VERWERKERSOVEREENKOMST
FarmaFlux
Xxxxxxxxxxxxxxxx 00
0000 Xxxxxxx
KBO 0536.680.412
VERWERKERSOVEREENKOMST
Preambule
FarmaFlux is een overkoepelende organisatie met als doel de veiligheid en de uniformiteit van de gegevensuitwisseling van en naar de apotheken te beheren. De apothekers wisselen hierbij al dan niet persoonsgebonden geneesmiddelen gebonden gezondheidsinformatie uit met het oog op het verhogen en waarborgen van de kwaliteit en doeltreffendheid van de farmaceutische zorg.
Teneinde voldoende waarborgen te bieden ten aanzien van de bescherming van de persoonlijke levenssfeer in het kader van de mededeling van persoonsgegevens die de gezondheid betreffen regelt FarmaFlux de uitvoering en de organisatie van die verwerking ervan.
Een sluitende beveiliging van de informatiestromen is van cruciaal belang. Zowel de privacy van de patiënt als van de apotheker moet absoluut gewaarborgd zijn. APB, OPHACO en de lokale beroepsverenigingen zijn ervan overtuigd dat deze voorwaarden het best gewaarborgd zijn wanneer alle gegevens volledig en uitsluitend beheerd worden door de beroepsgroep zelf.
Om de autonomie en de onafhankelijkheid van de apotheker te vrijwaren werd FarmaFlux op initiatief van de beroepsverenigingen opgericht. De beroepsverenigingen staan ook aan de wieg van het zogeheten Single Message Concept dat een beveiligde en gestandaardiseerde gegevensuitwisseling garandeert en dat in elke apotheeksoftware geïntegreerd kan worden.
De bijdrage voor het gebruik en het onderhoud van de vereiste technische infrastructuur bedraagt € 10 (excl. BTW) per maand en per apotheek, ongeacht het aantal toepassingen. FarmaFlux heeft APB gemachtigd deze bijdrage rechtstreeks te innen bij de apotheek aangesloten bij FarmaFlux.
Bij het sluiten van de verwerkersovereenkomst verbind je je aan de hierboven vermelde voorwaarden.
TUSSEN
apotheker-titularis : .................................................................................................................................
van de apotheek : ....................................................................................................................................
met stamnummer : ..................................................................................................................................
met maatschappelijke zetel gelegen te : .................................................................................................
ingeschreven in de Kruispuntbank der ondernemingen onder het nummer : ........................................
hierna de "Verwerkingsverantwoordelijke" .
EN
VZW FarmaFlux, met maatschappelijke zetel gelegen te Xxxxxxxxxxxxxxxx 00, 0000 Xxxxxxx, ingeschreven in de Kruispuntbank der ondernemingen onder het nummer 0536.680.412, hierbij vertegenwoordigd door Apotheker Xxxxxx Xxxxxxxxxx, voorzitter, hierna de "Verwerker".
Elk hierna afzonderlijk “Partij” en gezamenlijk “Partijen” genoemd,
WORDT HET VOLGENDE VERKLAARD
1. Deze overeenkomst heeft betrekking op de verwerking van Persoonsgegevens door de Verwerker in opdracht van de Verwerkingsverantwoordelijke en bevat het contractueel kader zoals wordt vereist in artikel 28 van de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna: “AVG”).
2. Persoonsgegevens worden verwerkt op volgende wijze: structureren, filteren, verwijderen, bijwerken, doorsturen en verzamelen van gegevens.
3. Persoonsgegevens worden verwerkt voor volgende doeleinden :
- de coherente en kwaliteitsvolle gegevensinzameling vanuit de voor het publiek opengestelde apotheken;
- een beveiligde en indien nodig versleutelde opslag van deze gegevens;
- het waarborgen van de uniformiteit en beveiliging van gegevensstromen van de gezondheidsgegevens tussen apothekers en tussen apothekers en enerzijds andere zorgverleners en anderzijds derden, na hiertoe de desgevallend vereiste machtiging te hebben verkregen door het bevoegde Sectoraal Comité bij de Commissie ter Bescherming van de Persoonlijke Levenssfeer.
