OVEREENKOMST VERWERKING PERSOONSGEGEVENS

OVEREENKOMST VERWERKING PERSOONSGEGEVENS

Versie: 1.0

Datum: 15 maart 2018

INTRODUCTIE

MijnDiAd, KvK-nummer: 63231115 (de “Verwerker”), biedt een online software oplossing voor de praktijkadministratie (de “Diensten”). De afnemer van de Diensten beschikt over persoonsgegevens van verschillende betrokkenen (de “Betrokkenen”) in de zin van de Algemene Verordening Gegevensbewerking (“AVG”) en is ‘verwerkingsverantwoordelijke’ in de zin van de AVG. De afnemer wordt hierna “Verantwoordelijke” genoemd.

Verwerkingsverantwoordelijke en Verwerker worden hierna samen ook "Partijen" genoemd.

Verantwoordelijke wil de opslag, verwerking, bewerking en beveiliging van persoonsgegevens laten verrichten door Verwerker (de “Opdracht”). De AVG vereist dat in verband met deze Opdracht een verwerkersovereenkomst gesloten wordt tussen Partijen. Daarom leggen zij de rechten en verplichtingen in verband met de Opdracht vast in deze verwerkersovereenkomst (de “Overeenkomst”).

Op het gebruik van de Diensten is deze Overeenkomst van toepassing.

OVEREENKOMST

Artikel 1 - Uitvoering verwerking

1. Verwerker zal bij de uitvoering van de Opdracht op zorgvuldige wijze met de persoonsgegevens omgaan en de persoonsgegevens enkel verwerken in opdracht van Verantwoordelijke, overeenkomstig diens schriftelijke instructies en in overeenstemming met deze Overeenkomst en de voorschriften in de AVG.

2. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verantwoordelijke is vastgesteld. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van de persoonsgegevens.

3. Verwerker staat er voor in dat personen die handelen onder zijn gezag de persoonsgegevens alleen op rechtmatige wijze en in overeenstemming met deze Overeenkomst en de AVG zullen verwerken.

4. Verwerker zal op verzoek van Verantwoordelijke informatie aan Verantwoordelijke geven over de genomen (beveiligings)maatregelen om aan de verplichtingen op grond van de AVG, deze Overeenkomst en de overige instructies van Verantwoordelijke te voldoen.

Artikel 2 - Garantie Verantwoordelijke

Verantwoordelijke garandeert dat de verwerking van de persoonsgegevens van de Betrokkenen, zoals bedoeld in deze Overeenkomst, niet onrechtmatig is en dat geen inbreuk wordt gemaakt op de rechten van anderen. Verantwoordelijke vrijwaart Verwerker tegen alle aanspraken die hierop betrekking hebben.

Artikel 3 - Doorgifte van persoonsgegevens

1. Verwerker zal de persoonsgegevens enkel binnen de Europese Unie Verwerken. Doorgifte van de persoonsgegevens naar landen buiten de Europese Unie is niet toegestaan. Verwerker zal persoonsgegevens enkel buiten de Europese Unie Verwerken indien hij hiertoe wettelijk verplicht is.

2. Verwerker zal op verzoek van Verantwoordelijke melden binnen welk(e) land(en) Verwerker de persoonsgegevens verwerkt ten behoeve van Verantwoordelijke.

Artikel 4 - Beveiligingsmaatregelen

1. Verwerker neemt alle passende technische en organisatorische maatregelen om de persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen een passend beveiligingsniveau van de persoonsgegevens die worden verwerkt.

2. Verwerker neemt in ieder geval de volgende maatregelen:

– Encryptie (versleuteling) van digitale bestanden die persoonsgegevens bevatten.

– Beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie of daaraan vergelijkbare technologie.

– De toegang tot de persoonsgegevens is beperkt tot bevoegd personeel.

– Back-ups van de persoonsgegevens om deze bij fysieke of technische incidenten tijdig te herstellen.

– De toegang tot de gegevens is beveiligd met twee-staps-verificatie.

– ISO27001 en NEN7510 gecertificeerde hostingpartij.

– Verwerkersovereenkomsten inclusief geheimhouding met alle bedrijven die toegang hebben tot de gegevens.

