User Agreement Xpert Suite Data Safe

Gebruikersovereenkomst Xpert Suite Datakluis

Otherside at Work

Versie / Version	4.2
Status	Definitief / Final
Datum / Date	18-05-2022
Classificatie / Classification	Openbaar / Public

ENGLISH VERSION WILL FOLLOW BELOW DUTCH TEXT

De besloten vennootschap met beperkte aan- sprakelijkheid Otherside at Work B.V., gevestigd en kantoorhoudende aan de Wisent 14 te ’s-Herto- genbosch (5236 PX) (hierna te noemen: “Other- side”) verleent hierbij aan Afnemer (zoals hierna gedefinieerd) het recht om de Datakluis onder de volgende voorwaarden te gebruiken. Gezamenlijk hierna te noemen Partijen.

Partijen nemen het volgende in overweging:

De Datakluis is ontwikkeld om werkgevers te on- dersteunen in het veilig en in lijn met privacyregels delen van persoonsgegevens van zijn medewer- kers met arbodiensten en andere verzuimdienst- verleners (“Dienstverleners”). Hierbij zorgt de Data- kluis ervoor dat:

• Werkgevers een eenvoudig werkproces hou- den bij het doorgeven van verzuimmeldingen aan Dienstverleners

• De datakwaliteit beter wordt gewaarborgd: niet per ongeluk omwisselen of splitsen van dossiers

• De Dienstverlener verzuimanalyses over uw medewerker populatie kan uitvoeren en rap- porteren

• De Dienstverlener de mogelijkheid krijgt om de wettelijke verplichte anonieme spreekuren te ondersteunen met behoud van datakwaliteit en zonder indirect de werkgever hier inzicht in te geven

De Datakluis kan zowel worden ingezet in de situa- tie waar de werkgever handmatig persoonsgege- vens en verzuimmeldingen doorgeeft aan de Dienstverlener, als in de situatie dat dit via een ge- automatiseerde gegevensuitwisseling plaatsvindt.

De Datakluis zorgt er in beide situaties voor dat de werkgever de persoonsgegevens in zijn eigen Da- takluis plaatst, waarna alleen in toegestane situa- ties de juiste gegevens naar de Dienstverlener worden doorgegeven. Hierbij bestaan de vol- gende gegevensstromen richting de Dienstverle- ner:

• Gepseudonimiseerde gegevens van de mede- werkerspopulatie worden direct doorgegeven aan de Dienstverlener. Hierdoor weet een Dienstverlener wel hoeveel werknemers, FTE, afdelingen en functies er aanwezig zijn in de organisatie, maar niet welke personen dat zijn. Elke mutatie in deze populatie wordt gepseu- donimiseerd doorgegeven, zodat deze getal- len voor de Dienstverlener altijd actueel zijn.

• Wanneer er een zorgvraag is voor een speci- fieke medewerker, dan wordt voor die ene medewerker het bij de Dienstverlener aanwe- zige gepseudonimiseerde record aangevuld met persoonsgegevens, waardoor de Dienst- verlener conform de wettelijke eisen haar ei- gen dossier kan gaan opbouwen.

Tevens kan de Dienstverlener handmatig per- soonsgegevens uit de Datakluis opvragen van een medewerker die op een inloopspreekuur komt. Op basis van een combinatie van de opgevoerde ge- gevens (in ieder geval werkgever, postcode en geboortedatum) kan de Datakluis teruggeven welk gepseudonimiseerd record bij deze werkne- mer hoort, zodat bij een eventuele toekomstige verzuimmelding de Dienstverlener wel over het complete persoonsdossier beschikt. Deze mat- ching blijf verborgen voor de werkgever, zodat ook hier aan de geldende privacyrichtlijnen en ar- bowetgeving wordt voldaan.

De gegevens in de Datakluis worden door Other- side als verwerker verwerkt namens de verwer- kingsverantwoordelijke Werkgever en betreffen al- leen de volgende noodzakelijke gegevens:

• Werkgever

• Naam (alle delen van de eigen naam en part- nernaam en voorkeurshantering)

• Geslacht

• Geboortedatum

Daarnaast kunnen de volgende optionele gege- vens met de Datakluis verwerkt worden:

• Personeelsnummer

• Adresgegevens (inclusief postcode, woon- plaats, land)

• Contactgegevens (telefoonnummers, e-mail- adressen, bankrekeninggegevens)

• BurgerServiceNummer

De gegevens die gedeeld worden met de Dienst- verlener worden niet meer in de Datakluis verwerkt en vallen buiten deze gebruikersovereenkomst.

Hiervoor is een aparte overeenkomst tussen de Dienstverlener en Otherside voor het gebruik van de ‘Xpert Suite’.

Deze gebruikersovereenkomst en bijbehorende voorwaarden zijn tevens de verwerkersovereen- komst in de zin van de AVG.

