht. Het is niet mogelijk om deze Overeenkomst los van de Onderliggende opdracht tussentijds op te zeggen.
2.3 Artikel 6 van deze Overeenkomst blijft gelden, ook nadat de Overeenkomst is beëindigd.
3. Verwerking
3.1 Wij Verwerken de Persoonsgegevens uitsluitend op de manier die Wij met U hebben afgesproken in de Onderliggende opdracht. Dit Verwerken doen Wij niet langer of uitgebreider dan noodzakelijk voor de uitvoering van deze Onderliggende opdracht. De Verwerking vindt plaats volgens Uw instructies, tenzij Wij op grond van de wet- of regelgeving verplicht zijn om anders te handelen (bijvoorbeeld bij het maken van een afweging of een melding van een “ongebruikelijke transactie” moet worden gedaan in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme (WWFT).
3.2 De Verwerking vindt plaats onder Uw verantwoordelijkheid. Wij hebben geen zeggenschap over het doel en de middelen van de Verwerking en nemen geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor u verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan Derden. U moet er voor zorgen dat U het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld. De zeggenschap over de Persoonsgegevens berust nooit bij Ons. Als Wij een zelfstandige verplichting mochten hebben op basis van onder andere de voor accountants geldende beroeps- en gedragsregels met betrekking tot bijvoorbeeld het bewaren van bepaalde Persoonsgegevens, dan leven Wij deze verplichtingen na. Een overzicht van deze beroeps- en gedragsregels kunt U vinden op de website van de Nederlandse Beroepsorganisatie van Accountants (xxx.xxx.xx).
3.3 U bent wettelijk verplicht er voor te zorgen dat U de Wbp, en de andere wet- en regelgeving op het gebied van privacy, naleeft. In het bijzonder dient u vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens als bedoeld in artikel 8 van de Wbp. Wij zorgen ervoor dat Wij voldoen aan de op ons als Bewerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die We hebben gemaakt in deze Overeenkomst.
3.4 Wij zorgen ervoor dat alleen Onze Medewerkers toegang hebben tot de Persoonsgegevens. De uitzondering hierop is opgenomen in artikel 3.5. Wij beperken de toegang tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. Wij zorgen er bovendien voor dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en verplichtingen van de Wbp.
3.5 Wij kunnen Derden (sub-bewerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden, bijvoorbeeld als deze Derden over specialistische kennis of middelen beschikken waarover Wij niet beschikken. Als het inschakelen van Derden tot gevolg heeft dat
deze Persoonsgegevens gaat Verwerken dan zullen wij met die Derden (schriftelijk) alle verplichtingen uit deze Overeenkomst opleggen. Met ondertekening van deze overeenkomst geeft u toestemming voor het inschakelen van de Derden die genoemd zijn in de bijlage. Voor het inschakelen van overige Derden vragen Wij eerst om Uw toestemming. U kunt toestemming weigeren maar dit kan in sommige gevallen betekenen dat Wij de Onderliggende opdracht moeten beëindigen. Of een opdracht om deze reden moet worden beëindigd, is ter uitsluitende beoordeling aan Ons. Als Wij Derden inschakelen dan zullen Wij deze Derden (schriftelijk) alle verplichtingen uit deze Overeenkomst opleggen.
3.6 U kunt ons verzoeken om Persoonsgegevens te zoeken, wijzigen of verbeteren als Wij in het kader van de Onderliggende opdracht toegang hebben tot deze Persoonsgegevens. Als Wij (rechtstreeks) verzoeken ontvangen van Xxxxxxxxxx(n) om inzage, wijziging of verbetering van Persoonsgegevens, dan zenden Wij deze verzoeken door naar U. U handelt deze verzoeken zelf af. Natuurlijk kunnen Wij U behulpzaam zijn als Wij in het kader van de Onderliggende opdracht toegang hebben tot deze Persoonsgegevens. U moet Ons hierom wel expliciet (en schriftelijk, of per e-mail) verzoeken.
3.7 Wij zullen de Persoonsgegevens alleen Verwerken binnen de Europese Economische Ruimte, tenzij Wij hierover met U andere afspraken hebben gemaakt. Deze afspraken leggen Wij Gezamenlijk schriftelijk vast, of per e-mail.
3.8 Als Wij een verzoek krijgen om Persoonsgegevens ter beschikking te stellen dan doen Wij dit alleen als het verzoek is gedaan door een daartoe bevoegde instantie. Bovendien beoordelen Wij eerst of Wij van mening zijn dat het verzoek bindend is, of dat Wij op grond van gedrags- en beroepsregels aan het verzoek moeten voldoen. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stellen Wij U op de hoogte van het verzoek. Wij proberen dat op zodanig korte termijn te doen, dat het voor U mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de Persoonsgegevens in te stellen. Als Wij U op de hoogte mogen stellen dan zullen Wij ook met U overleggen over de wijze waarop en welke gegevens Wij ter beschikking zullen stellen.
