TOEPASSELIJKHEID
Versie 1.7 – 01-05-2021
TOEPASSELIJKHEID
Deze Verwerkersovereenkomst is van toepassing op alle vormen van verwerking van Persoonsgegevens die Em- bloom B.V. (hierna: Verwerker) uitvoert ten behoeve van wederpartij aan wie zij diensten levert (hierna: Verwer- kingsverantwoordelijke). Verwerkingsverantwoordelijke gaat door het gebruik te maken van de diensten van Verwerker, middels het activeren van en inloggen op het beschikbaar gestelde (proef)account, akkoord met deze overeenkomst en de voorwaarden daarvan. De Algemene Voorwaarden van Verwerker zijn van toepassing op en maken onslosmakelijk deel uit van deze Verwerkersovereenkomst.
OVERWEGENDE DAT:
(a) Verwerkingsverantwoordelijke gebruik wenst te maken van de diensten van Verwerker inzake het ontwikkelen en beschikbaar stellen van de Applicatie(s) waarin diverse instrumenten zijn opgeno- men ten behoeve van het meten, monitoren en behandelen van cliënten/patiënten binnen de ge- zondheidszorg;
(b) De Diensten meebrengen dat Persoonsgegevens worden verwerkt, waaronder gegevens betref- fende de gezondheid;
(c) Verwerker de betreffende gegevens louter in opdracht van Verwerkingsverantwoordelijke verwerkt en niet voor eigen doeleinden;
(d) Partijen in deze Verwerkersovereenkomst de afspraken met betrekking tot de verwerking van Per- soonsgegevens in het kader van de diensten wensen vast te leggen;
(e) Deze Verwerkersovereenkomst, indien van toepassing, alle eerdere Overeenkomst(en) van gelijke strekking tussen Partijen vervangt;
(f) Deze Verwerkersovereenkomst is afgeleid van het model Verwerkersovereenkomst Brancheorgani- saties Zorg (BOZ) van 12 december 2017.
VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:
Artikel 1. Definities
1.1. In deze Verwerkersovereenkomst wordt onder de volgende met een hoofdletter aangeduide begrippen het volgende verstaan:
a) | Algemene Verordening Gege- vens Bescherming of AVG | Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van na- tuurlijke personen in verband met de verwerking van persoons- gegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG. |
b) | Betrokkene | een geïdentificeerde of identificeerbare natuurlijke persoon (ar- tikel 4 sub 1 AVG). |
c) | Derde | een derde als bedoeld in artikel 4 sub 10 AVG. |
d) | Functionaris voor de Gege- vensbescherming | een functionaris als bedoeld in artikel 37 e.v. AVG. |
e) | Incident | i een klacht of (informatie)verzoek van een Betrokkene met |
betrekking tot de verwerking van Persoonsgegevens door Verwerker;
ii een onderzoek naar of beslaglegging door overheidsfunc- tionarissen op de Persoonsgegevens of een vermoeden dat dit gaat plaatsvinden;
iii een inbreuk in verband met Persoonsgegevens als be- doeld in artikel 4 onder 12 AVG;
iv iedere ongeautoriseerde toegang, verwijdering, vermin- king, verlies of enige andere vorm van onrechtmatige ver- werking van de Persoonsgegevens.
f) | Medewerker | de door Partijen voor de uitvoering van deze Verwerkersover- eenkomst betrokken natuurlijke persoon die werkzaam is bij of voor een van de Partijen. |
g) | Overeenkomst(en) | iedere overeenkomst, waaronder mede wordt verstaan proef- account, op grond waarvan Verwerker diensten levert aan Ver- werkingssverantwoordelijke, waarbij Verwerker Persoonsgege- vens verwerkt voor Verwerkingsverantwoordelijke. |
h) | Partij | Verwerkingsverantwoordelijke of Verwerker. |
i) | Partijen | Verwerkingsverantwoordelijke en Verwerker. |
j) | Persoonsgegevens | alle informatie over een geïdentificeerde of identificeerbare na- tuurlijke persoon in de zin van artikel 4 onder 1 AVG. |
k) | Subverwerker | iedere niet-ondergeschikte derde partij die door Xxxxxxxxx is betrokken bij de verwerking van Persoonsgegevens in het ka- der van de Overeenkomst, niet zijnde Medewerkers. |
l) | Verwerker | de verwerker als bedoeld in artikel 4 sub 8 AVG. |
m) | de onderhavige overeenkomst. | |
n) | Verwerkingsverantwoorde- lijke | de verwerkingsverantwoordelijke als bedoeld in artikel 4 sub 7 AVG. |
1.2. Voornoemde en overige begrippen worden geïnterpreteerd overeenkomstig de AVG.
1.3. Waar in deze Verwerkersovereenkomst naar bepaalde normen wordt verwezen (zoals NEN7510) wordt daarmee steeds gedoeld op de meest actuele versie daarvan. Voor zover de betreffende norm niet meer wordt onderhouden, dient in de plaats daarvan de meest actuele versie van de logische opvolger van de betreffende norm gelezen te worden.
