Privacy Disclaimer
Privacy Disclaimer
Westland-Gezond, gevestigd en kantoorhoudende te Maasdijk, te dezen rechtsgeldig vertegenwoordigd door mevrouw Xxxx xxx xx Xxxxxxxx (eigenaar), hierna te noemen: “Verwerker”,
en Cliënten van Westland-Gezond, hierna te noemen: “Verantwoordelijke”. gezamenlijk ook aan te duiden als “Partijen” en afzonderlijk als “Partij”,
OVERWEGEN DAT:
▪ Verwerker in het kader van de uitvoering van de Hoofdovereenkomst in opdracht van Verantwoordelijke persoonsgegevens verwerkt;
▪ Verwerker hierbij wordt aangemerkt als ‘Verwerker’ in de zin van artikel 1 lid 8 van de Algemene Verordening Gegevensbescherming (hierna: “AVG”) en Verantwoordelijke als ‘verantwoordelijke’ in de zin van artikel 1 lid 7 van de AVG;
▪ Waar in deze Verwerkersovereenkomst wordt gesproken over persoonsgegevens, worden gegevens bedoeld die zich kwalificeren als ‘persoonsgegevens’ in de zin van artikel 4 lid 1 van de AVG;
▪ Verantwoordelijke de verplichting heeft om te zorgen dat Verwerker voldoende technische en organisatorische beveiligingsmaatregelen treft om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking;
▪ Verantwoordelijke de verplichting heeft om toe te zien op de naleving van deze maatregelen;
▪ Partijen wensen hun afspraken over deze verwerking van persoonsgegevens door Verwerker vast te leggen in deze Verwerkersovereenkomst (hierna te noemen: “Verwerkersovereenkomst”);
▪ Deze Verwerkersovereenkomst een integraal onderdeel is van de Hoofdovereenkomst. VERKLAREN TE ZIJN OVEREENGEKOMEN:
Artikel 1. Totstandkoming en looptijd
1. Deze Verwerkersovereenkomst gaat in op het moment van ondertekening.
2. Deze Verwerkersovereenkomst is van kracht zolang Verwerker optreedt als Verwerker van de door Verantwoordelijke ter beschikking gestelde persoonsgegevens in het kader van de Hoofdovereenkomst.
Artikel 2. Onderwerp van de Verwerkersovereenkomst
1. Verwerker verwerkt persoonsgegevens in opdracht en volgens de instructies van Verantwoordelijke. Deze verwerking vindt alleen plaats voor doeleinden die door Verantwoordelijke zijn vastgesteld en die voortvloeien uit de Hoofdovereenkomst.
2. Wanneer de Hoofdovereenkomst betrekking heeft op het verwerken van persoonsgegevens binnen het netwerk of de systemen van Verantwoordelijke, mogen alleen persoonsgegevens, die noodzakelijk zijn voor het uitvoeren van de Hoofdovereenkomst, door Verwerker verwerkt worden. Het is Verwerker niet toegestaan persoonsgegevens van Verantwoordelijke aan aanvullende verwerkingen te onderwerpen, tenzij Verantwoordelijke hier voorafgaand aan de verwerking expliciet schriftelijke toestemming voor heeft gegeven met inachtneming van de van toepassing zijnde regelgeving.
3. Verwerker garandeert bij de verwerking van de persoonsgegevens zich te houden aan alle toepasselijke wet- en regelgeving, waaronder (maar niet uitsluitend) wet- en regelgeving betreffende de verwerking van persoonsgegevens. Daarnaast garandeert Verwerker zich te houden aan eventuele door Verantwoordelijke vastgestelde gedragscode(s) en normen en standaarden met betrekking tot te hanteren methoden, technieken, procedures, projecten, productiekenmerken en documentatievoorschriften. Deze gedragscode(s), normen en standaarden zijn opgenomen in bijlage 1 bij deze Verwerkersovereenkomst.
4. Verwerker informeert Verantwoordelijke zo snel mogelijk nadat Verantwoordelijke daarom heeft gevraagd, over de maatregelen die zij heeft genomen om aan deze Verwerkersovereenkomst en de toepasselijke wet- en regelgeving te voldoen.
