SLA / VERWERKERSOVEREENKOMST
WINBASE SOFTWARE EN ADVIEZEN BV, kantoorhoudende te Haarlem aan Xxxxxxxxxxxxxx 00, 2021 CB, rechtsgeldig vertegenwoordigd door haar directeur de heer Xxxx X.X. xx Xxxx, verder te noemen “WinBase”;
en
De organisatie die gebruikmaakt van de softwareapplicaties die door WinBase worden geëxploiteerd, verder te noemen "Organisatie"
IN AANMERKING NEMENDE DAT:
WinBase de softwareapplicaties Abakus EPD, Abakus Compleet, edevop online en Incura tegen betaling beschikbaar stelt en daartoe support geeft
WinBase continue bezig is deze software en diensten te verbeteren
De Organisatie de software van WinBase gebruikt om haar organisatievoering te ondersteunen
KOMEN ALS VOLGT OVEREEN:
ONDERWERP EN OMVANG VAN DE OVEREENKOMST
WinBase levert aan de Organisatie via internetverbinding (SaaS) de door haar ontwikkelde programmatuur.
1 DEFINITIES
In deze overeenkomst worden de navolgende begrippen gebruikt met de navolgende betekenis:
Administratieve gebruiker: Een natuurlijk persoon die uit naam van de Organisatie
administratief werk verricht in Applicaties zonder een actieve behandelagenda te voeren op zijn/haar naam.
Applicatie(s): Software die door of namens WinBase is ontwikkeld en via SaaS ter beschikking wordt gesteld aan Gebruikers.
Betrokkene Een persoon in de zin van de Algemene Verordening Gegevensbescherming van wie zijn/haar vertrouwelijk gegevens worden verwerkt.
Verwerker WinBase als verwerker in de zin van de Algemene Verordening Gegevensbescherming, die handelt in opdracht van Verwerkingsverantwoordelijke.
Customer Support(activiteiten): Het verstrekken van onderhoudsinformatie en
werkingsinstructies door WinBase aan de Organisatie via telefoon, e-mail en/of remote support
(Eigentijds) Systeem Computers en software (die niet ouder zijn dan 3 jaar).
Gebruiker(s): Een natuurlijk persoon die uit naam van de Organisatie een actieve behandelagenda voert binnen de Applicaties op zijn/haar naam en/of op zijn/haar naam factureert vanuit Applicaties.
Gebruiksovereenkomst Een door de klant voor akkoord getekende offerte of
getekend aanmeldformulier voor een Applicatie.
Incident Onderbreking van de beschikbaarheid van de door WinBase geleverde applicatie.
Inlogprobleem Het niet kunnen inloggen in Applicatie met als oorzaak een niet functioneren van de Applicatie.
Onderhoud: Servicewerkzaamheden door WinBase aan Applicaties teneinde deze werkend te maken en te houden
Organisatie / Klant: Degene die met WinBase de Gebruiksovereenkomst heeft gesloten, waarbij de Organisatie/klant handelt in de uitoefening van een beroep of bedrijf.
Remote support Ondersteuning op afstand waarbij door WinBase via een internetverbinding de besturing van het systeem van de Gebruiker met zijn toestemming en in zijn aanwezigheid wordt overgenomen om inzicht te krijgen in de werking van het systeem / de applicatie.
SaaS (oplossing) Software as a Service. Het beschikbaar stellen van functionaliteit van software via een internetverbinding.
SLA / Verwerkersovereenkomst: Service Level Agreement inclusief Verwerkersovereenkomst,
de onderhavige overeenkomst ten behoeve van het gebruik van Applicaties, als onlosmakelijk deel van de Gebruiksovereenkomst.
Software van derden: Software die niet door WinBase is ontwikkeld en ook niet in
haar opdracht is ontwikkeld
Verwerkingsverantwoordelijke De Organisatie als eigenaar van vertrouwelijke gegevens in de
zin van de Algemene Verordening Gegevensbescherming.
Niet nader genoemde begrippen zijn van algemene aard en gebruikelijk in de IT-branche en de gezondheidszorg.