Partijen komen het volgende in overeen:

1 Definities

In deze Leveringsovereenkomst worden de vol- gende begrippen gebruikt:

1.1 Afnemer: De entiteit (werkgever) die gebruik maakt van de DataKluis en daarin Persoonsgege- vens (personeelsgegevens) zet en Eindgebruikers kan autoriseren voor gebruik van de DataKluis.

1.2 Aanvullende Nationale Wetgeving: de nationale wetgeving met betrekking tot de verwerking van Persoonsgegevens in een lidstaat van de EU naast de AVG.

1.3 AVG: Algemene Verordening Gegevensbescher- ming: wet die sinds 25 mei 2018 van kracht is. Deze wet zorgt ervoor dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De AVG is ook wel bekend onder de Engelse naam: General

Data Protection Regulation (GDPR). Op een aan- tal punten laat de AVG-ruimte voor nationale keu- zes, deze zijn uitgewerkt in de UAVG.

1.4 Betrokkene degene wiens Persoonsgegevens wor- den verwerkt en hun recht als Betrokkene kunnen uitoefenen.

1.5 Beveiligingsinbreuk: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de on- geoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of an- derszins verwerkte gegevens;

1.6 Colocaties: Externe locaties waar Otherside de technische infrastructuur van de Datakluis dienst heeft ondergebracht.

1.7 Datakluis: de Xpert Suite Datakluis dienst van Otherside.

1.8 Dienstverlener: commerciële en/of niet-commerci- ele bedrijfsgezondheidsdienst zoals maar niet uit- sluitend arbodienstverleners, schadelastbeheer- sers, casemanagementbedrijven en/of bedrijfsart- sennetwerken die gebruik maken van Xpert Suite.

1.9 Leveringsovereenkomst: deze gebruikersovereen- komst tussen Xxxxxxx en Otherside met betrekking tot het gebruik van de Datakuis en de verwerking van de daarin door de Afnemer opgeslagen (per- soons)gegevens.

1.10 Licentie: het recht om de Xpert Suite Datakluis te gebruiken.

1.11 Licentievoorwaarden: de op deze Leveringsover- eenkomst van toepassing zijnde Xpert Suite Licen- tievoorwaarden van Otherside.

1.12 Persoonsgegevens: alle informatie over een ge- identificeerd of identificeerbaar natuurlijke per- soon. Dit betekent dat informatie ofwel direct over iemand gaat (direct Persoonsgegeven), ofwel naar deze persoon te herleiden is (indirect Per- soonsgegeven). Hierbij wordt onderscheid ge- maakt tussen Persoonsgegevens en Bijzondere Persoonsgegevens. Persoonsgegevens zijn bijvoor- beeld iemands naam, adres en woonplaats, maar ook telefoonnummers en postcodes met huisnum- mers zijn Persoonsgegevens. Bijzondere Persoons- gegevens zijn gegevens over iemands: ras/ etni- sche afkomst; politieke opvattingen; godsdienst / levensovertuiging; lidmaatschap vakbond; geneti- sche / biometrische gegevens met oog op unieke identificatie; gezondheid; seksuele leven; straf- rechtelijk verleden. Een organisatie mag geen bij- zondere Persoonsgegevens verwerken, tenzij daar- voor in de wet een uitzondering is.

1.13 Otherside: Otherside at Work B.V.

1.14 Software: DataKluis.

1.15 Toezichthoudende Autoriteit: door een lidstaat aangewezen onafhankelijke overheidsinstantie die verantwoordelijk is voor het toezicht op de lande- lijke toepassing van de UAVG. Otherside is gebon- den aan de Nederlandse Toezichthoudende Auto- riteit, te weten de Autoriteit Persoonsgegevens.

1.16 Toepasselijke Privacy Wetgeving: AVG, UAVG en de Aanvullende Nationale Wetgeving.

1.17 Verwerken (van Persoonsgegevens): alle handelin- gen met betrekking tot Persoonsgegevens, van verzamelen tot en met vernietigen. Handelingen die er volgens de AVG in ieder geval onder vallen zijn: het verzamelen, vastleggen, ordenen, structu- reren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen en vernieti- gen van Persoonsgegevens.

1.18 UAVG: Uitvoeringswet Algemene Verordening Ge- gevensbescherming. Wet van 16 mei 2018, hou- dende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gege- vensbescherming) (PbEU 2016, L 119).

1.19 Verwerken (van Persoonsgegevens): alle handelin- gen met betrekking tot Persoonsgegevens, van verzamelen tot en met vernietigen. Handelingen die er volgens de AVG in ieder geval onder vallen zijn: het verzamelen, vastleggen, ordenen, structu- reren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen en vernieti- gen van Persoonsgegevens.

