VERWERKERSOVEREENKOMST

conform de Algemene Verordening Gegevensbescherming

versie 11 juni 2018

ONDERGETEKENDEN:

1. Dental Union, gevestigd aan de Ravenswade 54K te Nieuwegein en ingeschreven in het

2. (naam van de praktijk), gevestigd en praktijk houdend aan (adres en huisnummer) te

(postcode en plaats) en ingeschreven in het register van de Kamer van Koophandel onder nummer , in deze rechtsgeldig vertegenwoordigd door (naam ondertekenaar) hierna te noemen: “de Verwerkingsverantwoordelijke”

hierna gezamenlijk aan te duiden met: “Partijen” of afzonderlijk als “Partij”. NEMEN HET VOLGENDE IN OVERWEGING:

(a) Verwerker levert diensten aan Verwerkingsverantwoordelijke, zoals beschreven in de Overeenkomst(en) zie Bijlage 1, welke diensten meebrengen dat Persoonsgegevens worden verwerkt, waaronder gegevens betreffende de gezondheid.

(b) Verwerker mag deze Persoonsgegevens in opdracht van Verwerkingsverantwoordelijke verwerken en niet voor eigen doeleinden.

(c) Partijen willen hun afspraken met betrekking tot de verwerking van Persoonsgegevens met inachtneming van Algemene Verordening Gegevensbescherming (AVG) in deze Verwerkersovereenkomst vastleggen.

(d) Deze Verwerkersovereenkomst vervangt alle eventueel eerdere Overeenkomst(en) tussen Partijen met een gelijke strekking.

VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:

Artikel 1. Definities

In deze Verwerkersovereenkomst wordt verstaan onder:

• Betrokkene: degene op wie de Persoonsgegevens betrekking hebben;

• Incident: een klacht of (informatie)verzoek van een Betrokkene met betrekking tot de verwerking van Persoonsgegevens door Verwerker, dan wel een inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 onder 12 AVG of een ongeautoriseerde toegang, verwijdering, verminking, verlies of enige andere vorm van onrechtmatige verwerking van Persoonsgegevens;

• Medewerker: de door partijen voor de uitvoering van deze verwerkersovereenkomst betrokken natuurlijke persoon die werkzaam is bij of voor een van de Partijen;

• Overeenkomst: de in de Bijlage 1 vermelde overeenkomst(en) inzake de levering van producten of diensten;

• Sub-verwerker: iedere niet-ondergeschikte derde partij betrokken bij de verwerking door de Verwerker, niet zijnde medewerkers.

Artikel 2. Relatie Verwerkersovereenkomst met de Overeenkomst(en)

2.1. De Overeenkomst(en) beogen vast te leggen dat Verwerkingsverantwoordelijke gebruikt maakt van de expertise van Verwerker voor de uit de Overeenkomst(en) voortvloeiende doeleinden. Verwerker staat ervoor in dat hij hiertoe gekwalificeerd is.

2.2. Deze Verwerkersovereenkomst maakt deel uit van de Overeenkomst(en). Voor zover het bepaalde in de Verwerkersovereenkomst strijdig is met het bepaalde in de Overeenkomst(en), prevaleert het bepaalde in de Verwerkersovereenkomst.

Artikel 3. Uitvoering verwerking

3.1. Verwerker zal de Persoonsgegevens van Verwerkingsverantwoordelijke behoorlijk en zorgvuldig verwerken en uitsluitend voor zover dit noodzakelijk is voor de uitvoering van de Overeenkomst(en) of nadere schriftelijke redelijke instructies van Verwerkingsverantwoordelijke.

3.2. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke regelgeving inzake de Verwerking van Persoonsgegevens.

3.3. Indien een wettelijk voorschrift tot een Verwerking verplicht, stelt Verwerker voorafgaand aan de Verwerking Verwerkingsverantwoordelijke in kennis van de beoogde Verwerking en het wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Verwerker zal Verwerkingsverantwoordelijke, waar mogelijk, in staat stellen zich te verweren tegen deze verplichte Verwerking en ook overigens de verplichte Verwerking beperken tot het strikt noodzakelijke.