5. Verwerker stelt de Verantwoordelijke in staat om te voldoen aan wet- en regelgeving betreffende de verwerking van persoonsgegevens en verleent volledige medewerking, op het eerste verzoek van Verantwoordelijke.
6. Verwerker heeft geen zeggenschap over de ter beschikking gestelde persoonsgegevens. De Verwerker neemt geen beslissingen over ontvangst en gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van gegevens. De zeggenschap over de persoonsgegevens ligt bij de Verantwoordelijke en niet bij de Verwerker.
Artikel 3. Geheimhoudingsplicht
1. Verwerker, personen in dienst van Verwerker, organisaties en/of personen werkzaam ten behoeve van Verwerker, zijn verplicht tot geheimhouding van de persoonsgegevens. Deze geheimhoudingsplicht is niet van toepassing als (en voor zover):
▪ Verantwoordelijke expliciete schriftelijke toestemming heeft gegeven om de informatie aan derden te verschaffen,
▪ het verstrekken van de informatie aan derden logischerwijs noodzakelijk is om de opdracht van Verantwoordelijke en deze Verwerkersovereenkomst te kunnen uitvoeren,
▪ Verwerker een wettelijke verplichting heeft om de informatie aan een derde te verstrekken.
2. Personen in dienst van of werkzaam bij Verwerker tekenen hiertoe een geheimhoudingsverklaring.
3. Opzettelijk niet naleven van de geheimhoudingsplicht is strafbaar gesteld in het wetboek van strafrecht.
Artikel 4. Beveiliging en controle
1. Verwerker is verplicht voldoende en passende technische en organisatorische maatregelen te treffen, conform de NEN-7510 (norm voor Informatiebeveiliging voor de zorgsector in Nederland), om de persoonsgegevens te beveiligen tegen verlies, toegang door onbevoegden of tegen enige vorm van onrechtmatige verwerking.
2. Verwerker treft in ieder geval de maatregelen die zijn opgenomen in bijlage 2 bij deze Verwerkersovereenkomst.
3. Verwerker evalueert de door hem getroffen beveiligingsmaatregelen regelmatig (minimaal eens per jaar) en maakt indien nodig aanpassingen om op ieder moment een passend beveiligingsniveau te garanderen.
4. Verwerker hanteert een passend en actueel beveiligingsbeleid en privacy beleid. Op verzoek van Verantwoordelijke, geeft Verwerker Verantwoordelijke inzage in het beveiligingsbeleid.
Artikel 5. Kennisgeving van beveiligingsincidenten en datalekken
1. In het geval van een (vermoeden van):
▪ een beveiligingslek (een tekortkoming in of inbreuk op de beveiliging van persoonsgegevens), en/of
▪ een datalek (een inbreuk op de beveiliging van persoonsgegevens die leidt tot een aanzienlijke kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens, zoals bedoeld in artikel 33 AVG en) met betrekking tot de gegevens die Verwerker ten behoeve van Verantwoordelijke verwerkt of door een derde laat verwerken,
garandeert Verwerker om Verantwoordelijke daarover onmiddellijk en uiterlijk binnen 12 uur na ontdekking van het lek te informeren. Verwerker garandeert dat de verstrekte informatie volledig, correct en accuraat is. Deze meldplicht geldt ongeacht de impact van het lek.
2. De meldplicht bevat in ieder geval:
▪ dat er een lek is geweest,
▪ wat de (vermeende) oorzaak is van het lek,
▪ wat het (vooralsnog bekende en/of te verwachten) gevolg is,
▪ wat de (voorgestelde) oplossing is,
▪ contactgegevens voor de opvolging van de melding,
▪ het aantal personen waarvan gegevens zijn gelekt (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens zijn gelekt),
▪ een omschrijving van de groep personen van wie gegevens zijn gelekt,
▪ het soort of de soorten persoonsgegevens die gelekt zijn,
▪ de datum waarop het lek heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen het lek heeft plaatsgevonden),
▪ de datum en het tijdstip waarop het lek geconstateerd is bij Verwerker of bij een door hem ingeschakelde derde of onderaannemer,
▪ of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden,
▪ wat de genomen maatregelen zijn om het lek te dichten en om de gevolgen van het lek te beperken.
