MIJNZORGAPP
Verwerkersovereenkomst
MIJNZORGAPP
December 2021
INLEIDING
Dit document vormt de verwerkersovereenkomst voor The Health Train BV Producten en Diensten. In deze verwerkersovereenkomst leggen de Partijen vast wat over en weer de rechten, plichten, rollen en verantwoordelijkheden zijn met betrekking tot het veilig en rechtmatig Verwerken van Persoonsgegevens in het kader van de verstrekking van The Health Train BV Producten en Diensten. De Partijen geven met deze verwerkersovereenkomst invulling aan hun verplichtingen onder de Algemene Verordening Gegevensbescherming (AVG).
ARTIKEL 1: DEFINITIES
Zie Gebruiksovereenkomst.
ARTIKEL 2: ROLLEN EN VERANTWOORDELIJKHEDEN
2.1 Partijen erkennen dat The Health Train BV in haar Producten en Diensten Persoonsgegevens zal Verwerken waar klant volgens de Verordening de Verwerkersverantwoordelijke voor is. Naar opvatting van de Partijen vormt The Health Train BV daarbij de Verwerker.
2.2 Deze verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door The Health Train BV.
2.3 The Health Train BV garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd
2.4 Verwerker en Verantwoordelijke zullen ieder zorgdragen voor de naleving van de op hen van toepassing zijnde wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van Persoonsgegevens, zoals de AVG.
ARTIKEL 3: LOOPTIJD
3.1 De verwerkersovereenkomst kent dezelfde looptijd als de MijnZorgApp gebruiksovereenkomst.
3.2 Deze verwerkersovereenkomst is van kracht voor zolang als Verwerker (toegang tot) Persoonsgegevens heeft in het kader van de levering van Producten of Diensten aan Verantwoordelijke. Deze verwerkersovereenkomst kan slechts eindigen wanneer Verwerker geen Persoonsgegevens van Verantwoordelijke meer bezit.
3.3 Geen van Partijen kan deze verwerkersovereenkomst tussentijds opzeggen.
ARTIKEL 4: VERWERKINGSBEVOEGDHEID THE HEALTH TRAIN BV
4.1 The Health Train BV Verwerkt de Persoonsgegevens uitsluitend in opdracht van en op basis van Schriftelijke instructies van klant behoudens afwijkende wettelijke voorschriften die op The Health Train BV van toepassing zijn.
4.2 Indien een instructie als bedoeld in het eerste lid naar het oordeel van The Health Train BV in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt hij klant daarvan voorafgaand aan de Verwerking in kennis.
4.3 Indien The Health Train BV op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, informeert hij klant onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.
4.4 The Health Train BV heeft geen zeggenschap over het doel van de Verwerking van Persoonsgegevens.
ARTIKEL 5: BEVEILIGING VAN DE VERWERKING
5.1 Partijen zullen gezamenlijk zorg dragen voor een passend beveiligingsniveau voor de Verwerkte Persoonsgegevens. klant draagt daarbij als Verantwoordelijke de hoofdverantwoordelijkheid.
5.2 Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. The Health Train BV waarborgt een op het risico afgestemd beveiligingsniveau.
5.3 The Health Train BV Verwerkt Persoonsgegevens ook buiten de Europese Unie, hiervoor wordt aan alle benodigde wettelijke verplichtingen ten aanzien van de AVG voldaan.
5.4 The Health Train BV verleent klant bijstand bij het doen nakomen van de verplichtingen te weten: beveiliging, melding van datalekken en gegevenseffectbeoordeling (Data Protect Impact Assessment).
5.5 The Health Train BV zal indien daar aanleiding toe is klant op de hoogte stellen van de beveiligingsmaatregelen die zij en haar Subverwerkers nemen en om die maatregelen correct ten uitvoer te (doen) brengen.
5.6 Klant heeft tot de taak om zich ervan te vergewissen dat de technische en organisatorische beveiligingsmaatregelen die van toepassing zijn op de Producten en/of Diensten, passend zijn gelet op de risico's die de Verwerkingen en de aard van de Persoonsgegevens met zich meebrengen, de kosten en de stand der techniek.
5.7 Klant verklaart na ondertekening van het Aanvraagformulier dat de bijbehorende gebruiksovereenkomst, service level agreement en verwerkersovereenkomst van toepassing zijn. Klant vrijwaart The Health Train BV tegen aanspraken van derden die gebaseerd zijn op de stelling dat de maatregelen zoals beschreven in de gebruiksovereenkomst, service level agreement en verwerkersovereenkomst, mits correct nageleefd, niet passend zouden zijn.
