VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
De ondergetekenden:
1. De besloten vennootschap met beperkte aansprakelijkheid Moovd B.V., statutair gevestigd en kantoorhoudende te (7554 PA) Hengelo aan de Xxxxxxxxxxxxxxxxx 00, te dezen rechtsgeldig indirect vertegenwoordigd door haar statutair directeur de xxxx X. Xxxxxxxx.
hierna te noemen: “Moovd” of “Verwerker”, en
2. Naam organisatie, adres, postcode, plaats……………………………………………..
te dezen vertegenwoordigd door: Naam verantwoordelijke………………………..
De ondergetekenden hierna individueel respectievelijk gezamenlijk ook wel te noemen: ‘Partij’ respectievelijk ‘Partijen’.
Overwegende dat:
- Verwerker in opdracht van Verwerkingsverantwoordelijke diensten zal verrichten - bestaande uit o.a. het ter beschikking stellen van de (online) behandeltoepassingen-, een en ander zoals omschreven in de overeenkomst tussen Partijen (hierna te noemen: ‘de Hoofdovereenkomst’);
- Deze verwerkersovereenkomst (hierna te noemen: ‘de Verwerkersovereenkomst’) vormt een aanvulling op de Hoofdovereenkomst;
- Meer specifiek de Verwerkingsverantwoordelijke ten behoeve van zijn (zorg)organisatie het verzamelen van data over de gegevens van de zorginstelling en het gebruik van de Diensten dat bekeken wordt.;
- Verwerker in die hoedanigheid de beschikking krijgt over gegevens waarop privacy wet- en regelgeving van toepassing is;
- De gegevens die Verwerker voor Verwerkingsverantwoordelijke verwerkt gevoelig van aard kunnen zijn;
- Partijen belang hechten aan het beschermen van de privacy van Betrokkenen;
- Per 25 mei 2018 de Algemene Verordening Gegevensbescherming ((EU) 2016 / 679) (hierna (‘AVG’) in werking is getreden, welke de Nederlandse Wet bescherming persoonsgegevens vervangt;
- Moovd aan te merken is als een ‘Verwerker’ in de zin van de AVG en Afnemer als ‘Verwerkingsverantwoordelijke’ in de zin van de AVG, daar eerstgenoemde ten behoeve van laatstgenoemde Instellingsgegevens verwerkt, zonder aan diens rechtstreeks gezag te zijn onderworpen en Verwerkingsverantwoordelijke het doel en de middelen voor de verwerking van de Instellingsgegevens vaststelt;
- De AVG de Verwerkingsverantwoordelijke in de zin van die verordening verplicht een Verwerkersovereenkomst als de onderhavige te sluiten met haar Verwerker;
- De AVG daarbij de Verwerkingsverantwoordelijke de plicht oplegt ervoor zorg te dragen dat Verwerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen van Instellingsgegevens alsmede om toe te zien op de naleving van die beveiligingsmaatregelen;
- Deze Verwerkersovereenkomst tevens afspraken bevat die toezien op het naleven van de op de Verwerkingsverantwoordelijke rustende meldplicht van eventuele Datalekken, zoals bedoeld in de AVG;
- Partijen over de voorwaarden, waaronder die taken die door Verwerker zullen worden vervuld, op navolgende wijze overeenstemming hebben bereikt;
Verklaren te zijn overeengekomen als volgt:
Artikel 1. Begrippen
De hierna in de Verwerkersovereenkomst vermelde, met een hoofdletter aangeduide begrippen hebben de navolgende betekenis:
1.1 AVG: de Algemene Verordening Gegevensbescherming (EU 2016 / 679) van 27 april 2016 en van toepassing in de gehele Europese Unie vanaf 25 mei 2018;
1.2 Betrokkene(n): degene op wie een Instellingsgegeven betrekking heeft;
1.3 Verwerker: de Partij die ten behoeve van de Verwerkingsverantwoordelijke - zijnde Klant - Instellingsgegevens verwerkt, in het kader van de Verwerkersovereenkomst zijnde Moovd;
1.4 Datalek: een inbreuk in verband met Instellingsgegevens (zoals bedoeld in artikel 4 lid 12 AVG) waarvan het waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van Betrokkenen;
1.5 Hoofdovereenkomst: de tussen Verwerkingsverantwoordelijke en Verwerker gesloten overeenkomst ter zake de levering van de afgestemde diensten, waar deze Verwerkersovereenkomst als bijlage integraal onderdeel van uitmaakt;
1.6 Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. In de Verwerkersovereenkomst worden daaronder in ieder geval doch niet uitsluitend verstaan: NAW-gegevens,
e-mailadressen, telefoonnummers, geslacht, geboortedatum en IP-adressen;
1.7 Verwerkingsverantwoordelijke: de Partij die het doel van en de middelen voor de Verwerking van Instellingsgegevens vaststelt, in het kader van de Verwerkersovereenkomst zijnde Klant;
1.8 Subverwerker(s): derde(n) die ten behoeve van Verwerker een deel van de verwerkingstaken van Verwerker verricht;
1.9 Verwerken/Verwerking: elke handeling of elk geheel van handelingen met betrekking tot Instellingsgegevens, zoals gedefinieerd in de AVG. Hieronder valt in ieder geval – doch niet uitsluitend – het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, verspreiden, afschermen, uitwissen of vernietigen van gegevens.
