VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
De Partijen:
1. Organisatie
Organisatienaam op KvK:
Gevestigd te Postcode op KvK:
Plaats op KvK:
Adres op KvK:
Ingeschreven bij de Kamer van Koophandel onder KvK nummer:
Hierin vertegenwoordigd door haar Hierna te noemen: Opdrachtgever,
bestuurder/directeur,
en
2. De besloten vennootschap Vcareconnect B.V., statutair gevestigd te (7521 PR) Enschede aan de Pantheon 2, ingeschreven bij de Kamer van Koophandel te Enschede onder nummer 06083003, vertegenwoordigd door haar bestuurder de heer G.A.J. Olde-Olthof, hierna te noemen: ‘Vcare’,
hierna ook gezamenlijk te noemen: 'Partijen' en afzonderlijk te noemen: 'Partij'
OVERWEGENDE DAT:
1. Opdrachtgever met Vcare een Overeenkomst met kenmerk:
met betrekking tot het leveren van (tele)communicatiediensten heeft gesloten. Ter uitvoering van de Overeenkomst verwerkt Vcare ten behoeve van Opdrachtgever Persoonsgegevens die in Bijlage A staan;
2. Voor deze verwerking van persoonsgegevens is Opdrachtgever de
‘Verwerkingsverantwoordelijke’ in de zin van artikel 4 lid 7 AVG. Vcare is de
‘Verwerker’ als bedoeld in artikel 4 lid 8 AVG, omdat zij ten behoeve van Opdrachtgever persoonsgegevens verwerkt, zonder aan diens rechtstreeks gezag te zijn onderworpen en Opdrachtgever het doel en de middelen voor de verwerking van de persoonsgegevens vaststelt;
3. Partijen, mede gelet op het vereiste uit artikel 28 lid 3 AVG, met deze Overeenkomst de afspraken met betrekking tot de verwerking van persoonsgegevens wensen vast te leggen.
KOMEN OVEREEN:
Artikel 1. Begrippen
De hierna en hiervoor in deze Verwerkersovereenkomst vermelde begrippen, hebben de volgende betekenis:
1. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische,
economische, culturele of sociale identiteit van die natuurlijke persoon (artikel 4 lid 1 AVG).
2. Verwerking: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen, of vernietigen van gegevens (artikel 4 lid 2 AVG);
3. Verwerkersovereenkomst: deze Overeenkomst inclusief overwegingen en bijbehorende bijlagen;
4. AVG: verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de Verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG. (Algemene verordening gegevensbescherming);
5. Betrokkene: de persoon van wie de persoonsgegevens worden verwerkt;
6. Sub-verwerker: een andere verwerker die Verwerker inschakelt om voor rekening van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.
7. Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (artikel 4 lid 12 AVG).
Artikel 2. Doeleinden van verwerking
1. Vcare verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Opdrachtgever persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden zoals benoemd in Bijlage A.
2. Vcare heeft uitdrukkelijk geen zeggenschap over het doel van de verwerking van Persoonsgegevens die zij verwerkt bij de uitoefening van haar dienstverlening.
3. Partijen verplichten zich over en weer conform de wet- en regelgeving, waaronder mede begrepen doch niet beperkt tot de AVG, te handelen.
4. Opdrachtgever staat ervoor in dat de verwerking van persoonsgegevens onder één van de vrijstellingen onder de AVG valt, en dat er aldus geen melding bij de Autoriteit Persoonsgegevens is vereist.
Artikel 3. Verplichtingen Vcare
1. Ten aanzien van de in Bijlage A genoemde verwerkingen zal Vcare zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de AVG.
2. Vcare zal Opdrachtgever, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
3. De verplichtingen van Vcare die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor Sub-verwerkers die persoonsgegevens verwerken onder het gezag van Vcare genoemd in Bijlage A, kolom Sub-Verwerkers.
4. Wanneer Vcare een andere (sub)verwerker inschakelt om ten behoeve van Opdrachtgever verwerkingsactiviteiten te verrichten, worden aan deze andere Verwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen en zal Vcare Opdrachtgever schriftelijk op de hoogte brengen.
5. Vcare draagt er zorg voor dat de door Vcare ingeschakelde Sub-verwerkers, de in de Verwerkersovereenkomst opgenomen verplichtingen naleven door middel van een schriftelijke overeenkomst en toetsen deze minimaal 1 keer per jaar.
6. Vcare blijft ten aanzien van de Opdrachtgever volledig verantwoordelijk en volledig aansprakelijk voor het nakomen van de verplichtingen door de door Vcare ingeschakelde (rechts)personen, waaronder Sub-verwerkers, voortvloeiende uit de AVG en/of andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens en de verplichtingen voortvloeiende uit de Overeenkomst en de Verwerkersovereenkomst.
7. Opdrachtgever geeft Vcare algemene toestemming voor het inschakelen van zowel huidige als toekomstige subverwerkers zoals bedoeld in bijlage A. Vcare stelt Opdrachtgever op de hoogte indien er een nieuwe subverwerker wordt ingeschakeld.