1.20 Pseudonimiseren: het verwerken van persoonsge- gevens op zodanige wijze dat de persoonsgege- vens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvul- lende gegevens worden gebruikt, mits deze aan- vullende gegevens apart worden bewaard en technische en organisatorische maatregelen wor- den genomen om ervoor te zorgen dat de per- soonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden ge- koppeld. Gepseudonimiseerde persoonsgegevens vallen onder de AVG.

1.21 Verwerker: een natuurlijke persoon of rechtsper- soon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de Ver- werkingsverantwoordelijke persoonsgegevens ver- werkt.

1.22 Verwerkingsverantwoordelijke: een natuurlijke per- soon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of sa- men met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vast- stelt.

2 Algemeen

2.1 Voor zover enige bepaling van deze Leverings- overeenkomst in strijd is met hetgeen in de Licen- tievoorwaarden is bepaald, prevaleert hetgeen in deze Leveringsovereenkomst is bepaald.

2.2 Deze Leveringsovereenkomst bevat ook de af- spraken welke dienen te worden vastgelegd in

een ‘verwerkersovereenkomst’ zoals omschreven

in de AVG.

3 Gebruik van de Datakluis

3.1 Op voorwaarde van volledige naleving van de voorwaarden uit deze Leveringsovereenkomst en de toepasselijke Licentievoorwaarden verleent Otherside hierbij aan Afnemer een niet-exclusieve, niet-sublicentieerbare en niet-overdraagbare Li- centie.

3.2 Voor het gebruik van de Datakluis is geen ge- bruiksvergoeding verschuldigd en staat los van het contract dat u met uw Dienstverlener heeft. Het kan zijn dat de Dienstverlener vanwege de wijzi- gingen op dit gebied separaat kosten voor de maatregelen die zij moeten treffen in het kader van security en compliancy met u overeenkomt en aan u doorbelast.

3.3 Afnemer bepaalt welke gegevens met behulp van de Datakluis wordt opgeslagen en/of uitge- wisseld. Otherside heeft geen semantische kennis van die gegevens en heeft uitsluitend toegang voor beheer en onderhoud van de Datakluis. Af- nemer is er dan ook verantwoordelijk voor dat die gegevens rechtmatig zijn en geen inbreuk maakt op rechten van derden. Afnemer vrijwaart Other- side voor aanspraken van derden die gebaseerd zijn op de stelling dat de door Xxxxxxx met be- hulp van de Datakluis opgeslagen en/of uitgewis- selde data of informatie onrechtmatig is. Mocht Otherside kennis hebben of tot het besef komen dat data of informatie die Afnemer met behulp van de Datakluis heeft opgeslagen en/of uitgewis- seld onrechtmatig is, dan behoudt Otherside zich het recht voor om de gegevens in quarantaine te plaatsen door de toegang daartoe onmogelijk te maken. Otherside zal, als de rechtmatigheid niet alsnog kan worden aangetoond binnen 2 weken, deze gegevens definitief verwijderen. In geen ge- val zal Otherside aansprakelijk zijn voor schade die voortvloeit uit dat handelen.

4 Opslag en verwerking van (persoons)gegevens in de Datakluis

4.1 Het gebruik van de Datakluis brengt verwerkingen van (bijzondere) Persoonsgegevens met zich mee. Afnemer wordt beschouwd als de Verwerkingsver- antwoordelijke. Dit betekent dat de verantwoor- delijkheid voor naleving van de Toepasselijke Pri- vacy Wetgeving bij het verwerken van Persoons- gegevens bij Afnemer ligt. Otherside fungeert hier- bij als Verwerker.

4.2 De volgende gegevens worden vastgelegd in de Datakluis en worden dus niet doorgegeven naar de Dienstverlener totdat er een concrete zorg- vraag is:

• Naam (alle delen van de eigen naam en partnernaam)

• Adresgegevens (inclusief postcode, woonplaats, land)

• Contactgegevens (telefoonnummers, e- mailadressen, Bankrekeninggegevens)

• Geboortedatum

• Burger Service Nummer (eventueel)

5 Opvolgen van opdrachten en instructies door Otherside

5.1 Het is niet toegestaan dat Otherside Persoonsge-

gevens voor eigen doeleinden gaat verwerken en/of aan derden te verstrekken.

5.2 Otherside verwerkt gegevens ten behoeve van Af- nemer, overeenkomstig diens instructies en onder diens verantwoordelijkheid. Afnemer is Verwer- kingsverantwoordelijke.

5.3 Otherside heeft geen zeggenschap over het doel en de middelen voor de verwerking van de Per- soonsgegevens. Zo neemt Otherside geen beslis- singen over de ontvangst en het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van de Persoonsgegevens. De zeggenschap over de Persoonsgegevens komt nimmer bij Otherside te berusten.

5.4 Naast de verplichting van Otherside om de in- structies van Xxxxxxx te volgen, dient Otherside ook zorg te dragen voor de naleving van de voor- waarden die met name op grond van de AVG worden gesteld aan het verwerken van Persoons- gegevens.

