Bewerkersovereenkomst SVR – Vrijgevestigde Zorgaanbieder
Bewerkersovereenkomst SVR – Vrijgevestigde Zorgaanbieder
Partijen:
1. De Stichting Vrijgevestigden ROM, gevestigd te Utrecht aan de Arthur van Schendelstraat 650 (3511 MJ), hierna te noemen: ‘SVR’,
en
2. De contracterende partij door registratie op het Klantenportaal van de SVR, hierna te noemen ‘Vrijgevestigde Zorgaanbieder’,
hierna ook gezamenlijk te noemen: ‘Partijen’,
Overwegende
a) dat SVR is opgericht om Vrijgevestigde Zorgaanbieders in de geestelijke gezondheidszorg te ondersteunen bij de aanlevering van de landelijke ROM gegevens van de generalistische Basis GGZ en gespecialiseerde GGZ aan de Stichting Benchmark GGZ (SBG);
b) dat de SBG tot doel heeft als onafhankelijke partij de geestelijke gezondheidszorg (GGZ) te benchmarken en voor de GGZ belangrijke informatie te ontsluiten over behandeluitkomsten en patiëntervaringen;
c) dat het aanleveren van de voornoemde gegevens aan SBG voor Vrijgevestigde Zorgaanbieder een verplichting is op grond van de contracten tussen Vrijgevestigde Zorgaanbieder en zorgverzekeraars en/of het model-Kwaliteitsstatuut GGZ en dat er sancties staan op het niet nakomen van die verplichting;
d) dat Partijen in onderhavige overeenkomst afspraken wensen vast te leggen over de wijze waarop de Vrijgevestigde Xxxxxxxxxxxxxx opdracht geven aan SVR tot het bewerken van persoonsgegevens waarvoor de Vrijgevestigde Zorgaanbieder verantwoordelijke is in de zin van de Wet Bescherming Persoonsgegevens (hierna: WBP);
e) dat Partijen in deze overeenkomst overeenkomen dat het SVR is toegestaan deze persoonsgegevens door subbewerkers - meer in het bijzonder InfinitCare en SBG, dan wel enig andere door SVR daarvoor geselecteerde partij - te laten bewerken;
f) dat SVR (noch enig andere subbewerker) deze persoonsgegevens louter verwerkt in opdracht van de Vrijgevestigde Zorgaanbieder en niet voor eigen doeleinden. SVR is in dat kader aan te merken als bewerker in de zin van de WBP;
g) Partijen door deze bewerkersovereenkomst de afspraken ter zake de verwerking van persoonsgegevens in het kader van de aanleverstraat wensen vast te leggen.
verklaren te zijn overeengekomen:
Artikel 1. Definities
a) Aanvullende informatie: Informatie die niet onder de standaard SBG-informatie valt en die Vrijgevestigde Zorgaanbieders kunnen afnemen bij SBG.
b) AGB-data: onder meer de naam van de Vrijgevestigde zorgaanbieder, zijn of haar AGB-code, geboortedatum, geslacht, correspondentieadres, telefoonnummer, e-mailadres, kwalificaties, begindatum van de bevoegdheid en begindatum van de praktisering waarmee er
communicatie en een declaratieproces tussen Vrijgevestigde zorgaanbieder en zorgverzekeraars mogelijk is.
c) BRaM: De Benchmark Rapportage Module van SBG. BRaM biedt inzage in de resultaten van
de analyse van de TTP-data door SBG. BRaM kan door Gebruikers alleen geraadpleegd worden door middel van een geautoriseerd en aan BRaM gekoppeld VECOZO-certificaat. BRaM omvat eveneens het toepassingsprogramma (applicatieprogrammatuur) en de bijbehorende procedures, handleidingen en informatie.
d) Xxxxxxxxxx: Elke partij die gebruik maakt van de SBG-informatie en/of de Diensten van SBG.
e) Gegevensmakelaar: SBG, die voor alle (Vrijgevestigde) Zorgaanbieders (wettelijke verplichte) indicatoren en/of informatie uitlevert aan geautoriseerde partijen, waaronder het uitleveren van prestatie-indicatoren aan Zorginstituut Nederland.