Artikel 2. Onderwerp van de Verwerkersovereenkomst
2.1 Verwerker zal in het kader van de uitvoering van de Verwerkersovereenkomst Instellingsgegevens verwerken in opdracht van en ten behoeve van Verwerkingsverantwoordelijke onder de voorwaarden van de Verwerkersovereenkomst, waarbij de Verwerkersovereenkomst geldt als schriftelijke instructie van Verwerkingsverantwoordelijke aan Verwerker voor Verwerking van de Instellingsgegevens.
2.2 Verwerker zal de genoemde Instellingsgegevens verwerken voor de aldaar genoemde doeleinden.
2.3 De Verwerkersovereenkomst maakt integraal onderdeel uit van de Hoofdovereenkomst, zodat de bepalingen uit die Hoofdovereenkomst onverkort van toepassing zijn op de Verwerkersovereenkomst, behoudens voor zover daarvan in de Verwerkersovereenkomst wordt afgeweken (daaronder uitdrukkelijk doch niet uitsluitend begrepen het bepaalde met betrekking tot aansprakelijkheid). Ingeval van strijdigheid tussen het bepaalde in de Verwerkersovereenkomst en de Hoofdovereenkomst prevaleert het bepaalde in de Verwerkersovereenkomst.
Artikel 3. Verplichtingen Verwerkingsverantwoordelijke
3.1 Verwerkingsverantwoordelijke garandeert dat de opdracht tot Verwerking van de Instellingsgegevens in overeenstemming is met alle toepasselijke wet- en regelgeving. Verwerkingsverantwoordelijke garandeert voorts dat de Instellingsgegevens correct, niet onrechtmatig, ter zake dienend en niet bovenmatig zijn in het licht van het verwerkingsdoel. Verwerkingsverantwoordelijke garandeert dat zij zelf de Instellingsgegevens in overeenstemming met de geldende wet- en regelgeving verwerkt.
3.2 Verwerkingsverantwoordelijke is verantwoordelijk voor het vaststellen van het doel (het verwerkingsdoel) en de middelen van de Verwerking van Instellingsgegevens en is jegens Betrokkene(n) aansprakelijk voor de schade die wordt geleden als gevolg van een inbreuk op voornoemde verplichtingen, onverminderd de verplichtingen van Verwerker op grond van de Hoofdovereenkomst en deze Verwerkersovereenkomst.
3.3 Verwerkingsverantwoordelijke is zelfstandig verantwoordelijk voor de Verwerking van de Instellingsgegevens en draagt in dat verband zorg voor het bijhouden van een register van verwerkingsactiviteiten die onder haar verantwoordelijkheid plaatsvinden. Verwerkingsverantwoordelijke draagt eveneens zorg voor het bijhouden van een (Datalek)register teneinde te voldoen aan haar verplichting op grond van de AVG om eventuele datalekken te documenteren en rapporteren.
3.4 Verwerkingsverantwoordelijke is voorts zelfstandig verantwoordelijk voor het treffen van passende technische en organisatorische maatregelen om te
kunnen waarborgen en aan te tonen dat de Verwerking van Instellingsgegevens door Verwerker in overeenstemming met de toepasselijke privacy wet- en regelgeving wordt uitgevoerd.
3.5 Verwerkingsverantwoordelijke is bovendien verantwoordelijk voor het informeren van de Betrokkenen, het waarborgen van de rechten die Betrokkenen kunnen uitoefenen op basis van de toepasselijke privacy wet- en regelgeving alsmede voor de communicatie met Betrokkenen. Betrokkenen kunnen zich voor de uitoefening van hun rechten uitsluitend richten tot de Verwerkingsverantwoordelijke.