5.5 Als de Toezichthoudende Autoriteit audits, inspec- ties of onderzoekingen verricht bij de Afnemer ver- band houdende met deze Leveringsovereenkomst zal Otherside zijn volledige medewerking verlenen.

5.6 Als de Autoriteit Persoonsgegevens audits, inspec- ties of onderzoekingen verricht bij Otherside stelt Otherside de Afnemer onmiddellijk schriftelijk op de hoogte hiervan (met uitzondering van dwin- gendrechtelijk verbod). Daarnaast stelt Otherside de Afnemer op de hoogte van alle bevindingen van de Autoriteit Persoonsgegevens die direct of indirect effect zullen hebben op deze overeen- komst.

5.7 Otherside zal de aanbevelingen van de Autoriteit Persoonsgegevens betrekking hebbende op deze Leveringsovereenkomst onmiddellijk opvolgen.

5.8 Otherside zal een verzoek tot inzage, wijziging, da- taportabiliteit, verwijdering van Persoonsgege- vens, intrekking van toestemming verwerking van Persoonsgegevens of beperking van verwerking van Persoonsgegevens (Recht van Betrokkene) binnen 5 werkdagen doorsturen naar de Afnemer en zal alle medewerking verlenen aan de Afne- mer bij een dergelijk verzoek.

5.9 Otherside zal op verzoek van Xxxxxxx medewer- king verlenen aan een gegevensbeschermingsef- fect- beoordeling (Data Protection Impact As- sessment (DPIA)).

6 Beveiligingsmaatregelen

6.1 Otherside neemt alle passende technische en or- ganisatorische maatregelen om de Persoonsgege- vens te beveiligen tegen verlies, vernietiging of

enige vorm van onrechtmatige verwerking. Deze maatregelen zullen passend zijn, rekening hou- dend met de stand van de techniek, de uitvoe- ringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke per- sonen. Deze maatregelen zijn in ieder geval ge- richt om:

1. Te voorkomen dat onbevoegden toegang krij- gen tot systemen waarin de Persoonsgegevens worden verwerkt.

2. Te voorkomen dat systemen waarin de Per- soonsgegevens worden verwerkt zonder toestem- ming worden gebruikt.

3. Ervoor te zorgen dat alleen de daartoe be- voegde personen de Persoonsgegevens mogen Verwerken in de betreffende systemen en dat de Persoonsgegevens niet kunnen worden Verwerkt zonder toestemming van de Afnemer.

4. Ervoor te zorgen dat de Persoonsgegevens niet kunnen worden gelezen, gekopieerd, veranderd of verwijderd zonder toestemming van de Afne- mer tijdens digitale overdracht of opslaan van de Persoonsgegevens.

5. Ervoor te zorgen dat het te traceren is welke Persoonsgegevens, in de systemen waarin zij wor- den verwerkt zijn aangemaakt, gewijzigd of verwij- derd en door wie.

6. Ervoor te zorgen dat alle passende technische en organisatorische maatregelen om de Persoons- gegevens te beveiligen tegen verlies, vernietiging of enige vorm van onrechtmatige verwerking wor- den nageleefd door de (sub)verwerkers van Otherside.

7. Ervoor te zorgen dat de Persoonsgegevens ver- zameld voor verschillende doeleinden afzonderlijk kunnen worden verwerkt.

6.2 Otherside zal, in het kader van de in het vorige sublid beschreven verplichting, tenminste de in de ‘Privacy and Security Controls Otherside at Work’ gespecificeerde maatregelen treffen.

6.3 De door Otherside in dit kader te nemen maatre- gelen zullen in ieder geval voldoen aan het ISO27001 normenkader, waarvoor Otherside jaar- lijks door een certificerende instantie ge-audit wordt.

7 Verantwoordingsplicht

7.1 Otherside voorziet de Afnemer van de noodzake- lijke informatie waardoor de Afnemer een oordeel kan vormen over de naleving door Otherside van deze overeenkomst.

7.2 Otherside licht op eerste verzoek van de Afnemer de opzet en werking toe van het stelsel van maat- regelen en procedures, gericht op de naleving van deze overeenkomst.

7.3 De Afnemer heeft met betrekking tot de eigen Persoonsgegevens het recht om de technische en organisatorische beveiligingsmaatregelen die

Otherside heeft getroffen te onderzoeken gedu- rende de duur van deze overeenkomst. In dit ka- der heeft de Afnemer het recht om alle relevante rapporten over IT-beveiliging of privacy audits op te vragen bij de Otherside. Daarnaast heeft de Af- nemer het recht om audits uit te voeren over de Persoonsgegevens verwerkingen door Otherside. Otherside zal de Afnemer alle nodige informatie verschaffen voor het uitvoeren van deze audits.