Artikel 2. Onderwerp van deze Verwerkersovereenkomst
2.1. Deze Verwerkersovereenkomst heeft betrekking op de verwerking van Persoonsgegevens door Xxxxxx- ker in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeen- komst(en).
2.2. Partijen sluiten de Overeenkomst(en) om de expertise die Verwerker heeft als het gaat om het verwerken en beveiligen van Persoonsgegevens te gebruiken voor de uit de Overeenkomst(en) voortvloeiende en in deze Verwerkersovereenkomst nader beschreven doeleinden. Verwerker staat er voor in dat hij hiertoe gekwalificeerd is.
2.3. Deze Verwerkersovereenkomst maakt onverbrekelijk deel uit van de Overeenkomst(en). Voor zover het bepaalde in de Verwerkersovereenkomst strijdig is met het bepaalde in de Overeenkomst(en), prevaleert het bepaalde in de Verwerkersovereenkomst.
Artikel 3. Uitvoering verwerking
3.1. Verwerker garandeert dat hij ten behoeve van Verwerkingsverantwoordelijke uitsluitend Persoonsgege- vens zal verwerken voor zover:
a) dit noodzakelijk is voor de uitvoering van de Overeenkomst (binnen de kaders als gespecificeerd in bijlage 1); of
b) Verwerkingsverantwoordelijke daartoe nadere schriftelijke instructies heeft gegeven.
3.2. In het kader van het bepaalde in het eerste lid van artikel 3 onder a) zal Verwerker uitsluitend de in bijlage 1 gespecificeerde Persoonsgegevens verwerken in het kader van de in die bijlage beschreven aard en doeleinden van de verwerking.
3.3. Verwerker zal alle redelijke instructies van Verwerkingsverantwoordelijke in verband met de verwerking van de Persoonsgegevens opvolgen. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens.
3.4. Onverminderd het bepaalde in het eerste lid van dit artikel 3, is het Verwerker toegestaan om Persoons- gegevens te verwerken indien een wettelijk voorschrift (waaronder begrepen daarop gebaseerde rechter- lijke of bestuurlijke bevelen) hem tot een verwerking verplicht. In dat geval stelt de Verwerker vooraf- gaand aan de verwerking Verwerkingsverantwoordelijke in kennis van de beoogde verwerking en het wet- telijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Verwerker zal Verwerkingsverantwoordelijke, waar mogelijk, in staat stellen zich te verweren te- gen deze verplichte verwerking en ook overigens de verplichte verwerking beperken tot het strikt noodza- kelijke.
3.5. Verwerker zal de Persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze verwerken en in overeenstemming met de op hem als Verwerker rustende verplichtingen op grond van de AVG en overige wet- en regelgeving. Verwerker zal in dat kader ten minste een register van verwerkingen aanleggen als bedoeld in artikel 30 AVG en Verwerkingsverantwoordelijke op eerste verzoek een kopie van dat register verstrekken.
3.6. Indien de dienstverlening door Verwerker de verwerking van gezondheidsgegevens of andere bijzondere Persoonsgegevens impliceert, garandeert Verwerker dat hij niet in strijd met gezondheidswetgeving zal handelen.
3.7. Verwerkingsverantwoordelijke verleent Verwerker toestemming om Persoonsgegevens te verwerken of laten verwerken door hemzelf of door derden in landen buiten de Europese Economische Ruimte (“EER”), met dien verstande dat Verwerker de Verwerkingsverantwoordelijke voor de start van de inzet infor- meert. De Verwerkingsverantwoordelijke kan bezwaar maken tegen de verwerking buiten de EER, waarna Partijen in onderling overleg zullen zoeken naar een passende oplossing. Indien geen passende oplossing wordt gevonden is het Verwerkingsverantwoordelijke toegestaan de Overeenkomst met Verwerker met onmiddellijke ingang te beëindigen.
3.8. Verwerker waarborgt dat betrokken Medewerkers een geheimhoudingsovereenkomst hebben getekend en geeft Verwerkingsverantwoordelijke op verzoek inzage in deze geheimhoudingsovereenkomst.
