SpotOnMedics Verwerkersvoorwaarden Algemeen
SpotOnMedics Verwerkersvoorwaarden Algemeen
1. Inleiding
1.1 In dit document zijn de voorwaarden (de “Verwerkersvoorwaarden”) opgenomen die gelden en van toepassing zijn op de verwerking van persoonsgegevens (de “Persoonsgegevens”) in het kader van de uitvoering van de Overeenkomst tussen SpotOnMedics en de Praktijk, waarbij SpotOnMedics Persoonsgegevens zal verwerken in opdracht van en op basis van schriftelijke instructies van de Praktijk.
1.2 De Praktijk kwalificeert in het kader van de Overeenkomst als verwerkingsverantwoordelijke (“Verwerkingsverantwoordelijke”) in de zin van artikel 4 lid 7 van de Algemene Verordening
Gegevensbescherming Verordening (EU) 2016/679 (de “AVG”) en SpotOnMedics kwalificeert als verwerker (“Verwerker”) in de zin van artikel 4 lid 8 AVG.
1.3 Partijen leggen in door middel van deze Verwerkersvoorwaarden de afspraken, voorwaarden en wederzijdse rechten en verplichtingen vast met betrekking tot de verwerking van Persoonsgegevens in het kader van de Overeenkomst door Verwerker namens Verwerkingsverantwoordelijke.
1.4 Deze Verwerkersvoorwaarden gelden voor alle verwerkingen van Persoonsgegevens in de uitvoering van en gedurende de looptijd van de Overeenkomst.
2. Definities
2.1 In deze Verwerkersvoorwaarden wordt onder de volgende met een hoofdletter aangeduide begrippen het volgende verstaan:
AVG | Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG. |
Betrokkene | een geïdentificeerde of identificeerbare natuurlijke persoon op wie een Persoonsgegeven betrekking heeft. |
Datalek | een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opslagen of anderszins verwerkte Persoonsgegeven. |
Medewerker | de door Partijen voor de uitvoering van deze Verwerkersvoorwaarden betrokken natuurlijke persoon die werkzaam is bij of voor een van de Partijen. |
Overeenkomst | de hoofdovereenkomst tussen Partijen, inclusief aangehechte Bijlagen. |
Persoonsgegeven | elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon die door Verwerker verwerkt wordt of zal worden verwerkt in het kader van de Overeenkomst. |
Subverwerker | iedere niet-ondergeschikte derde partij die in opdracht van Verwerker Persoonsgegevens verwerkt in het kader van de Overeenkomst, niet zijnde Medewerkers. |
Verwerker | SpotOnMedics, zijnde de verwerker als bedoeld in artikel 4 sub 8 AVG. |
Verwerkersvoorwaarden | de onderhavige voorwaarden. |
Verwerkingsverantwoord elijke | de Praktijk, zijnde de verwerkingsverantwoordelijke als bedoeld in artikel 4 sub 7 AVG. |
2.2 Voornoemde en overige begrippen worden geïnterpreteerd overeenkomstig de AVG.
2.3 Waar in deze Verwerkersvoorwaarden naar bepaalde normen wordt verwezen (zoals NEN7510) wordt daarmee steeds gedoeld op de meest actuele versie daarvan. Voor zover de betreffende norm niet meer wordt onderhouden, dient in de plaats daarvan de meest actuele versie van de logische opvolger van de betreffende norm gelezen te worden
3. Onderwerp
3.1 Deze Verwerkersvoorwaarden hebben betrekking op de verwerking van Persoonsgegevens door Xxxxxxxxx in opdracht van Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst zoals beschreven in Annex 1.
3.2 Deze Verwerkersvoorwaarden maken onverbrekelijk en onlosmakelijk deel uit van de Overeenkomst. Voor zover het bepaalde in de Verwerkersvoorwaarden strijdig is met het bepaalde in de Overeenkomst, prevaleert het bepaalde in de Verwerkersvoorwaarden.