f) Dataprotocol: Het protocol, van tijd tot tijd vastgesteld door het bestuur van SBG, behorende bij het verstrekken van Ruwe Data en/of overige informatie door Vrijgevestigde Zorgaanbieder aan ZorgTTP ten behoeve van het gebruik en doelstellingen van de SBG- informatie en de Diensten.
g) Diensten van SBG: alle diensten van SBG, waaronder die in haar rol als Gegevensmakelaar, bestemd voor Gebruikers en geautoriseerde partijen. Hierin zijn (niet uitsluitend) begrepen: BRaM, SBG Benchmark-, Argus, DBBC-rapportages en overige (wettelijke) informatieverstrekking.
h) InfinitCare: door SVR gecontracteerde partij die ROM- en EPD gegevens van Vrijgevestigde zorgaanbieder verwerkt voor levering aan SBG.
i) Klantenportaal: het klantenportaal van SVR waar de overeenkomsten tussen Vrijgevestigde Zorgaanbieder en SVR ter accordering op staan en ook daarna raadpleegbaar blijven, alsmede het Dataprotocol en de Minimale Dataset.
j) Minimale Dataset: De beschrijving van het geheel van data, processen en de daarvoor noodzakelijke procedures die minimaal noodzakelijk zijn om de SBG-informatie te ontwikkelen. Vrijgevestigde Zorgaanbieder kan dit document raadplegen op het Klantenportaal.
k) Ruwe Data: Alle gespecificeerde data conform de Minimale Dataset die Vrijgevestigde Zorgaanbieder aanlevert bij ZorgTTP, welke ZorgTTP in opdracht van een door SVR te contracteren derde partij zal verwerken tot TTP-data.
l) SBG-informatie: De informatie over behandeluitkomsten en andere resultaten over Vrijgevestigde Zorgaanbieders die na analyse van de TTP-data ter beschikking wordt gesteld aan Gebruikers. Deze SBG-informatie wordt door SBG ontwikkeld, geanalyseerd en beheerd. Onder SBG-informatie vallen eveneens de applicaties, procedures, documentatie en handleidingen van SBG.
m) TTP-data: Ruwe Data van Vrijgevestigde Zorgaanbieder, welke door ZorgTTP meervoudig is gepseudonimiseerd en in opdracht van een door SVR te contracteren derde partij aan SBG wordt verstrekt ten behoeve van het ontwikkelen van SBG-informatie.
n) Vertrouwelijke informatie: Alle vertrouwelijke en bedrijfseigen informatie over Vrijgevestigde Zorgaanbieder, SVR, Gebruikers, SBG, inclusief SBG-informatie, documenten en handleidingen van SBG die in het kader van onderhavige overeenkomst beschikbaar worden gesteld.
o) ZorgTTP: partij die er zorg voor draagt dat de ROM- en EPD gegevens van Vrijgevestigde zorgaanbieder meervoudig gepseudonimiseerd aan SBG worden toegezonden.
p) Voor zover begrippen in deze overeenkomst niet afzonderlijk zijn gedefinieerd, en voor zover die afkomstig zijn uit de WBP hebben die de betekenis die daaraan in deze wet is gegeven.
Artikel 2. Onderwerp van deze bewerkersovereenkomst
1. Vrijgevestigde Zorgaanbieder geeft gedurende de duur van deze overeenkomst de opdracht aan SVR om Ruwe Data, alsmede AGB-data, zodanig te (laten) bewerken om de aanlevering van TTP-data via ZorgTTP aan SBG mogelijk te maken, ten behoeve van de ontwikkeling van SBG-informatie en aan zorgverzekeraars gevraagde informatie te kunnen (laten) verstrekken.
2. Het is SVR ter uitvoering van de in het voorgaande artikellid genoemde opdracht toegestaan één of meer partijen te contracteren ten behoeve van de bewerking van deze persoonsgegevens.
3. De Vrijgevestigde Zorgaanbieder kwalificeert als Verantwoordelijke in de zin van de WBP, SVR kwalificeert als bewerker (en de door haar als derden voor bewerking te contracteren of gecontracteerde partijen kwalificeren als subbewerkers).
Artikel 3. Kernverplichtingen SVR
1. SVR garandeert ten behoeve van de Vrijgevestigde Zorgaanbieder slechts Ruwe Data en AGB- data te verwerken voor zover dit noodzakelijk is voor de opdracht als omschreven in artikel 2. Overige verwerkingen worden uitsluitend uitgevoerd in expliciete opdracht van de Vrijgevestigde Zorgaanbieder. In geen geval zal SVR persoonsgegevens verwerken voor eigen doeleinden.
