Verwerkingsovereenkomst
Verwerkingsovereenkomst
Tussen,
De voorziening dat deelneemt aan VIP², …. [voorziening – naam + adres] …, vertegenwoordigd door degene die verantwoordelijk is binnen de organisatie voor het beheer van patiëntengegevens, …[Naam]… , hierna genoemd Verwerkingsverantwoordelijke
En
…[Naam auditor]..., hierna genoemd de Xxxxxxxxx
samen de Partijen of afzonderlijk Partij te noemen
wordt overeengekomen hetgeen volgt.
Voorafgaandelijke bepaling:
De Verwerkingsverantwoordelijke beschikt over persoonsgegevens, waarvan hij bepaalde aspecten van de verwerking wil toevertrouwen aan de Verwerker.
Deze overeenkomst strekt ertoe om de uitvoering en de organisatie van die verwerking door de Verwerker, te regelen.
Deze overeenkomst maakt deel uit van de opdrachten die door het deelnemende voorzieningen worden uitgevoerd voor de verzameling van gegevens die dienen om de kwaliteitsindicatoren, zoals vastgelegd binnen het VIP² project, te kunnen bepalen.
Voorwerp van de overeenkomst
De Verwerker handelt uitsluitend in opdracht van de Verwerkingsverantwoordelijke.
Overeenkomstig de instructies van de Verwerkingsverantwoordelijke en de bepalingen van deze overeenkomst zal de Verwerker ten behoeve van de Verwerkingsverantwoordelijke enkel persoonsgegevens verwerken voor de volgende doeleinden (ook gekend als finaliteit):
beraadslaging NR. 12/067 VAN 21 AUGUSTUS 2012 mET BETREKKING TOT de mededeling van GECODEERDE persoonsgegevens die de gezondheid betreffen AAN HET VLAAMS AGENTSCHAP ZORG EN GEZONDHEID in het kader van het quality indicator project
Het is de Verwerker verboden de hem toevertrouwde verwerking in onderaanneming door een derde te laten uitvoeren.
Partijen aanvaarden het reglement auditoren VIP², beschikbaar op het website van het VIP² project.
Naleving van de Wet verwerking persoonsgegevens
Partijen verbinden er zich principieel en uitdrukkelijk toe om de regelgeving over de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens (Algemene Verordening Gegevensbescherming, wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens,…) na te leven. De Verwerker stelt de verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie inbreuk oplevert op de AVG of op een andere regelgeving inzake gegevensbescherming.
Terbeschikkingstelling van de gegevens
Enkel de persoonsgegevens, die strikt noodzakelijk zijn om de kwaliteitsbewaking in de Vlaamse zorgvoorzieningen te verbeteren door het stimuleren en het faciliteren van het gebruik van klinische proces- en resultaatsindicatoren mogen en kunnen door de Verwerker worden verwerkt. Deze gegevens zijn beperkt tot de gegevens die zijn opgenomen in de fiches van de respectievelijke indicatoren, beschikbaar op de website van het VIP² project1.
Bijstand door de verwerker
De Verwerker zal de Verwerkingsverantwoordelijke alle informatie verstrekken en alle bijstand verlenen die noodzakelijk is en/of die redelijkerwijze mag worden verwacht opdat de Verwerkingsverantwoordelijke in staat zou zijn om haar verplichtingen uit de AVG na te komen én van deze nakoming het bewijs te leveren. De Verwerker verleent aan de Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand bij het vervullen van diens plicht om verzoeken tot uitoefening van de in hoofdstuk III van de AVG vastgestelde rechten van de betrokkene, te beantwoorden.
De Verwerker verbindt zich ertoe elk datalek en alle ernstige pogingen tot onrechtmatige of ongeautoriseerde verwerkingen of toegangen tot persoonsgegevens zonder onredelijke vertraging, en uiterlijk 24 uur na kennisname, te melden aan de Verwerkingsverantwoordelijke conform artikel 33.3 van de AVG. De Verwerker zal alle maatregelen treffen die redelijkerwijs nodig zijn om (verdere) schending van de beveiligingsmaatregelen en eventuele schade te voorkomen of te beperken en zal aan de Verwerkingsverantwoordelijke alle informatie die ze nuttig of nodig acht, verschaffen.
Rekening houdend met de aard van de Verwerking en de hem ter beschikking staande informatie, verleent de Verwerker bovendien bijstand aan de Verwerkingsverantwoordelijke bij het nakomen van diens verplichtingen betreffende:
het melden van een datalek aan de toezichthoudende autoriteit conform artikel 33 van de AVG;
het mededelen van een datalek aan de betrokkene conform artikel 34 van de AVG.
Het is de Verwerker evenwel niet toegestaan om het datalek zelf te melden aan de gegevensbeschermingsautoriteit of de mededeling aan de betrokkene zelf te verrichten. Dit is uitsluitend de bevoegdheid van de Verwerkingsverantwoordelijke.
De Verwerker zal - rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie – de Verwerkingsverantwoordelijke bijstand verlenen bij het nakomen van diens verplichtingen betreffende:
het beveiligen van de verwerking conform artikel 32 van de AVG;
het uitvoeren van een gegevensbeschermingseffectbeoordeling conform artikel 35 van de AVG;
het voorafgaand aan een voorgenomen verwerking raadplegen van de toezichthoudende autoriteit, wanneer dit na een gegevensbeschermingseffectbeoordeling nodig zou blijken, conform artikel 36 van de AVG.