3.4. Verwerker zal de Persoonsgegevens aantoonbaar op zorgvuldige wijze verwerken in overeenstemming met de op een Verwerker rustende verplichtingen op grond van de AVG en overige wet- en regelgeving.

3.5. Verwerker zal in dat kader een register van Verwerkingen aanleggen als bedoeld in artikel 30 AVG en Verwerkingsverantwoordelijke op eerste verzoek een kopie daarvan verstrekken.

3.6. Verwerker zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, geen Persoonsgegevens verwerken of laten verwerken door hemzelf of door derden in landen buiten de Europese Economische Ruimte (“EER”).

3.7. Verwerker waarborgt dat betrokken Medewerkers een geheimhoudingsovereenkomst hebben getekend en geeft Verwerkingsverantwoordelijke op verzoek inzage in deze geheimhoudingsovereenkomst.

Artikel 4. Beveiliging Persoonsgegevens

4.1. Verwerker zal aantoonbaar passende technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de aard van de te Verwerken Persoonsgegevens. De maatregelen omvatten in ieder geval waarborgen:

a.) dat enkel bevoegde medewerkers toegang hebben tot de Persoonsgegevens voor de doeleinden die zijn uiteengezet;

b.) dat de Verwerker zijn medewerkers en Sub-verwerkers uitsluitend toegang geeft tot Persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die Persoonsgegevens waartoe de toegang voor de betreffende (rechts)persoon noodzakelijk is;

c.) om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, verlies of wijziging, onbevoegde of onrechtmatige opslag, Verwerking, toegang of openbaarmaking;

d.) om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verwerkingsverantwoordelijke;

e.) om de tijdige beschikbaarheid van de Persoonsgegevens te garanderen;

f.) om Persoonsgegevens logisch gescheiden te Verwerken van de Persoonsgegevens die Verwerker voor zichzelf of namens andere partijen verwerkt;

g.) eventuele overige maatregelen na te leven die Partijen zijn overeengekomen.

4.2. Verwerkingsverantwoordelijke heeft het recht toe te (laten) zien op de naleving van de hiervoor onder artikel 4.1 genoemde maatregelen. Verwerker stelt Verwerkingsverantwoordelijke, indien Verwerkingsverantwoordelijke daarom verzoekt, hiertoe in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip.

4.3. Verwerker zal de maatregelen zoals geïmplementeerd op basis van dit artikel 4 periodiek evalueren en, waar nodig, de maatregelen verbeteren om te blijven voldoen aan de verplichtingen.

Artikel 5. Controle

5.1. Verwerkingsverantwoordelijke heeft het recht in redelijkheid toe te (laten) zien op de naleving van de in deze Verwerkersovereenkomst genoemde maatregelen.

5.2. Verwerker stelt Verwerkingsverantwoordelijke hiertoe in gelegenheid en stelt alle relevante informatie beschikbaar.

Artikel 6. Incidenten

6.1. Zodra zich een Incident voordoet of zou kunnen voordoen, is Verwerker verplicht Verwerkingsverantwoordelijke, dan wel een daartoe aangewezen medewerker of – indien daarvan sprake is – de Functionaris voor Gegevensbescherming (FG) daarvan binnen 24 uur in kennis te stellen en daarbij alle relevante informatie te verstrekken over:

1) de aard van het Incident;

2) de (mogelijk) getroffen Persoonsgegevens;

3) de geconstateerde en de vermoedelijke gevolgen van het Incident; en

4) de maatregelen die getroffen zijn of zullen worden om het Incident op te lossen dan wel de gevolgen zoveel mogelijk te beperken.

6.2. Verwerker zal direct die maatregelen treffen die redelijkerwijs van hem kunnen worden verwacht om het Incident zo snel mogelijk te herstellen, dan wel de verdere gevolgen zoveel mogelijk te beperken en treedt in overleg met Verwerkingsverantwoordelijke om hierover nadere afspraken te maken.