Artikel 4. Beveiliging Persoonsgegevens en controle
4.1. Verwerker zal aantoonbaar, passende en doeltreffende technische en organisatorische beveiligingsmaat- regelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstem- men met de (in bijlage 1 gespecificeerde) aard van de te verwerken Persoonsgegevens, ter bescherming van de Persoonsgegevens tegen verlies, onbevoegde kennisname, verminking of enige vorm van onrecht- matige verwerking, alsmede om de (tijdige) beschikbaarheid van de gegevens te garanderen. In deze be- veiligings- maatregelen zijn de mogelijk in de Overeenkomst reeds bepaalde maatregelen begrepen. De maatregelen omvatten in ieder geval:
a) maatregelen om te waarborgen dat enkel bevoegde Medewerkers toegang hebben tot de Persoons- gegevens voor de doeleinden die zijn uiteengezet;
b) maatregelen waarbij de Verwerker zijn Medewerkers en Subverwerkers uitsluitend toegang geeft tot Persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die Persoonsgegevens waartoe de toegang voor de betreffende (rechts)persoon noodzakelijk is;
c) maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernie- tiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of openbaarmaking;
d) maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van Persoonsgege- vens in de systemen die worden ingezet voor het verlenen van diensten aan Verwerkingsverantwoor- delijke;
e) maatregelen om de tijdige beschikbaarheid van de Persoonsgegevens te garanderen;
f) maatregelen om te waarborgen dat Persoonsgegevens logisch gescheiden worden verwerkt van de Persoonsgegevens die hij voor zichzelf of namens derde partijen verwerkt;
g) de overige maatregelen die Partijen zijn overeengekomen zoals vastgelegd in bijlage 2.
4.2. Xxxxxxxxx werkt aantoonbaar in overeenstemming met ISO27001 en/of NEN 7510 en heeft een passend, geschreven beveiligingsbeleid geïmplementeerd voor de verwerking van Persoonsgegevens, waarin in ieder geval de in het eerste lid van dit artikel 4 genoemde maatregelen uiteen zijn gezet.
4.3. Verwerker voldoet aantoonbaar aan de veiligheidseisen voor netwerkverbindingen zoals beschreven in NEN7512.
4.4. Verwerker voldoet aantoonbaar aan de eisen ten aanzien van logging zoals beschreven in NEN7513.
4.5. Verwerker voldoet aantoonbaar aan de eisen van andere NEN-normen voor zover die voor de gezond- heidszorg van toepassing zijn verklaard.
4.6. Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke een door een onafhankelijke en ter zake deskundige derde afgegeven geldig certificaat overleggen, indien deze daarover beschikt, waaruit volgt dat Verwerker de verplichtingen uit dit artikel naleeft.
4.7. Verwerkingsverantwoordelijke heeft het recht toe te (laten) zien op de naleving van de hiervoor onder artikel 4.1 tot en met 4.4 genoemde maatregelen. Verwerker stelt Verwerkingsverantwoordelijke, indien Verwerkingsverantwoordelijke daarom verzoekt, hiertoe in elk geval eenmaal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip en verder indien Verwerkingsverant- woordelijke daar aanleiding toe ziet naar aanleiding van (vermoeden van) informatie- of privacy-inciden- ten, dat te (laten) controleren. Verwerker zal in alle redelijkheid haar medewerking verlenen aan een der- gelijk onderzoek. Verwerker zal eventuele door Verwerkingsverantwoordelijke naar aanleiding van een dergelijk onderzoek in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.
4.8. Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging fre- quente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Verwerker zal daarom de maatregelen zoals geïmplementeerd op basis van dit artikel 4 periodiek evalueren en, waar nodig, de maatregelen verbeteren om te blijven voldoen aan de verplichtingen onder dit artikel 4. Het voorgaande laat de instructiebevoegdheid van Verwerkingsverantwoordelijke om zo nodig aanvul- lende maatregelen te (doen) treffen onverlet.
Artikel 5. Monitoring, informatieplichten en incidentenmanagement
5.1. Xxxxxxxxx zal actief monitoren op inbreuken op de beveiligingsmaatregelen en over de resultaten van de monitoring in overeenstemming met dit artikel 5 rapporteren aan Verwerkingsverantwoordelijke.
5.2. Zodra zich een Incident voordoet, heeft voorgedaan of zou kunnen voordoen, is Verwerker verplicht Ver- werkingsverantwoordelijke daarvan onmiddellijk in kennis te stellen en daarbij alle relevante informatie te verstrekken over:
1) de aard van het Incident;
2) de (mogelijk) getroffen Persoonsgegevens;
3) de geconstateerde en de vermoedelijke gevolgen van het Incident; en
4) de maatregelen die getroffen zijn of zullen worden om het Incident op te lossen dan wel de gevol- gen/schade zoveel mogelijk te beperken.
5.3. Verwerker is, onverminderd de overige verplichtingen uit dit artikel, verplicht om maatregelen te treffen die redelijkerwijs van hem kunnen worden verwacht om het Incident zo snel mogelijk te herstellen dan wel de verdere gevolgen zoveel mogelijk te beperken. Verwerker treedt zonder uitstel in overleg met Ver- werkingsverantwoordelijke teneinde hierover nadere afspraken te maken.