Gebruik van persoonsgegevens
De gegevens mogen door de Verwerker alleen worden verwerkt voor doeleinden omschreven in deze overeenkomst. Dit houdt de principiële verplichting in om de persoonsgegevens enkel intern te gebruiken of die in opdracht van de Verantwoordelijke voor de verwerking door te sturen naar partijen die daarvoor de goedkeuring hebben bekomen via het QID Bestuur van het VIP² Project.
De mededeling ervan aan derden, op welke wijze dan ook (door middel van doorzending, verspreiding, publicatie of op enigerlei andere wijze) is verboden, tenzij dit door of krachtens een Unierechtelijke of lidstaatrechtelijke bepaling wordt opgelegd. Elke wettelijke verplichte mededeling van de persoonsgegevens, die het voorwerp zijn van deze overeenkomst, aan derden moet door de Verwerker, indien mogelijk vooraf, ter kennis worden gebracht van de Verantwoordelijke van de verwerking.
Het is de Verwerker verboden om van de ingezamelde gegevens een kopie te maken in welke vorm dan ook.
De Verwerker bewaart de gegevens niet langer dan noodzakelijk is voor het verrichten van de dienst waarvoor ze ter beschikking worden gesteld. Zijn de gegevens hierna niet meer nodig, dan zal de Verwerker ze vernietigen of bezorgt hij ze terug aan de Verwerkingsverantwoordelijke.
BeVEiliging
De Verwerker verbindt er zich toe de gepaste technische en organisatorische maatregelen te nemen om de persoonsgegevens te beveiligen. In het bijzonder beveiligt de Verwerker de persoonsgegevens tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang en elke andere vorm van onwettige verwerking.
De Verwerker beperkt de toegang tot de verwerkte persoonsgegevens tot die personen die de gegevens nodig hebben om de taken uit te oefenen die de Verwerker hen in uitvoering van deze overeenkomst toewijst. Daartoe bezorgt de Verwerker aan de Verwerkingsverantwoordelijke in het voorkomende geval een lijst van personen die betrokken zijn bij de verwerking van de betrokken persoonsgegevens. Deze lijst wordt aan deze overeenkomst toegevoegd. De Verwerker zal er op toezien dat personeelsleden of aangestelden enkel toegang verkrijgen tot de persoonsgegevens nadat ze behoorlijk gebonden zijn door een wettelijke of contractuele vertrouwelijkheidsverplichting.
Controle door de verantwoordelijke
De Verwerkingsverantwoordelijke heeft op elk ogenblik het recht om de naleving van deze Verwerkingsovereenkomst te controleren. Daartoe heeft hij het recht om zich ter plaatse te begeven in de lokalen of plaatsen waar de Verwerker de gegevensverwerking uitvoert.
Op eenvoudig verzoek van de Verwerkingsverantwoordelijke is de Verwerker ertoe gehouden alle inlichtingen die van toepassing zijn bij de uitvoering van deze Verwerkingsovereenkomst mee te delen en bijstand te verlenen bij het uitvoeren van de audits of bij het vervullen van de verplichting om verzoeken om uitoefening van de in de AVG vastgestelde rechten van de betrokkene te beantwoorden.
Aansprakelijkheid
De Verwerker is aansprakelijk ten aanzien van de Verwerkingsverantwoordelijke voor schade die voortvloeit uit een handeling of een nalatigheid wanneer bij de Verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van de AVG, dan wel uit een handeling of nalatigheid in strijd met de rechtmatige instructies van de Verwerkingsverantwoordelijke.
De aansprakelijkheid van de Verwerker is beperkt zoals voorzien in de Opdracht, zonder evenwel afbreuk te doen aan art 82 van de AVG.
De Verwerker vrijwaart de Verwerkingsverantwoordelijke tegen elke klacht die een derde indient, inclusief Gegevensbeschermingsautoriteit de Commissie voor de Bescherming van de Persoonlijke Levenssfeer, op grond van de wet van 25 mei 2018 (Algemene Verordening Gegevensbescherming) en die het gevolg zou zijn van een handeling of een nalatigheid van de Verwerker in strijd met zijn verbintenissen in overeenstemming met dit contract of met de wet van 25 mei 2018.
Meer bepaald vrijwaart de Verwerker de Verwerkingsverantwoordelijke tegen de terugbetaling van eender welke eventuele rechtsplegingskosten en de schadevergoeding waartoe de Verwerkingsverantwoordelijke zou kunnen worden veroordeeld als gevolg van het feit dat de Verwerker zijn verbintenissen niet nakomt.
Intellectuele eigendom
Alle rechten van intellectuele eigendom op de gegevens en op de databases met deze gegevens behoren toe aan de Verwerkingsverantwoordelijke, tenzij dit contractueel anders overeengekomen wordt tussen de Partijen.
Einde van de overeenkomst
Dit contract eindigt wanneer de overeenkomst voor de uitvoering van de opdracht een einde neemt. De persoonsgegevens die de Verwerker nodig had ter uitvoering van zijn opdracht worden terug bezorgd aan de Verwerkingsverantwoordelijke. Deze worden nooit meegenomen uit de voorziening door de Verwerker.
Gedaan te …[Gemeente]… op …[Datum]…,
in evenveel exemplaren als er Partijen zijn, waarbij elke Partij verklaart haar exemplaar te hebben ontvangen.
Voor de deelnemende voorziening
Verwerkingsverantwoordelijke Verwerker
…[Naam]… …[Naam]… …[Naam]…
Algemeen Directeur Hoofdgeneesheer Auditor