5.8 Klant staat ervoor in dat hij alleen op geheel rechtmatige wijze Persoonsgegevens in zal voeren in de systemen van The Health Train BV of anderszins ter beschikking zal stellen aan The Health Train BV.
5.9 The Health Train BV staat er voor in dat een ieder die handelt onder het gezag van The Health Train BV, voor zover deze toegang heeft tot Persoonsgegevens waar klant de verantwoordelijke voor is, deze slechts verwerkt in overeenstemming met de overeengekomen beveiligingsmaatregelen en in opdracht van klant, behoudens afwijkende wettelijke verplichtingen.
ARTIKEL 6: GEHEIMHOUDING
6.1 De Persoonsgegevens hebben een Vertrouwelijk karakter.
6.2 Alle medewerkers van The Health Train BV die gemachtigd zijn tot het Verwerken van Persoonsgegevens hebben zich ertoe verbonden geheimhouding in acht te nemen.
ARTIKEL 7: SUBVERWERKER
7.1 Wanneer The Health Train BV, een andere Verwerker inschakelt om ten behoeve van klant verwerkingsactiviteiten te verrichten, worden aan deze andere Verwerker bij een Overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze verwerkersovereenkomst zijn opgenomen.
7.2 The Health Train BV zal geen nieuwe Subverwerkers gegevens laten Verwerken zonder klant daarover via e-mail te informeren. Klant kan, indien hij dat nodig acht, binnen 7 dagen na bekendmaking bezwaar maken bij The Health Train BV tegen de Subverwerker. Bezwaar door klant moet Schriftelijk en gemotiveerd worden ingediend bij The Health Train BV.
7.3 Indien klant een verwerker aanstelt waaraan The Health Train BV voor klant data vanuit MijnZorgApp moet aanleveren ter verwerking zal zowel de klant als The health Train BV een overeenkomst hiervoor hebben afgesloten met deze verwerker.
ARTIKEL 8: BIJSTAND VANWEGE RECHTEN VAN BETROKKENE
8.1 The Health Train BV verwijst Betrokkene indien deze een verzoek aan The Health Train BV doet altijd door naar klant, ook indien The Health Train BV de verwerker niet is voor klant.
8.2 The Health Train BV stelt klant in staat om te voldoen aan haar plichten volgens de Verordening, indien Betrokkene hun privacyrechten uitoefenen zoals het recht op inzage, correctie, gegevenswissing en dataportabiliteit.
ARTIKEL 9: INBREUK IN VERBAND MET PERSOONSGEGEVENS/DATALEKKEN
9.1 The Health Train BV informeert klant zonder onredelijke vertraging, zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens.
9.2 The Health Train BV informeert klant ook na een melding op grond van het eerste lid van artikel 8 over ontwikkelingen betreffende de Inbreuk in verband met Persoonsgegevens.
9.3 Klant kan The Health Train BV op de hoogte stellen van een mogelijk datalek door contact op te nemen met het service centrum van The Health Train BV via tel: 0000-000000 of via email op xxxxxxx@xxxxxxxxxxx.xx.
9.4 The Health Train BV en/of klant dragen de door henzelf in verband met de melding aan de bevoegde toezichthoudende autoriteit en Betrokkene te maken kosten.
ARTIKEL 10: TERUGGAVE PERSOONSGEGEVENS
10.1 Na afloop van de Overeenkomst draagt The Health Train BV, naar gelang de keuze van klant, zorg voor het terugbezorgen aan klant of het wissen van alle Persoonsgegevens. The Health Train BV verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.
10.2 Persoonsgegevens worden in de door The Health Train BV aangegeven vorm en op de door The Health Train BV aangegeven wijze afdoende beveiligd terugbezorgd in een gangbaar bestandsformat via een downloadlink of via een gangbare datadrager.
ARTIKEL 11: INFORMATIEPLICHT EN AUDIT
11.1 The Health Train BV stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze verwerkersovereenkomst zijn en worden nagekomen.
11.2 Indien klant daar aanleiding toe ziet, zal The Health Train BV medewerking verlenen aan audits om te bepalen dat de gegevensverwerking voldoet aan de eisen van de AVG, Dergelijke audits kunnen maximaal één keer per jaar worden uitgevoerd door een onafhankelijke en terzake kundige partij. De kosten hiervan worden volledig gedragen door de klant.
11.3 The Health Train BV kan klant op verzoek zijn medewerking verlenen als klant een Data Protection Impact Assessment (DPIA) laat uitvoeren door inzicht te verschaffen in gegevensstromen en beveiligingsmaatregelen.