6.3. Verwerker zal ingeval van een Incident de instructies van Verwerkingsverantwoordelijke opvolgen en Verwerkingsverantwoordelijke in staat stellen onderzoek te verrichten naar het Incident en passende vervolgstappen te nemen ten aanzien van het Incident, waaronder begrepen het informeren van de Autoriteit Persoonsgegevens (AP) en/of de Betrokkene(n).

6.4. Verwerker heeft procedures voorhanden om Verwerkingsverantwoordelijke van een onmiddellijke reactie over een Incident te voorzien en om effectief samen te werken met Verwerkingsverantwoordelijke om het Incident af te handelen. Desgevraagd verstrekt Verwerker een afschrift van dergelijke procedures.

6.5. Het is Verwerker niet toegestaan om informatie te verstrekken over Incidenten aan Xxxxxxxxxxx of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is of Partijen anderszins zijn overeengekomen.

Indien en voor zover Partijen zijn overeengekomen dat Xxxxxxxxx in relatie tot een Incident rechtstreeks contact onderhoudt met autoriteiten of andere partijen, dan houdt Verwerker Verwerkingsverantwoordelijke daarvan op de hoogte.

Artikel 7. Verplichtingen Verwerker

7.1. Verwerker verleent medewerking aan de nakoming van de op Verwerkingsverantwoordelijke rustende verplichtingen voortvloeiend uit de rechten die aan Betrokkenen toekomen op grond van de privacyregelgeving.

7.2. Een door Verwerker ontvangen klacht, of een verzoek van een Betrokkene met betrekking tot Verwerking van Persoonsgegevens, wordt door Verwerker onverwijld doorgestuurd naar Verwerkingsverantwoordelijke.

7.3. Op eerste verzoek van Verwerkingsverantwoordelijke zal Verwerker aan Verwerkingsverantwoordelijke alle relevante informatie verstrekken die nodig is om aan te tonen dat Verwerkingsverantwoordelijke de toepasselijke (privacy) wetgeving naleeft.

7.4. Verwerker zal voorts op eerste verzoek van Verwerkingsverantwoordelijke alle noodzakelijke bijstand verlenen bij de nakoming van de op grond van de toepasselijke privacywetgeving op Verwerkingsverantwoordelijke rustende wettelijke verplichtingen.

Artikel 8. Sub-verwerkers

8.1. Verwerker heeft het recht gebruik te maken van de diensten van Sub-verwerkers voor de verwerking van persoonsgegevens. De Sub-verwerkers die Verwerker gebruikt op het moment van ondertekening van deze Verwerkersovereenkomst staan vermeld in bijlage 2.

8.2. Verwerker zal Verwerkingsverantwoordelijke vooraf schriftelijk op de hoogte brengen van geplande wijzigingen die betrekking hebben op de toevoeging of vervanging van de Sub- verwerker en Verwerkingsverantwoordelijke aldus in de gelegenheid stellen om binnen 15 dagen na de kennisgeving van Verwerker om gegronde redenen en bezwaar te maken tegen dergelijke wijzigingen. In het geval de Verwerkingsverantwoordelijke bezwaar maakt tegen dergelijke wijzigingen, dient Verwerkingsverantwoordelijke het bestaan aan te tonen van een gerechtvaardigde reden, zoals een risico van gegevensbescherming of gegevensbeveiliging voor de Persoonsgegevens van Verwerkingsverantwoordelijke die voortvloeien uit de verwerking van Persoonsgegevens door de Sub-verwerker. Indien Partijen geen overeenstemming over de wijziging kunnen bereiken, hebben Partijen het recht deze overeenkomst te beëindigen tegen het tijdstip waarop de wijziging in werking treedt of binnen een andere onderling overeengekomen termijn.

8.3. Verwerker zal Sub-verwerkers dezelfde verplichtingen opleggen als aangegeven in deze Verwerkersovereenkomst en op de naleving daarvan toezien.

8.4. Verwerker zal Verwerkingsverantwoordelijke op verzoek afschrift verstrekken van de met de Sub-verwerker gesloten overeenkomst(en).

8.5. Verwerker blijft aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een Sub-verwerker.

Artikel 9. Aansprakelijkheid

9.1. Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen.