2 BEPALINGEN OVEREENKOMST
DUUR EN OPZEGTERMIJN
2.1 Deze SLA-Verwerkersovereenkomst is een onlosmakelijk onderdeel van de Gebruiksovereenkomst en heeft een daaraan gelijke looptijd. Bij gebrek aan een Gebruiksovereenkomst geldt deze overeenkomst voor de duur van de samenwerking.
2.2 De gebruiksovereenkomst heeft een minimale looptijd van 6 maanden waarna de overeenkomst stilzwijgend met telkens een maand wordt verlengd.
2.3 Na de beëindiging van de Gebruiksovereenkomst zal deze daarna 3 maanden zonder doorberekening van kosten doorlopen. Dit zodat voor de Klant de mogelijkheid bestaat op een later tijdstip alsnog inzage te kunnen krijgen in de gegevens voor eventuele overdracht of continuering van de administratie.
2.4 Partijen mogen de overeenkomst opzeggen per eerste dag van de maand met inachtneming van een opzegtermijn van een kalendermaand. Een opzeggingsmededeling op bijvoorbeeld 15 september leidt tot een beëindiging per 31 oktober.
2.5 Op verzoek van de Organisatie voorziet WinBase de Organisatie, bij beëindiging van de Gebruiksovereenkomst, kosteloos van een kopie van het bestand/ de database van de Organisatie in een algemeen leesbaar formaat (bestandstype is afhankelijk van de betreffende gegevens, bijvoorbeeld .csv , .pdf, .docx, .xlsx en .jpg ). Deze kopie dient primair de behoefte van een import in een andere SAAS oplossing en is ongeschikt om aan eventuele informatieverzoeken te voldoen in het kader van de bewaarplicht van de Organisatie.
2.6 Zodra de Gebruikersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker alle persoonsgegevens die bij haar aanwezig zijn in de vorm van databestanden, zoals genoemd in artikel 2.5, retourneren aan Verwerkingsverantwoordelijke, en daarna deze verwijderen en/of vernietigen met inachtneming van hetgeen gesteld in artikel 2.3.
APPLICATIES EN GEBRUIKERS
2.6 Gedurende de looptijd van deze overeenkomst verleent WinBase aan de Organisatie één of meer toegangscodes om de Applicaties te gebruiken. Met deze toegangscodes kunnen gebruikers inloggen in de Applicatie.
2.7 In Incura bestaan naast de Gebruikers, die over alle functionaliteiten kunnen beschikken, ook Administratieve gebruikers die beperkt zijn in het gebruik van het zorginhoudelijke deel.
2.8 Per Gebruiker/ Administratief gebruiker wordt één toegangscode verstrekt welke per e-mail wordt verzonden aan de contactpersoon van de Organisatie. Het is Organisatie niet toegestaan om meerdere personen onder één licentie te laten werken. Dit mede uit oogpunt van loggen van activiteiten en het beheersen van de privacy van patiëntgegevens.
2.9 Op elk gewenst moment kan door de Organisatie na schriftelijke aanvraag gebruikers aan de overeenkomst worden toegevoegd. Voor verlaging van het aantal gebruikers geldt een termijn van één kalendermaand beëindigingstermijn.
2.10 Na verzending van de toegangscodes verleent WinBase telefonische ondersteuning bij de eerste inrichting van de boekhouding in de vorm van een instructie van een uur.
FACTURERING EN BETALING
2.11 De tarieven van de Applicaties mogen jaarlijks door WinBase worden verhoogd met een percentage dat gelijk is aan het Prijsindexcijfer voor gezinsconsumptie.
2.12 De kosten van de licenties zullen maandelijks aan de Organisatie worden gefactureerd voorafgaand aan de betreffende gebruiksmaand. De facturering begint op het moment dat de gebruikers na inloggen toegang hebben tot de Applicatie.
2.13 De Organisatie machtigt WinBase voor de duur van deze overeenkomst middels ondertekening van de op de Gebruiksovereenkomst beschreven machtiging om het factuurbedrag af te mogen laten schrijven.