7.4 Op verzoek kan de Afnemer een security audit (la- ten) uitvoeren op de relevante generieke infra- structuur, klantspecifieke infrastructuur en het infor- matiebeveiligingsbeleid van Otherside door daar- toe gekwalificeerde medewerkers en/of derden. Een audit die zal plaatsvinden op de infrastructuur en systemen die voor meerdere klanten worden ingezet is toegestaan, mits de belangen van deze klanten niet geschaad worden. Dit zal vooraf door Otherside worden bepaald. Otherside en haar(sub)verwerkers zullen de auditors die optre- den namens de Afnemer met betrekking tot een audit voorzien van alle redelijke medewerking en toegang tot de faciliteiten waar Persoonsgege- vens verwerkt worden. Dit geldt voor zowel een audit op de infrastructuur en/of informatiesys- temen als op de kantoren van Otherside en Colo- caties. Op de Colocaties is Otherside afhankelijk van de medewerking van de desbetreffende dienstverleners en/of leveranciers. Wanneer hier- toe aanleiding is, zal Otherside zelf een opdracht geven tot het uitvoeren van een security audit.

7.5 De benodigde medewerking door Otherside en/of haar (sub)verwerkers aan een audit en de kosten hiervan worden aan de Afnemer doorbelast. Otherside verstrekt alle informatie die Afnemer no- dig heeft voor het zelf uitvoeren van een gege- vensbeschermingeffectbeoordeling, maar zal kos- ten doorbelasten indien Afnemer ondersteuning nodig heeft bij het uitwerken van de gegevensbe- schermingeffectbeoordeling.

8 Medewerkers en Subverwerkers

8.1 Als Otherside voor het verwerken van de Persoons- gegevens een derde inschakelt (hierna te noe-

men “subverwerker”) zal Otherside de Afnemer vooraf informeren. Otherside draagt er zorg voor dat alle verplichtingen uit deze Leveringsovereen- komst eveneens gelden voor (sub)verwerker.

8.2 De verplichtingen van Otherside die uit deze Over- eenkomst voortvloeien, gelden ook voor degenen die de Persoonsgegevens verwerken onder het gezag van Otherside en/of (sub)verwerker.

8.3 Ter invulling hiervan zal Otherside in ieder geval deze personen verplichten, met uitzondering van dwingendrechtelijke verplichtingen, tot geheim- houding van de Persoonsgegevens waarvan zij uit hoofde van de verbintenis met Otherside kennis- nemen.

8.4 Afnemer autoriseert Otherside hierbij om hosting- partner Proserve BV te betrekken als sub-verwerker

op de Colocaties.

9 Datalekken

9.1 In het geval van een datalek als bedoeld in artikel 33 AVG respectievelijk een inbreuk op de beveili- ging als bedoeld in artikel 32 AVG of enig ander incident met betrekking tot de Persoonsgegevens, zal Otherside direct, maar in ieder geval binnen 24 uur na het ontdekken van het datalek, de Afne- mer daarover informeren op het opgegeven mail- adres bij goedkeuren van deze overeenkomst. Otherside garandeert dat de verstrekte informatie volledig, correct en accuraat is voor zover Xxxxxx- ker dat op dat moment redelijkerwijs kan vaststel- len. Zodra in een latere fase aanvullende rele- vante informatie over het datalek (of inbreuk op de beveiliging) bekend is zal Otherside Afnemer hierover nader informeren op het opgegeven emailadres.

9.2 De meldplicht geldt ongeacht de omvang en im- pact van het datalek.

9.3 De meldplicht van Otherside aan de Afnemer be- helst in ieder geval het melden van het feit dat er een datalek is geweest, alsmede het melden van:

- de (mogelijke) oorzaak (oorzaken) van het da- talek;

- de (vooralsnog bekende en/of te verwachten) gevolg(en) van het datalek;

- de (voorgestelde) oplossing(en);

- de contactgegevens binnen de organisatie van Otherside voor de opvolging van de melding;

- de reeds getroffen maatregelen om herhaling te voorkomen.

10 Looptijd, Wijziging en beëindiging overeenkomst

10.1 De Leveringsovereenkomst wordt aangegaan vanaf het moment van activatie van de Datakluis.

10.2 De Leveringsovereenkomst geldt voor onbe- paalde tijd.

10.3 Wanneer Afnemer de samenwerking met haar Dienstverlener beëindigt en/of Dienstverlener de samenwerking met Otherside beëindigt wordt deze Leveringsovereenkomst beëindigd.

10.4 De Leveringsovereenkomst kan slechts schriftelijk en met instemming van Partijen worden gewijzigd.

10.5 Als door een wijziging van wet- of regelgeving een artikel uit deze Leveringsovereenkomst niet meer (onverkort) geldig is, zullen Partijen in onderling overleg een vervangend artikel overeenkomen dat zoveel mogelijk recht doet aan de strekking van het originele artikel.

