Partijen Opdrachtgever, verder te noemen PRAKTIJK, en: CROSSUITE Bvba gevestigd op Katwilgweg 2, 2050 Antwerpen, België

Crossuite verwerkersovereenkomst

Partijen

Opdrachtgever, verder te noemen PRAKTIJK,

en:

CROSSUITE Bvba gevestigd op Xxxxxxxxxx 0, 0000 Xxxxxxxxx, Xxxxxx

dezen rechtsgeldig vertegenwoordigd door Xxx xxx Xxxxx Xxxxx en Xxxxxxxx Xxxxxxx verder ‘CROSSUITE’ genoemd.

in aanmerking nemende dat:

A. PRAKTIJK een patiëntenbeheerplatform in de vorm van een webapplicatie (verder “Portaal”),ontwikkeld door CROSSUITE, in gebruik wenst te nemen.

B. PRAKTIJK en CROSSUITE hiertoe een Overeenkomst hebben gesloten

C. In het kader van die Overeenkomst verwerkt CROSSUITE Persoonsgegevens, verkregen door PRAKTIJK

D. In deze verwerkersovereenkomst zijn de afspraken die gemaakt zijn tussen PRAKTIJK en CROSSUITE over het verwerken van de Persoonsgegevens vastgelegd

E. In aanvulling op het bepaalde in de Overeenkomst, komen Partijen in het licht van GDPR en wbp (wet bescherming persoonlijk levensfeer) het volgende overeen.

Artikel 1. Definities

1.1 In deze Verwerkersovereenkomst hebben de volgende begrippen, steeds aangeduid met een hoofdletter, zowel in enkelvoud als in meervoud, de volgende betekenis:

a. Betrokkene: Degene op wie de Persoonsgegevens betrekking hebben, zoals bedoeld in art. 1 1992-12-08/32 § 1 of GDPR art3 §9;

b. Bewerker: De bewerker als bedoeld in art. 1 1992-12-08/32 § 5 of GDPR art3 §9. In deze Verwerkersovereenkomst CROSSUITE

c. Verwerkersovereenkomst: Deze Verwerkersovereenkomst, welke onlosmakelijk onderdeel uitmaakt van de Overeenkomst, ter neerlegging van de afspraken zoals bedoeld in GDPR art 19

d. Overeenkomst: Het geheel van de tussen PRAKTIJK en CROSSUITE gesloten overeenkomsten/contracten inclusief bijlagen ten behoeve van ingebruikname van het Portaal;

e. Lek: Verlies of ongeautoriseerde verwerking van Persoonsgegevens, of het bekend worden van een gebrek in de beveiliging die een aanmerkelijk risico daarop teweegbrengt;

f. Partijen: PRAKTIJK en CROSSUITE;

g. Persoonsgegevens: Gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon, zoals bedoeld in GDPR art3 §1;

h. Verantwoordelijke: De verantwoordelijke als bedoeld in art. 1 1992-12-08/32 § 4 of GDPR art3 §8. In deze Verwerkersovereenkomst PRAKTIJK;

i. Verwerking: Elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van Persoonsgegevens, zoals bedoeld in art. 3 1992-12-08/32: Wet bescherming persoonsgegevens of GDPR art3 §2

Artikel 2. Duur en beëindiging

2.1 Deze Verwerkersovereenkomst komt automatisch tot stand na ondertekening van de (licentie)Overeenkomst van Crossuite.

2.2 Deze Verwerkersovereenkomst eindigt van rechtswege op het moment dat de (licentie) Overeenkomst eindigt.

2.3 CROSSUITE zal bij beëindiging van de Overeenkomst op verzoek van PRAKTIJK en tegen vergoeding van de redelijke kosten de Persoonsgegevens in een gangbaar formaat ter beschikking stellen aan PRAKTIJK of aan een door PRAKTIJK aangewezen Derde.

2.4 CROSSUITE zal na overdracht van de Persoonsgegevens aan PRAKTIJK de nog aanwezige Persoonsgegevens verzegelen, of indien op verzoek van PRAKTIJK vernietigen. In dit geval zal CROSSUITE tevens zorgdragen voor vernietiging van de Persoonsgegevens bij de Sub-bewerkers.