5.4. Verwerker zal Verwerkingsverantwoordelijke te allen tijde zijn medewerking verlenen en zal de instructies van Verwerkingsverantwoordelijke opvolgen en stelt Verwerkingsverantwoordelijke in staat een deugde- lijk onderzoek te verrichten naar het Incident, een correcte respons te formuleren en passende vervolg- stappen te nemen ten aanzien van het Incident, waaronder begrepen het informeren van de bevoegde nationale toezichthoudende autoriteit en/of de Betrokkene zoals bepaald in artikel 5.8.
5.5. Verwerker zal te allen tijde geschreven procedures voorhanden hebben die hem in staat stellen om Ver- werkingsverantwoordelijke van een onmiddellijke reactie over een Incident te voorzien, en om effectief samen te werken met Verwerkingsverantwoordelijke om het Incident af te handelen. Verwerker zal Ver- werkingsverantwoordelijke voorzien van een afschrift van dergelijke procedures indien Verwerkingsver- antwoordelijke daarom verzoekt.
5.6. Meldingen die worden gedaan op grond van artikel 5.2 worden ogenblikkelijk gericht aan Verwerkingsver- antwoordelijke of, indien relevant, aan een door Verwerkingsverantwoordelijke tijdens de duur van deze Verwerkersovereenkomst schriftelijk bekendgemaakte Medewerkers van Verwerkingsverantwoordelijke. Indien Verwerkingsverantwoordelijke een Functionaris voor de Gegevensbescherming (FG) heeft aange- steld, worden de meldingen gericht aan deze FG.
5.7. Het is Verwerker niet toegestaan informatie te verstrekken over Incidenten aan betrokkenen of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is of Partijen anderszins zijn overeengekomen.
5.8. Indien en voor zover Partijen zijn overeengekomen dat Xxxxxxxxx in relatie tot een Incident rechtstreeks contact onderhoudt met autoriteiten of andere derde partijen, dan houdt de Verwerker de Verwerkings- verantwoordelijke daarvan voortdurend op te hoogte.
Artikel 6. Medewerkingsverplichtingen
6.1. De AVG en overige (privacy)wetgeving kent aan de Betrokkene bepaalde rechten toe. Verwerker zal zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke bij de nakoming van de op Verwerkingsverantwoordelijke rustende verplichtingen voortvloeiend uit deze rechten.
6.2. Een door Verwerker ontvangen klacht of een verzoek van een Betrokkene met betrekking tot verwerking van Persoonsgegevens wordt door Verwerker zonder uitstel doorgestuurd naar Verwerkingsverantwoor- delijke.
6.3. Op het eerste daartoe strekkende verzoek van Verwerkingsverantwoordelijke zal Verwerker aan Verwer- kingsverantwoordelijke alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte verwerking van Persoonsgegevens zodat Verwerkingsverantwoordelijke, mede aan de hand van die informatie, aan kan tonen dat zij de toepasselijke (privacy) wetgeving naleeft.
6.4. Verwerker zal voorts op eerste verzoek van Verwerkingsverantwoordelijke alle noodzakelijke bijstand ver- lenen bij de nakoming van de op grond van de toepasselijke privacywetgeving op Verwerkingsverant- woordelijke rustende wettelijke verplichtingen (zoals het uitvoeren van een privacy impact assessment ).
Artikel 7. Inschakeling subverwerkers
7.1. Verwerkingsverantwoordelijke verleent Verwerker toestemming om activiteiten die bestaan uit het ver- werken van Persoonsgegevens of vereisen dat Persoonsgegevens verwerkt worden, (deels) uit te beste- den aan andere dan in bijlage 1 genoemde Subverwerkers, met dien verstande dat Verwerker de Verwer- kingsverantwoordelijke voor de start van de inzet informeert. De Verwerkingsverantwoordelijke kan be- zwaar maken tegen de inzet van een Subverwerker, waarna Partijen in onderling overleg zullen zoeken naar een passende oplossing.
7.2. Verwerker zal aan deze Subverwerker dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien. Verwerker zal deze afspraken schriftelijk vastleg- gen en zal toezien op de naleving daarvan door de Subverwerker. Verwerker zal Verwerkingsverantwoor- delijke op verzoek afschrift verstrekken van de met de Subverwerker gesloten overeenkomst(en).
7.3. Verwerker blijft volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uit- besteden van werkzaamheden aan een Subverwerker.
Artikel 8. Aansprakelijkheid
8.1. Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen.