10.6 Partijen hebben het recht om de Leveringsover- eenkomst te beëindigen. Dit dient schriftelijk te worden aangegeven.

10.7 Zodra conform Artikel 10.3 de Afnemer de samen- werking met haar Dienstverlener beëindigt en/of de Dienstverlener de samenwerking met Otherside beëindigt wordt de Datakluis gedeactiveerd. Dat wil zeggen, alle data in de Datakluis wordt vernie- tigd en de Datakluis is niet meer beschikbaar.

10.8 Verplichtingen uit deze Leveringsovereenkomst die

naar hun aard voortduren na beëindiging van de overeenkomst, blijven onverminderd van kracht.

10.9 De Afnemer is gerechtigd de Leveringsovereen- komst met onmiddellijke ingang op te zeggen in- geval Otherside zich niet houdt aan de in deze Le- veringsovereenkomst aangegane verplichtingen.

10.10 Elk van de Partijen is gerechtigd de Leveringsover- eenkomst met onmiddellijke ingang te beëindigen ingeval van overmacht, waaronder mede wordt begrepen een zodanige wijziging van de wette- lijke regels dat een verdere voortzetting van de Le- veringsovereenkomst redelijkerwijs niet kan wor- den verlangd.

10.11 Zodra de samenwerking is beëindigd, wordt de Datakluis gedeactiveerd (conform toelichting in artikel 10.7), tenzij Partijen iets anders overeenko- men of als langere bewaring noodzakelijk is op grond van wet- of regelgeving dan wel om te kun- nen voldoen aan de verplichtingen die nog uit de samenwerking voortvloeien. Bij Afnemer ligt het ini- tiatief om voorafgaand aan het beëindigen van de samenwerking met Otherside hierover afspra- ken te maken, ook over het ontvangen van een schriftelijke bevestiging van het vernietigen van de Persoonsgegevens van Afnemer.

11 Aansprakelijkheid

11.1 In aanvulling op artikel 6 van de Licentievoorwaar- den geldt dat indien er als gevolg van een toere- kenbare tekortkoming van Otherside, of een aan Otherside toerekenbaar gedraging of nalaten, door een overheidstoezichthouder aan Afnemer een boete wordt opgelegd, welke boete (deels) rechtstreeks verband houdt met voornoemde te- kortkoming, gedragen of nalaten, vrijwaart Other- side Afnemer voor (dat deel van) die boete. De vrijwaring geldt niet voor zover de boete (mede) verband houdt met gedrag van Xxxxxxx zelf of wanneer Xxxxxxx zelf redelijkerwijs maatregelen had kunnen nemen om de boete te voorkomen. Op deze vrijwaring zijn de beperkingen van aan- sprakelijkheid van toepassing conform de Licentie- voorwaarden.

ENGLISH VERSION

The private company with limited liability Otherside at Work B.V., having its registered office and place of business at Wisent 14 in 's-Hertogenbosch (5236 PX) (hereinafter referred to as: "Otherside") hereby grants the Customer (as defined below) the right to use the Data Safe subject to the following terms and conditions. The parties are jointly referred to below as ‘the Parties’.

The Parties take the following into consideration: The Data Safe was developed to support employ- ers in sharing personal data of its employees with ar-services and other absence service providers ("Service Providers") securely and in line with pri- vacy regulations. In doing so, the Data Safe en- sures that:

• Employers maintain a simple work process when passing on sickness reports to Service Providers

• Data quality is better ensured: no accidental swapping or splitting of files

• The Service Provider can conduct and report absence analyses on your employee population

• The Service Provider can support legally required anonymous consultation hours while maintaining data quality and without indirectly giving the employer insight into this

The Data Safe can be used both in the situation where the employer manually transmits personal data and absence reports to the Service Provider, and in the situation where this is done through au- tomated data exchange.

In both situations, the Data Safe ensures that the employer places the data in its own Data Safe, af- ter which the correct data are transferred to the Service Provider only in legally authorised situa- tions. the following data flows exist towards the Service Provider:

• Pseudonymised data of the employee population are transmitted directly to the Service Provider. As a result, while a Service Provider knows how many employees, FTE, departments and positions are present in the organisation, it does not know which individuals they are. Any movement in this population is transmitted pseudonymised, so that these numbers are always up to date for the Service Provider.

• When there is a request for care for a specific employee, the pseudonymised record present at the Service Provider is supplemented with personal data for that one employee, allowing the Service Provider to start building its own file in accordance with legal requirements.

The Service Provider may also manually retrieve personal data from the Data Safe from an em- ployee who attends a walk-in clinic. Based on a combination of the data entered (at least em- ployer, postcode and date of birth), the Data Safe can return which pseudonymised record belongs to this employee, so that in the event of any future absenteeism report, the Service Provider does have the complete personal file. This matching re- mains hidden from the employer, ensuring compli- ance with applicable privacy guidelines and health and safety legislation here as well.

The data in the Data Safe is processed by Other- side as a processor on behalf of the controller (Em- ployer) and only involve the following necessary data:.