Artikel 3. Reikwijdte van Verwerkersovereenkomst en Verwerking door CROSSUITE

3.1 CROSSUITE zal de Persoonsgegevens die ter beschikking worden gesteld enkel verwerken met het oog op de uitvoering van de Overeenkomst.

3.2 PRAKTIJK stelt de doeleinden vast voor de Verwerking van Persoonsgegevens. CROSSUITE verwerkt Persoonsgegevens in opdracht van PRAKTIJK uitsluitend met als doel het faciliteren van het Portaal.

3.3 PRAKTIJK stelt CROSSUITE op de hoogte van verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd. In bijlage 1 bij deze Verwerkersovereenkomst zijn de door PRAKTIJK gestelde verwerkingsdoeleinden geformuleerd en maken onverbrekelijk deel uit van deze Verwerkersovereenkomst. CROSSUITE zal de Persoonsgegevens niet voor een ander doeleinde Verwerken dan door PRAKTIJK is vastgesteld.

3.4 CROSSUITE Verwerkt de Persoonsgegevens uitsluitend binnen de Europese Unie.

3.5 CROSSUITE is louter verantwoordelijk voor de Verwerking van Persoonsgegevens via de door haar onder de Overeenkomst aangeboden dienst, onder de in de Verwerkersovereenkomst genoemde voorwaarden. Voor de overige Verwerkingen van Persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de Persoonsgegevens door PRAKTIJK en/of derden, is CROSSUITE uitdrukkelijk niet verantwoordelijk.

3.6 De verantwoordelijkheid voor de Persoonsgegevens die met gebruikmaking van een door CROSSUITE verleende dienst worden Verwerkt, ligt uitsluitend bij PRAKTIJK.

3.7 PRAKTIJK garandeert de naleving van de in de Overeenkomst genoemde afspraken, waaronder in ieder geval begrepen maar niet beperkt tot de daarin genoemde besluiten, overeenkomsten en wet - en regelgeving.

Artikel 4. Beveiliging

4.1 CROSSUITE zal zorgen voor een adequaat niveau van beveiliging van de door haar Verwerkte Persoonsgegevens tegen misbruik en ongeauthoriseerd gebruik.

4.2 CROSSUITE neemt passende technische en organisatorische maatregelen om de

Persoonsgegevens van PRAKTIJK te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. CROSSUITE draagt zorg voor de nodige technische en organisatorische aard m.b.t. tot de beveiliging volgens de norm

NEN 7510, waarvoor Crossuite is gecertificeerd (TPM 2017) . De datacenters waar CROSSUITE gebruik van maakt voldoen aan de ISO27001 norm.

Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de GDPR art29. PRAKTIJK is gerechtigd om in overleg met CROSSUITE tijdens de looptijd van de Overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit.

PRAKTIJK zal alle kosten in verband met deze controle dragen.

4.3 CROSSUITE garandeert in ieder geval de volgende maatregelen te hebben genomen:

- Logische toegangscontrole, 2-step authenticatie

- Fysieke maatregelen voor toegangsbeveiliging

- SSL verbindingen

- Registratie security incidenten

- Doelgebonden toegangsbeperkingen

- Controle op toegekende bevoegdheden.

CROSSUITE kan ieder moment de maatregelen eenzijdig aanpassen, maar alleen zonder het niveau van de beveiliging te verminderen.

4.4 PRAKTIJK is verantwoordelijk voor de naleving van de door Partijen genomen Maatregelen (zie Overeenkomst CROSSUITE)

4.5 CROSSUITE staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. De beveiliging zal echter steeds voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de Persoonsgegevens en de, aan het treffen van de beveiliging verbonden, kosten niet onredelijk zijn.

4. 6 Op eerste verzoek van CROSSUITE zal PRAKTIJK binnen 2 werkdagen CROSSUITE schriftelijk informeren over de wijze waarop PRAKTIJK uitvoering geeft aan haar verplichtingen, op grond van de wet - en regelgeving, op het gebied van de bescherming van Persoonsgegevens, waaronder in ieder geval begrepen de Wbp en GDPR.

Artikel 5. Audits

5.1 PRAKTIJK heeft het recht om periodiek audits uit te (laten) voeren ter controle van de afspraken onder deze Verwerkersovereenkomst.