2. SVR zal alle redelijke instructies van de Vrijgevestigde Zorgaanbieder in verband met de verwerking van persoonsgegevens opvolgen voor zover die passen in een gestandaardiseerde methodiek om tot de SBG-informatie te komen en deze ook opleggen aan onderaannemers.
3. SVR zal de persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze en in overeenstemming met de op hem als bewerker op grond van de WBP en overige wetgeving rustende verplichtingen (laten) verwerken.
4. SVR zal geen persoonsgegevens verwerken of laten verwerken door hemzelf of door derden in landen buiten de Europese Economische Ruimte (EER) zonder een passend beschermingsniveau.
5. Onverminderd enige andere contractuele geheimhoudingsverplichting die op SVR rust, garandeert SVR dat hij alle persoonsgegevens als strikt vertrouwelijk zal behandelen en dat hij al zijn werknemers, vertegenwoordigers en/of onderaannemers die betrokken zij n bij de verwerking van persoonsgegeven van de vertrouwelijke aard van dergelijke persoonsgegevens op de hoogte zal stellen.
6. SVR zal de persoonsgegevens betreffende de Vrijgevestigde Zorgaanbieder strikt gescheiden (laten) houden van de persoonsgegevens die hij voor zichzelf of namens derde partijen verwerkt.
Artikel 4 – Beveiligen persoonsgegevens en controle
1. Onverminderd de beveiligingsnormen die Partijen op mogelijk andere wijze zijn overeengekomen, zal SVR passende technische en organisatorische beveiligingsmaatregelen nemen of laten nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de aard van de te verwerken persoonsgegevens, ter bescherming van de persoonsgegevens tegen verlies, onbevoegde kennisname, verminking of onrechtmatige verwerking, alsmede om de (tijdige) beschikbaarheid van de gegevens te garanderen. Deze maatregelen omvatten in ieder geval:
(a) maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de persoonsgegevens voor de doeleinden die zijn uiteengezet in de considerans en artikel 2;
(b) maatregelen waarbij SVR zijn medewerkers, onderaannemers uitsluitend toegang geeft tot persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die persoonsgegevens waartoe de toegang voor de betreffende persoon noodzakelijk is ;
(c) maatregelen om de persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag verwerking, toegang of openbaarmaking;
(d) maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Opdrachtgever;
(e) maatregelen om de tijdige beschikbaarheid van de gegevens te garanderen.
2. SVR en haar eventuele onderaannemers hebben te allen tijde een passend, geschreven beveiligingsbeleid conform ISO27001 geïmplementeerd voor de verwerking van persoonsgegevens, waarin in ieder geval de in lid 1 van dit artikel genoemde maatregelen uiteen zijn gezet.
3. De Vrijgevestigde Zorgaanbieder heeft het recht toe te (laten) zien op de naleving van de hiervoor onder 4.1 en 4.2 genoemde maatregelen. SVR stelt de Vrijgevestigde Zorgaanbieder, indien deze daarom verzoekt, hiertoe in elk geval eenmaal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip en verder indien de Vrijgevestigde Xxxxxxxxxxxxx daar aanleiding toe ziet naar aanleiding van (vermoeden van) informatie- of privacy-incidenten, zulks te (laten) controleren. SVR zal eventuele door de Vrijgevestigde Zorgaanbieder naar aanleiding van een dergelijke controle in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.
4. SVR zal in alle redelijkheid en op eigen kosten aan het onder 4.3 hiervoor bedoelde onderzoek haar medewerking verlenen.
5. Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. SVR zal daarom de maatregelen zoals geïmplementeerd op basis van dit artikel 4 voortdurend evalueren en verscherpen, aanvullen of verbeteren om te blijven voldoen aan zijn verplichtingen onder dit artikel 4.
Artikel 5. Monitoring, informatieplichten en incidentenmanagement
1. SVR zal actief monitoren op inbreuken op de beveiligingsmaatregelen en over de resultaten van de monitoring in overeenstemming met dit artikel 5 rapporteren aan de Vrijgevestigde Zorgaanbieder.
