VOORBEELD VERWERKERSOVEREENKOMST PARTIJEN:
VOORBEELD VERWERKERSOVEREENKOMST
PARTIJEN:
<naam huisartsenpraktijk>, gevestigd te <postcode> <plaats> aan de <straat> [hierbij rechtsgeldig vertegenwoordigd door <de heer/mevrouw> <naam vertegenwoordiger>, <functie>], hierna ook te noemen: “Verantwoordelijke”
en
2. <naam leverancier>, gevestigd en kantoorhoudende te <postcode> <plaats> aan de <straat> [hierbij rechtsgeldig vertegenwoordigd door <de heer/mevrouw> <naam vertegenwoordiger>, <functie>], hierna ook te noemen: “Verwerker”
Verantwoordelijke en Verwerker hierna gezamenlijk ook te noemen “Partijen”
KOMEN HIERBIJ HET VOLGENDE OVEREEN
Artikel 1. Onderwerp van de verwerkersovereenkomst
1.1 Verwerker zal op schriftelijke instructie van Verantwoordelijke (bijzondere) persoonsgegevens verwerken in het kader van een tussen partijen gesloten Hoofdovereenkomst met als doel …………………………………...(kort aangeven wat doel van de Hoofdovereenkomst is).
Een overzicht van de categorieën persoonsgegevens, de doeleinden waarvoor de persoonsgegevens worden verwerkt en de duur van de opslag zijn opgenomen in Bijlage 1 bij deze verwerkersovereenkomst.
1.2 Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verantwoordelijke is vastgesteld en zal de persoonsgegevens niet verwerken voor eigen doeleinden.
1.3 Onverminderd enige andere contractuele geheimhoudingverplichting die op Verwerker rust, garandeert Verwerker dat hij alle persoonsgegevens als strikt vertrouwelijk zal behandelen en dat hij al zijn werknemers, vertegenwoordigers en/of onderaannemers die betrokken zijn bij de verwerking van de persoonsgegevens van de vertrouwelijke aard van dergelijke persoonsgegevens op de hoogte zal stellen.
1.4 Verwerker
zal voor het verwerken van deze gegevens wel /geen gebruik maken van
een subverwerker. [NB:
deze passage hanteren en
invullen als er van een subverwerker gebruik wordt
gemaakt].
[a. Als er wel
gebruik wordt gemaakt van een subverwerker dan betreft dat de
besloten vennootschap [………..…] gevestigd te…
b. Deze
subverwerker zal ook gebonden zijn aan deze verwerkingsbepalingen,
waaronder een strikte geheimhoudingsplicht. Verwerker staat in voor
de werkzaamheden van de subverwerker].
Artikel 2. Beginselen voor aantoonbare beveiliging van informatie
2.1 Verwerker zal alle redelijke instructies van Verantwoordelijke in verband met de verwerking van persoonsgegevens opvolgen.
2.2 Verwerker zal de persoonsgegevens aantoonbaar, transparant en op behoorlijke en zorgvuldige wijze verwerken, in overeenstemming met de op hem als Verwerker rustende wettelijke en contractuele verplichtingen. Verantwoordelijke staat ervoor in dat de gegevens rechtmatig verkregen en juist zijn.
2.3 De in opdracht van Verantwoordelijke te verwerken persoonsgegevens blijven onder verantwoordelijkheid van en het eigendom van Verantwoordelijke en/of de betreffende betrokkenen.
Artikel 3. Technische en organisatorische maatregelen en ISO/NEN
3.1 Verwerker is NEN7510 gecertificeerd.
3.2 Verwerker garandeert dat de beveiliging van de persoonsgegevens onder alle omstandigheden doeltreffend is. Verwerker garandeert voldoende technische en organisatorische maatregelen te nemen tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
3.3 In Bijlage 2 zijn de beveiligingsmaatregelen beschreven die de Verwerker in ieder geval zal toepassen.
3.4 Verwerker stelt aan Verantwoordelijke op verzoek daartoe alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit artikel 28 jo 32 AVG worden nagekomen.
3.5 Verwerker zal de persoonsgegevens betreffende Verantwoordelijke strikt gescheiden opslaan en verwerken van de persoonsgegevens die hij voor zichzelf of namens derde partijen verwerkt.
Artikel 4. Aansprakelijkheid
4.1.
Indien de Verwerker tekortschiet in de nakoming van een van de
verplichtingen uit deze Verwerkersovereenkomst kan Verantwoordelijke
hem in gebreke stellen. Verwerker is echter onmiddellijk in gebreke
als de nakoming van desbetreffende verplichting anders dan door
overmacht binnen de overeengekomen termijn, reeds blijvend
onmogelijk is.