- de verwerkte gegevens zijn beschikbaar voor finaliteiten in functie van farmaceutische zorg en administratieve vereenvoudiging waarvan een omschrijving terug te vinden is op de website van Farmaflux.
Bij uitbreiding of stopzetting van een finaliteit hierboven vermeld zal de Verwerkingsverantwoordelijke geïnformeerd worden door de Verwerker.
4. De Verwerker zal de soort Persoonsgegevens verwerken ten behoeve van de Verwerkingsverantwoordelijke zoals opgesomd in Bijlage 1 bij deze overeenkomst.
5. Het betreft de volgende categorieën van betrokkenen: apothekers, patiënten, artsen, verzekeringsinstellingen en tariferingsdiensten.
6. Voor de toepassing van deze overeenkomst wordt onder “Persoonsgegevens” begrepen de
gegevens die worden beschermd krachtens de bepalingen van de AVG.
EN WORDT HET VOLGENDE OVEREENGEKOMEN:
Artikel 1 – Verplichtingen van de Verwerker
1.1. De Verwerker verwerkt de Persoonsgegevens uitsluitend namens de Verwerkings-verantwoordelijke, op basis van diens schriftelijke instructies en deze overeenkomst. De verantwoordelijke voor de verwerking stelt de persoonsgegevens onverwijld ter beschikking van de verwerker met het oog op de verwerking ervan in het kader van de overeengekomen opdracht. Enkel de persoonsgegevens die strikt noodzakelijk zijn voor de uitvoering van deze overeenkomst mogen en kunnen door de verwerker worden verwerkt.
Indien de Verwerker dit niet kan doen en reden heeft om te geloven dat de op hem toepasselijke wetgeving hem ervan weerhoudt de instructies van de Verwerkingsverantwoordelijke en zijn verplichtingen krachtens deze overeenkomst na te komen, stelt hij voorafgaandelijk aan de verwerking de Verwerkingsverantwoordelijke hiervan in kennis. In dat geval heeft de Verwerkingsverantwoordelijke het recht de toegang tot of de mededeling van de gegevens op te schorten en/of de overeenkomst te beëindigen.
1.2. Om de rechten en vrijheden van personen te waarborgen, bevestigt de Verwerker dat hij, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s, technische en organisatorische veiligheidsmaatregelen heeft genomen en blijft nemen om een op het risico afgestemd beveiligingsniveau te waarborgen. Deze maatregelen worden verduidelijkt in Bijlage 2 bij deze overeenkomst.
1.3. De Verwerker waarborgt dat de personen in zijn dienst die tot het verwerken van de Persoonsgegevens gemachtigd zijn, zich ertoe verbonden hebben de vertrouwelijkheid van de Persoonsgegevens in acht te nemen.
1.4. De Verwerker waarborgt dat hij, rekening houdend met de aard van de verwerking, de Verwerkingsverantwoordelijke, door middel van passende technische en organisatorische maatregelen, voor zover mogelijk bijstand verleent bij het vervullen van diens plicht om verzoeken tot uitoefening van de in Hoofdstuk III van de AVG vastgestelde “Rechten van de betrokkene” te beantwoorden.
In dat verband zal de Verwerker de Verwerkingsverantwoordelijke onmiddellijk inlichten van enig rechtstreeks verzoek vanwege een betrokkene, zonder dat verzoek te beantwoorden, tenzij hij daar van de Verwerkingsverantwoordelijke anderszins toestemming voor of opdracht toe heeft gekregen.
1.5. De Verwerker waarborgt dat hij, rekening houdend met de aard van de verwerking van de gegevens en de hem ter beschikking staande informatie, de Verwerkingsverantwoordelijke bijstand verleent bij
het doen nakomen van de verplichtingen inzake de beveiliging van Persoonsgegevens zoals omschreven door artikelen 32 tot en met 34 AVG, inzake gegevensbeschermingseffectbeoordeling zoals omschreven door artikel 35 AVG en inzake voorafgaande raadpleging zoals omschreven door artikel 36 AVG.
1.6. De Verwerker waarborgt dat hij geen enkel Persoonsgegeven doorgeeft of anderszins beschikbaar of toegankelijk maakt aan landen of internationale organisaties buiten de Europese Economische Ruimte, tenzij hij hiertoe instructie heeft gekregen vanwege de Verwerkingsverantwoordelijke.