4. Uitvoering verwerking
4.1 Verwerker garandeert dat hij ten behoeve van Verwerkingsverantwoordelijke uitsluitend Persoonsgegevens zal verwerken voor zover:
(a) dit noodzakelijk is voor de uitvoering van de Overeenkomst (binnen de kaders als gespecificeerd in de Overeenkomst, alsmede de daarbij behorende bijlagen); of
(b) Verwerkingsverantwoordelijke daartoe nadere schriftelijke instructies heeft gegeven.
4.2 Verwerkingsverantwoordelijke garandeert dat de Persoonsgegevens die hij aan Verwerker verstrekt en de verwerkingen daarvan door Verwerker voldoen aan alle toepasselijke wet- en regelgeving op het gebied van bescherming van persoonsgegevens (waaronder de AVG).
4.3 Onderdeel van het Product Intelligence (geduid in de Overeenkomst), en aldus de aan Verwerker door Verwerkingsverantwoordelijke in dat kader verstrekte opdracht, is het anonimiseren van Persoonsgegevens. Deze Persoonsgegevens kunnen, na anonimisering, niet worden herleid tot de Betrokkene(n) en vallen derhalve niet langer onder de reikwijdte van de AVG. Vanaf het moment dat Verwerkingsverantwoordelijke het Product Intelligence afneemt, is het Verwerker toegestaan om de Persoonsgegevens te anonimiseren en daarna deze geanonimiseerde Persoonsgegevens te gebruiken voor uitsluitend de doeleinden genoemd in Annex 1 (zie het kopje “Doeleinden verwerking (anonimiseren) Intelligence”) en – naar keuze van Verwerker - uitsluitend ten behoeve van het concern waartoe Verwerker behoort (aldus de moeder-, dochter- en zustervennootschappen). De geanonimiseerde gegevens worden niet ter beschikking gesteld aan derde partijen. Voor zover de anonimisering van Persoonsgegevens wordt beschermd door de AVG en/of enig ander (privacy)recht, verleent Verwerkingsverantwoordelijke hierbij toestemming aan Verwerker de Persoonsgegevens te anonimiseren en vervolgens zowel in het kader van de uitvoering van de Overeenkomst, alsmede de in Annex 1 genoemde doeleinden, te verwerken en gebruiken en staat ervoor in – voor zover noodzakelijk – dat ook de Betrokkene hiertoe zijn toestemming verleent. Daarbij dient de Verwerkingsverantwoordelijke de Betrokkene erop te wijzen dat de
Betrokkene de door hem/haar verleende toestemming te allen tijde kan intrekken via het zogenoemde digitale “Patiëntenportaal” dan wel door dit schriftelijk of mondeling kenbaar te maken aan Verwerkingsverantwoordelijke. Indien de Betrokkene zijn wens tot het intrekken van de verleende toestemming schriftelijk of mondeling aan Verwerkingsverantwoordelijke kenbaar maakt, dient Verwerkingsverantwoordelijke dit ten spoedigste, maar uiterlijk binnen 48 uur, aan Verwerker door te geven.
4.4 Verwerker zal alle redelijke instructies van Verwerkingsverantwoordelijke in verband met de verwerking van de Persoonsgegevens opvolgen. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens.
4.5 Onverminderd het bepaalde in artikel 4.1, is het Verwerker toegestaan om Persoonsgegevens te verwerken indien een wettelijk voorschrift (waaronder begrepen daarop gebaseerde rechterlijke of bestuurlijke bevelen) hem tot een verwerking verplicht. In dat geval stelt de Verwerker voorafgaand aan de verwerking Verwerkingsverantwoordelijke in kennis van de beoogde verwerking en het wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Verwerker zal Verwerkingsverantwoordelijke, waar mogelijk, in staat stellen zich te verweren tegen deze verplichte verwerking en ook overigens de verplichte verwerking beperken tot het strikt noodzakelijke.