Indien Verwerker op het tijdstip van de melding niet over alle bovenstaande informatie beschikt, dan neemt Xxxxxxxxx de beschikbare informatie in de melding op en stuurt de ontbrekende informatie zo spoedig mogelijk na. Verwerker neemt in de melding op wanneer de ontbrekende informatie beschikbaar wordt gesteld.
3. Verwerker geeft, op het eerste verzoek van Verantwoordelijke, alle inlichtingen die Verantwoordelijke noodzakelijk acht om het lek te beoordelen en om het lek te melden aan de relevante autoriteiten en/of betrokkenen.
4. Xxxxxxxxx houdt een gedetailleerd logboek bij van alle beveiligingslekken en datalekken met de maatregelen die naar aanleiding van het lek zijn genomen. Xxxxxxxxx geeft op het eerste verzoek van Verantwoordelijke, inzage in het logboek.
5. Indien de wet- en/of regelgeving dit vereist werkt Xxxxxxxxx mee aan het informeren van de relevante autoriteiten en betrokkenen. Verantwoordelijke is verantwoordelijk voor het melden naar de relevante autoriteiten en betrokkenen.
6. Verwerker neemt de oorzaak of oorzaken van het lek zo spoedig mogelijk weg en stelt alles in het werk om de gevolgen van het lek zoveel mogelijk te beperken en om herhaling te voorkomen.
Artikel 6. Inschakelen derden
1. Verwerker mag het verwerken van persoonsgegevens ten behoeve van Verantwoordelijke uitbesteden aan een derde. De Verantwoordelijke kan aan deze schriftelijke toestemming nadere voorwaarden verbinden.
Artikel 7. Doorgifte van persoonsgegevens
1. Verwerker is niet bevoegd tot verwerking en opslag van de persoonsgegevens buiten Europees grondgebied of bij een bedrijf waarvan de verwerking van persoonsgegevens (mede) onderhevig is aan de wettelijke regels van een land of gebiedsdeel buiten de Europese Unie. Van deze bepaling mag alleen worden afgeweken met voorafgaande schriftelijke toestemming van de Verantwoordelijke en met inachtneming van de toepasselijke wet- en regelgeving ten aanzien van de doorgifte van persoonsgegevens naar landen buiten de Europese Unie.
Artikel 8. Verzoeken van betrokkene
1. Als een betrokkene een verzoek op grond van een wettelijke bepaling tot inzage, verbetering, aanvulling, wijziging of afscherming (in het gebruik) van zijn of haar gegevens richt aan Verwerker, verwijst Verwerker die betrokkene door naar Verantwoordelijke.
2. Verwerker verstrekt geen informatie aan een betrokkene (anders dan de doorverwijzing uit lid 1) zonder voorafgaande schriftelijke toestemming van Verantwoordelijke. Op verzoek van Verantwoordelijke verleent Verwerker direct zijn medewerking zodat Verantwoordelijk gehoor kan geven aan het verzoek van betrokkene zoals bedoeld in lid
Artikel 9. Aansprakelijkheid
1. Verantwoordelijke kan Verwerker met betrekking tot deze Verwerkersovereenkomst aansprakelijk stellen voor:
▪ alle aanspraken van derden, waaronder begrepen betrokkenen, waarvoor Verantwoordelijke wordt aangesproken.
▪ een maatregel opgelegd door de officieel bevoegde autoriteit aan Verantwoordelijke, waaronder begrepen een boete.
▪ de door Verantwoordelijke geleden schade. Verwerker kan alleen aansprakelijk worden gesteld:
▪ als de schade voortkomt uit het schenden van de wettelijke verplichtingen, andere toepasselijke regelgeving of verplichtingen uit deze Verwerkersovereenkomst en Hoofdovereenkomst betreffende de verwerking van persoonsgegevens,
▪ voor zover en tot het bedrag dat de schade aan Verwerker of een door haar ingeschakelde derde kan worden toegerekend.