8.2. Enige beperking van de aansprakelijkheid in de Overeenkomst is mutatis mutandis ook van toepassing op deze Verwerkersovereenkomst, met dien verstande dat:
a) eventuele (impliciete of expliciete) uitsluitingen van aansprakelijkheid voor verlies en/of verminking van Persoonsgegevens zijn uitgesloten;
b) eventuele (impliciete of expliciete) uitsluitingen van aansprakelijkheid voor boetes die door de be- voegde nationale toezichthoudende autoriteit of een andere toezichthouder worden opgelegd die rechtstreeks verband houden met een toerekenbare tekortkoming van Verwerker, of een aan Ver- werker toerekenbaar gedraging of nalaten, zijn uitgesloten.
8.3. Verwerker vrijwaart Verwerkingsverantwoordelijke en stelt de Verwerkingsverantwoordelijke schadeloos voor alle claims, acties, aanspraken van derden, alsmede boetes van de bevoegde nationale toezichthou- dende autoriteit, die rechtstreeks voortvloeien uit een toerekenbare tekortkoming door Verwerker en/of diens onderaannemers/Subverwerkers in de nakoming van zijn verplichtingen onder deze Verwerkers- overeenkomst en/of enige schending door Xxxxxxxxx en/of diens onderaannemers/Subverwerkers van de van toepassing zijnde wetgeving op het gebied van verwerking van Persoonsgegevens.
8.4. Voor zover Partijen hoofdelijk aansprakelijk zijn jegens derden, waaronder begrepen de betrokkene, of gezamenlijk een boete opgelegd krijgen door de bevoegde nationale toezichthoudende autoriteit, zijn zij jegens elkaar, ieder voor het gedeelte van de schuld dat hem in hun onderlinge verhouding aangaat, ver- plicht overeenkomstig de bepalingen inzake pluraliteit van schuldenaren en hoofdelijke verbondenheid in de schuld en kosten bij te dragen, tenzij de AVG anders bepaalt in welk geval de AVG voorgaat.
8.5. Voor zover in de Overeenkomst geen beperking van aansprakelijkheid voor Verwerkingsverantwoorde- lijke is opgenomen, geldt de in lid 2 opgenomen beperking voor Verwerker eveneens voor de Verwer- kingsverantwoordelijke.
8.6. Iedere beperking van aansprakelijkheid komt voorts voor de betreffende Partij te vervallen in geval van opzet of grove schuld aan de zijde van de betreffende Partij.
8.7. Partijen dragen zorg voor afdoende dekking van de aansprakelijkheid.
Artikel 9. Kosten
9.1. De kosten voor de verwerking van gegevens die inherent zijn aan de normale uitvoering van de Overeen- komst, worden geacht besloten te liggen in de op grond van de Overeenkomst reeds verschuldigde ver- goedingen.
9.2. Enige ondersteuning of enige andere aanvullende dienstverlening die Verwerker op grond van deze Ver- werkersovereenkomst dient te verlenen, of die wordt verzocht door Verwerkingsverantwoordelijke, inclu- sief alle verzoeken tot aanvullende informatie, zullen in rekening worden gebracht bij Verwerkingsverant- woordelijke overeenkomstig de in bijlage 3 gespecificeerde tarieven.
9.3. De voorgaande bepaling is niet van toepassing indien de werkzaamheden verband houden met een te- kortkoming van Verwerker onder deze Verwerkersovereenkomst. De werkzaamheden zullen in dat geval kosteloos worden verricht (onverminderd het recht van Verwerkingsverantwoordelijke de daadwerkelijk geleden schade op Verwerker te verhalen).
Artikel 10. Duur en beëindiging
10.1. Deze Verwerkersovereenkomst treedt in werking op het moment dat Verwerkersverantwoordelijke voor het eerst gebruik maakt van de diensten van Verwerker en duurt voort zolang Verwerker diensten levert aan Verwerkingssverantwoordelijke, waarbij Verwerker Persoonsgegevens verwerkt voor Verwerkingsver- antwoordelijke.
10.2. De Verwerkersovereenkomst maakt integraal en onlosmakelijk deel uit van de Overeenkomst. Beëindi- ging van de Overeenkomst of samenwerking, op welke grond dan ook (opzegging/ontbinding), heeft tot gevolg dat de Verwerkersovereenkomst eveneens op dezelfde grond beëindigd wordt (en vice versa), ten- zij Partijen in voorkomend geval anders overeenkomen.
10.3. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereen- komst voort te duren, blijven na beëindiging van deze Verwerkersovereenkomst gelden. Tot deze bepa- lingen behoren bijvoorbeeld die welke voortvloeien uit de bepalingen betreffende geheimhouding, aan- sprakelijkheid, geschillenbeslechting en toepasselijk recht.
10.4. Ieder der Partijen is gerechtigd, onverminderd hetgeen daartoe bepaald is in de Overeenkomst, de uit- voering van deze Verwerkersovereenkomst en de daarmee samenhangende Overeenkomst op te schor- ten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:
a) de andere Partij wordt ontbonden of anderszins ophoudt te bestaan;
b) de andere Partij aantoonbaar [ernstig] tekortschiet in de nakoming van de verplichtingen die voort- vloeien uit deze Verwerkersovereenkomst en die toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;
c) een Partij in staat van faillissement wordt verklaard of surséance van betaling aanvraagt.