3.6 Voor zover schade en aanspraken voortvloeien uit het niet naleven van dit artikel 3 is Verwerkingsverantwoordelijke volledig aansprakelijk voor alle door Verwerker geleden en te lijden schade. Tevens zal Verwerkingsverantwoordelijke Verwerker vrijwaren van aanspraken van derden die betrekking hebben op het niet naleven van dit artikel 3. Het voorgaande geldt tenzij Verwerkingsverantwoordelijke aantoont dat deze schade en aanspraken een gevolg zijn van een toerekenbare tekortkoming van Verwerker in de nakoming van haar verplichtingen uit deze Verwerkersovereenkomst.
Artikel 4. Verplichtingen Verwerker
4.1 Verwerker spant zich er voor in de Instellingsgegevens op behoorlijke en zorgvuldige wijze, in overeenstemming met de toepasselijke privacy wet- en regelgeving, te Verwerken. Verwerker Verwerkt de Instellingsgegevens in opdracht van en ten behoeve van Verwerkingsverantwoordelijke en voor zover noodzakelijk in het kader van de overeengekomen dienst. Verwerker heeft geen zeggenschap over het doel en de middelen voor de Verwerking van de Instellingsgegevens.
4.2 Verwerker is verantwoordelijk voor de Verwerking van de Instellingsgegevens die zij in het kader van de Verwerkersovereenkomst uitvoert in opdracht en ten behoeve van Verwerkingsverantwoordelijke. In dat kader zal zij een register van verwerkingsactiviteiten die zij in opdracht en ten behoeve van Verwerkingsverantwoordelijke uitvoert, bijhouden.
4.3 Verwerker zal passende technische en organisatorische beveiligingsmaatregelen treffen die in ieder geval voorzien in de waarborgen die op grond van de wet- en regelgeving vereist is, waaronder doch niet beperkt tot de in artikel 6 weergegeven maatregelen.
4.4 Verwerker zal in het kader van beveiligingsincidenten en/of Datalekken de medewerking en ondersteuning verlenen – voor zover dat althans redelijkerwijs van haar verlangd kan worden - aan Verwerkingsverantwoordelijke en/of Betrokkene(n) overeenkomstig het bepaalde in artikel 8.1.
Artikel 5. Beveiligingsmaatregelen
5.1 Verwerker zal zich er voor inspannen passende technische en organisatorische beveiligingsmaatregelen – die voldoen aan de geldende privacywet- en regelgeving – te treffen, die nodig zijn om de beschikbaarheid, integriteit en vertrouwelijkheid van Instellingsgegevens te waarborgen en te beveiligen tegen verlies of tegen enige vorm van onrechtmatige Verwerking.
5.2 Verwerker erkent het belang van beveiliging ten aanzien van de Instellingsgegevens en treft in ieder geval de volgende maatregelen in het kader van de beveiliging:
a. Maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Instellingsgegevens voor de doeleinden van de genoemde Verwerking;
b. Een geïmplementeerd beveiligingsbeleid en het periodiek updaten en implementeren van het beveiligingsbeleid;
c. Voldoen aan de geheimhoudingsbepaling van de Verwerkersovereenkomst;
d. Geheimhoudingsverplichtingen in arbeidsovereenkomsten;
e. Het aanwijzen van een beperkt aantal betrokken medewerkers van Verwerker, die met de uitvoering van de Verwerking van Instellingsgegevens zijn belast en geautoriseerd zijn om zichzelf toegang te verlenen tot de Instellingsgegevens, welke medewerkers uitdrukkelijk alleen gerechtigd zijn om de voor de uitvoering van de Verwerkersovereenkomst noodzakelijke handelingen te verrichten;
f. Een geïmplementeerde gedragscode en/of certificeringsmechanisme;
g. Xxxxxxxxx houdt zich regelmatig op de hoogte van de laatste informatie omtrent beveiliging;
Artikel 6. Datalekken, verzoeken betrokkenen, medewerking en informatie
6.1 Verwerker zal Verwerkingsverantwoordelijke – zo mogelijk zonder onredelijke vertraging - binnen 48 uur nadat zij er kennis van heeft genomen, op de hoogte stellen van een Datalek. Zij zal zich er daarbij voor inspannen dat zulks geschiedt op een zodanige wijze dat Verwerkingsverantwoordelijke in staat gesteld wordt om de toepasselijke wet- en regelgeving met betrekking tot dergelijke incidenten na te komen.
6.2 Bovendien zal Verwerker haar redelijke medewerking verlenen aan Verwerkingsverantwoordelijke om:
a. Betrokkenen inzage te geven in hun Instellingsgegevens;
b. Verwerkingsverantwoordelijke te informeren over een verzoek of bevel van, of onderzoek door, een toezichthouder of andere bevoegde autoriteit, voor zover toegestaan op grond van toepasselijke wet- en regelgeving;
6.3 Partijen maken nadere afspraken over de (privacy) functionarissen die zij aanwijzen als aanspreekpunt in geval van verzoeken van betrokkenen of in het geval van een Datalek als bedoeld in dit artikel, alsmede over de wijze van communicatie.
