Verwerkersovereenkomst

2. FuTec Systems BV statutair gevestigd te Barendrecht en ingeschreven bij de Kamer van Koophandel onder nummer 24232954 , hierbij rechtsgeldig vertegenwoordigd door haar directeur,

de heer X.X. xxx xxx Xxxx, hierna: “Verwerker”,

hierna afzonderlijk te noemen als “Partij” en gezamenlijk te noemen als “Partijen”,

overwegende dat:

• Verwerkingsverantwoordelijke beschikt over persoonsgegevens van diverse betrokkenen;

• Verwerkingsverantwoordelijke gebruik maakt van de diensten van Verwerker;

• Verwerkingsverantwoordelijke door middel van het gebruik van de dienst van Verwerker persoonsgegevens laat verwerken door Verwerker waarbij de Verwerkingsverantwoordelijke

het doel en de middelen aanwijst. Dit in het kader van de in bijlage 3 vermelde overeenkomst(en) tussen Partijen

(hierna: “Hoofdovereenkomst”);

• Verwerker bereid is de verplichtingen omtrent beveiliging en andere aspecten van de Wet bescherming persoonsgegevens (hierna: “WBP”) na te komen, voor zover dit binnen zijn macht ligt;

• Partijen, mede gelet op het vereiste uit artikel 14 lid 5 van de WBP, hun rechten en plichten door middel van deze verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”) schriftelijk wensen vast te leggen;

• Verwerker bij de uitvoering van de Hoofdovereenkomst aangemerkt kan worden als Bewerker in de zin van artikel 1 sub e WBP;

• Verwerkingsverantwoordelijke aangemerkt wordt als Verantwoordelijke in de zin van artikel 1 sub d WBP;

• waar in deze Verwerkersovereenkomst gesproken wordt over persoonsgegevens, hierna persoonsgegevens in de zin van artikel 1 sub a WBP worden bedoeld;

• waar in deze Verwerkersovereenkomst termen uit de WBP of Algemene Verordening Gegevensbescherming (hierna: “AVG”) worden genoemd, hiermee de corresponderende termen uit de WBP of AVG worden bedoeld;

• waar in deze Verwerkersovereenkomst wordt verwezen naar de WBP, vanaf 25 mei 2018 gedoeld wordt op (de corresponderende bepalingen uit) de AVG.

Verklaren het volgende te zijn overeengekomen:

1. Doeleinden van verwerking

1.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van deze Verwerkersovereenkomst en de doeleinden vastgelegd in de Hoofdovereenkomst. In bijlage 4 van deze Verwerkersovereenkomst is vastgelegd om welke categorieën betrokkenen en persoonsgegevens het gaat. Verwerkingsverantwoordelijke zal Verwerker schriftelijk op de hoogte stellen van de verwerkingsdoelen voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.

1.2 Verwerker heeft geen zeggenschap over het doel en de middelen voor verwerking van persoonsgegevens. Verwerker neemt geen zelfstandige beslissingen over de ontvangst en het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens.

1.3 De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.

1.4 Verwerkingsverantwoordelijke staat ervoor in dat zij, vanaf 25 mei 2018 op het moment dat de AVG van toepassing wordt, een register zal bijhouden van de onder deze Verwerkingsovereenkomst geregelde verwerkingen. Verwerkingsverantwoordelijke vrijwaart Verwerker tegen alle aanspraken en claims die verband houden met het niet juist naleven van deze registerplicht.

2. Verdeling van verantwoordelijkheid

2.1 Partijen zullen zorg dragen voor de naleving van toepasselijke privacywet- en regelgeving.

2.2 De toegestane verwerkingen zullen door Verwerker worden uitgevoerd binnen een (semi-) geautomatiseerde omgeving.

2.3 Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor alle overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of andere doeleinden, is Verwerker niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust uitsluitend bij Verwerkingsverantwoordelijke. Het verwerken van persoonsgegevens door Verwerker zal nimmer met zich meebrengen dat de databases van Verwerker worden verrijkt met de gegevens afkomstig uit de datasets van Verwerkingsverwerkingsverantwoordelijke.