4.2 Ingebrekestelling vindt schriftelijk plaats, waarbij aan de Verwerker een redelijke termijn wordt gegund om alsnog zijn verplichtingen na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is Verwerker in verzuim.
4.3 Verwerker vrijwaart Verantwoordelijke voor schade of nadeel, voor zover ontstaan door werkzaamheden van de Verwerker.
4.4 Indien Verwerker de in deze Verwerkersovereenkomst neergelegde verplichtingen niet of niet-tijdig nakomt en de toezichthouder de Verantwoordelijke dientengevolge een boete oplegt, is Verwerker aansprakelijk en zal Verantwoordelijke een (contractuele) boete ter hoogte van hetzelfde bedrag opleggen aan Verwerker.
Deze boete is niet vatbaar voor verrekening en opschorting en laat de rechten van Verantwoordelijke op nakoming en schadevergoeding onverlet.
Artikel 5. Meldplicht datalekken
5.1 Partijen zullen elkaar onverwijld informeren indien blijkt dat er een inbreuk op de beveiliging is (geweest) die waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van een individu. Verwerker garandeert dat de verstrekte informatie in de melding zoals genoemd in het volgende lid, volledig, correct en accuraat is.
5.2 De meldplicht behelst in ieder geval alle informatie zoals omschreven in Bijlage 3.
5.3 Verantwoordelijke beoordeelt of zij de betrokkene(n) en/of de relevante toezichthouder(s) zal informeren of niet.
5.4 Verwerker zal op verzoek van Verantwoordelijke meewerken aan het informeren van de bevoegde autoriteiten en Betrokkene(n).
[5.5 Indien van toepassing: Verwerker maakt schriftelijke afspraken met subverwerkers over het melden van incidenten aan Verwerker, die de Verwerker en Verantwoordelijke in staat stellen verplichtingen in het geval van een incident na te leven.]
Artikel 6. Afhandeling verzoeken van betrokkenen
6.1 Betrokkenen hebben het recht op transparantie aangaande de (medische) gegevens die worden verwerkt. Hiertoe wordt aan hen toegang verleend tot de opgeslagen gegevens. Betrokkenen kunnen gegevens onder andere: inzien, corrigeren en laten rectificeren. Nu de Verantwoordelijke de contactpartij van de betrokkenen is, worden deze rechten door Verantwoordelijke kenbaar gemaakt aan betrokkenen.
6.2 Verwerker zal volledige medewerking verlenen opdat Verantwoordelijke kan voldoen aan de op haar rustende wettelijke verplichtingen voortvloeiend uit de situatie waarin een Betrokkene de rechten uitoefent zoals bedoeld in lid 1.
6.3 Indien
een Betrokkene met betrekking tot de uitvoering van zijn rechten
contact opneemt met Verwerker, dan gaat Verwerker hier - behoudens
uitdrukkelijke andersluidende instructie van Verantwoordelijke - in
eerste instantie niet (inhoudelijk) op in, maar bericht hij dit
onverwijld aan Verantwoordelijke, met een verzoek om nadere
instructies.
Artikel 7. Audit
7.1 Verwerker toont aan de hand van de Verklaring van Toepasselijkheid en het doorlopen van het (jaarlijks) verplichte externe audittraject afdoende aan dat hij voldoet aan de wettelijke en overige vereisten.
7.2 Verantwoordelijke heeft het recht om bij een aantoonbaar vermoeden van misbruik van persoonsgegevens een audit uit te (laten) voeren door een onafhankelijke derde die aan geheimhouding is gebonden, ter controle van naleving van alle bepalingen uit deze Verwerkersovereenkomst, en al datgene dat daarmee verband houdt.
7.3 Verwerker zal aan genoemde audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en betrokken medewerkers zo tijdig mogelijk ter beschikking stellen.
Artikel 8. Duur en beëindiging
8.1 Deze Verwerkersovereenkomst wordt ingegaan op [invullen begindatum] en de duur van deze Verwerkersovereenkomst is gelijk aan de duur van de in artikel 1 van deze Verwerkersovereenkomst genoemde Hoofdovereenkomst.
8.2 De Verwerkersovereenkomst en de Hoofdovereenkomst zijn accessoir, dat wil zeggen dat beëindiging van de Verwerkersovereenkomst, op welke grond dan ook (opzegging/ontbinding), tot gevolg heeft dat de Hoofdovereenkomst ook op dezelfde grond beëindigd wordt (en omgekeerd), tenzij partijen schriftelijk anders overeenkomen.