2.14 Bij stornering van het te incasseren bedrag kan WinBase het recht op toegang tot de server, het onderhoud en Customer Support, na minimaal twee kennisgevingen, blokkeren. Indien facturen na twee maanden na factuurdatum niet zijn voldaan, heeft WinBase het recht de overeenkomst op te schorten dan wel te beëindigen en de resterende termijn van de duur
van de overeenkomst, zolang deze op het moment van beëindigen door WinBase nog zou lopen, als boete te vorderen, zulks onverminderd het recht op volledige schadevergoeding.
WERKING APPLICATIE
2.15 Voor een goede werking van De Applicatie dient Organisatie te beschikken over een Eigentijds Systeem, dat voldoet aan de minimale systeemeisen zoals die zijn vermeld op de website xxx.xxxxxx.xx, xxx.xxxxxx.xx en xxx.xxxxxx.xx (via de zoekfunctie binnen de zorgdiscipline op ‘systeemeisen’).
2.16 De Organisatie dient regelmatig updates uit te voeren van het besturingssysteem en de internetbrowser. Daarnaast dient de Organisatie haar systemen voldoende te beveiligen tegen virussen en andere schadelijke software, alsmede tegen vijandelijke aanvallen door derden. Daarnaast dient de Organisatie de geheimhouding van de inlognamen en wachtwoorden strikt te borgen. Een en ander conform de voor haar geldende bepalingen in wet en regelgeving.
2.17 WinBase is niet verantwoordelijk voor een juiste werking van software van derden en/of koppelingen met software van derden. WinBase is niet gehouden de Applicaties te laten functioneren binnen alle internetbrowsers. Wel streeft zij ernaar ze te laten functioneren binnen de meest gebruikte internet browsers (Microsoft Edge, Google Chrome, Safari en Mozilla Firefox).
2.18 WinBase is niet verantwoordelijk voor een juiste werking van hardwarecomponenten, communicatie- en internetverbindingen op, respectievelijk naar, de locatie van de Organisatie.
3 SPECIFICATIES SERVICENIVEAU
BESCHIKBAARHEID
3.1 WinBase verbindt zich de Applicatie gedurende de overeenkomst in functioneel werkende staat te houden. Daartoe worden regelmatig verbeteringen in de programmatuur doorgevoerd en aan de Organisatie beschikbaar gesteld.
3.2 WinBase is gehouden een minimale beschikbaarheid van de Applicatie te leveren van 99%, te meten tijdens kantoortijden. Dit is exclusief de tijd die benodigd is om updates van de Applicatie door te voeren, waarbij WinBase updates zoveel mogelijk buiten kantooruren laat plaatsvinden.
3.3 Voor een goede werking van de Applicatie is het voor WinBase noodzakelijk om regelmatig updates door te voeren. Deze werkzaamheden in het kader van updates worden wanneer mogelijk buiten kantoortijden verricht en worden minimaal 48 uur voorafgaand aan de start van de werkzaamheden gecommuniceerd.
3.4 Om redenen van beveiliging en privacywetgeving is langdurige inactiviteit van een ingelogde gebruiker niet verantwoord. Als er daarom gedurende een bepaalde tijdsduur geen toetsenbord- of muisactiviteit plaatsvindt, wordt de verbinding met de server verbroken. Een gebruiker zal dan opnieuw moeten inloggen.
CUSTOMER SUPPORT
3.5 Gedurende de looptijd van deze overeenkomst heeft de Organisatie aanspraak op ondersteuning via Customer Supportactiviteiten.
3.6 De openingstijden van de afdeling customer support worden gepubliceerd op de support website van de Applicatie.
3.7 Customer support is bereikbaar via telefoonnummer 088 – 946 2273. Ook kunnen vragen worden gesteld via e-mail aan: xxxxxxx@xxxxxx.xx, c.q. xxxxxxxxx@xxxxxx.xx of xxxx@xxxxxx.xx Van meldingen of vragen die via andere wegen worden gedaan kan niet worden gegarandeerd dat deze binnen een overeengekomen termijn worden behandeld.
3.8 Voor verbindingsproblemen buiten kantoortijden geldt een calamiteitenprocedure volgens artikel 3.21 t/m 3.23. Meldingen over inhoudelijke functionaliteit van de Applicaties welke door WinBase zijn ontvangen na kantooruren, worden de volgende werkdag in behandeling genomen.