1.7. De Verwerker bewaart de Persoonsgegevens niet langer dan noodzakelijk is voor de uitvoering van deze overeenkomst. Het is de Verwerker toegelaten om in het kader van het voorwerp van deze overeenkomst een back-up te maken indien noodzakelijk bij het uitvoeren van de opdracht.
Na afloop van de verwerkingsdiensten zal de Verwerker de Persoonsgegevens wissen of aan de Verwerkingsverantwoordelijke terugbezorgen, naargelang de keuze van de Verwerkingsverantwoordelijke. Tevens zal de Verwerker bestaande kopieën van de Persoonsgegevens vernietigen. Op verzoek van de Verwerkingsverantwoordelijke zal de Verwerker het uitwissen van alle kopieën van de Persoonsgegevens bevestigen.
Indien opslag van de Persoonsgegevens verplicht is op basis van de toepasselijke wet- en regelgeving zal de Verwerker de Verwerkingsverantwoordelijke hiervan informeren, tenzij die wet- en regelgeving deze informatie verbiedt.
1.8. De Verwerker bevestigt uitdrukkelijk dat hij geen enkel Persoonsgegeven ontvangen door de Verwerkingsverantwoordelijke of daaruit afgeleide informatie bekend zal maken aan enige derde partij, dat hij op geen enkel moment de Persoonsgegevens voor eigen behoeften of doeleinden zal gebruiken en/of verwerken en dat hij deze Persoonsgegevens niet zal kopiëren (tenzij dat strikt noodzakelijk is voor de uitvoering van deze overeenkomst).
Elke door de verwerker wettelijk verplichte mededeling van de persoonsgegevens aan derden moet door de verwerker vooraf ter kennis worden gebracht aan de verantwoordelijke voor de verwerking.
Artikel 2 – Geen overdracht van rechten of sub-verwerking
2.1 De Verwerker heeft niet het recht om enig recht en/of verplichting krachtens deze overeenkomst aan een derde partij toe te kennen of anderszins aan een derde partij over te dragen, zonder de voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke.
2.2 De Verwerker neemt, zonder de voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke, geen andere verwerker in dienst (via een contract inzake sub- verwerking) voor de uitvoering van enig onderdeel van deze overeenkomst.
2.3 Vooralsnog wordt de schriftelijke toestemming van de Verwerkingsverantwoordelijke bedoeld in 2.1 en 2.2 algemeen verleend. Dit houdt in dat de Verwerker de Verwerkingsverantwoordelijke inlicht over elke verandering op het niveau van het beheer van de gegevens die hij beoogt inzake de toevoeging of vervanging van andere verwerkers. Daarbij heeft de Verwerkingsverantwoordelijke de mogelijkheid om tegen deze veranderingen bezwaar te maken.
2.4 De Verwerker wordt niet van enige verplichting krachtens deze overeenkomst vrijgesteld door het sluiten van enig sub-verwerkingscontract voor de uitvoering van een onderdeel van deze overeenkomst. De verwerkingsdiensten door de sub-verwerker moeten worden uitgevoerd krachtens
deze overeenkomst. Op eenvoudig verzoek verstrekt de Verwerker aan de Verwerkingsverantwoordelijke onmiddellijk een kopie van eventuele sub-verwerkingscontracten, desgevallend met uitzondering van de financiële regeling tussen Verwerker en sub-verwerker.
Artikel 3 - Audit
De Verwerker verbindt er zich uitdrukkelijk toe elke audit, controle of onderzoek, rechtstreeks dan wel onrechtstreeks, via een daartoe gemachtigde persoon of organisatie, door de Verwerkings- verantwoordelijke om na te gaan of de Verwerker zijn verplichtingen nakomt, mogelijk te maken en eraan bij te dragen.
In dat geval verstrekt de Verwerker, op verzoek van de Verwerkingsverantwoordelijke, onder andere alle informatie die nodig is om aan te tonen dat de verplichtingen die verbonden zijn aan de tussenkomst van een verwerker, zoals omschreven door artikel 28 AVG, worden nagekomen. Dit betreft met name de informatie met betrekking tot zijn verwerking van de Persoonsgegevens en de genomen veiligheidsmaatregelen.