Een beperking van de aansprakelijkheid van Verwerker in de Overeenkomst of door Verwerker gehanteerde algemene voorwaarden kan niet worden uitgesloten voor claims - of boetes die door een toezichthouder worden opgelegd - in verband met een toerekenbare tekortkoming of gedraging van Verwerker of ingeschakelde Sub-verwerker, voor welke claims of boetes Verwerker Verwerkingsverantwoordelijke bovendien vrijwaart.

9.2. Bij hoofdelijke aansprakelijkheid jegens derden zijn Partijen jegens elkaar, ieder voor het eigen gedeelte van de schuld, verplicht in de schuld en kosten bij te dragen, tenzij de AVG anders bepaalt.

9.3. Iedere beperking van aansprakelijkheid komt voorts voor de betreffende Partij te vervallen in geval van opzet of grove schuld aan de zijde van de betreffende Partij.

9.4. Partijen dragen zorg voor afdoende dekking van de aansprakelijkheid.

Artikel 10. Kosten

10.1. De kosten voor de Verwerking van gegevens die inherent zijn aan de normale uitvoering van de Overeenkomst, zijn onderdeel van de overeengekomen vergoedingen, tenzij Partijen andere afspraken hebben gemaakt.

10.2. Enige ondersteuning of enige andere aanvullende dienstverlening die Verwerker op grond van deze Verwerkersovereenkomst dient te verlenen, of die wordt verzocht door Verwerkingsverantwoordelijke, inclusief alle verzoeken tot aanvullende informatie, zullen in rekening worden gebracht bij Verwerkingsverantwoordelijke overeenkomstig in de hoofdovereenkomst bepaalde tarieven.

10.3. Indien werkzaamheden verband houden met een tekortkoming van Verwerker, dan zullen deze kosteloos worden verricht (onverminderd het recht van Verwerkingsverantwoordelijke de daadwerkelijk geleden schade op Verwerker te verhalen).

Artikel 11. Duur en beëindiging

11.1. Deze Verwerkersovereenkomst gaat in op de datum van ondertekening en de duur van deze Verwerkersovereenkomst is gelijk aan de duur van de Overeenkomst(en), inclusief eventuele verlengingen daarvan.

11.2. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, zoals geheimhouding en aansprakelijkheid, blijven ook na beëindiging gelden.

11.3. Een Partij kan de uitvoering van de Verwerkersovereenkomst en/of Overeenkomst(en) op- schorten of onmiddellijk ontbinden wanneer de andere Partij ophoudt te bestaan, failliet gaat of surseance van betaling aanvraagt of een Partij aantoonbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die toerekenbare tekortkoming niet binnen 14 dagen is hersteld na schriftelijke ingebrekestelling.

11.4. Verwerkingsverantwoordelijke is gerechtigd deze Verwerkersovereenkomst en de Overeenkomst te ontbinden indien en zodra Verwerker niet (langer) kan voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de Persoonsgegevens worden gesteld.

11.5. Partijen realiseren zich dat Verwerkingsverantwoordelijke vaak afhankelijk is van Verwerker en continuïteitsrisico kan bestaan bij Incidenten en calamiteiten. Desgevraagd zal Verwerker

daarom meewerken aan aanvullende afspraken met Verwerkingsverantwoordelijke met als doel risico’s te beperken, zoals:

a.) het periodiek aan een derde partij leveren van de door Verwerker verwerkte gegevens; en/of

b.) hoofdelijke aansprakelijkheid of borgstelling door een derde partij voor de nakoming van de Overeenkomst; en/of

c.) derden te betrekken die op grond van de Overeenkomst te verrichten prestaties in plaats van of parallel aan Verwerker kunnen verrichten.

11.6. Verwerker heeft een procedure voor het nakomen van alle verplichtingen uit deze Verwerkersovereenkomst, ingeval de Overeenkomst of de Verwerkersovereenkomst (tussentijds) beëindigd wordt en verstrekt op eerste verzoek afschrift van dit plan.