3.9 Om een goede analyse te kunnen maken van vragen over de werking van de Applicatie moet de melding zo compleet mogelijk worden aangeleverd.
Daarbij kan de navolgende informatie van belang zijn:
de foutmelding;
eventueel schermprint;
welke handelingen zijn verricht voordat er een probleem optrad;
op welke computer het probleem optreedt;
3.10 Indien de complexiteit en/of omvang van de klacht het noodzakelijk maakt, zal de Organisatie op verzoek van customer support een telefonische melding schriftelijk bevestigen met een duidelijke omschrijving. Customer support kan pas een aanvang maken met het beantwoorden van de vraag of vragen als deze voldoende duidelijk zijn.
3.11 WinBase verzekert de Organisatie al het nodige binnen haar macht te zullen doen om werkzaamheden op het gebied van customer support, dan wel inhoudelijke vragen over de Applicatie, op de kortst mogelijke termijn te verrichten, respectievelijk te beantwoorden.
3.12 De customer supportafdeling van WinBase zal binnen één werkdag de goede ontvangst van een vraag via e-mail over de werking van de Applicatie bevestigen.
3.13 Met betrekking tot Inlogproblemen wordt door Customer Support, na bevestiging door een medewerker (geen automatische ontvangstbevestiging), direct aangevangen met het analyseren en oplossen van het probleem. In dat geval garandeert WinBase dat het probleem per ommegaande of uiterlijk binnen vier uren na melding van het probleem wordt opgelost.
3.14 Met betrekking tot inhoudelijke vragen over de Applicatie zal Customer Support binnen drie werkdagen, of zoveel eerder als mogelijk, aangeven wat de diagnose is, zodat aan een oplossing begonnen kan worden. Boekhoudkundige vragen over onze applicatie proberen wij uiterlijk binnen 7 werkdagen te beantwoorden.
3.15 De aanspraak die de Organisatie mag maken op de diensten van Customer Support (tijd die de Organisatie van de diensten van Customer Support gebruik mag maken) wordt vastgesteld op basis van “fair use policy”. Dit betekent dat wanneer de Organisatie in vergelijking met andere, vergelijkbare Organisaties bovengemiddeld gebruik maakt van de diensten van Customer Support, de diensten van Customer Support in rekening worden gebracht. De Organisatie wordt vooraf daarover geïnformeerd.
3.16 Bij vragen aan Customer Support die niet betrekking hebben op de werking van de Applicaties, maar op de zorginhoudelijke verwerking behoudt WinBase zich het recht voor om dit te kenmerken als consultancywerkzaamheden en de Organisatie daarvoor een
vergoeding in rekening te brengen op basis van het geldende uurtarief. De Organisatie wordt vooraf aan de beantwoording van de vraag daarover geïnformeerd.
3.17 De Organisatie geeft WinBase toestemming voor het gebruik van remote support en verzamelen van geanonimiseerde statistische gegevens ten behoeve van verbetering van de gezondheidszorg in het algemeen en het gebruik en/of de werking van Applicaties in het bijzonder.
3.18 Het is aan het oordeel van WinBase welke werkwijze bij het uitvoeren van de supportactiviteiten wordt gevolgd.
3.19 Software van derden: het diagnosticeren en/of verhelpen van netwerkstoringen of algemene computerstoringen, en het verhelpen van storingen en problemen ten gevolge van wijzigingen in de systeemconfiguratie en/of installatie van software van derden zonder medeweten of expliciete toestemming van WinBase, behoren niet tot de supportactiviteiten en onderhoudswerkzaamheden vallende onder deze overeenkomst.
3.20 Beëindiging van deze overeenkomst betekent ook dat diensten in het kader van supportactiviteiten tegen dezelfde datum worden beëindigd. Inzicht in de Applicatie is per dat moment niet langer mogelijk, behalve wanneer men de overeenkomst voortzet op basis van één administratieve licentie of een archieflicentie. De Organisatie is zelf verantwoordelijk voor het in acht nemen van de wettelijke bewaartermijn.
CALAMITEITENPROCEDURE
3.21 WinBase hanteert een calamiteiten/noodprocedure buiten de in artikel 3.6 genoemde openingstijden van de afdeling Customer Support. De Organisatie kan bij calamiteiten een beroep doen op de noodlijn op telefoonnummer: (088) 946 2257.