In dit kader verbindt de Verwerker zich er ook toe om aan de Verwerkingsverantwoordelijke toegang te geven tot zijn lokalen voor gegevensverwerking om de naleving van deze overeenkomst te kunnen nagaan.
Artikel 4 – Datalekken en beveiligingsincidenten
4.1 De Verwerker informeert de Verwerkingsverantwoordelijke zo spoedig mogelijk en uiterlijk binnen de 24 uur na de eerste ontdekking over alle inbreuken op de beveiliging alsmede andere incidenten die op grond van de AVG dienen te worden gemeld aan de toezichthouder en/of de betrokkene. De Verwerker zal de Verwerkingsverantwoordelijke daarbij voorzien van de informatie die hij redelijkerwijs nodig heeft om, indien nodig, een juiste en volledige melding te doen aan de toezichthouder en/of de betrokkene.
4.2 De Verwerker zal de Verwerkingsverantwoordelijke bijstaan bij diens verplichtingen voortvloeiend uit het artikel 33 en 34 van de GDPR.
Artikel 5 – Aansprakelijkheid
5.1 De Verwerker leeft de toepasselijke wet- en regelgeving inzake de bescherming van Persoonsgegevens na. De Verwerker is daarbij enkel aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer
(1) bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van de AVG en andere wet- en regelgeving of (2) buiten dan wel in strijd met de instructies van de Verwerkingsverantwoordelijke is gehandeld.
5.2 De Verwerker vrijwaart de Verwerkingsverantwoordelijke van enige vordering door een derde partij op grond van een schending van de toepasselijke regelgeving en/of deze overeenkomst waarvoor de Verwerker verantwoordelijk is.
5.3 De Verwerker zal zijn aansprakelijkheid naar behoren verzekeren. Op verzoek legt de Verwerker een kopie van de polis aan de Verwerkingsverantwoordelijke voor.
Artikel 6 – Duurtijd
6.1 Deze overeenkomst neemt een aanvang op de datum van ondertekening door beide Partijen en blijft van kracht voor onbepaalde duur.
6.2 Elke Partij mag deze overeenkomst beëindigen door aan de andere Partij een schriftelijke kennisgeving daartoe te bezorgen. Daarbij moet rekening worden gehouden met een opzeggingstermijn die 1 maand
bedraagt. Deze opzeggingstermijn gaat in de eerste dag van de maand die volgt op het verzenden van de opzegging – de poststempel geldt hierbij als bewijs.
6.3 Bij wijziging van apotheker – titularis gaat onderhavige overeenkomst over op de nieuwe apotheker - titularis, tenzij deze laatste de overeenkomst per aangetekend schrijven opzegt ten laatste 7 kalenderdagen na de wijziging van het titulariaat en dit met onmiddellijke ingang.
6.4 De Verwerkingsverantwoordelijke mag deze overeenkomst onmiddellijk beëindigen, zonder zich te wenden tot een rechtbank, door aan de Verwerker een schriftelijke kennisgeving van beëindiging te overhandigen, als:
1) de Verwerker inbreuk pleegt op deze overeenkomst en deze inbreuk niet kan worden ongedaan gemaakt;
2) de Verwerker inbreuk pleegt op deze overeenkomst en deze inbreuk weliswaar ongedaan kan worden gemaakt, maar de Verwerker er niet in slaagt de inbreuk ongedaan te maken binnen een periode van 30 dagen na overhandiging van een schriftelijke ingebrekestelling aan de Verwerker om de inbreuk ongedaan te maken.
3) de Verwerker failliet gaat of betrokken is in een vereffening of ontbinding.
Artikel 7 – Diversen
7.1 Als een of meerdere bepalingen van deze overeenkomst nietig of onhaalbaar worden verklaard, vervangen de Partijen de genoemde bepaling(en) door (een) geldige en haalbare bepaling(en) die zoveel mogelijk de economische, commerciële of andere beoogde doelstellingen van de nietig of onhaalbaar verklaarde bepaling(en) realiseert (/realiseren). De overige bepalingen van deze overeenkomst blijven onverminderd van kracht.