5.2 CROSSUITE zal de voor de audits benodigde ondersteunende gegevens zoals systeemlogs bewaren.

5.3 De personen die de audit uitvoeren zullen zich conformeren aan de beveiligingsprocedures zoals die bij CROSSUITE van kracht zijn.

5.4 CROSSUITE zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie zo tijdig mogelijk ter beschikking stellen.

5.5 De kosten van een audit worden door PRAKTIJK gedragen.

5.6 PRAKTIJK zal niet eerder aanvangen met een audit dan 14 (veertien) dagen na voorafgaande schriftelijke aankondiging. Indien datum en tijdstip van de audit CROSSUITE niet gelegen komt, zal CROSSUITE daarvan PRAKTIJK op de hoogte stellen en een voorstel doen voor een vervangende datum.

Artikel 6. Vrijwaringen

6.1 CROSSUITE vrijwaart PRAKTIJK tegen elke rechtsvordering van derden, uit welke hoofde dan ook, in verband met de Persoonsgegevens of de uitvoering van de Verwerkersovereenkomst en/of Overeenkomst, tenzij CROSSUITE bewijst alle technische en organisatorische maatregelen ter beveiliging van de Persoonsgegevens te hebben genomen zoals omschreven in deze Verwerkersovereenkomst.

6.2 Zijn de rechtsvorderingen van derden in verband met de Persoonsgegevens of de uitvoering van de Verwerkersovereenkomst en/of Overeenkomst het gevolg van opzet of grove nalatigheid gepleegd door CROSSUITE dan is CROSSUITE in ieder geval PRAKTIJK vrijwaring verschuldigd.

Artikel 7. Geheimhouding

7.1 Op alle Persoonsgegevens die CROSSUITE van PRAKTIJK ontvangt en/of zelf verzamelt of dient te verzamelen met het doel deze te Verwerken overeenkomstig het in de Overeenkomst daartoe bepaalde, rust een geheimhoudingsplicht jegens derden.

7.2 CROSSUITE is zich bewust dat de informatie die de klant met CROSSUITE deelt en

opslaat binnen het Portaal een geheim en bedrijfsgevoelig karakter heeft. Alle CROSSUITE medewerkers zullen gedurende hun dienstverband en daarna, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde wijze met de informatie van PRAKTIJK omgaan.

7.3 CROSSUITE zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij

deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot PRAKTIJK of natuurlijke personen, zoals de Betrokkene, herleidbaar is.

7.4 De geheimhoudingsplicht is niet van toepassing voor zover PRAKTIJK of de Betrokkene zelf uitdrukkelijk toestemming heeft gegeven of indien en voor zover er een wettelijke verplichting bestaat om informatie aan een derde te verstrekken.

7.5 Indien CROSSUITE van de diensten van derden gebruik maakt, zorgt zij er onvoorwaardelijk voor dat deze derden dezelfde geheimhoudingsplicht als tussen Partijen is overeengekomen schriftelijk zal aanvaarden en deze geheimhoudingsplicht ook strikt zal naleven.

7.6 Medewerkers met toegang tot Persoonsgegevens van PRAKTIJK:

1. Systeembeheerders van CROSSUITE hebben volledige toegang tot de gegevens van de PRAKTIJK voor:

● het plaatsen van een nieuwe versie, build of update;

● het doorvoeren van patches en hotfixes;

● het maken van een back-up;

● het verplaatsen van een omgeving.

2. Consultants, supportmedewerkers en andere CROSSUITE medewerkers hebben toegang tot hetgeen waar zij toestemming voor hebben ontvangen van de PRAKTIJK en voor zolang zij toestemming hebben van de PRAKTIJK.

Artikel 8. Meldplicht

8.1 De meldplicht datalekken in de GDPR eist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verantwoordelijke van de data.

In het geval van een Lek, zal CROSSUITE daarover informeren. CROSSUITE beoordeelt

of zij de Betrokkene(n) en/of de relevante toezichthouder(s) zal informeren of niet, en staat voor die keuze in.

8.2 De meldplicht behelst in ieder geval het melden van het feit dat er een Lek is

geweest, alsmede: Wat de (vermeende) oorzaak is van het Lek; Wat is het (vooralsnog bekende en/of te verwachten) gevolg; Wat is de (voorgestelde) oplossing.