– Dagelijkse encrypte backup naar een fysiek andere locatie.

3. Verwerker zal Verwerkingsverantwoordelijke alle beschikbare informatie verstrekken om Verantwoordelijke bijstand te verlenen bij uitvoeren van beveiligingsmaatregelen, het mogelijk maken van audits en inspecties en het uitvoeren van gegevensbeschermingseffectbeoordelingen.

Artikel 5 - Beveiligingsincidenten

1. Verwerker zal diefstal, verlies of misbruik van persoonsgegevens of elke andere vorm van een datalek zo snel mogelijk melden aan Verantwoordelijke. Deze melding omvat, waar mogelijk, tenminste het volgende: de aard van de inbreuk, de categorieën en omvang van de betrokken persoonsgegevens, de waarschijnlijke gevolgen van het datalek, de maatregelen die Verwerker heeft genomen en het contactpunt waar Verantwoordelijke meer informatie kan verkrijgen.

2. Waar nodig, zal Xxxxxxxxx zijn volle medewerking verlenen aan het adequaat informeren van de betrokken personen over dergelijke beveiligingsincidenten of datalekken. Ook zal Verwerker zijn volledige medewerking verlenen aan het uitvoeren van risicobeoordelingen, het analyseren van de oorzaak, het identificeren van vereiste corrigerende maatregelen en het uitvoeren hiervan.

Artikel 6 - Duur en beëindiging

1. Deze Overeenkomst vangt aan op het moment van aanvaarding door de Verantwoordelijke via de website van Verwerker. Partijen gaan deze Overeenkomst aan voor onbepaalde tijd.

2. Opzegging is schriftelijk mogelijk tegen het einde van de maand met een opzegtermijn van één maand.

3. Als deze Overeenkomst eindigt of wordt ontbonden moeten Partijen zich blijven houden aan het bepaalde in deze Overeenkomst met betrekking tot geheimhouding, aansprakelijkheid, vrijwaring en alle overige bepalingen die naar hun aard bestemd zijn om ook na beëindiging of ontbinding van deze Overeenkomst voort te duren.

4. Als deze Overeenkomst eindigt of wordt ontbonden zal Verwerker alle gegevens, waaronder persoonsgegevens, die op basis van deze Overeenkomst bij Verwerker aanwezig zijn aan Verantwoordelijke terugbezorgen op diens verzoek. Verantwoordelijke moet dit verzoek binnen vier weken aan Verwerker doorgeven. Na deze termijn zal Verwerker alle gegevens die bij haar uit hoofde van deze Overeenkomst aanwezig zijn (inclusief alle eventuele kopieën daarvan) op veilige wijze verwijderen of vernietigen, tenzij Verwerker wettelijk verplicht is de gegevens langer op te slaan.

Artikel 7 - Vertrouwelijkheid en geheimhouding

1. Verwerker zal alle persoonsgegevens en andere gegevens die hij van Verantwoordelijkheid ontvangt vertrouwelijk behandelen. Verwerker zal de toegang tot deze gegevens beperken tot personen werkzaam voor Verwerker, die toegang nodig hebben voor een juiste uitvoering van de verwerking ten behoeve van Verantwoordelijke.

2. Op alle persoonsgegevens die Verwerker op basis van deze Overeenkomst ontvangt rust een geheimhoudingsplicht jegens derden. Alle personen in dienst van, dan wel werkzaam ten behoeve van, Verwerker, alsmede Verwerker zelf, zijn verplicht tot geheimhouding van de persoonsgegevens.

3. Verwerker zal de persoonsgegevens niet zonder toestemming van Verantwoordelijke aan derden verstrekken, kopiëren, of anderszins verveelvoudigen of openbaar maken.

Artikel 8 - Rechten van Betrokkenen

1. Verwerker zal Verantwoordelijke bijstand verlenen bij het vervullen van de plicht van Verantwoordelijke om verzoeken van Betrokkenen te beantwoorden, zoals het recht op inzage, rectificatie en gegevenswissing.

