PARTIJEN:

VERWERKERSOVEREENKOMST (versie 19 december 2018)

PARTIJEN:

Werkgever,

Hierna te noemen: “Verwerkingsverantwoordelijke” EN

De naamloze vennootschap VGZ ZORGVERZEKERAAR NV, statutair gevestigd en kantoorhoudende te (0000 XX) Xxxxxx aan de Xxxxxx Xxxxxxxxxxxxxx 00 met KvK-nummer 09156723. VGZ Zorgverzekeraar NV maakt deel uit van Coöperatie VGZ UA.

hierna te noemen “Verwerker”,

hierna gezamenlijk te noemen: “Partijen”,

OVERWEGEN HET VOLGENDE:

- Verwerker biedt een online platform “Bedrijfszorgportaal” aan waar zorgaanbieders en dienstverleners hun aanbod voor zorg of daaraan gerelateerde producten en diensten op het gebied van verzuim en preventie beschikbaar kunnen maken voor werkgevers en werkgevers kunnen via het Bedrijfszorgportaal zorg of diensten voor hun werknemers aanvragen;

- Partijen hebben over de aard en het gebruik van het Bedrijfszorgportaal een Overeenkomst (“Licentie Werkgeversportaal”) gesloten die ertoe leidt dat Verwerker in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens verwerkt;

- Partijen wensen, mede gelet op het bepaalde in artikel 28 Algemene verordening gegevensbescherming, in deze Verwerkersovereenkomst hun wederzijdse rechten en verplichtingen voor de verwerking van Persoonsgegevens vast te leggen.

KOMEN HET VOLGENDE OVEREEN:

ARTIKEL 1: DEFINITIES

In deze Verwerkersovereenkomst wordt verstaan onder:

1.1 Algemene verordening gegevensbescherming (“AVG”): Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).

1.2 Betrokkene, Inbreuk in verband met persoonsgegevens (“Datalek”), Persoonsgegevens, Verwerker, Verwerking en Verwerkingsverantwoordelijke: Betekenis zoals bedoeld in artikel 4 AVG.

1.3 Overeenkomst: De hoofdovereenkomst (Licentie Bedrijfszorgportaal) waar deze Verwerkersovereenkomst uit voortvloeit.

1.4 Verwerkersovereenkomst: De onderhavige overeenkomst inclusief bijlage.

1.5 Toezichthoudende autoriteit: Een onafhankelijke overheidsinstantie verantwoordelijk voor het toezicht op de naleving van de wet in verband met de verwerking van Persoonsgegevens. In Nederland is dit de Autoriteit Persoonsgegevens.

ARTIKEL 2: DUUR EN BEËINDIGING VAN DEZE VERWERKERSOVEREENKOMST

2.1 Deze Verwerkersovereenkomst is onderdeel van de Overeenkomst en heeft dezelfde looptijd als de Overeenkomst.

2.2 Indien de Overeenkomst eindigt, eindigt deze Verwerkersovereenkomst automatisch; de Verwerkersovereenkomst kan niet apart worden opgezegd.

2.3 Na beëindiging van deze Verwerkersovereenkomst zullen de lopende verplichtingen voor Verwerker, zoals het melden van Datalekken, en de plicht tot geheimhouding blijven voortduren

ARTIKEL 3: VERWERKEN PERSOONSGEGEVENS

3.1 Verwerker verwerkt alleen Persoonsgegevens in opdracht van de Verwerkingsverantwoordelijke en heeft geen zeggenschap over de Persoonsgegevens. Verwerker volgt de instructies van de Verwerkingsverantwoordelijke hierover op en mag de Persoonsgegevens voor geen enkel ander doel verwerken, tenzij de Verwerkingsverantwoordelijke daar van te voren toestemming of opdracht voor geeft.

3.2 In Bijlage A is opgenomen welke (categorieën van) Persoonsgegevens Verwerker verwerkt en voor welke verwerkingsdoeleinden bij de uitvoering van de Overeenkomst en deze Verwerkersovereenkomst. Hierbij is de Verwerkersverantwoordelijke verantwoordelijk en aansprakelijk de verkrijging en derhalve de verwerking van de genoemde persoonsgegevens plaatsvindt op basis van de alle toepasselijke wet- en regelgeving in dit kader.