• Employer

• Employee name (all parts of it)

• Sex

• Birth date

In addition, the following optional data can be processed in the Data Safe:

• Employee number

• Address data (including postal code, country and residence)

• Contact details (phone number, email address, bank account numbers)

• BurgerServiceNummer

Data shared with the Service Provider is no longer processed in the Data Vault and is outside of this user agreement. For this, there is a separate agreement between the Service Provider and Otherside for the use of the 'Xpert Suite'.

This user agreement and associated terms are also the processor agreement within the meaning of the AVG.

The Parties agree as follows:

1 Definitions

The terms below are defined as follows in this Sup- ply Agreement:

1.1 Customer The entity (employer) that uses the Data Safe and puts Personal Data (personnel data) in it and can authorise End Users to use the Data Safe.

1.2 Supplementary National Legislation: the national legislation relating to the processing of Personal Data in a Member State of the EU that applies in addition to the GDPR.

1.3 GDPR: General Data Protection Regulation: law in force since 25 May 2018. This law ensures that the same privacy laws apply throughout the European Union (EU). On a number of points, the GDPR leaves room for national choices; these are de-

tailed in the Dutch General Data Protection Regu- lation (Implementation) Act.

1.4 Data Subject the person whose Personal Data are processed and can exercise their right as a Data Subject.

1.5 Security Incident: means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or ac- cess to, personal data transmitted, stored or other- wise processed.

1.6 Colocation Data Centres: Remote locations where Otherside has hosted the technical infrastructure of the Data Safe service.

1.7 Data Safe: the Xpert Suite Data Safe service from Otherside.

1.8 Service Provider: Commercial and/or non-com- mercial occupational health and safety services, including, but not limited to, OHSS providers, claims managers, case management companies, and/or occupational physician networks who use Xpert Suite.

1.9 Supply Agreement: this user agreement between the Customer and Otherside for the use of the Data Safe and processing of the personal and other data that the Customer stores in it.

1.10 Licence: the right to use the Xpert Suite Data Safe.

1.11 Licence Terms: the Xpert Suite Licence Terms of Otherside applicable to this Supply Agreement.

1.12 Personal Data: any information relating to an iden- tified or identifiable natural person. This means that information is either directly about someone (di- rect Personal Data) or traceable to them (indirect Personal Data). This distinguishes between Personal Data and special Personal Data. Personal Data are, for example, a person's name, address and place of residence, but also telephone numbers and postcodes with house numbers. Special Per- sonal Data are data on a person's: racial/ethnic origin; political opinions; religion/beliefs; trade un- ion membership; genetic/biometric data for the purpose of unique identification; health; sex life; criminal record. An organisation may not process special Personal Data unless there is an exception for this in the law.

1.13 Otherside: Otherside at Work B.V.

1.14 Software: Data Safe.

1.15 Supervisory Authority: independent public author- ity designated by a Member State responsible for monitoring the national application of the GDPR(I)A. Otherside is bound by the Dutch Super- visory Authority, namely the Dutch Personal Protec- tion Authority.

1.16 Applicable Privacy Legislation: GDPR, GDPR(I)A and the Additional National Legislation.

1.17 Processing (of Personal Data): all operations con- cerning Personal Data, from collection to destruc- tion. Actions that it covers under the GDPR in any case include: the collection, recording, organisa- tion, structuring, storage, updating or modification, retrieval, consultation, use, transmission, dissemina-

tion, making available, association, blocking, eras- ure and destruction of Personal Data.

1.18 GDPR(I)A: General Data Protection Regulation (Implementation) Act. Act of 16 May 2018, con- taining rules to implement Regulation (EU) 2016/679 of the European Parliament and the Council of 27 April 2016 on the protection of natu- ral persons with regard to the processing of Per- sonal Data and on the free movement of such data, and repealing Directive 95/46/EC (general data protection regulation) (OJEU 2016, L 119).

1.19 Pseudonymisation: processing personal data in such a way that the personal data can no longer be linked to a specific data subject without the use of additional data, provided that such addi- tional data are kept separately and technical and organisational measures are taken to ensure that the personal data are not linked to an identified or identifiable natural person. Pseudonymised per- sonal data are covered by the GDPR.

1.20 Processor: a natural person or legal entity, public authority, agency or other body who/that pro- cesses personal data on behalf of the Controller.

1.21 Controller: a natural person or legal entity, public authority, agency or other body who/that, alone or jointly with others, determines the purposes and means of the processing of personal data.

2 General

2.1 If any provision of this Supply Agreement is incon- sistent with the provisions of the Licence Terms, the provisions of this Supply Agreement take prece- dence.

2.2 This Supply Agreement also contains the arrange- ments that must be documented in a ‘processing agreement’ as described in the GDPR.

3 Use of the Data Safe

3.1 Subject to full compliance with the terms of this Supply Agreement and the applicable Licence Terms, Otherside grants the Customer a non-exclu- sive, non-sublicensable, and non-transferable Li- cence.