4. Beveiligingsmaatregelen
4.1 Wij hebben de beveiligingsmaatregelen genomen die zijn genoemd in de Bijlage die bij deze Overeenkomst hoort, maar kunnen niet garanderen dat deze maatregelen onder alle omstandigheden doeltreffend zijn. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de stand van de techniek en de kosten van de beveiligingsmaatregelen.
4.2 U heeft zich goed geïnformeerd over de beveiligingsmaatregelen die Wij hebben genomen en bent van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de risico’s van de Verwerking
4.4 Wij informeren U als een van de beveiligingsmaatregelen substantieel wijzigt.
4.5 Als U de wijze waarop Wij de beveiligingsmaatregelen naleven wilt laten inspecteren, dan kunt U hiertoe een verzoek aan Ons doen. Wij zullen hierover Gezamenlijk met U afspraken maken. De kosten van een inspectie zijn voor Uw rekening. U stelt aan Xxx een kopie van het inspectierapport ter beschikking.
5. Datalekken en andere beveiligingsincidenten
5.1 Als er sprake is van een Datalek dan stellen Wij U daarvan op de hoogte. Wij streven ernaar dit te doen binnen 48 uur nadat wij dit Xxxxxxx hebben ontdekt of daarover door Onze sub- bewerkers zijn geïnformeerd. Wij zullen U daarbij voorzien van de informatie die U redelijkerwijs nodig heeft om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de Betrokkene(n) in het kader van de Meldplicht Datalekken. Ook van de door Ons naar aanleiding van het Datalek genomen maatregelen houden Wij U op de hoogte.
5.2 De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd Uw eigen verantwoordelijkheid.
6. Geheimhoudingsplicht:
7. Aansprakelijkheid
7.1 U staat er voor in dat de Verwerking van Persoonsgegevens op basis van deze Overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).
7.2 Wij zijn niet aansprakelijk voor schade die het gevolg is van het door U niet naleven van de Wbp, of andere wet- of regelgeving. U vrijwaart ons ook voor aanspraken van Xxxxxx op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die Derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die Wij moeten maken in de juridische procedure, zoals bijvoorbeeld griffierechten en kosten voor een advocaat, en eventuele boetes die aan Ons worden opgelegd.
7.4 De in de Onderliggende opdracht en daarbij behorende algemene voorwaarden overeengekomen beperking van Onze aansprakelijkheid is van kracht op de verplichtingen zoals opgenomen in deze Overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze Overeenkomst en /of de Onderliggende opdracht nimmer tot overschrijding van de beperking kan leiden.
8. Overdraagbaarheid Overeenkomst
8.1 Het is voor U en Ons, behalve als Wij Gezamenlijk schriftelijke anders afspreken, niet toegestaan om deze Overeenkomst en de rechten en de plichten die samenhangen met deze Overeenkomst over te dragen aan een ander.
9. Beëindiging en teruggave / vernietiging Persoonsgegevens
9.1 Als de Onderliggende opdracht wordt beëindiging dan zullen Wij de door U aan Ons verstrekte Persoonsgegevens aan U terug overdragen of – als U Ons daarom verzoekt – vernietigen. Wij zullen een kopie van de Persoonsgegevens bewaren als Wij hiertoe op grond van wet- of (beroeps)regelgeving verplicht zijn.
9.2 De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Onderliggende opdracht zijn voor Uw rekening. Datzelfde geldt voor de kosten van de vernietiging van de Persoonsgegevens. Als U daarom vraagt dan geven Xxx U vooraf een kosteninschatting.
10. Aanvullingen en wijziging Overeenkomst
10.1 Aanvullingen en wijzigingen op deze Overeenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.
11. Slotbepalingen
11.1 Op deze Overeenkomst is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze Overeenkomst.
11.2 Deze Overeenkomst is hoger in rang dan andere door Ons met U gesloten overeenkomsten. Als U algemene voorwaarden gebruikt dan zijn deze niet van toepassing op deze Overeenkomst. De bepalingen uit deze Overeenkomst gaan boven de bepalingen in Onze algemene voorwaarden, tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.
11.3 Als één of meerdere bepalingen in deze Overeenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze Overeenkomst. Wij treden dan met U in overleg om Gezamenlijk een nieuwe bepaling op te stellen. Deze bepaling zal zoveel als mogelijk in de geest zijn van de ongeldige bepaling, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.
11.4 Mededelingen in het kader van deze Overeenkomst zullen door U en Ons worden gedaan aan onderstaande Medewerkers:
Xxxxxxx Xxxxxxx Ivido B.V.
Xxxxxxx.xxxxxxx@xxxx.xx / 0614600721
Xxxx Xxxxxxxxxx Ivido B.V.
Xxxx.xxxxxxxxxx@xxxx.xx / 0651248524
Als de gegevens behorend bij de bovengenoemde Medewerkers veranderen, of als zij worden vervangen door andere Medewerkers, dan lichten We elkaar daarover in.
11.5 De in deze Overeenkomst genoemde voorbeelden dienen ter verduidelijking van de in de Overeenkomst opgenomen regeling en zijn geen limitatieve opsomming.
Ondertekening
Ondertekend op
Xxxx Xxxxxxxxx – Health consultant b.v. Xxxx Xxxxxxxxxx – Ivido b.v.