4.6 Verwerker waarborgt dat betrokken Medewerkers een geheimhoudingsovereenkomst hebben getekend of anderszins tot geheimhouding worden verplicht.
5. Beveiliging Persoonsgegevens en controle
5.1 Verwerker zal passende en doeltreffende technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de (in Annex 1 gespecificeerde) aard van de te verwerken Persoonsgegevens, ter bescherming van de Persoonsgegevens tegen verlies, onbevoegde kennisname, verminking of enige vorm van onrechtmatige verwerking, alsmede om de (tijdige) beschikbaarheid van de gegevens te garanderen, welke beveiligingsmaatregelen in Annex 2 zijn omschreven.
5.2 Verwerkingsverantwoordelijke verklaart dat de door Verwerker genomen beveiligingsmaatregelen adequaat zijn.
5.3 Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Verwerker zal daarom de maatregelen zoals geïmplementeerd op basis van dit artikel 5 periodiek evalueren en, waar nodig, de maatregelen verbeteren om te blijven voldoen aan de verplichtingen onder dit artikel 5. Het voorgaande laat de instructiebevoegdheid van Verwerkingsverantwoordelijke om zo nodig aanvullende maatregelen te (doen) treffen onverlet.
5.4 Verwerkingsverantwoordelijke heeft het recht toe te (laten) zien op de naleving van de bepalingen van deze Verwerkersvoorwaarden. Verwerker stelt Verwerkingsverantwoordelijke, indien Verwerkingsverantwoordelijke daarom verzoekt, hiertoe in elk geval eenmaal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip en verder indien Verwerkingsverantwoordelijke daar aanleiding toe ziet naar aanleiding van (vermoeden van) informatie- of privacy-incidenten, dat te (laten) controleren met inachtneming van een termijn van tenminste tien dagen.
5.5 Verwerker zal in alle redelijkheid haar medewerking verlenen aan een dergelijk onderzoek. Deze controles en audits worden uitgevoerd door een door Verwerkingsverantwoordelijke aangewezen onafhankelijke derde die gebonden is aan een geheimhoudingsplicht.
5.6 Verwerkingsverantwoordelijke draagt de kosten van de controle en audit. Indien uit de audit blijkt dat Xxxxxxxxx ernstig en materieel tekort is geschoten in de nakoming van deze Verwerkersvoorwaarden, komen de redelijke kosten van de audit voor rekening van Verwerker.
5.7 Verwerker zal eventuele door Verwerkingsverantwoordelijke naar aanleiding van een dergelijk onderzoek in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.
5.8 Verwerker zal de Autoriteit Persoonsgegevens en eventuele andere toezichthouders onder wiens toezicht Verwerkingsverantwoordelijke valt in voorkomende gevallen toegang geven en medewerking verlenen aan een onderzoek met betrekking tot de op grond van de Overeenkomst verwerkte Persoonsgegevens. Bij ontvangst van een dergelijk verzoek zal zij Verwerkingsverantwoordelijke onverwijld informeren.
6. Monitoring, informatieplichten en incidentenmanagement
6.1 Zodra zich een Datalek voordoet, heeft voorgedaan of zou kunnen voordoen, zal Verwerker Verwerkingsverantwoordelijke daarvan zo snel mogelijk en uiterlijk binnen 72 uur na de eerste ontdekking van het Datalek daarover in kennis te stellen en daarbij alle relevante informatie te verstrekken over:
(a) de aard van het Datalek;
(b) de (mogelijk) getroffen Persoonsgegevens;
(c) de geconstateerde en de vermoedelijke gevolgen van het Datalek;
(d) en de maatregelen die getroffen zijn of zullen worden om het Datalek op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken.
6.2 Verwerker is, onverminderd de overige verplichtingen uit dit artikel, verplicht om maatregelen te treffen die redelijkerwijs van hem kunnen worden verwacht om het Datalek zo snel mogelijk te herstellen dan wel de verdere gevolgen zoveel mogelijk te beperken. Verwerker treedt zonder uitstel in overleg met Verwerkingsverantwoordelijke teneinde hierover nadere afspraken te maken.