2. Zodra zich een incident met betrekking tot de verwerking van de persoonsgegevens voordoet, heeft voorgedaan of zou kunnen voordoen, is SVR verplicht de Vrijgevestigde Zorgaanbieder daarvan onverwijld in kennis te stellen en daarbij alle relevante informatie te verstrekken omtrent de aard van het incident, het risico dat gegevens onrechtmatig verwerkt zijn of kunnen worden en de maatregelen die getroffen zijn of zullen worden om het incident op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken.
3. SVR is, onverminderd de overige verplichtingen uit dit artikel, verplicht om de eventuele negatieve gevolgen die voortvloeien uit een incident zo snel mogelijk ongedaan te maken dan wel de verdere gevolgen te minimaliseren.
4. SVR zal de Vrijgevestigde Zorgaanbieder te allen tijde haar medewerking verlenen en zal de instructies van de Vrijgevestigde Xxxxxxxxxxxxx opvolgen, met als doel deze in staat te stellen een deugdelijk onderzoek te verrichten naar het incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het incident, waaronder begrepen het informeren van de AP en/of de betrokkene zoals bepaald in artikel 5.8.
5. Onder “incident” wordt in elk geval het volgende verstaan:
(a) een klacht of (informatie)verzoek van een natuurlijk persoon met betrekking tot de verwerking van persoonsgegevens door SVR;
(b) een onderzoek naar of beslaglegging door overheidsfunctionarissen op de persoonsgegevens of een vermoeden dat dit gaat plaatsvinden;
(c) iedere ongeautoriseerde toegang, verwerking, verwijdering, verminking, verlies of enige vorm van onrechtmatige verwerking van de persoonsgegevens;
(d) een inbreuk op de beveiliging en/of de vertrouwelijkheid, zoals uiteengezet in artikel 3 en 4 van deze Bewerkersovereenkomst, althans ieder ander incident, die/dat leidt (of mogelijk leidt) tot onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, onbevoegde openbaarmaking van – of toegang tot – de persoonsgegevens, of enige aanwijzing dat een dergelijke inbreuk zal plaatsvinden of heeft plaatsgevonden.
6. SVR zal steeds geschreven procedures voorhanden hebben die hem in staat stellen om De Vrijgevestigde Zorgaanbieder van een onmiddellijke reactie over een incident te voorzien, en om effectief samen te werken om het incident af te handelen en zal de Vrijgevestigde Zorgaanbieder voorzien van een exemplaar van dergelijke procedures indien deze daarom verzoekt.
7. Meldingen die worden gedaan op grond van dit artikel worden gericht aan de Vrijgevestigde Zorgaanbieder.
8. SVR zal, indien naar haar oordeel noodzakelijk, betrokkenen en andere derden informeren over incidenten. Het is SVR niet toegestaan informatie te verstrekken over incidenten aan
betrokkenen of andere derde partijen, behoudens voor zover de Vrijgevestigde Zorgaanbieder daartoe wettelijk verplicht is.
9. In concrete gevallen, en altijd na overleg met de Vrijgevestigde Zorgaanbieder, kan het
mogelijk zijn dat SVR de eerste melding van een incident aan de Autoriteit Persoonsgegevens doet. Over deze melding en over de voortgang daarvan, houdt SVR de Vrijgevestigde Zorgaanbieder voortdurend op te hoogte.
Artikel 6. Gebruik onderaannemers
1. Het is SVR toegestaan alle bewerkersactiviteiten in het kader van deze overeenkomst uit te besteden aan een derde partij. In eerste instantie zullen deze derde partijen zijn: SBG en Infinitcare.
2. SVR zal aan de door hem ingeschakelde derde dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Bewerkersovereenkomst en de wet voortvloeien en ziet toe op de naleving daarvan door de derde. De desbetreffende afspraken met de derde zullen schriftelijk worden vastgelegd. SVR houdt deze ter inzage voor de Vrijgevestigde Zorgaanbieder.
3. Niettegenstaande de in deze overeenkomst door de Vrijgevestigde Zorgaanbieder verstrekte toestemming tot het inschakelen van een derde partij blijft SVR volledig aansprakelijk jegens de Vrijgevestigde Zorgaanbieder voor de gevolgen van het uitbesteden van werkzaamheden aan een derde. De toestemming van Opdrachtgever voor het uitbesteden van
werkzaamheden aan een derde partij laat onverlet dat voor de inzet van sub-bewerkers in een land buiten de Europese Economische Ruimte zonder een passend beschermingsniveau toestemming vereist is in overeenstemming met artikel 3.5 van deze Bewerkersovereenkomst.