2. Indien de Verwerker tekortschiet in de nakoming van de verplichtingen in deze Verwerkersovereenkomst kan Verantwoordelijke hem in gebreke stellen. Verwerker is onmiddellijk in gebreke als de nakoming van de verplichtingen, anders dan door overmacht, binnen de overeengekomen termijn, niet mogelijk is.
3. De Verantwoordelijke stelt de Verwerker schriftelijk in gebreke. Xxxxxxxxx krijgt een redelijke termijn om alsnog haar verplichtingen na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is Verwerker in verzuim.
Artikel 10. Wijziging of beëindiging van de Verwerkersovereenkomst
1. Partijen mogen deze Verwerkersovereenkomst wijzigen met wederzijdse instemming.
2. Verantwoordelijke mag deze Verwerkersovereenkomst eenzijdig wijzigen, om de Verwerkersovereenkomst in overeenstemming te brengen met nieuwe of gewijzigde wet- en regelgeving.
3. Verantwoordelijke kan de Verwerkersovereenkomst en de Hoofdovereenkomst met onmiddellijke ingang en zonder rechterlijke tussenkomst en ingebrekestelling opzeggen in geval van overtreding van de afspraken in deze Verwerkersovereenkomst. Verwerker kan geen aanspraak maken op enige vorm van schadevergoeding.
4. Bij het beëindigen van de Verwerkersovereenkomst met onmiddellijke ingang, wordt in een brief de reden van beëindiging vermeld.
5. In geval van faillissement van de verwerker, wordt de overeenkomst met onmiddellijke ingang beëindigd, met nadrukkelijke in acht neming van artikel 11, lid 1 van deze overeenkomst.
Artikel 11. Teruggave, vernietiging persoonsgegevens en overdracht
1. Verwerker verplicht zich om:
▪ alle persoonsgegevens, kopieën en bewerkingen daarvan,
▪ alle gegevensdragers waarop de persoonsgegevens, kopieën of bewerkingen
daarvan, zijn of worden vastgelegd,
direct, op het eerste verzoek van Verantwoordelijke en op het moment van beëindigen van de Verwerkersovereenkomst, te verstrekken aan Verantwoordelijke en vervolgens te vernietigen.
2. Het verstrekken aan Verantwoordelijke, het wissen of vernietigen van de persoonsgegevens vindt plaats binnen vijf werkdagen op dezelfde wijze als aangeleverd, tenzij Verantwoordelijke anders beslist.
3. Verwerker verleent alle medewerking aan de overdracht van de werkzaamheden met betrekking tot de verwerking van de persoonsgegevens aan Verantwoordelijke of een opvolgende Verwerker. Deze overdracht vindt plaats op een zodanige manier dat de continuïteit van de dienstverlening maximaal gewaarborgd blijft.
4. De kosten gemoeid met deze inspanningen van Verwerker komen voor rekening van Verwerker tenzij in de Hoofdovereenkomst is bepaald dat deze kosten voor Verantwoordelijke komen en op welke wijze de kosten worden berekend.
Artikel 12. Slotbepalingen
1. Bepalingen in deze Verwerkersovereenkomst die bestemd zijn om ook na het einde van deze Verwerkersovereenkomst van kracht te blijven, blijven na beëindiging van de Verwerkersovereenkomst van kracht. Hieronder behoren onder meer de bepalingen over de meldplicht, geheimhouding, teruggave, vernietiging en overdracht.
2. Algemene (leverings)-/ bijzondere voorwaarden van Verwerker zijn niet van toepassing op deze Verwerkersovereenkomst en worden door Verantwoordelijke uitdrukkelijk van de hand gewezen.
3. Eventuele conflicten worden eerst met elkaar besproken waarbij beide partijen zich inspannen om deze in goed overleg met elkaar op te lossen.
4. Geschillen in ver band met de verwerkingsovereenkomst of de uitvoering daarvan worden voorgelegd aan de bevoegde rechter bij de rechtbank waar verwerker statutair is gevestigd.