10.5. Gelet op de grote afhankelijkheid van Verwerkingsverantwoordelijke van Verwerker alsmede het continuï- teitsrisico bij incidenten en calamiteiten (zoals faillissement), verklaart Xxxxxxxxx zich reeds nu voor als- dan bereid op eerste verzoek van Verwerkingsverantwoordelijke aanvullende afspraken met Verwerkings- verantwoordelijke te maken teneinde voornoemde risico’s te verkleinen. Deze aanvullende afspraken kunnen onder meer bestaan uit:
a) het maken van afspraken over het periodiek terug of aan een derde partij leveren van de door Ver- werker verwerkte gegevens; en/of
b) het met een derde partij sluiten van een overeenkomst die ertoe strekt dat de betreffende derde partij zich hoofdelijk verbindt tot of borg staat voor de nakoming van de Overeenkomst; en/of
c) het met een derde partij sluiten van een (tri-partite) overeenkomst die ertoe strekt dat de betref- fende derde partij (voortdurend) over alle benodigde gegevens komt te beschikken om in voorko- mend geval (een deel van) de op grond van de Overeenkomst te verrichten prestaties – al dan niet op basis van een nieuwe overeenkomst – in plaats van of parallel aan Verwerker te kunnen (gaan) verrichten.
10.6. Verwerker heeft een exit-plan voor het nakomen van alle verplichtingen uit deze Verwerkersovereen- komst, ingeval de Overeenkomst of de Verwerkersovereenkomst (tussentijds) beëindigd wordt. Xxxxxxxxx geeft op eerste verzoek van Verwerkingsverantwoordelijke afschrift van dit plan.
10.7. Verwerkingsverantwoordelijke is gerechtigd deze Verwerkersovereenkomst en de Overeenkomst per di- rect te ontbinden indien Verwerker te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaar- heidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de Persoonsgegevens worden gesteld.
10.8. Verwerker dient Verwerkingsverantwoordelijke voorafgaand en tijdig te informeren over een voorgeno- men overname of eigendomsoverdracht.
10.9. Het is Verwerker niet toegestaan om zonder uitdrukkelijke en schriftelijke toestemming van Verwerkings- verantwoordelijke deze Verwerkersovereenkomst en de rechten en plichten die samenhangen met deze Verwerkersovereenkomst over te dragen aan een derde partij.
Artikel 11. Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
11.1. Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk, waaronder begrepen de wettelijke bewaartermijnen of een eventueel tussen Partijen gemaakte afspraak over bewaartermijnen zoals vastgelegd in bijlage 1. In geen geval bewaart Verwerker de Persoonsgegevens langer dan tot het einde van deze Verwerkersovereenkomst. Verwerkingsverantwoordelijke bepaalt of en zo ja hoe lang ge- gevens bewaard moeten blijven.
11.2. Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeen- gekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker, tegen redelijke kosten, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens onherroepe- lijk (doen) vernietigen of teruggeven aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsver- antwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens onherroepelijk zijn vernietigd of verwijderd. Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd en gedo- cumenteerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk is, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmid- dellijk op de hoogte. In dat geval garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk zal be- handelen en niet langer zal verwerken.
Artikel 12. Intellectuele eigendomsrechten
12.1. Voor zover de (verzameling van) Persoonsgegevens wordt beschermd door enig intellectueel eigendoms- recht, verleent Verwerkingsverantwoordelijke toestemming aan Verwerker de Persoonsgegevens te ge- bruiken in het kader van de uitvoering van deze Verwerkersovereenkomst.
Artikel 13. Slotbepalingen
13.1. De overwegingen maken onderdeel uit van deze Verwerkersovereenkomst.
13.2. In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereen- komst, blijven de overige bepalingen onverkort van kracht.
13.3. In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen Partijen in onderling overleg.
13.4. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
13.5. Partijen zullen zich inspannen conflicten in onderling overleg op te lossen. Hierbij is inbegrepen de moge- lijkheid het geschil te beëindigen door een in onderling overleg vast te stellen mediation of arbitrage.
13.6. Geschillen over of in verband met deze Verwerkersovereenkomst worden uitsluitend voorgelegd aan de daartoe in de Overeenkomst aangewezen rechtbank of arbiter(s).
Bijlage 1: Omschrijving Persoonsgegevens, aard verwerkingen, etc.
Deze Verwerkersovereenkomst is een bijlage bij de volgende Overeenkomsten en heeft betrekking op de vol- gende verwerkingen van Persoonsgegevens.