Artikel 7. Aansprakelijkheid
1. Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen. Er geldt voor tekortkomingen die voortvloeien uit deze Bewerkersovereenkomst geen beperking van aansprakelijkheid
2. SVR vrijwaart Vrijgevestigde Zorgaanbieder en stelt de Vrijgevestigde Zorgaanbieder schadeloos voor alle claims, acties, aanspraken van derden en voor verliezen, schade of kosten, waaronder boetes van de Autoriteit Persoonsgegevens die de Vrijgevestigde Zorgaanbieder maakt of lijdt en die rechtstreeks of indirect voortvloeien uit of tot stand komen in verband met een tekortkoming door SVR en/of diens onderaannemers in de nakoming van zijn verplichtingen onder deze Bewerkersovereenkomst en/of enige schending door SVR en/of diens onderaannemers van de van toepassing zijnde wetgeving op het gebied van verwerking van persoonsgegevens in verband met de Basisovereenkomst SVR – Vrijgevestigde zorgaanbieder, waaronder in elk geval begrepen de Wbp en de Wgbo.
Artikel 8. Duur en beëindiging
1. Deze Bewerkersovereenkomst gaat in op de datum van (digitale) ondertekening door de Vrijgevestigde Zorgaanbieder via het klantenportaal van SVR en geldt tot digitale wederopzegging via hetzelfde klantenportaal van SVR.
2. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Bewerkersovereenkomst voort te duren, blijven na beëindiging van de Bewerkersovereenkomst gelden. Tot deze bepalingen behoren onder meer die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid en toepasselijk recht.
3. Ieder der partijen is gerechtigd, onverminderd hetgeen daartoe bepaald is in de Hoofdovereenkomst, de uitvoering van deze Bewerkersovereenkomst op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:
(a) de andere partij wordt ontbonden of anderszins ophoudt te bestaan;
(b) de andere partij aantoonbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Bewerkersovereenkomst en die ernstige toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;
(c) een partij in staat van faillissement wordt verklaard of surséance van xxxxxxxx aanvraagt.
4. De Vrijgevestigde Zorgaanbieder is gerechtigd deze Bewerkersovereenkomst per direct te ontbinden indien SVR te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de persoonsgegevens worden gesteld. Artikel 9.2 is van overeenkomstige toepassing.
Artikel 9. Bewaartermijnen, teruggave en vernietiging
1. SVR bewaart de persoonsgegevens niet langer dan strikt noodzakelijk en in geen geval langer dan tot het einde van deze Bewerkersovereenkomst of, maximaal 3 jaar.
2. Bij beëindiging van de Bewerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van de Vrijgevestigde Zorgaanbieder zal SVR, kosteloos, de persoonsgegevens vernietigen. Op verzoek verstrekt SVR bewijs van het feit dat de gegevens vernietigd of verwijderd zijn. Indien teruggave, vernietiging of verwijdering niet mogelijk is, stelt SVR de Vrijgevestigde Zorgaanbieder daarvan onmiddellijk op de hoogte. In dat geval garandeert SVR dat hij de persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
3. Bij het einde van de Bewerkersovereenkomst zal SVR alle derden die betrokken zijn bij het verwerken van persoonsgegevens op de hoogte stellen van de beëindiging van de Bewerkersovereenkomst. De verplichtingen uit artikel 9.2 zijn van overeenkomstige toepassing op de deze derden. SVR zal waarborgen dat alle betrokken derden hieraan uitvoering zullen geven.
Artikel 10. Slotbepalingen
1. De overwegingen maken onderdeel uit van deze Bewerkersovereenkomst.
2. Op deze Bewerkersovereenkomst is louter Nederlands recht van toepassing.
3. Eventuele conflicten zullen eerst met elkaar besproken worden waarbij beide partijen zich inspannen om deze in goed overleg met elkaar op te lossen.
4. Geschillen over of in verband met deze Bewerkersovereenkomst worden uitsluitend voorgelegd aan de bevoegde rechter in het arrondissement van SVR.
5. In alle gevallen waarin deze Bewerkersovereenkomst niet voorziet beslissen partijen in onderling overleg.