3.3 Verwerker houdt zich aan de toepasselijke wet- en regelgeving en verwerkt de Persoonsgegevens op een behoorlijke, zorgvuldige en transparante wijze.

3.4 Verwerker mag zonder toestemming van Verwerkingsverantwoordelijke andere subverwerkers inschakelen bij het verwerken van de Persoonsgegevens onder deze overeenkomst. Deze subverwerkers zullen gehouden worden aan dezelfde plichten en voorwaarden zoals opgenomen in deze Verwerkersovereenkomst.

3.5 De namens de Verwerkingsverantwoordelijke te verwerken Persoonsgegevens dienen logisch gescheiden gehouden te worden van andere (Persoons-)gegevens die Verwerker verwerkt, dit zodat altijd duidelijk is welke gegevens namens Verwerkingsverantwoordelijke verwerkt worden.

3.6 Wanneer de Verwerker een verzoek krijgt van een Betrokkene die zijn of haar rechten op grond van de AVG wil uitoefenen op de persoonsgegevens die verwerkt worden namens de Verwerkingsverantwoordelijke, dan verwijst de Verwerker de verzoeker hiertoe door naar de Verwerkingsverantwoordelijke.

3.7 Een klacht van een Betrokkene met betrekking tot de Verwerking van de Persoonsgegevens wordt door de Verwerker onverwijld doorgestuurd naar Verwerkingsverantwoordelijke voor de verdere afhandeling van de klacht.

3.8 Wanneer de Verwerkingsverantwoordelijke aan Verwerker verzoekt om informatie en/of Persoonsgegevens te verstrekken die namens de Verwerkingsverantwoordelijke door Verwerker verwerkt worden, dan zal Verwerker de gegevens verstrekken die de Verwerkingsverantwoordelijke nodig heeft om aan informatie-en/of handhavingsverzoeken van toezichthoudende autoriteiten te kunnen voldoen en/of te voldoen aan andere wettelijke verplichtingen van de Verwerkingsverantwoordelijke jegens de Betrokkenen.

ARTIKEL 4: BEVEILIGEN VAN PERSOONSGEGEVENS

4.1 Verwerker zorgt ervoor dat de Persoonsgegevens voldoende beveiligd zijn. Om verlies en onrechtmatige verwerkingen te voorkomen neemt Verwerker passende technische en organisatorische maatregelen.

4.2 Deze maatregelen verzekeren - met inachtneming van de stand van de techniek en de kosten gemoeid met de implementatie en de uitvoering van de maatregelen - een passend beschermingsniveau, zulks met inachtneming van de risico’s die het verwerken van Persoonsgegevens, en de aard daarvan, meebrengen.

4.3 Verwerker zal aan de wettelijke verplichting tot audit opgelegd door een toezichthouder meewerken om te bepalen of het verwerken van Persoonsgegevens aan de toepasselijke wet- en regelgeving en de afspraken uit deze Verwerkersovereenkomst voldoet. Hierbij zal Verwerker medewerking verlenen, waaronder het toegang verlenen tot gebouwen en systemen en het ter beschikking stellen van alle relevante informatie.

4.4 De kosten voor de uitvoering van deze audit komen voor rekening van de Verwerkeringsverantwoordelijke. Enkel bij constatering van ernstige en tevens toerekenbare gebreken in de uitvoering van deze Verwerkersovereenkomst komen deze voor rekening van Xxxxxxxxx.

ARTIKEL 5: LOCATIE VAN VERWERKING VAN PERSOONSGEGEVENS

5.1 Verwerking van Persoonsgegevens in het kader van deze overeenkomst vindt uitsluitend plaats binnen de Europese Economische Ruimte (EER) EU.