6.3 Op verzoek van Verwerkingsverantwoordelijke zal Verwerker zijn medewerking verlenen en zal de instructies van Verwerkingsverantwoordelijke opvolgen en stelt Verwerkingsverantwoordelijke in staat een deugdelijk onderzoek te verrichten naar het Datalek, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het Datalek, waaronder begrepen het, afhankelijk van de aard van het Incident, eventueel informeren van de Autoriteit Persoonsgegevens en/of de Betrokkene(n).
6.4 Het is Partijen niet toegestaan informatie te verstrekken over Datalekken aan Xxxxxxxxxxx of andere derde partijen, behoudens voor zover Partijen daartoe wettelijk verplicht zijn of Partijen anderszins zijn overeengekomen.
7. Medewerkingsverplichtingen over en weer
7.1 De AVG en overige (privacy)wetgeving kent aan de Betrokkene bepaalde rechten toe. Verwerker zal zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke bij de nakoming van de op Verwerkingsverantwoordelijke rustende verplichtingen voortvloeiend uit deze rechten.
7.2 Een door Verwerker ontvangen klacht of een verzoek van een Betrokkene met betrekking tot verwerking van Persoonsgegevens wordt door Verwerker zonder uitstel doorgestuurd naar Verwerkingsverantwoordelijke. Verwerker zal zonder uitdrukkelijke instructie daartoe van Verwerkingsverantwoordelijke niet op het verzoek of de klacht van de Betrokkene reageren.
7.3 Op verzoek van Verwerkingsverantwoordelijke zal Verwerker aan Verwerkingsverantwoordelijke alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte verwerking van Persoonsgegevens zodat Verwerkingsverantwoordelijke, mede aan de hand van die informatie, aan kan tonen dat zij de toepasselijke (privacy) wetgeving naleeft.
7.4 Verwerker zal voorts op verzoek van Verwerkingsverantwoordelijke alle noodzakelijke bijstand verlenen bij de nakoming van de op grond van de toepasselijke privacywetgeving op Verwerkingsverantwoordelijke rustende wettelijke verplichtingen (zoals het uitvoeren van een privacy impact assessment en het voorafgaand raadplegen van de Autoriteit Persoonsgegevens).
7.5 Verwerkingsverantwoordelijke is verplicht de Betrokkene op een begrijpelijke en zo volledig mogelijke wijze te informeren over alle relevante informatie betreffende de aspecten van de door Verwerker te verrichten verwerking van Persoonsgegevens.
8. Inschakeling Subverwerkers
8.1 Verwerkingsverantwoordelijke verleent toestemming aan Verwerker om voor de verwerking van de Persoonsgegevens Subverwerkers in te schakelen die in Annex 1 zijn opgenomen.
8.2 Verwerker zal aan een Subverwerker tenminste dezelfde verplichtingen opleggen als voor hemzelf uit deze Verwerkersvoorwaarden voortvloeien. Verwerker zal deze afspraken schriftelijk vastleggen en zal toezien op de naleving daarvan door de Subverwerker.
8.3 De door Verwerkingsverantwoordelijke gegeven toestemming laat onverlet de verantwoordelijkheid en aansprakelijkheid van Verwerker voor de nakoming van deze Verwerkersvoorwaarden.
9. Doorgifte
9.1 Verwerker zal slechts Persoonsgegevens doorgeven naar of toegankelijk maken vanuit een land buiten de Europese Economische Ruimte, wanneer zij daarvoor passende waarborgen heeft getroffen. Annex 1 bevat een overzicht van eventuele verwerkingen buiten de EER en de getroffen waarborgen.