Artikel 4. Locatie van Persoonsgegevens
1. Vcare en diens Sub-Verwerkers verwerken persoonsgegevens uitsluitend op locaties binnen de EU waarbij de nadrukkelijke voorkeur voor binnen NL is.
Artikel 5. Verdeling van verantwoordelijkheid
1. Vcare zal de Persoonsgegevens verwerken conform de schriftelijke instructies en onder de uitdrukkelijke (eind)verantwoordelijkheid van Opdrachtgever .
2. Opdrachtgever garandeert dat de verwerkingen van Persoonsgegevens als omschreven in deze Verwerkersovereenkomst, alsmede alle eventuele instructies die Opdrachtgever Vcare uit hoofde van deze Verwerkersovereenkomst geeft, rechtmatig zijn en geen inbreuk maken op enig recht van derden, noch in strijd zijn met enige op (een der) Partijen rustende wettelijke verplichtingen.
Artikel 6. Aansprakelijkheid
1. Opdrachtgever is jegens Vcare aansprakelijk voor alle schade die voortvloeit of voort mocht vloeien uit het niet nakomen van deze Verwerkersovereenkomst, schendingen of niet-naleving van enige toepasselijke wet- en regelgeving en/of enige anderszins op Opdrachtgever rustende verplichtingen en/of enig (ander) onrechtmatig handelen. Opdrachtgever vrijwaart Vcare van alle schade en kosten – waaronder mede doch niet uitsluitend begrepen kosten van juridische bijstand – te dier zake.
2. De aansprakelijkheid van Vcare op enigerlei wijze in verband met deze Verwerkersovereenkomst en/of verwerkingen van Persoonsgegevens is beperkt tot een bedrag gelijk aan de waarde van de opdrachtsom van het contract; of indien een contract voor een looptijd langer dan de periode van één jaar is afgesloten de totale opdrachtsom gedurende de looptijd van één jaar. Vcare is niet aansprakelijk voor indirecte schade, waaronder onder mede doch niet uitsluitend wordt verstaan schade als gevolg van bedrijfstagnatie en gemiste besparingen.
3. Voornoemde beperkingen en uitsluitingen van aansprakelijkheid zijn niet van toepassing indien en voor zover het gaat om aansprakelijkheid voor schade welke het gevolg is van opzet of bewuste roekeloosheid zijdens Vcare.
Artikel 7. Beveiliging
1. Vcare zal zich inspannen voldoende technische en organisatorische maatregelen te nemen om een op het risico afgestemd beveiligingsniveau te waarborgen, zoals bedoeld in artikel 32 AVG. Ook neemt Vcare maatregelen om deze persoonsgegevens te beveiligen tegen verlies of onrechtmatig gebruik of verwerking. Deze beveiligingsmaatregelen staan in Bijlage B.
2. Vcare staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, zal Vcare zich inspannen dat de beveiliging zal voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
Artikel 8. Meldplicht
1. Als er sprake is van een datalek zal Vcare Opdrachtgever hierover onmiddellijk, doch uiterlijk binnen 24 uur na de eerste ontdekking, informeren, inclusief de reeds door Vcare getroffen maatregelen met inachtneming van artikel 33 AVG.
2. De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:
a. Wat de (vermeende) oorzaak is van het lek;
b. Wat is het (vooralsnog bekende en/of te verwachten) gevolg;
c. Wat is de (voorgestelde) oplossing;
d. Is er risico voor de rechten en vrijheden van betrokkenen;
e. Is er een melding bij de AP gedaan.
Artikel 9. Geheimhouding en vertrouwelijkheid
1. Op alle persoonsgegevens die Vcare van Opdrachtgever ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Vcare zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen.
2. Deze geheimhoudingsplicht is niet van toepassing voor zover Opdrachtgever uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
Artikel 10. Controle
1. Opdrachtgever is gerechtigd om gedurende de uitvoering van de Verwerkersovereenkomst door een onafhankelijke deskundige te laten controleren of en in hoeverre Vcare de verplichtingen uit deze overeenkomst naleeft. Vcare verleent zijn volledige medewerking aan de controle.
2. Een controle wordt voorafgegaan door een schriftelijke melding aan Vcare.
3. De door Opdrachtgever ingeschakelde onafhankelijke deskundige, is gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen.
4. Ieder der partijen draagt haar eigen kosten voor de controle.
Artikel 11. Duur en beëindiging
1. Deze Verwerkersovereenkomst komt tot stand door ondertekening van Partijen en op de datum van de laatste ondertekening.
2. Deze Verwerkersovereenkomst gaat in op het moment van ondertekening en duurt voort zolang Vcare als Verwerker van persoonsgegevens optreedt in het kader van de door Opdrachtgever ter beschikking gestelde persoonsgegevens.
3. Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Vcare alle persoonsgegevens die bij haar aanwezig zijn deze en eventuele kopieën daarvan aan Opdrachtgever op een gangbare wijze ter beschikking stellen dan wel verwijderen, vernietigen, anonimiseren en of pseudonimiseren.