3.2 There is no user fee for using the Data Safe and it is separate from the contract you have with your Service Provider. Because of the changes in this area, the Service Provider can agree separate costs with you for the measures they have to adopt for the purpose of security and compliance and pass these costs on to you.

3.3 The Customer determines which data are stored and/or exchanged using the Data Safe. Otherside has no semantic knowledge of those data and has access only for managing and maintaining the Data Safe. The Customer is therefore responsi- ble for ensuring those data are lawful and do not infringe third-party rights. The Customer indemnifies Otherside against third-party claims based on the assertion that the data or information that the Cus- tomer has stored and/or exchanged using the Data Safe is unlawful. If Otherside knows or realises

that data or information that the Customer stores and/or exchanges using the Data Safe is unlawful, Otherside reserves the right to quarantine and make access to the data impossible. Otherside will permanently delete these data if their lawfulness cannot be proven within two weeks. Otherside will never be liable for any damage resulting from such actions.

4 Storage and processing of personal and other data in the Data Safe

4.1 The use of the Data Safe involves processing spe- cial and other Personal Data. The Customer is re- garded as the Controller. This means that responsi- bility for compliance with the Applicable Privacy Legislation when processing Personal Data lies with the Customer. Otherside acts as the Processor in this regard.

4.2 The following data are recorded in the Data Safe and are therefore not passed on to the Service Provider until there is a concrete request for care:

• Name (all parts of own name and partner's name)

• Address details (including postcode, city, country)

• Contact details (phone numbers, email addresses, bank account details)

• Date of birth

• Citizen Service Number (if any)

5 Otherside’s compliance with orders and instruc-

tions

5.1 Otherside must not process Personal Data for its own purposes and/or disclose them to third par- ties.

5.2 Otherside processes data on behalf of the Cus- tomer in accordance with the Customer’s instruc- tions and under the Customer’s responsibility. The Customer is the Controller.

5.3 Otherside has no control over the purpose and means of processing of the Personal Data. Other- side thus does not decide about the receipt and use of Personal Data, the disclosure to third parties, and the duration of storage of the personal data. Control over the personal data is never transferred to Otherside.

5.4 Besides Otherside’s obligation to follow the Cus- tomer’s instructions, Otherside must also ensure compliance with the conditions imposed on pro- cessing Personal Data, in particular under the GDPR.

5.5 Otherside must cooperate fully if the Supervisory Authority conducts audits, inspections, or investi- gations at the Customer in connection with this Supply Agreement.

5.6 Otherside must immediately inform the Customer in writing if the Dutch Data Protection Authority conducts audits, inspections, or investigations at Otherside (with the exception in case of a manda- tory prohibition). Otherside must also inform the

Customer of all findings of the Dutch Data Protec- tion Authority that will have a direct or indirect ef- fect on this Agreement.

5.7 Otherside must immediately follow the Dutch Data Protection Authority’s recommendations relating to this Supply Agreement.

5.8 Otherside must forward a request for access, recti- fication, data portability, deletion of Personal Data, withdrawal of consent to process Personal Data or to restrict processing of Personal Data to the Customer (Data Subject's right) within five busi- ness days and cooperate fully with the Customer if such a request is made.

5.9 Otherside will cooperate in a Data Protection Im- pact Assessment (DPIA) at the Customer's request.

6 Security measures

6.1 Otherside must adopt all appropriate technical and organisational measures to secure the Per- sonal Data against loss, destruction, or any form of unlawful processing. These measures must be ap- propriate, taking into account the state of the art, the costs of implementation and the nature, scope, context, and purposes of processing, as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons. These measures are at least aimed at:

1. Preventing unauthorised persons from gaining access to systems in which Personal Data are pro- cessed.

2. Preventing the use of systems in which Personal Data are processed without consent.

3. Ensuring that only authorised persons are al- lowed to Process the Personal Data in the relevant systems and that Personal Data cannot be Pro- cessed without the Customer’s consent.

4. Ensuring that Personal Data cannot be read, copied, altered, or deleted without the Cus-

xxxxx’x consent during digital transfer or storage

of the Personal Data.

5. Ensuring that it is possible to trace which Per- sonal Data have been created, altered, or de- leted in the systems in which they are processed and by whom.

6. Ensuring that Otherside’s processors or subpro- cessors comply with all appropriate technical and organisational measures to secure the Personal Data against loss, destruction, or any form of un- lawful processing.

7. Ensuring that Personal Data collected for differ- ent purposes can be processed separately.

6.2 In relation to the obligation described in the previ- ous subparagraph, Otherside must at least adopt the measures specified in 'Privacy and Security Controls Otherside at Work'.

6.3 The measures that Otherside adopts in this regard must always comply with the ISO27001 system of standards, for which purpose a certifying body au- dits Otherside each year.