Overeenkomsten | Offerte Embloom (de overeenkomst is tot stand gekomen door onderteke- ning van en/of akkoord op de offerte) of proefaccount. |
Korte omschrijving diensten | Het bieden van een e-health platform voor diagnostiek, effectmeting en behandeling van psychische en lichamelijke problemen. |
Aard van de verwerking | Verwerking patiëntgegevens en klantgegevens. |
Soort Persoonsgegevens | Verwerkingsverantwoordelijke: • Personalia en contactgegevens; • Communicatiegegevens en correspondentie (digitaal en schriftelijk); • Contractgegevens (contractuele relatie, producten en diensten, finan- ciele gegevens, etc.); • Gebruiksgegevens (gegevens, informatie, databestanden of materialen welke gebruiker tijdens het gebruik van de Diensten naar de Applicaties verzendt/heeft verzonden). Betrokkene: • Personalia en contactgegevens; • Medische gegevens (diagnose, testresultaten, etc.); • Communicatiegegevens en correspondentie (digitaal en schriftelijk); • Gebruiksgegevens (Gegevens, informatie, databestanden of materialen welke gebruiker tijdens het gebruik van de Diensten naar de Applicaties verzendt/heeft verzonden). |
Categorieën van betrokkenen | Hulpverleners, medewerkers, patiënten, familieleden, vrienden en overige re- laties en personen waarover de patiënt of hulpverlener informatie invoert bij gebruik van de applicatie. |
Doeleinden van de verwerking | Diagnostiek, effectmeting en behandeling van psychisiche en/of lichamelijke problemen. |
Goedgekeurde subverwerkers | • True: Hostingprovider en back-ups (xxx.xxxx.xx) • KPN: Zorg Messenger – Beveiligde communicatie en gegevens uitwisse- ling (xxx.xxx.xx/xxxxxxxx) • VANAD Enovation: ZorgMail – Beveiligde communicatie en gegevens uitwisseling (xxx.xxxxxxxx.xx) • Zivver: Beveiligde communicatie en gegevens uitwisseling (xxx.xxxxxx.xx) • Spryng: SMS-authenticatie (xxx.xxxxxx.xx) • AFAS: Klanten facturatie (xxx.xxxx.xx) |
Afspraken bewaartermijnen | Gegevens van Betrokkenen blijven bewaard gedurende de looptijd van de Overeenkomst, tenzij Verwerkingsverantwoordelijke opdracht geeft tot ver- wijdering van gegevens. Na beëindiging van de Overeenkomst worden de ge- gevens van Betrokkenen uit de database van Verwerker verwijderd, en wor- den deze binnen drie maanden tevens automatisch verwijderd uit de back- ups van Verwerker. Gegevens van Verwerkingsverantwoordelijke worden be- waard conform wettelijke vereisten. |
Bijlage 2: Omschrijving nadere beveiligingsmaatregelen
Gebouwen
Technische en organisatorische maatregelen waarmee fysieke toegang door onbevoegden moet worden voor- komen tot gebouwen waar de gegevensverwerking plaatsvindt:
• Deurbeveiliging (elektrische deuropener met toegangsregistratie en gelogde sleuteltoewijzing);
• Videobewaking met bewegingssensor en opnamefunctie;
• Inbraakalarmsysteem met opvolging van de veiligheidsdienst.
Netwerk en computers
Technische en organisatorische maatregelen waarmee toegang door onbevoegden moet worden voorkomen tot het netwerk en de computers van Verwerker:
• Schijfencryptie wordt toegepast op alle werkstations;
• Ieder werkstation is voorzien van antivirussoftware die automatisch wordt bijgewerkt;
• Computers worden automatisch bijgewerkt zodra beveiligingsupdates beschikbaar zijn;
• Authenticatie met gebruikersnaam en wachtwoord;
• Wachtwoordtoewijzing en -beleid (inclusief eisen aan lengte en complexiteit);
• Wachtwoorden mogen enkel worden bewaard in een digitale (offline) wachtwoordkluis;
• Computers automatisch vergrendelen na periode van inactiviteit;
• Gebruik van gedifferentieerde autorisaties;
• Alleen beheerders kunnen software installeren/verwijderen;
• Aantal beheerders gereduceerd tot het “meest noodzakelijke”;
• Loggen van toegang en acties van alle gebruikers;
• Het gebruik van gegevensdragers of e-mail voor gevoelige gegevens is alleen toegestaan mits noodza- kelijk, op verzoek van Verwerkingsverantwoordelijke en adequaat versleuteld (AES-256 of sterker);
• De netwerken worden beschermd door een firewall;
• Het bedrijfsnetwerk is gescheiden van het gastennetwerk.