8.3 Verplichtingen die naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van de Verwerkersovereenkomst gelden. Tot deze bepalingen behoren onder andere de bepalingen over geheimhouding, aansprakelijkheid en toepasselijk recht.
8.4 Ieder van de partijen is gerechtigd, naast wat daarover bepaald is in de Hoofdovereenkomst, de uitvoering van deze Verwerkersovereenkomst en de daarmee samenhangende Hoofdovereenkomst op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:
(a) de andere partij wordt ontbonden of anderszins ophoudt te bestaan;
(b) de andere partij aantoonbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die ernstige toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een schriftelijke ingebrekestelling;
(c) een partij in staat van faillissement wordt verklaard of surséance van xxxxxxxx aanvraagt.
8.5 Verantwoordelijke is gerechtigd deze Verwerkersovereenkomst en de Hoofdovereenkomst per direct te ontbinden indien Verwerker te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de persoonsgegevens worden gesteld. Artikel 9.2 is van overeenkomstige toepassing.
Artikel 9. Bewaartermijnen, teruggave en vernietiging van persoonsgegevens
9.1 Verwerker bewaart de persoonsgegevens niet langer dan strikt noodzakelijk en in geen geval langer dan tot het einde van deze Verwerkersovereenkomst of, indien tussen partijen een bewaartermijn is overeengekomen, niet langer dan deze termijn.
9.2 Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verantwoordelijke zal Verwerker, kosteloos, naar keuze van Xxxxxxxxxxxxxxxxx, de persoonsgegevens vernietigen of teruggeven aan Verantwoordelijke. Op verzoek van Verantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens vernietigd of verwijderd zijn. Indien teruggave, vernietiging of verwijdering niet mogelijk is, stelt Verwerker Verantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
9.3 Bij het einde van de Verwerkersovereenkomst zal Verwerker alle derden die betrokken zijn bij het verwerken van persoonsgegevens op de hoogte stellen van de beëindiging van de Verwerkersovereenkomst. De verplichtingen uit artikel 9.2 zijn van overeenkomstige toepassing op de deze derden. Verwerker zal waarborgen dat alle betrokken derden hieraan uitvoering zullen geven.
Artikel 10. Voorrang Verwerkersovereenkomst
In geval van strijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen uit de in artikel 1 genoemde Hoofdovereenkomst, zullen de bepalingen van de Verwerkersovereenkomst voorgaan.
Artikel 11. Toepasselijk recht en bevoegde rechter
11.1 Deze Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
11.2 Alle geschillen, die tussen partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Verantwoordelijke is gevestigd.
Voor akkoord:
Datum:
Namens Verantwoordelijke:
Namens verwerker:
BIJLAGE 1: Te verwerken persoonsgegevens en doeleinden
[Opnemen persoonsgegevens die zullen worden verwerkt in het kader van de Hoofdovereenkomst , hoe ze worden verwerkt en de doeleinden waarvoor ze verwerkt zullen worden].
Toelichting: hier moeten alle uitdrukkelijk omschreven en gerechtvaardigde doeleinden van de verwerking worden omschreven. Denk hierbij aan: het bijhouden van administratie op de praktijk; het verlenen van zorg; het voorschrijven van medicatie; het communiceren met en declareren bij de zorgverzekeraar; het communiceren en delen van informatie met ketenpartners in de zorg; het delen van informatie voor statistische doeleinden; etc. Deze doeleinden worden door de medische professional of de verantwoordelijke vastgesteld.
BIJLAGE 2: Beveiligingsmaatregelen
[Opnemen overeengekomen beveiligingsmaatregelen. Let op dat deze betrekking hebben op alle aspecten van beveiliging, dus ook op betrouwbaarheid van gegevens (beschikbaarheid, integriteit en vertrouwelijkheid). Denk ook aan de verschillende eisen die uit NEN 7510 e.v. voortvloeien].
BIJLAGE 3: Informatie die moet worden verstrekt bij een beveiligingsinbreuk en contactgegevens
Het formulier om een beveiligingsinbreuk te melden (waar deze bijlage op is gebaseerd) is te vinden op de website van de Autoriteit Persoonsgegevens: xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xx/xxxxxxxxxxx/xxxxxxxxxxx/xxxxxxxxxx-xxxxxxxxxx
[Invoegen contactgegevens medewerker x, waarmee contact moet worden opgenomen in het geval van “incidenten”/datalekken. In principe is dit de functionaris voor de gegevensbescherming (FG) of de information security officer (ISO)].
7