3.22 Van een calamiteit is sprake als een acuut Inlogprobleem met de server wordt geconstateerd, dat niet wordt veroorzaakt door regionale of landelijke internetstoringen. De Organisatie kan dit testen door lokaal een willekeurige website te raadplegen.
3.23 Alsdan vangt WinBase direct na de melding aan met het oplossen van dit probleem. Indien blijkt (achteraf of tussentijds) dat de calamiteitenprocedure door de Organisatie onterecht is gebruikt dan worden kosten in rekening gebracht tegen een marktconform uurtarief.
GEGEVENSBESCHERMING
3.24 Gegevensbestanden van de Applicaties worden op verschillende locaties opgeslagen om gegevensverlies of gegevensverminking te voorkomen.
3.25 WinBase verzorgt dagelijks een back-up. De back-up wordt op twee fysiek gescheiden en verschillende locaties opgeslagen. Op verzoek van de Organisatie kan een back-up maximaal een keer per kalenderjaar kosteloos worden teruggeplaatst. Bestede uren van elke volgende terugplaatsing worden in rekening gebracht tegen een marktconform uurtarief.
3.26 WinBase kan de juistheid van terug te zetten gegevens van de Organisatie niet controleren en is derhalve niet aansprakelijk voor de juistheid van de teruggezette gegevens dan wel eventueel verlies van teruggezette gegevens. De Organisatie dient dit zelf te controleren. Nadien gedane verzoeken om gegevens alsnog terug te zetten zullen worden gefactureerd tegen een marktconform uurtarief.
3.27 Na het beëindigen van het contract blijft de Organisatie te allen tijde zelf verantwoordelijk voor het bewaren van Organisatiegegevens gedurende de wettelijk vastgestelde termijn.
VERGOEDINGSREGELING
3.28 Bij een directe schade voor de Organisatie die is veroorzaakt door het door WinBase niet nakomen van het in deze overeenkomst beschreven serviceniveau, is WinBase gehouden tot een schadevergoeding. Deze schadevergoeding kan echter niet meer bedragen dan het totaal van de vergoedingen (exclusief BTW) uit hoofde van de Gebruiksovereenkomst voor één jaar.
3.29 Wanneer WinBase niet in staat is de beschikbaarheidsnorm zoals genoemd in artikel 3.2 te halen, heeft de Organisatie recht op een schadevergoeding. Deze vergoeding wordt berekend over de maand waarin de norm niet werd behaald en wordt verrekend met de vergoeding van de daaropvolgende maand(en). De vergoeding wordt als volgt berekend:
Beschikbaarheid in maand | % korting op factuur volgende maand |
Hoger dan of gelijk aan 99% | 0% |
Lager dan 99%, hoger dan 98% | 10% |
Lager dan 98%, hoger dan 97% | 25% |
Lager dan 97%, hoger dan 96% | 50% |
Lager dan 96%, hoger dan 95% | 75% |
Lager dan 95% | 100% |
4 VERWERKERSOVEREENKOMST
De navolgende bepalingen regelen de afspraken met betrekking tot het vastleggen en verwerken van persoonsgegevens in het kader van de Algemene Verordening Gegevensbescherming (AVG).
DOELEINDEN VAN VERWERKING
4.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van, en voor de duur van, de Gebruiksovereenkomst en wel voor het in de 'cloud' opslaan van gegevens van Verwerkingsverantwoordelijke, die via een online applicatie beschikbaar maken voor Verwerkingsverantwoordelijke en eventuele bijbehorende online diensten, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.
4.2 Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerker zal Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien naar haar mening een instructie van de Verwerkingsverantwoordelijke in strijd is met de AVG. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd. Verwerker mag echter geanonimiseerde gegevens gebruiken voor kwaliteitsdoeleinden, zoals het doen van statistisch onderzoek naar de kwaliteit van haar dienstverlening. Een en ander uitsluitend op basis van op niveau van Betrokkenen geanonimiseerde data.