ARTIKEL 6: GEHEIMHOUDING

6.1 Verwerker houdt de door Verwerkingsverantwoordelijke verstrekte Persoonsgegevens geheim, tenzij dit op basis van een wettelijke verplichting niet mogelijk is. Indien deze wettelijke verplichting ontstaat, informeert Verwerker zo spoedig mogelijkde Verwerkingsverantwoordelijke hierover.

6.2 Verwerker zorgt ervoor dat haar personeel en ingeschakelde hulppersonen zich aan deze geheimhouding houden.

ARTIKEL 7: DATALEK

7.1 In geval van vaststelling van een Datalek is Verwerker verplicht de Verwerkingsverantwoordelijke hierover onverwijld, maar uiterlijk binnen 24 uur na vaststelling ervan, voor de eerste keer te informeren.

7.2 Een melding zal plaats vinden aan de contactpersoon zoals opgenomen in bijlage A. De gegevens van de melding worden door de Verwerker minimaal één (1) jaar na melding aan de Verwerkingsverantwoordelijke bewaard.

7.3 Na de melding van een (vermoeden van een) Datalek aan de Verwerkingsverantwoordelijke houdt de Verwerker de Verwerkingsverantwoordelijke op de hoogte van nieuwe ontwikkelingen rondom het (mogelijke) Datalek en de maatregelen die zijn getroffen om de omvang van het (mogelijke) Datalek te beperken en te beëindigen en een soortgelijk incident in de toekomst te kunnen voorkomen.

7.4 Eventuele kosten die gemaakt worden om het Datalek op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van degene die de kosten maakt.

7.5 Verwerker heeft een beleid voor beveiligingsincidenten voorhanden om te reageren op Datalekken. Verwerker stelt in overleg met Verwerkingsverantwoordelijke in geval van een Datalek de Verwerkingsverantwoordelijke in staat om passende maatregelen te kunnen nemen, waaronder het kunnen informeren van Betrokkenen.

ARTIKEL 8: AANSPRAKELIJKHEID

8.1 De aansprakelijkheid van Verwerker voor alle toerekenbare schade als gevolg van het niet nakomen van de toepasselijke wet- en regelgeving en de bepalingen uit deze Verwerkersovereenkomst is beperkt tot uitsluitend de eventuele directe schade en voorts beperkt tot het bedrag (inclusief BTW) dat onze aansprakelijkheidsverzekeraar in dat geval zou uitkeren ofwel bij gebreke daarvan beperkt tot hetgeen de Verwerkingsverantwoordelijke op grond van deze Overeenkomst aan Verwerker heeft betaald in het jaar waarin de schade is ontstaan, of indien dat bedrag nihil is maximaal EUR 50.000,- per aanspraak met een maximum van EUR 250.000,- voor het totaal van alle aanspraken van de tot het Bedrijfszorgportaal aangesloten verwerkingsverantwoordelijken per kalenderjaar.

8.2 Verwerker is aansprakelijk voor de aan de Verwerkingsverantwoordelijke opgelegde bestuurlijke boete door de Toezichthoudende autoriteit als de geleden schade het gevolg is van onrechtmatig of nalatig handelen door Xxxxxxxxx. Deze aansprakelijkheid is beperkt tot het bedrag (inclusief BTW) dat onze aansprakelijkheidsverzekeraar in dat geval zou uitkeren ofwel bij gebreke daarvan beperkt tot hetgeen u op grond van deze Overeenkomst aan ons hebt betaald in het jaar waarin de schade is ontstaan, of indien dat bedrag nihil is maximaal EUR 50.000,- per aanspraak met een maximum van EUR 250.000,- voor het totaal van alle aanspraken van de tot het Bedrijfszorgportaal aangesloten verwerkingsverantwoordelijken per kalenderjaar.

ARTIKEL 9: BEWAREN EN VERNIETIGEN VAN PERSOONSGEGEVENS BIJ EINDE VAN DE VERWERKERSOVEREENKOMST

9.1 De Persoonsgegevens die Verwerker verwerkt volgens deze Verwerkersovereenkomst vernietigt de Verwerker na verstrijken van de wettelijke bewaartermijn en/of op verzoek van de Verwerkingsverantwoordelijke.