Applicatie
Technische en organisatorische maatregelen waarmee toegang door onbevoegden moet worden voorkomen tot de applicatie die Persoonsgegevens verwerkt:
• Alle communicatie met de applicatie is versleuteld;
• Authenticatie met gebruikersnaam en wachtwoord;
• Wachtwoordtoewijzing en -beleid (inclusief eisen aan lengte en complexiteit);
• Opties voor twee-staps-authenticatie;
• Opties voor IP-restricties;
• Gebruik van gedifferentieerde autorisaties (o.b.v. klant, rollen en permissies);
• Aantal beheerders gereduceerd tot het “meest noodzakelijke”;
• Loggen van toegang en acties van alle gebruikers;
• Automatische uitloggen na periode van inactiviteit;
• Automatische blokkade na te veel foutieve inlogpogingen;
• Servertoegang is op basis van IP-adres afgeschermd;
• Verwerker heeft protocollen voor (door)ontwikkeling en beheer van de applicatie;
• De beveiliging van de applicatie wordt periodiek in de praktijk getest door onafhankelijke partijen.
Model Verwerkersovereenkomst Brancheorganisaties Zorg (BOZ), 12 december 2017 12
Applicatieontwikkeling
Technische en organisatorische maatregelen die Verwerker volgt tijdens het (door)ontwikkelen van de applicatie.
• Beveiligingseisen worden vastgesteld bij het opstellen van specificaties;
• Beveiligingseisen worden in testscripts opgenomen en getest;
• Regressietests worden in testscripts opgenomen en uitgevoerd;
• Alle communicatie van/naar de applicatie is versleuteld;
• Authenticatie en autorisatie worden te allen tijde getoetst
• Input van gegevens wordt altijd gevalideerd;
• Output van gegevens wordt altijd gevalideerd en opgeschoond om ongeldige of schadelijke output te voorkomen;
• Permissies worden zo defensief mogelijk ingesteld;
• Code wordt zo defensief mogelijk ontwikkeld;
• Logging wordt uitgebreid indien nodig;
• Reviewprocedure voor het implementeren van code van derden;
• Ontwikkelde code wordt gereviewd door iemand anders dan de ontwikkelaar(s) van de code;
• Ontwikkelde code wordt getest door twee verschillende personen die de code niet hebben ontwikkeld;
• Als afgekeurde code is aangepast, wordt opnieuw een review en test uitgevoerd;
• Er zijn gescheiden omgevingen voor ontwikkelen, testen, acceptatie en productie;
• Persoonsgegevens van productie worden niet gebruikt voor ontwikkelen, testen en acceptatie.
Werknemers
Maatregelen waaraan werknemers van Verwerker moeten voldoen:
• Werknemers ontvangen training op het gebied van privacy en informatiebeveiliging;
• Werknemers hebben een geheimhoudingsverklaring ondertekend;
• Werknemers dienen bij indiensttreding een Verklaring Omtrent het Gedrag (VOG) te overleggen;
• Werknemers zijn gehouden aan gedragsregels voor verantwoord gebruik van de applicatie, gebouwen, computers, printers, e-mail en internet van Verwerker;
• Werknemers dienen (potentiële) beveiligingsincidenten te melden bij de security officer.
Beschikbaarheid
Technische en organisatorische maatregelen waarmee de beschikbaarheid van de systemen en applicaties van Verwerker worden gewaarborgd:
• Systemen waarop de applicatie van Verwerker staat, zijn ondergebracht bij een ISO 27001 en NEN 7510 gecertificeerde provider;
• Systemen waarop de applicatie van Verwerker staat, zijn schaalbaar;
• Systemen waarop de applicatie van Verwerker staat, zijn redundant uitgevoerd;
• Systemen waarop de applicatie van Verwerker staat, zijn voorzien van noodstroomvoeding;
• Systemen waarop de applicatie van Verwerker staat, zijn alleen toegankelijk voor beheerders van de provider;
• De provider past klimaatbeheersing toe In serverruimtes;
• De provider past brand- en rookdetectiesystemen toe in serverruimtes;
• De provider past (pro)actieve monitoring toe op de systemen van Verwerker.
• De provider maakt dagelijkse snapshots van de volledige applicatieomgeving van Verwerker;
• De provider maakt dagelijkse gegevensback-ups van de applicatieomgeving van Verwerker;
• Verwerker maakt dagelijks een offsite gegevensback-up van de applicatieomgeving;
• Gegevensback-ups worden drie maanden bewaard;
• Verwerker bewaart gegevens van Verwerkingsverantwoordelijke voor onbepaalde tijd en vernietigt deze pas zodra de overeenkomst van Verwerkingsverantwoordelijke met Verwerker wordt beëindigd;
• Verwerker test periodiek het kunnen herstellen van de gegevensback-up;
• Verwerker past (pro)actieve monitoring toe op haar applicaties;
• Verwerker heeft een Business Continuity Plan opgesteld.
Bijlage 3: Specificatie tarieven
Het uurtarief bedraagt € 110,- exclusief btw.