4. Bij beëindiging van deze overeenkomst, bewaart Vcare de gegevens van Opdrachtgever één jaar ten behoeve van backup doeleinden. Dit is een encrypted en niet toegankelijke backup waarin eventuele persoonsgegevens niet zichtbaar zijn.
5. Indien Opdrachtgever vóór het verstrijken van deze backup-periode zoals bedoeld in lid 4 van dit artikel de (persoons)gegevens wenst te verwijderen, dan kan Vcare de werkelijke kosten hiervoor doorberekenen aan Opdrachtgever. Er
worden geen kosten doorberekend indien een verzoek tot gegevenswissing wordt ingediend op basis van artikel 17 AVG door een betrokkene.
6. Bij het restoren van klantdata is er altijd een akkoord van de Security Officer noodzakelijk om een gegevenswissing op basis van artikel 17 AVG te borgen.
7. Bij wijzigingen in de diensten, regelgeving of andere relevante omstandigheden die van invloed zijn op de verwerking van de Persoonsgegevens, zullen Partijen in overleg treden over een eventueel benodigde wijziging van de verwerkersovereenkomst. De wijzigingen in de tekst van deze verwerkersovereenkomst kunnen uitsluitend schriftelijk door de bevoegde vertegenwoordigers van Partijen worden overeengekomen.
8. Wijzigingen in de Bijlagen kunnen door Vcare op ieder moment schriftelijk worden gedaan onder vermelding van het versienummer en de datum van ingang van de nieuwe versie.
Artikel 12. Toepasselijk recht en geschillenbeslechting
1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
2. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Vcare gevestigd is.
Aldus overeengekomen en getekend:
Vcareconnect B.V. | ||
Tekenbevoegd: | Tekenbevoegd: | |
Functie: | Functie: | |
Plaats: | Plaats: | |
Datum: | Datum: |
Bijlage A
Verwerkingen, Doeleinden, Sub-Verwerkers
Type dienst | Verwerkingen | Doeleinden | Sub- Verwerkers: |
VoIP telefonie | IP adres NAW Telefoonnummer Gebruiksgegevens Fax | Levering van VoIP, data en opnames aan eindklanten | KPN Speakup T-Mobile Informaxion Sound of Data Machcloud Talksome |
Mobiele telefonie | NAW SIM kaartnummer Telefoonnummer IMEI nummer Gebruiksgegevens | Levering van mobiele telefonie aan eindgebruikers | KPN T-Mobile Vodafone |
Vaste telefonie | NAW Telefoonnummer Gebruiksgegevens | Levering van vaste telefonie aan eindgebruikers | KPN NG-BLU Networks |
Reporter | Telefoonnummer Gebruiksgegevens | Levering van data aan eindklanten | - |
Recorder | Geluidsopnames* Beeldopnames waaronder video en foto* *Deze opnames kunnen gezondheidsinformatie bevatten | Levering van opnames aan eindklanten | - |
API integratie | IP adres NAW Telefoonnummer Geboortedatum Geslacht Uitkomst zelftriage (t.b.v. urgentiebepaling)* BSN *Deze uitkomsten kunnen gezondheidsinformatie bevatten | Het doorgeven van ((bijzondere) persoons) gegevens t.b.v. systeemintegratie | MINDD |
Netwerk Verbindingen | NAW E-mail IP adres | Levering IP VPN | E-Zorg NG-BLU Networks T-Mobile Vodafone |
Bijlage B
Beveiliging
Om het privacy- en beveiligingsbeleid goed uit te voeren neemt Vcare alle mogelijke maatregelen en zorgt ervoor dat dit beleid door alle medewerkers (vast en tijdelijk) wordt begrepen, onderschreven en uitgedragen. Elke medewerker wordt bij indiensttreding gevraagd om een Verklaring Omtrent het Gedrag (VOG). Daarnaast zijn in de arbeidscontracten afspraken vastgelegd ten aanzien van concurrentie- en geheimhoudingsbeding na beëindiging van de arbeidscontracten. Tevens is Vcare NEN 7510 en ISO 27001 gecertificeerd en is de VvT op aanvraag beschikbaar.
De maatregelen zijn algemeen beschreven, omdat een specifieke beschrijving van de maatregelen een groot risico kan zijn voor de bescherming van de maatregelen.
Enkele organisatorische maatregelen die door Vcare genomen zijn.
Vcare heeft een operationele planning waarbij onderstaande maatregelen minimaal 1 keer jaar getoetst en gecontroleerd worden.
• Bewustzijn van medewerkers
• Training van medewerkers
• Kennis en competentie van medewerkers
• Procedures en instructies
• Fysieke & logische beveiliging van ruimtes
• Digitale beveiliging en 24/7 monitoring van systemen en applicaties
• Dagelijkse automatische encrypted backups
• Update management
• Redundant opgebouwd netwerk en databases
• Leveranciersmanagement / Beoordeling
• Risicomanagement / Beoordeling
• Wachtwoordmanagement en minimaal 2-factor authenticatie
• Virusscans / Firewalls / Anti-Ransomware
• Logging maatregelen
• Pentest
• Autorisatie beheer
• Encryption management