ARTIKEL 10: SLOTBEPALINGEN

10.1 Deze Verwerkersovereenkomst is een integraal en onlosmakelijk onderdeel van de Overeenkomst.

10.2 Bij eventuele tegenstrijdigheden tussen de bepalingen in de Verwerkersovereenkomst en de Overeenkomst, gelden de bepalingen uit deze Verwerkersovereenkomst.

10.3 Na beëindiging van deze Verwerkersovereenkomst zullen de lopende verplichtingen voor de Verwerker, zoals het melden van Datalekken, waarbij de Persoonsgegevens van de Verwerkingsverantwoordelijke betrokken zijn, en de plicht tot geheimhouding blijven voortduren.

BIJLAGE A:

OVERZICHT MET VERWERKINGEN VAN PERSOONSGEGEVENS EN VERWERKINGSDOELEN

1.1 Samenvattende beschrijving verwerkingsactiviteiten van Verwerker: Verwerker stelt een bedrijfszorgportaal ter beschikking middels Sofware-as-a-Service waarbij namens de Verwerkingsverantwoordelijke gegevens worden verwerkt voor de volgende doelen:

- het administratieve beheer van voor wie zorg of een dienst/product door de werkgever is aangevraagd (waaronder het sturen van een e-mail aan de werknemer met het verzoek om bevestiging van toestemming voor verwerking);

- het verstrekken van contact- en verzuimgegevens van de werknemer aan de zorgaanbieder om zorgaanbieders met werknemers contact op te kunnen laten nemen om de zorg of dienstverlening te starten;

- het financiële beheer van de kosten voor de (geleverde) zorg en/of dienst en het gebruik van het Bedrijfszorgportaal voor de werkgever;

- het bijhouden van de voortgang van een behandeling, dienst of product op individueel niveau van de werknemer;

- het beoordelen van de kwaliteit van de zorgaanbieder door middel van enquêtes en geaggregeerde gegevens over de geleverde zorg, dienst of product (niet individueel herleidbaar);

- het opmaken van rapportages op geaggregeerd niveau (en niet individueel herleidbaar) voor de werkgever om de effecten van de geleverde zorg, dienst of product te kunnen meten in relatie tot verzuimgegevens.

1.2 Land van Verwerking : Beperkt tot Europese Economische Ruimte (EER).

1.3 Subverwerkers waarvoor toestemming verleend is: Microsoft Nederland B.V. (Azure platform), Salesforce (CRM systeem), Opdion Services BV (Mulesoft internet interconnectie faciliteiten).

1.4 Risicoclassificatie ten behoeve van de informatiebeveiliging: Hoog

1.5 Datum aanvang verwerking: Datum aanvang Overeenkomst.

1.6 Datum einde verwerking: Datum overeen gekomen bij beëindiging van de Overeenkomst. Wordt er geen datum overeengekomen dan is dit de datum waarop de Overeenkomst eindigt.

1.7 Na einde verwerking: (Overgebleven) Persoonsgegevens vernietigen bij Verwerker met verklaring van vernietiging aan de Verwerkingsverantwoordelijke.

2.0 (Categorieën van) te verwerken Persoonsgegevens:

- Naamgegevens

- Geslacht

- Geboortedatum

- E-mailadres

- Telefoonnummer

- Naam en contactgegevens van de werkgever

- Bijzondere persoonsgegevens die betrekking hebben op de afwikkeling van de eventuele (gezondheids-)klachten en/of verzuimgegevens en informatie over de aard en duur van (genoten) zorg.

- Verzamelde toestemming(en) op verwerkingen door werknemer

2.1 Betrokkenen waarop de gegevens betrekking hebben:

- Medewerkers van Verwerkingsverantwoordelijke waarvoor gegevens door of namens de Verwerkingsverantwoordelijke opgevoerd worden in het portaal.

3.0 Contactgegevens van de privacy functionaris

Zoals opgenomen in de het profiel van de verwerkingsverantwoordelijke in het Bedrijfszorgportaal.