2.4 Verwerkingsverantwoordelijke staat ervoor in dat de inhoud, het gebruik en de opdracht tot verwerkingen van persoonsgegevens, zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maakt op enig recht van derden.

3. Verplichtingen Verwerker

3.1 Ten aanzien van de in artikel 1 genoemde verwerkingen, zal Verwerker zorg dragen voor de naleving van de voorwaarden die, op grond van de WBP en AVG, worden gesteld aan het verwerken van persoonsgegevens door Verwerker vanuit diens rol.

3.2 Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek en binnen een redelijke termijn, informeren over de door hem genomen maatregelen aangaande zijn verplichtingen onder deze Verwerkersovereenkomst.

3.3 Verwerker zal Verwerkingsverantwoordelijke in kennis stellen indien naar zijn mening een instructie van Verwerkingsverantwoordelijke in strijd is met relevante privacywet- en regelgeving.

3.4 Verwerker zal Verwerkingsverantwoordelijke de noodzakelijke medewerking verlenen wanneer er in het kader van de verwerking een gegevensbeschermingseffect beoordeling, of voorafgaande raadpleging van de toezichthouder, noodzakelijk mocht zijn.

3.5 De verplichtingen van Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

4. Doorgifte van persoonsgegevens

4.1 Verwerker verwerkt persoonsgegevens in landen binnen de Europese Unie (EU). Verwerkingsverantwoordelijke geeft Verwerker daarnaast, indien van toepassing, toestemming voor de verwerking van persoonsgegevens in landen buiten de Europese Unie, met inachtneming van de relevante wet- en regelgeving.

4.2 Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, melden om welk land of welke landen het gaat.

5. Inschakelen van derden of sub verwerkers

5.1 Verwerkingsverantwoordelijke verleent Verwerker hierbij toestemming om bij de verwerking derden (sub verwerkers) in te schakelen.

5.2 Op verzoek van Verwerkingsverantwoordelijke zal Verwerker Verwerkingsverantwoordelijke zo spoedig mogelijk informeren over de door haar ingeschakelde sub verwerkers. Verwerkingsverantwoordelijke heeft het recht om bezwaar te maken tegen het inschakelen van de sub verwerker. Dit bezwaar dient schriftelijk, binnen twee weken en door argumenten ondersteund, te worden ingediend.

5.3 Verwerker zorgt er in ieder geval voor dat sub verwerkers schriftelijk ten minste dezelfde plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen. Verwerker staat in voor een correcte naleving van de plichten door deze sub verwerkers en is bij fouten van deze sub verwerkers zelf jegens Verwerkingsverantwoordelijke aansprakelijk voor alle schade alsof hij zelf de fout(en) heeft begaan.

6. Beveiliging

6.1 Verwerker zal zich inspannen passende technische en organisatorische maatregelen te nemen om de persoonsgegevens te beschermen tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van persoonsgegevens). Verwerker heeft hiertoe de in Bijlage 1 benoemde beveiligingsmaatregelen genomen.

6.2 Verwerker zal zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

6.3 Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking

6.4 voor verwerking, indien hij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.

7. Meldplicht

7.1 In het geval van een beveiligingslek en/of datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een aanzienlijke kans op ernstige gevolgen, dan wel ernstige nadelige gevolgen heeft, voor de bescherming van persoonsgegevens, zoals bedoeld in artikel 34a WBP) zal Verwerker, zich naar beste kunnen inspannen om Verwerkingsverantwoordelijke daarover onverwijld dan wel uiterlijk binnen 48 uur te informeren naar aanleiding waarvan Verwerkingsverantwoordelijke beoordeelt of zij de toezichthoudende autoriteiten en/of betrokkenen zal informeren of niet. Verwerker spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken. De meldplicht geldt enkel indien het lek daadwerkelijk heeft plaatsgevonden.

7.2 Verwerkingsverantwoordelijke zal zorgdragen voor het voldoen aan eventuele (wettelijke) meldplichten. Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel betrokkenen.