Artikel 7. Geheimhouding
7.1 Verwerker zal – behoudens het overige bepaalde in deze Verwerkersovereenkomst – de Instellingsgegevens vertrouwelijk behandelen en niet openbaar maken dan wel verstrekken aan derde partijen zonder voorafgaande opdracht/ toestemming van Verwerkingsverantwoordelijke. Het in de vorige volzin bepaalde geldt tenzij Partijen hierover schriftelijk (al dan niet in deze Verwerkersovereenkomst) andere afspraken hebben gemaakt, daaronder in ieder geval - voor zover van toepassing - begrepen het bepaalde in artikel 9 van de Hoofdovereenkomst. De Verwerker is niet tot
geheimhouding verplicht indien een wettelijk voorschrift of een bevel van een bevoegde autoriteit hem verplicht om Instellingsgegevens te verstrekken.
Verwerker is niet gehouden om de Verwerkingsverantwoordelijke op de hoogte te brengen van de in de vorige volzin doorbreking van de geheimhouding indien Verwerker dat verboden wordt door een bevoegde autoriteit.
Artikel 8. Aansprakelijkheid
8.1 Verwerker draagt zorg voor een afdoende dekking van de aansprakelijkheid middels een aansprakelijkheidsverzekering. De aansprakelijkheid van Verwerker wegens een toerekenbare tekortkoming is beperkt tot vergoeding van maximaal de in voorkomend geval op basis van de aansprakelijkheidsverzekering van Verwerker daadwerkelijk bestaande aanspraak met dien verstande dat ook dan het eigen risico onder de betreffende verzekering voor rekening van Verwerker blijft. Indien zich meerdere schadeveroorzakende gebeurtenissen voordoen blijft de totale schadevergoeding met betrekking tot alle gebeurtenissen gezamenlijk beperkt tot het bedrag als beschreven in voorgaande volzin. Voor het moment van berekening van de hoogte van de schadevergoeding als bedoeld in dit artikellid, geldt in dat geval de eerste schadeveroorzakende gebeurtenis.
8.2 Tenzij nakoming door Verwerker blijvend onmogelijk is, bijvoorbeeld bij een datalek, dient de Verwerkingsverantwoordelijke Verwerker eerst schriftelijk in gebreke te stellen en een redelijke termijn voor zuivering van de tekortkoming te geven. Indien Verwerker ook na ommekomst van die termijn blijft tekortschieten in de nakoming van haar verplichtingen, is sprake van een toerekenbare tekortkoming waarvoor Verwerker aansprakelijk is.
8.3 Verwerker vrijwaart Verwerkingsverantwoordelijke voor alle schade die het gevolg is van opzet of aan opzet grenzende roekeloosheid van Verwerker of een medewerker of hulppersoon ingeschakeld door Xxxxxxxxx.
Artikel 9. Duur en beëindiging
9.1. De Verwerkersovereenkomst treedt na ondertekening door Partijen in werking en wordt aangegaan voor de duur welke gelijk is aan de duur van de Hoofdovereenkomst, inclusief eventuele verlengingen daarvan.
9.2 De Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Hoofdovereenkomst. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van de Verwerkersovereenkomst voort te duren, blijven na beëindiging van de Verwerkersovereenkomst gelden. Tot deze verplichtingen behoren in ieder geval die welke voortvloeien uit de bepalingen in de Verwerkersovereenkomst die betrekking hebben op “Geheimhouding”, “Aansprakelijkheid”, “Overdracht en vernietiging”, “Slotbepalingen” en “Toepasselijk recht en geschillen”.
Artikel 10. Slotbepalingen
10.1 Deze Verwerkersovereenkomst zal worden aangepast in onderling overleg tussen Verwerkingsverantwoordelijke en Verwerker indien dit is vereist ingevolge (toekomstige) toepasselijke wet- en regelgeving dan wel beleidsregels of aanwijzingen van de Autoriteit Instellingsgegevens, of indien andere Instellingsgegevens worden Verwerkt dan voorzien bij het aangaan van de Verwerkersovereenkomst. Partijen zullen in geval van eventuele wijzigingen in de door Verwerkingsverantwoordelijke en/of Verwerker uit te voeren werkzaamheden uit hoofde van de Verwerkersovereenkomst die mogelijk gevolgen hebben voor de Verwerkingen, steeds met elkaar overleggen over de mogelijk noodzakelijke wijzigingen in de Verwerkersovereenkomst.