BIJLAGE 1: GEDRAGSCODES, NORMEN EN STANDAARDEN
In deze bijlage zijn de eventuele gedragscodes, normen en standaarden opgenomen die Verwerker in acht moet nemen bij het verwerken van persoonsgegevens ten behoeve van Verantwoordelijke.
Verwerker verzameld in een traject de volgende gegevens:
- NAW
- Tel.
- geboortedata
- Lengte
- gewicht
- BMI
- vet%
- middelomtrek
- lenigheidstest
- bloeddruk
- cholesterol en glucose
- conditie
Verwerker Westland-Gezond bewaart persoonsgegevens 15 jaar na beëindiging van de dieetbehandeling (verplichting volgens de Wet op de Geneeskundige Behandelovereenkomst). Indien de gegevens voor statistisch onderzoek worden gebruikt. Dan zullen de gegevens niet herleidbaar mogen zijn naar de personen om wie het gaat. (NAW gegevens, werkgever en dat soort zaken dienen dan te worden verwijderd.)
BIJLAGE 2: BEVEILIGINGSMAATREGELEN
In deze bijlage zijn, in aanvulling op hetgeen bepaald is in de Verwerkersovereenkomst, de technische en organisatorische beveiligingsmaatregelen opgenomen die Verwerker in ieder geval zal treffen om een passend beschermingsniveau te waarborgen. Onderstaande opsomming neemt niet weg dat Verwerker aanvullende maatregelen dient te treffen indien dat nodig is om een passend beveiligingsniveau te waarborgen.
Geheimhoudings- overeenkomst | Xxxxxxxxxxx die te maken hebben met persoonsinformatie van de Verantwoordelijke dienen een geheimhoudingsverklaring te ondertekenen. Hierbij wordt tevens vastgelegd dat na beëindiging van de functie, de betreffende persoon gehouden blijft aan die geheimhouding. |
Beveiliging behandelen in overeenkomsten met een derde partij | Maatregelen uit de Verwerkersovereenkomst zijn voorafgaand aan het afsluiten van het contract gedefinieerd en geïmplementeerd. |
Labeling en verwerking van informatie | De Verwerker heeft maatregelen genomen zodat niet- geautoriseerden geen kennis kunnen nemen van persoonsgegevens. |
Rollen en verantwoordelijkheden | Het personeel van de Verwerker of derden moeten kennis hebben van de verantwoordelijkheden ten aanzien van de bewerking van de persoonsgegevens voor de Verantwoordelijke. |
Blokkering van toegangsrechten | Toegangsrechten van medewerkers van de Verwerker worden direct geblokkeerd als geen toegang voor de bewerking van de persoonsgegevens noodzakelijk is. |
Fysieke toegangsbeveiliging | Toegang tot beveiligde zones of gebouwen waar persoonsgegevens van de Verantwoordelijke zich bevinden is alleen mogelijk na autorisatie daartoe. |
Beveiliging van kantoren, ruimten en faciliteiten | Papieren documenten en mobiele gegevensdragers die persoonsgegevens of andere vertrouwelijke gegevens van de Verantwoordelijke bevatten worden beveiligd opgeslagen. |
Beheersing van interne gegevensverwerking | Er bestaan voldoende mogelijkheden om reeds ingevoerde gegevens te kunnen corrigeren door er gegevens aan te kunnen toevoegen. |
Technische beoordeling van toepassing en na wijzigingen in het besturingssysteem | Van aanpassingen (zoals updates) aan softwarematige componenten van de technische infrastructuur wordt vastgesteld dat deze de juiste werking van de technische componenten niet in gevaar brengen en de beveiliging zoals afgesproken met de Verantwoordelijke teniet doen. |
Rapportage van informatiebeveiligings- gebeurtenissen | Alle beveiligingsincidenten worden vastgelegd in een systeem en geëscaleerd aan de Verantwoordelijke. |
Bescherming van gegevens en geheimhouding van persoonsgegevens | De bescherming van gegevens en privacy behoort te worden bewerkstelligd in overeenstemming met relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen. |