7.3 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:

• wat de (vermeende) oorzaak is van het lek;

• wat het (vooralsnog bekende en/of te verwachten) gevolg is;

• wat de (voorgestelde) oplossing is;

• contactgegevens voor de opvolging van de melding;

• wat de reeds ondernomen maatregelen zijn;

• wie geïnformeerd is (zoals betrokkene zelf, Verwerkingsverantwoordelijke, toezichthouder).

8. Afhandeling verzoeken van betrokkenen

8.1 In het geval dat een betrokkene een verzoek over zijn persoonsgegevens richt aan Verwerker, zal Verwerker het verzoek doorsturen aan Verwerkingsverantwoordelijke. Verwerker mag de betrokkene daarvan op de hoogte stellen. Verwerker zal Verwerkingsverantwoordelijke de noodzakelijke medewerking verlenen bij het afhandelen van het verzoek. Indien blijkt dat de Verwerkingsverantwoordelijke hulp nodig heeft van Verwerker voor de uitvoering van een verzoek van een betrokkene, dan kan Verwerker hiervoor kosten in rekening brengen.

9. Geheimhouding en vertrouwelijkheid

9.1 Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor hij deze heeft verkregen, tenzij deze in een zodanige vorm is gebracht dat deze niet tot betrokkenen herleidbaar is.

9.2 Deze geheimhoudingsplicht is niet van toepassing:

• voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen; of

• indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is voor de uitvoering van de Hoofdovereenkomst of deze Verwerkersovereenkomst; en

• indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

10. Audit

10.1Verwerkingsverantwoordelijke heeft het recht een audit uit te voeren of laten voeren door een deskundige onafhankelijke derde die aan geheimhouding is gebonden, ter controle van naleving van alle punten uit deze Verwerkersovereenkomst, en alles wat daar direct verband mee houdt.

10.2 Deze audit vindt uitsluitend plaats nadat Verwerkingsverantwoordelijke de bij Verwerker aanwezige soortgelijke relevante auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Verwerkingsverantwoordelijke geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij Verwerker aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Verwerkersovereenkomst door Verwerker. De door Verwerkingsverantwoordelijke geïnitieerde audit vindt twee weken na voorgaande aankondiging door Verwerkingsverantwoordelijke, maximaal eens per kalenderjaar plaats.

10.3Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn, waarbij een termijn van maximaal twee weken redelijk is tenzij een spoedeisend belang zich hiertegen verzet, ter beschikking stellen.

10.4De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld. Naar aanleiding daarvan zullen wijzigingen al dan niet worden doorgevoerd in de beveiliging door één van de Partijen of door beide Partijen gezamenlijk.

10.5De kosten van de audit worden door Verwerkingsverantwoordelijke gedragen, met dien verstande dat de kosten voor de in te huren derde altijd door Verwerkingsverantwoordelijke altijd worden gedragen.

11. Aansprakelijkheid

11.1De aansprakelijkheid van Partijen voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van deze Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, wordt beperkt tot de hoogte van de laatste factuur die Verwerkingsverantwoordelijke heeft voldaan.

11.2Voorwaarde voor het ontstaan van enig recht op schadevergoeding is steeds dat Verwerkings-verantwoordelijke de schade zo spoedig mogelijk na het bekend worden daarmee schriftelijk en aangetekend bij Verwerker meldt. Iedere vordering tot schadevergoeding door Verwerkings-verantwoordelijke vervalt door het enkele verloop van drie maanden nadat Verwerkingsverantwoordelijke bekend is geworden met het feit dat hij schade heeft geleden.

11.3Verwerker is uitdrukkelijk niet aansprakelijk voor schade van Verwerkingsverantwoordelijke als gevolg van een boete opgelegd door een van de nationale toezichthouders, waaronder de Autoriteit Persoonsgegevens, onder andere in het kader van wettelijke meldplichten.

12. Duur en beëindiging

12.1Deze Verwerkersovereenkomst komt tot stand door ondertekening van Partijen en op de datum van de laatste ondertekening.

12.2Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Hoofdovereenkomst tussen Partijen, en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.