4.3 De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Organisatie en/of de betreffende Betrokkenen.
4.4 De verwerkte persoonsgegevens zijn naar aard als volgt in te delen:
Soort persoonsgegevens | Xxxxxxxxxxx |
Inloggegevens | Medewerkers Verwerkersverantwoordelijke |
Contactgegevens (NAW, e-mail, telefoon) | Cliënten van verwerkingsverantwoordelijke |
Medische (behandel)gegevens | Cliënten van verwerkingsverantwoordelijke |
VERPLICHTINGEN VERWERKER
4.5 Verwerker zal Verwerkingsverantwoordelijke, op diens verzoek, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst. Verwerkingsverantwoordelijke dient daartoe haar vragen op voldoende concrete wijze schriftelijk aan Verwerker te stellen.
4.6 De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
DOORGIFTE VAN PERSOONSGEGEVENS
4.7 Verwerker zal de persoonsgegevens uitsluitend verwerken in de Europese Unie.
INSCHAKELEN VAN DERDEN OF ONDERAANNEMERS
4.8 Verwerkingsverantwoordelijk geeft Verwerker hierbij toestemming om in het kader van deze Verwerkersovereenkomst gebruik maken van een derde of onderaannemer. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker aan de Verwerkingsverantwoordelijke een lijst met namen van de door haar ingeschakelde derden. Op basis daarvan kan Verwerkingsverantwoordelijke op redelijke gronden bezwaar aantekenen tegen het inschakelen van deze derden. In dat geval treden partijen in overleg om tot een werkbare oplossing te komen.
4.9 Verwerker zorgt ervoor dat deze derden of onderaannemers schriftelijk dezelfde plichten op zich nemen als tussen Verwerker en Verwerkingsverantwoordelijke zijn overeengekomen met betrekking tot de verwerking van persoonsgegevens.
VERDELING VAN VERANTWOORDELIJKHEID
4.10 Verwerker stelt ten behoeve van de verwerkingen softwareapplicaties ter beschikking die door Verwerkingsverantwoordelijke te gebruiken zijn voor de in artikel 4.1 hierboven genoemde doelen.
4.11 Verwerker is alleen verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de schriftelijke instructies van Verwerkingsverantwoordelijke, onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.
4.12 Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Overeenkomst, niet
onrechtmatig is en geen inbreuk maken op enig recht van derden, en vrijwaart Verwerker tegen alle aanspraken en claims van derden die daarmee verband houden.
BEVEILIGING
4.13 Verwerker zal zich inspannen voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
4.14 Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, zal Verwerker zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
MELDPLICHT
4.15 Verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor het melden van een beveiligingslek en/of datalek (waaronder wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderzijds verwerkte gegevens) aan de toezichthouder en/of betrokkenen. Om Verwerkingsverantwoordelijke in staat te stellen aan deze wettelijke plicht te voldoen, stelt Verwerker de Verwerkingsverantwoordelijke binnen 48 uur nadat het lek bij haar bekend is geworden op de hoogte van het beveiligingslek en/of het datalek.
4.16 Verwerker zal Verwerkingsverantwoordelijke zowel telefonisch als via email op de hoogte brengen. Daarbij is de vaste contactpersoon van Verwerkingsverantwoordelijke het aanspreekpunt.
4.17 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest. Daarnaast behelst de meldplicht:
• de datum waarop het lek heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen het lek plaats heeft gevonden);
• wat de (vermeende) oorzaak is van het lek;
• de datum en het tijdstip waarop het lek bekend is geworden bij Verwerker of bij een door haar ingeschakelde derde of onderaannemer;
• het aantal personen waarvan gegevens zijn gelekt (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens zijn gelekt);
• een omschrijving van de groep personen van wie gegevens zijn gelekt, inclusief het soort of de soorten persoonsgegevens die gelekt zijn;
• wat de voorgenomen en/of reeds ondernomen maatregelen zijn om het lek te dichten en om de gevolgen van het lek te beperken.