10.2 Wijzigingen of aanvullingen op de Verwerkersovereenkomst kunnen alleen schriftelijk worden overeengekomen.
10.3 De algemene (inkoop)voorwaarden van Verwerkingsverantwoordelijke zijn uitdrukkelijk niet van toepassing op onderhavige Verwerkersovereenkomst.
10.4 Indien één of meer bepalingen van de Verwerkersovereenkomst onverbindend zouden blijken te zijn, dan blijven de overige bepalingen van deze Verwerkersovereenkomst van kracht. Partijen verbinden zich om de
niet-verbindende bepaling te vervangen door een zodanige bepaling die wel
verbindend is en die zo min mogelijk – gelet op het doel en de strekking van de Verwerkersovereenkomst – afwijkt van de niet verbindende bepaling.
10.5 De rechtskeuze en bevoegde rechter komen overeen met het bepaalde te dien aanzien in de Overeenkomst.
Aldus overeengekomen op datum………
Namens Verwerker: namens Verwerkingsverantwoordelijke:
……………………
…………………………………..
…......................................
……………………………………………
Xxxxxx Xxxxxxxx
Bijlage 1: Omschrijving Instellingsgegevens, aard verwerkingen, etc.
Deze Verwerkersovereenkomst heeft betrekking op de volgende verwerkingen van Instellingsgegevens.
Korte omschrijvin g diensten | Aard van de verwerking | Soort instelling gegevens | Categorieën van betrokkenen | Doeleind en van de verwerkin g | Afspraken bewaar-te rmijnen |
De | Verwerking | AW-gegevens, | Medewerkers | Het | Tot einde |
psycholoog | instellings-gege | aantal Moovd- | zorgorganisa | genereren | contractdu |
is met | vens, bijhouden | gebruikers, | tie | van | ur |
Moovd in | van het aantal | behandelsessi | inzichten | ||
staat om | views, | es, gebruik | voor | ||
behandeling | uitvoeren van | van aantal | zorgorgan | ||
en virtueel | contentonderzo | minuten | i-saties op | ||
uit te | ek, benaderen | het gebied | |||
voeren. Dit | van | van inzet | |||
zorgt ervoor | therapeuten | Moovd. | |||
dat de | voor informatie | ||||
psycholoog | |||||
online op | |||||
hetzelfde | |||||
niveau kan | |||||
behandelen | |||||
en | |||||
onbeperkt | |||||
naast EMDR | |||||
ook | |||||
exposure | |||||
kan blijven | |||||
aanbieden. |
Bijlage 2: Doorlopende SEPA-machtiging
Naam incassant: Moovd X.X Xxxxxxxxxx, huisnummer: Xxxxxxxxxxxxxxxxx 00 Xxxxxxxx, xxxxxxxxxx: 0000 XX xxxxxxx
Land: Nederland
Incassant ID: XX00 XXXX 0000 0000 00
Door ondertekening van dit formulier geeft u toestemming aan:
- Moovd B.V. om doorlopend incasso-opdrachten te sturen naar uw bank om een bedrag van uw rekening af te schrijven wegens de bijdrage voor het gebruik van de Diensten, conform de overeengekomen voorwaarden van uw overeenkomst.
- Uw bank om doorlopend een bedrag van uw rekening af te schrijven overeenkomstig de opdracht van Xxxxx B.V.
- De incasso’s die op basis van deze incassomachtiging worden gedaan, kunnen tot 8 weken na betaling worden gestorneerd.
Uw gegevens:
Praktijk BIG-registratie: ………………………………………………………….
Naam praktijk: ………………………………………………………….
Naam en voorletters: ………………………………………………………….
Straatnaam, huisnummer: ………………………………………………………….
Postcode, woonplaats: ………………………………………………………….
Land: Nederland
Telefoonnummer: ………………………………………………………….
Rekeninginformatie:
IBAN: ………………………………………………………….
Naam rekeninghouder: ………………………………………………………….
Ondertekening voor akkoord*:
Datum: …………………………………………………………
Plaats: …………………………………………………………
Handtekening: …………………………………………………………
*Tevens verklaar ik voor bovengenoemde praktijk gerechtigd te zijn om te ondertekenen.
U kunt dit formulier inscannen en e-mailen naar xxxxxxxxxxxxx@xxxxx.xx of per post in een gesloten envelop sturen naar:
Moovd B.V.
T.a.v. contractadministratie
Xxxxxxxxxxxxxxxxx 00 0000 XX xxxxxxx