8.3 CROSSUITE als bewerker zal PRAKTIJK tijdig, juist en volledig informeren over relevante incidenten, zodat XXXXXXXX als verantwoordelijke aan zijn wettelijke verplichtingen kan voldoen.

Artikel 9. Rechten van Betrokkene

In het geval dat Betrokkene een verzoek doet tot inzage, zoals bedoeld in art. 12 GDPR , of verbetering, aanvulling, wijziging of afscherming, zoals bedoeld in art. 16 GDPR, zullen Partijen het nodige doen dit verzoek in te willigen.

Artikel 10. Inschakelen van derden

10.1 PRAKTIJK heeft CROSSUITE toestemming gegeven om in het kader van de uitvoering van de Verwerkersovereenkomst derden in te schakelen.

10.2 CROSSUITE is volledig verantwoordelijk voor deze derden en zal deze derden

minstens dezelfde verplichtingen ten opzichte van PRAKTIJK opleggen als voor haarzelf die uit deze Verwerkersovereenkomst voortvloeien.

Artikel 11. Aansprakelijkheid

11.1 CROSSUITE is verantwoordelijk voor schade die het gevolg is van niet, niet tijdige of niet behoorlijke nakoming van de Verwerkersovereenkomst voor zover CROSSUITE haar verplichtingen volgens de wet hierdoor niet nakomt.

11.2 PRAKTIJK is aansprakelijk voor alle schade of nadeel die voortvloeit uit de niet nakoming van de Overeenkomst en/of deze Verwerkersovereenkomst en gegrond is op de betreffende wet- en regelgeving, tenzij de betreffende niet nakoming niet toerekenbaar is aan PRAKTIJK.

11.3 Partijen zullen zich gedurende de Verwerkersovereenkomst adequaat verzekerd hebben en houden. De verzekeringsvoorwaarden hiertoe kunnen op verzoek worden ingezien.

11.4 Voor zover Partijen aansprakelijk zijn voor de schade of nadeel voortvloeiend uit de niet nakoming van deze Verwerkersovereenkomst of uit onrechtmatige daad of anderszins, dan is deze aansprakelijkheid beperkt tot het maximale bedrag waarvoor de bedrijfs- en/of beroepsaansprakelijkheidsverzekering schade uitkeert.

Artikel 12. Geschillenregeling

12.1 Op de Verwerkersovereenkomst is uitsluitend het recht van het land waar de PRAKTIJK gevestigd is van toepassing

12.2 Alle geschillen die ontstaan naar aanleiding van deze Verwerkersovereenkomst worden beslecht op dezelfde wijze als opgenomen in de Overeenkomst.

Artikel 13. Voorrang

Op de Verwerkersovereenkomst is de Overeenkomst van toepassing. In het geval van eventuele tegenstrijdigheid tussen de (licentie)Overeenkomst en de Verwerkersovereenkomst, heeft het bepaalde in de Verwerkersovereenkomst voorrang.

BIJLAGE 1

A. Categorieën Betrokkenen

De personen waarop de Persoonsgegevens betrekking hebben zijn in ieder geval: patiënten

huurders

B. Soort Persoonsgegevens

De Persoonsgegevens die door VERWERKER/CROSSUITE worden verwerkt zijn in ieder geval:

NAW-gegevens, telefoonnummers, e-mailadres(sen) Vermelding zorgverzekeraar

INSZ

Beschrijving pathologie Geboortedatum

Naam huisarts Beroep

Xxxxx’x en sport Familiesituatie

C. Aard en doel van de verwerking

De aard van de verwerking: ten behoeve van behandeling worden onderzoeks- gegevens en behandeljournaals gedocumenteerd. De Persoonsgegevens worden in ieder geval voor de volgende doelen verwerkt:

Doeleinden van de verwerking:

• Verwerking met als doel een adequate behandeling te kunnen laten plaatsvinden, deze te monitoren en te evalueren;

• Verwerking met als doel de bereikbaarheid van patiënt en/of huisarts mogelijk te maken;

• Verwerking met als doel het maken van een afspraak voor behandeling van de patiënt.

• Verweking met als doel het in rekening brengen van de behandeling(en)

• Verwerking met als doel de kosten van de behandelingen((en) door te belasten aan zorgverzekeraar

• Verweking met als doel, na instemming van de patiënt, verstrekken van een verslag, rapportage aan een derde.