10. Kosten
10.1 Enige ondersteuning of enige andere aanvullende dienstverlening die Verwerker op grond van deze Verwerkersvoorwaarden dient te verlenen, of die wordt verzocht door Verwerkingsverantwoordelijke, inclusief alle verzoeken tot aanvullende informatie, zullen – na akkoord van de Verwerkersverantwoordelijke - in rekening worden gebracht bij Verwerkingsverantwoordelijke op basis van het geldende uurtarief.
11. Duur en beëindiging
11.1 Deze Verwerkersvoorwaarden zijn een aanvulling op de Overeenkomst en hebben in de vorm van een verwerkersovereenkomst dezelfde looptijd als de Overeenkomst, en eindigen zodra de Overeenkomst eindigt (en vice versa).
11.2 Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersvoorwaarden voort te duren, blijven na beëindiging van deze Verwerkersvoorwaarden gelden. Tot deze bepalingen behoren bijvoorbeeld die welke
voortvloeien uit de bepalingen betreffende geheimhouding, geschillenbeslechting en toepasselijk recht.
12. Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
12.1 Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk, waaronder begrepen op grond van de wettelijke bewaartermijnen, voor de uitvoering van de Overeenkomst, of op grond van een eventueel tussen Partijen gemaakte afspraak over bewaartermijnen zoals vastgelegd in Annex 1. Verwerkingsverantwoordelijke is verantwoordelijk voor het bepalen van deze bewaartermijnen.
12.2 Bij beëindiging van de Overeenkomst en deze Verwerkersvoorwaarden, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker, tegen redelijke kosten, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens onherroepelijk (doen) vernietigen of teruggeven aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens onherroepelijk zijn vernietigd of verwijderd. Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd en gedocumenteerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk is, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk zal behandelen en niet langer (actief) zal verwerken.
13. Intellectuele eigendomsrechten
13.1 Voor zover de (verzameling van) Persoonsgegevens wordt beschermd door enig intellectueel eigendomsrecht, verleent Verwerkingsverantwoordelijke toestemming aan Verwerker de Persoonsgegevens en deze intellectuele eigendomsrechten te gebruiken in het kader van de uitvoering van deze Verwerkersvoorwaarden en de Overeenkomst.
14. Slotbepalingen
14.1 In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersvoorwaarden, blijven de overige bepalingen onverkort van kracht.
14.2 Op deze Verwerkersvoorwaarden is Nederlands recht van toepassing.
14.3 Geschillen over of in verband met deze Verwerkersvoorwaarden worden uitsluitend voorgelegd aan de daartoe in de Overeenkomst aangewezen rechtbank of arbiter(s).
Annex 1 bij Verwerkersvoorwaarden: Overeenkomsten, omschrijving
Persoonsgegevens, aard verwerkingen, etc.
De onderstaande kaders hebben betrekking op de de verwerkingen van Persoonsgegevens en maken integraal deel uit van de Overeenkomst.