AFHANDELING VERZOEKEN VAN BETROKKENEN
4.18 In het geval dat een betrokkene een verzoek tot inzage, rectificatie, wissen of beperking, zoals bedoeld in artikel 15 t/m 20 AVG, richt aan Verwerker, zal Verwerker het verzoek doorsturen aan Verwerkingsverantwoordelijke, en zal Verwerkingsverantwoordelijke het
verzoek verder afhandelen. Verwerker mag de betrokkene daarvan op de hoogte stellen. Verwerker behoudt zich het recht voor de Verwerkingsverantwoordelijke deze werkzaamheden op basis van een marktconform tarief in rekening te brengen.
GEHEIMHOUDING EN VERTROUWELIJKHEID
4.19 Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht van Verwerker en haar medewerkers jegens derden.
4.20 Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
AUDIT
4.21 Verwerkingsverantwoordelijke heeft het recht om audits uit te laten voeren door een onafhankelijke en deskundige derde die aan geheimhouding is gebonden ter controle van naleving van artikelen 4.13 tot en met 4.15., zonder vertrouwelijke gegevens van Verwerker te gebruiken en in te zien en zonder de werkprocessen van Verwerker onnodig te verstoren. Als deskundige geldt dat de auditor een geregistreerde EDP-auditor is.
4.22 Deze audit mag maximaal eens per jaar plaatsvinden en enkel bij een door Verwerkingsverantwoordelijke concreet omschreven vermoeden van misbruik van persoonsgegevens, en pas nadat Verwerkingsverantwoordelijke bij de Verwerker aanwezige soortgelijke rapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door de Verwerkingsverantwoordelijke geïnitieerde audit alsnog rechtvaardigen. Verwerkingsverantwoordelijke zal de audit minstens vier weken van tevoren aankondigen, opdat Partijen zich gedegen kunnen voorbereiden.
4.23 Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers ter beschikking stellen, mits Verwerkingsverantwoordelijke de audit tijdig heeft aangekondigd.
4.24 De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.
4.25 De kosten van de audit worden door Verwerkingsverantwoordelijke gedragen.
4.26 Verwerker zal Verwerkingsverantwoordelijke ondersteunen bij het uitvoeren van een Privacy Impact Assessment (hierna: PIA) wanneer Xxxxxxxxx dit op grond van de AVG verplicht is. Deze ondersteuning kan zich onder andere uiten in het ter beschikking stellen van de benodigde informatie door Verwerker aan Verwerkingsverantwoordelijke, voor het correct uitvoeren van de PIA.
5 OVERIGE BEPALINGEN
5.1 Verwerker zal bij grote wijzigingen van haar organisatie en bij het ontwikkelen van Applicaties, die zullen worden gebruikt bij het Verwerken, het principe hanteren van Privacy- by-Desgin en Privacy-by-Default. Het aspect gegevensbescherming is daarmee een belangrijke leidraad in het project.
5.2 De Verwerker stelt een Functionaris Gegevensbescherming aan die als aanspreekpunt dient voor onderwerpen op het gebied van Gegevensbescherming.
5.3 De Verwerker draagt zorg voor een vastlegging van verwerkte persoonsgegevens, een zogenaamd ‘verwerkingsregister’.
5.4 Mocht er een geschil ontstaan over de inhoud van deze overeenkomst, dan is de meest gerede partij gerechtigd zich te wenden tot de bevoegde rechter in het arrondissement Haarlem.
5.5 Op deze overeenkomst zijn de Algemene Voorwaarden ICT~Office 2008, de modules ‘Algemeen’ en ‘4 ASP/ SaaS en Computerservice’ van toepassing, zoals die zijn aangehecht aan deze overeenkomst.
5.6 De Organisatie verklaart geen misbruik te zullen maken en geen strafbare feiten te zullen begaan van en met de server en de Applicaties. De Organisatie zal met inachtneming van de nodige zorgvuldigheid en op algemeen aanvaarde en gangbare wijze (“netetiquette”) de server en de Applicaties gebruiken. Bij (vermeend) misbruik wordt de Organisatie direct afgesloten van de Applicatie, en zullen de kosten en de volledige schade hiervan bij de Organisatie in rekening worden gebracht.
5.7 Bij tegenstrijdigheden in overeengekomen bepalingen zal de betreffende bepaling prevaleren in de volgorde:
1) Gebruiksovereenkomst
2) SLA-Verwerkersovereenkomst
3) Algemene Voorwaarden