12.3Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker alle persoonsgegevens die bij hem aanwezig zijn overdragen in aan Verwerkingsverantwoordelijke, e.e.a. tegen een redelijke vergoeding, conform gebruikelijk beleid.

12.4Na overdracht, schriftelijke afwijzing van overdracht door Verwerkingsverantwoordelijke, of indien de Verwerkingsverantwoordelijke niet reageert, na één maand na het aanbod tot overdracht, dient de Verwerker de Persoonsgegevens onverwijld te vernietigen. Op verzoek van Verwerkingsverantwoordelijke zal Verwerker schriftelijk bevestigen dat dit daadwerkelijk gebeurd is.

12.5Partijen mogen deze Verwerkersovereenkomst alleen wijzigen met wederzijds schriftelijke instemming.

13. Overige bepalingen

13.1De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

13.2Alle geschillen, die tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waarin Verwerker is gevestigd.

13.3Logs en gedane metingen door Verwerker gelden als dwingend bewijs, behoudens tegenbewijs te leveren door Verwerkingsverantwoordelijke.

13.4In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde

1. de Hoofdovereenkomst;

2. deze Verwerkersovereenkomst;

3. de Algemene Voorwaarden;

4. eventuele aanvullende voorwaarden.

Ondertekening

Namens FuTec Systems BV

Namens Opdrachtgever

Instelling

FuTec Systems BV

Tekenbevoegde

L.C. van der Slot

Datum

Plaats

Barendrecht

Handtekening

Nadat wij een getekend exemplaar van de Opdrachtgever hebben ontvangen zal ook FuTec er een handtekening onder zetten. Een door beide organisatie getekend exemplaar ontvangt u dan terug.

Bijlage 1 – Beschrijving technische en organisatorische maatregelen

Verwerker is houder van een ISO27001 en NEN7510 certificaat, en garandeert de door haar geformuleerde toereikende set van maatregelen gerealiseerd, en geborgd binnen het information security management systeem (ISMS) te hebben.

Het volledige informatiebeveiligingsbeleid van Verwerkers, het auditrapport op basis waarvan het ISO27001 & NEN7510 certificaat is verleend, het ISO27001 & NEN7510 certificaat en de bijbehorende Verklaring van Toepasselijkheid kunnen kosteloos door Verwerkingsverantwoordelijke worden opgevraagd.

Bijlage 2 – Sub verwerkers

Verwerker schakelt de navolgende Sub verwerkers in bij uitvoering van deze Verwerkersovereenkomst:

Dienst	Sub verwerker	Ingangsdatum
MicroHIS Hosting	N.v.t.
OmniHIS DB Hosting	N.v.t.
OmniHIS Full Hosting	N.v.t.
Promedico VDF Hosting	N.v.t.
Medikad Online	N.v.t.
Tetra Bricks hosting	N.v.t.
Zorgdossier	N.v.t.
Domeinnamen/Internet Hosting	EK-Media
MX-Relay / Spamfilter	MX-Relay
FuTec Managed Antivirus	Webroot
Standby contract	N.v.t.
Managed Router	N.v.t.
eDocs	N.v.t.
HISNet verbinding	KPN
MS Office 365	Microsoft
FuTec Managed Back-up	Acronis
Screencom	Screencom
Promedico365	Microsoft, New Day at Work B.V., Acronis
Medicom365	Microsoft, New Day at Work B.V., Acronis
FuTec Care	Webroot

Bijlage 3 – Te verwerken persoonsgegevens en doeleinden

Categorie persoonsgegevens	Doeleinden
Patiënt NAW-gegevens	Stamgegevens benodigd voor registratie
Patiënt identificatie gegevens	Unieke herkenning
Medicatie voorschriftgegevens	Behandeling patiënten
Medische Patiënt kenmerken	Veilig voorschrijven
Diagnostische gegevens	Behandeling
Familieamnese	Behandeling
Verwijsgegevens	Behandeling
Afspraken (agenda)	Planning
NAW-gegevens Zorgverleners	Communicatie doeleinden
Financiële gegevens	Verrekening

Document Metadata

Table of Contents

Verwerkersovereenkomst

Document Metadata