Korte omschrijving diensten | Levering en Hosting in Saas model van Producten en Diensten via het FysioOne platform |
Aard van de verwerking | Verwerking van patiënt- en behandelgegevens en gegevens met betrekking tot de onderneming van Opdrachtgever, alsmede het anonimiseren van patiënt- en behandelgegevens en gegevens met betrekking tot de onderneming van Opdrachtgever |
Soort Persoonsgegevens | Met betrekking tot patiënten/cliënten van Verwerkingsverantwoordelijke: Naam-Adres-Woonplaats gegevens, geboortedatum, geslacht, bsn, telefoonnummer, e-mail Verwijzingsgegevens van huisarts Verzekerings- en betaalgegevens; polis, polisdekking, bankrekening, incasso machtiging Behandelgegevens, behandeldata, tijdstip, behandelend therapeut, locatie, ruimte, verrichtingen, declaratiegegevens Sport- en fitness abonnementen, deelname in groepen, afgenomen abonnementen, uitleen- en verkoopregistratie van losse producten en sport- en fitness abonnementen EPD dossiergegevens, aanmelding gegevens, anamnese, onderzoek, behandelplan, dagjournalen, klinimetrie en vastgestelde meetwaarden van klinimetrie, tussen en eindrapportages Met betrekking tot de onderneming van Verwerkingsverantwoordelijke: Loonstroken, omzetgegevens, werkgeverslasten, instellingen configuratie FysioOne, aantal gebruikers, populatiekenmerken gebruikers (zoals leeftijd, functie en type gebruiker) |
Categorieën van betrokkenen | Patiënten, personeelsleden, rechtspersonen en overige ondernemingen (VOF, eenmanszaak, CV, etc.) |
Doeleinden van de verwerking (t.b.v. alle Producten en Diensten) | Verwerking Persoonsgegevens t.b.v. verlenen en organiseren van zorg, epd-verslaglegging, declaratie aan zorgverzekeraars, facturatie aan patiënt, interne bedrijfsvoering, praktijk- en kwaliteitsmanagement. |
Doeleinden verwerking (anonimiseren) Intelligence | Anonimisering en gebruik anonieme Persoonsgegevens t.b.v. Verwerkingsverantwoordelijke: Verbeteren en verder op maat maken van het behandeltraject, vergelijken van behandeltrajecten, inrichten van een benchmark dashboard om prestaties inzichtelijk te maken, verbeteren dienstverlening. Anonimisering en gebruik anonieme Persoonsgegevens t.b.v. Verwerker: Product- en Dienstontwikkeling, verbeteren dienstverlening en overige interne analyses en prestatieverbeteringen binnen het concern van Verwerker. |
Goedgekeurde | Microsoft Azure, Visma/Yuki, NMBRS, Twinfield, Qlik |
subverwerkers licenties FysioOne en Intelligence | |
Goedgekeurde subverwerkers producten en diensten ‘Financieel’ en ‘Personeel’ | Microsoft Azure, Visma/Yuki, NMBRS, Twinfield, I-ASE |
Subverwerkers buiten de Europese Economische Ruimte | Mailchimp (via Standard Contractual Clauses), Postmark (via Standard Contractual Clauses) |
Afspraken bewaartermijnen | Tijdens de duur van de Overeenkomst en maximaal zeven jaar na afloop van de Overeenkomst. |
Annex 2 bij Verwerkersvoorwaarden: Omschrijving nadere
beveiligingsmaatregelen
De door Verwerker genomen en overeengekomen beveiligingsmaatregelen zijn de volgende:
1. Verwerker neemt passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen dienen een passend beveiligingsniveau te garanderen gelet op de gevoelige aard van de persoonsgegevens die Verwerker bewerkt. Verwerker zal zich inspannen dat de beveiliging zal voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
2. Verwerker heeft in ieder geval de volgende maatregelen genomen:
- Conform de vereisten zoals gesteld in de NEN 7510;
- Back up en restore procedures zoals vermeld in de NEN 7510 en haar FysioOne Service Level Agreement (SLA);
- Een formeel en actueel Informatiebeveiligingsbeleid;
- Een formeel en actueel business continuïteitsplan;
- Een formeel en actuele procedure melding datalek;
- Aanstelling van een Security Officer.
3. Verwerker is in het bezit van een actueel en geldig ISO 27001 kwaliteitsmanagementsysteem en een actueel en geldig NEN 7510 certificaat.
4. Verwerker werkt aantoonbaar in overeenstemming met ISO 27001 en/of NEN 7510 en heeft een passend, geschreven beveiligingsbeleid geïmplementeerd voor de verwerking van Persoonsgegevens.
5. Verwerker voldoet aan de veiligheidseisen voor netwerkverbindingen zoals beschreven in NEN 7512.
6. Verwerker voldoet aan de eisen ten aanzien van logging zoals beschreven in NEN 7513.
7. Verwerker voldoet aantoonbaar aan de eisen van andere NEN-normen voor zover die voor de gezondheidszorg van toepassing zijn verklaard.