2. Als Verwerker een verzoek van een derde ontvangt om inzage in de persoonsgegevens te verstrekken op grond van een vermeende (wettelijke) verplichting dan zal hij Verantwoordelijke daarover eerst schriftelijk informeren alvorens hij die derde inzage in de persoonsgegevens verschaft, zodat Verwerkingsverantwoordelijke kan beoordelen of het verzoek van die derde gegrond is.

Artikel 9 - Personen werkzaam onder gezag Verwerker

De verplichtingen van Verwerker die uit deze Overeenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen, maar niet beperkt tot, werknemers.

Artikel 10 - Sub Verwerkers

1. Verwerker kan bij de verwerking van de persoonsgegevens gebruik maken van externe partijen. Verwerker heeft de verwerking van de persoonsgegevens (gedeeltelijk) uitbesteed aan de volgende Sub Verwerkers: Tilaa, LAYLO, Xxxxxxxx.xx

2. Verwerker mag nieuwe Sub Verwerkers in dienst nemen voor de verwerking van de persoonsgegevens. Verwerker zal Verantwoordelijke op de hoogte stellen van de toevoeging of vervanging van Sub Verwerkers. Ook kan Verantwoordelijke Verwerker verzoeken om een overzicht van alle ingeschakelde Sub Verwerkers.

Artikel 11 - Aansprakelijkheid en vrijwaring

1. Verwerker is aansprakelijk voor schade die Verantwoordelijke lijdt als Verwerker de nadere instructies van Verantwoordelijke, deze Overeenkomst, de AVG of andere toepasselijke wet- en regelgeving op het gebied van privacy en bescherming van persoonsgegevens niet naleeft.

2. Verwerker is aansprakelijk voor schade van derden, indien deze schade is veroorzaakt doordat Xxxxxxxxx heeft gehandeld in strijd met de rechtmatige instructies van Verantwoordelijke of met verplichtingen uit de AVG die zich specifiek tot verwerkers richten.

3. Xxxxxxxxx is niet aansprakelijk voor schade die voortvloeit uit het nakomen van schriftelijke instructies van Verantwoordelijke, indien deze instructies in strijd zijn met de AVG of andere toepasselijke wet- en regelgeving op het gebied van privacy en bescherming van persoonsgegevens.

4. Verwerker vrijwaart Verantwoordelijke tegen aanspraken van derden voor zover Verwerker aansprakelijk is voor de schade die aan de derden is veroorzaakt.

Artikel 12 - Kosten, verzuim

1. Verwerker moet alle kosten vergoeden die Verantwoordelijke maakt om Verwerker tot nakoming van deze Overeenkomst te dwingen.

2. Als een bepaalde verplichting niet wordt nagekomen of een bepaalde termijn voor de nakoming van een verplichting verloopt, dan is Verwerker automatisch in verzuim. Een ingebrekestelling is niet vereist.

Artikel 13 - Boetebepaling

Xxxxxxxxx is een boete verschuldigd aan Verantwoordelijke als hij zich niet houdt aan een bepaling uit deze Overeenkomst en dit niet herstelt, nadat hem daarvoor een redelijke termijn van 14 dagen is gegeven. Deze boete van € 25,00 per dag is direct opeisbaar en geldt vanaf het moment dat Verwerker in verzuim is.

Daarnaast moet Verwerker de schade vergoeden die Verantwoordelijke heeft opgelopen als gevolg van de schending van deze Overeenkomst door Verwerker.

Artikel 14 - Nietigheid

Als een deel van deze Overeenkomst nietig of vernietigbaar is, verandert dat niets aan de geldigheid van de rest van de Overeenkomst. Het nietige deel wordt vervangen door een bepaling die zoveel mogelijk de inhoud van de nietige bepaling volgt.

Artikel 15 - Slotbepaling

1. Alleen schriftelijke wijzigingen op deze Overeenkomst zijn geldig.

2. Deze Overeenkomst vervangt alle eerdere overeenkomsten tussen Partijen.

Artikel 16 - Toepasselijk recht

Nederlands recht.

Artikel 17 - Bevoegde rechter

Rechtbank Gelderland.

MijnDiAd Xxxxxxxxxx 00

0000 XX Xxxxxxxx