7.2 Het loutere feit dat een Partij niet aandringt op strikte naleving van een bepaling van de overeenkomst of dat niet afdwingt, kan niet worden geïnterpreteerd als afstand of opgave van de rechten van die Partij, tenzij zulks schriftelijk wordt bevestigd.
Artikel 8 – Toepasselijk recht en Geschillen
De huidige overeenkomst wordt beheerst door het Belgisch recht.
Enig geschil tussen de Partijen wordt beslecht door de rechtbank van het arrondissement waar de hoofdzetel van de verwerker gelegen is.
Opgemaakt te [PLAATS], op [DATUM] in twee originele exemplaren, waarbij elke Partij bevestigt dat zij een exemplaar heeft ontvangen.
(handtekening) (handtekening)
Voor de Verwerkingsverantwoordelijke, Voor de Verwerker,
[NAAM TITULARIS] Apotheker Xxxxxx Xxxxxxxxxx
Apotheker-titularis Voorzitter
Bijlage 1: Categorieën van persoonsgegevens
Bijlage 2: Veiligheidsmaatregelen en contactgegevens DPO
Bijlage 1: Categorieën van persoonsgegevens
identificatiegegevens | persoonlijke identificatiegegevens elektronische identificatiegegevens | - Naam en contactgegevens patiënt en arts - RIZIV-nummers arts, apotheker en tariferingsdienst - CBFA-nummer van de private verzekering |
gegevens betreffende gezondheid | gegevens met betrekking tot de zorg | - Gegevens rond de medicatie afgeleverd aan de patiënt - Dossiernummers eigen aan een private verzekering van de patiënt |
Rijksregisternummer | - INSZ van de patiënt |
Bijlage 2: Veiligheidsmaatregelen en contactgegevens DPO (Functionaris voor de Gegevensbescherming)
1. De passende technische en organisatorische veiligheidsmaatregelen zoals vermeld in artikel 1.2 van de overeenkomst, worden hieronder opgelijst:
• Farmaflux beschikt over een veiligheidsbeleid en is georganiseerd volgens standaarden met betrekking tot informatiebeveiliging.
Zowel een DPO als een veiligheidsconsulent zijn door FarmaFlux aangesteld.
• Een meldpunt is tevens per mail voorzien via xxxxxxx@xxxxxxxxx.xx
• Elk van de Farmaflux medewerkers en externe medewerkers volgen het veiligheidsbeleid en zijn onderworpen aan een specifieke vertrouwelijkheidsverklaring.
• Het beheer van bedrijfsmiddelen van Farmaflux staat onder beheer van de vigerende raad van bestuur vertegenwoordigd door APB, OPHACO en de lokale beroepsverenigingen.
• Er is een systeem van toegangsbeveiliging.
Cryptografie is van toepassing op het Gedeeld Farmaceutisch Dossier en bij elke doorregistraties.
De fysieke omgeving van de gebruikte servers voldoet aan alle ISO27002 normen.
• Operationele veiligheid berust op enkel geautoriseerde toegang op basis van eHealth authenticatie of andere erkende certificate authorities. Deze toegang is specifiek en gescheiden per aangeboden dienst waaronder GFD, Assurpharma, RaOTD, etc. Communicatiebeveiliging berust op multifactor authentication, een beveiligde gegevenstransportlaan en daarbovenop een versleuteling van de – al dan niet reeds versleutelde – gegevens tijdens transport.
• Leveranciers- en verwerkersrelaties zijn onderworpen aan ISO27002 vereisten.
Het beheer van informatieveiligheidsincidenten gebeurt door de aangestelde DPO en de veiligheidsconsulent.
Het continuïteitsbeheer berust op een continue monitoring en preventief onderhoud van de applicaties en de infrastructuur.
Compliance en naleving wordt verzekerd door de DPO en de veiligheidsconsulent.
In geval van gegevensinbreuken worden de informatiemeldingen beheerd door de DPO en de veiligheidsconsulent.
2. De DPO van Farmaflux is te bereiken op: xxxxxxx@xxxxxxxxx.xx