11.7. Verwerker dient Verwerkingsverantwoordelijke voorafgaand en tijdig te informeren over een voorgenomen overname of eigendomsoverdracht.

11.8. Het is Verwerker niet toegestaan om zonder uitdrukkelijke en schriftelijke toestemming van Verwerkingsverantwoordelijke deze Verwerkersovereenkomst en de rechten en plichten die samenhangen met deze Verwerkersovereenkomst over te dragen aan een derde partij.

Artikel 12. Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens

12.1. Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk, waaronder begrepen de wettelijke bewaartermijnen of een eventueel tussen Partijen gemaakte afspraak over bewaartermijnen. Verwerkingsverantwoordelijke bepaalt of en zo ja hoe lang gegevens bewaard moeten blijven.

12.2. Bij beëindiging van de Verwerkersovereenkomst, of aan het einde van de overeengekomen bewaartermijnen dan wel op schriftelijk verzoek van Verwerkingsverantwoordelijke, zal Verwerker, tegen redelijke kosten, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens onherroepelijk (doen) vernietigen of teruggeven aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van vernietiging of verwijdering.

12.3. Ingeval van teruggave van gegevens zal dit in een algemeen gangbaar, gestructureerd en gedocumenteerd gegevensformaat langs elektronische weg plaatsvinden.

12.4. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk is, garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk zal behandelen en niet langer zal Verwerken.

Artikel 13. Slotbepalingen

13.1. Voor zover de verzameling van Persoonsgegevens wordt beschermd door enig intellectueel eigendomsrecht, verleent Verwerkingsverantwoordelijke toestemming aan Verwerker de Persoonsgegevens te gebruiken in het kader van de uitvoering van deze Verwerkersovereenkomst.

13.2. In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.

13.3. In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen Partijen in onderling overleg.

13.4. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.

13.5. Geschillen over of in verband met deze Verwerkersovereenkomst worden uitsluitend voorgelegd aan de daartoe in de Overeenkomst aangewezen rechtbank of arbiter(s).

Verwerkingsverantwoordelijke		Verwerker Dental Union Xxxxxxxxxx 00X 0000 XX Xxxxxxxxxx

Naam ondertekenaar:		Naam ondertekenaar: Xxxx Xxxxxxxxxx
Functie van de ondertekenaar:		Functie van de ondertekenaar: Algemeen Directeur

Datum:		Datum: 14 juni 2018

Handtekening		Handtekening

Bijlage 1: Overeenkomst(en) en omschrijving verwerking(en)

Deze Verwerkersovereenkomst is een bijlage bij de volgende Overeenkomst(en) en heeft betrekking op de volgende verwerkingen van Persoonsgegevens.

Ingangs- datum contract	Omschrijving diensten	Aard van de verwerking1	Soort Persoonsgegevens	Categorieën van betrokkenen	Doeleinden van de verwerking
	Levering en onderhoud	Verwerking patiënt	Contactgegevens, geboortedatum,	Klanten,	Technische ondersteuning, zoals
	van dentale apparatuur	gegevens voor zover	beeldvormingsgegevens (zoals	Patiënten	gebruikersbegeleiding, software-
	en technische	benodigd voor het	röntgenonderzoek,		updates, probleemoplossing en
	ondersteuning voor	verlenen van software-	röntgenbeeldgegevens van		systeemmigraties.
	software voor	ondersteuning.	patiënten en mogelijke vrije-vorm
	beeldverwerkende		bijlagen).
	apparatuur.

1 Alle verwerkingsactiviteiten met betrekking tot de software-ondersteuningsservice en gericht op het systeem in werking worden geregistreerd in de logbestanden van de beeldverwerkende systemen. Indien het gaat om een buiten het systeem om plaatsvindende supportdienst met betrekking tot persoonsgegevens (zoals defragmentatie of migratie van databases), zal deze worden uitgevoerd volgens procedures die specifiek onder toezicht van de Verwerkingsverantwoordelijke voor de verwerking zijn overeengekomen, met de nodige zorgvuldigheid en in overeenstemming met de overeengekomen vereisten op het gebied van gegevensbescherming en informatiebeveiliging.