Tenzinger 3-2-2022
Tenzinger |
Tenzinger |
3-2-2022 |
Artikel 5 Onderwerp van de Verwerkersovereenkomst 5
Artikel 6 Inschakeling derden 5
Artikel 7 Medewerkingsverplichtingen 6
Artikel 8 Beschikbaarheid van persoonsgegevens en bewaartermijnen 6
Artikel 9 Beveiliging persoonsgegevens en controle 7
Artikel 11 Monitoring, inbreuk in verband met persoonsgegevens en informatieplichten 8
Artikel 12 Aansprakelijkheid 8
Annex 1: Beschrijving van de verwerking 10
Annex 2: Omschrijving beveiligingsmaatregelen 12
Partijen
Verwerkingsverantwoordelijke | Naam | Opdrachtgever met vermelding gegevens op het bestelformulier |
Verwerker | Naam | Tenzinger B.V. |
Adres | Xxxxxxxxxxxxxx 00X 0000 XX Xxxxxxx | |
KvK nummer | 30195740 | |
Vertegenwoordiger met functie | De xxxx X. Xxxxxx, directeur |
Nemen het volgende in overweging:
- Partijen zijn een overeenkomst (hierna: de ‘Overeenkomst’) aangegaan in het kader van het leveren van producten en diensten, waaronder begrepen Tenzinger Software (hierna te noemen: de ‘Diensten)’;
- waar in deze Overeenkomst wordt gesproken van Privacyregelgeving wordt bedoeld de Verordening (EU) 2016/679 van het Europees Parlement en de raad van 27 april 2016 (Algemene Verordening Gegevensbescherming/AVG en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG);
- de uitvoering van de Overeenkomst brengt mee dat Verwerker persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke verwerkt;
- Verwerkingsverantwoordelijke wordt aangemerkt als ‘verwerkingsverantwoordelijke’ en Verwerker als ‘verwerker’ in de zin van de AVG;
- deze overeenkomst is aan te merken als een Verwerkersovereenkomst in de zin van artikel 28 lid 3 AVG;
- Partijen wensen in overeenstemming met Privacyregelgeving in deze Verwerkersovereenkomst hun afspraken over het verwerken van de Persoonsgegevens door Verwerker vast te leggen;
- deze Verwerkersovereenkomst is uitsluitend aanvullend en verduidelijkend van aard op de Overeenkomst en brengt daarin geen wijzigingen aan,
en verklaren als volgt te zijn overeengekomen
Artikel 1 Governance
Deze Verwerkersovereenkomst maakt deel uit van de tussen Opdrachtgever en Tenzinger gesloten Overeenkomst. De bepalingen uit de Overeenkomst en de daarop van toepassing verklaarde algemene voorwaarden zijn daarmee van toepassing op deze Verwerkersovereenkomst, waarbij de in de Overeenkomst opgenomen rangorde geldt.
Artikel 2 Definities
De hierna en hiervoor in deze Verwerkersovereenkomst vermelde, met een hoofdletter geschreven begrippen, hebben, voor zover deze niet in deze bepaling zijn gedefinieerd, de betekenis die daaraan gekoppeld is in de AVG.
Diensten alle door Tenzinger in het kader van de Overeenkomst geleverde producten en diensten, waaronder begrepen Tenzinger Software;
Overeenkomst de tussen Partijen gesloten overeenkomst met betrekking tot te leveren of anderszins beschikbaar gestelde diensten;
Privacyregelgeving de op de Verwerking toepasselijke regelgeving in het
kader van de bescherming van Persoonsgegevens, zijnde de Algemene Verordening Gegevensbescherming alsmede de Uitvoeringswet Algemene Verordening Gegevensbescherming;
Verwerkersovereenkomst deze overeenkomst inclusief overwegingen en
bijbehorende Bijlagen.
Artikel 3 Reikwijdte van deze overeenkomst
3.1 Deze Verwerkersovereenkomst is van toepassing op de tussen Partijen gesloten Overeenkomst.
3.2 Voor zover het bepaalde in deze Verwerkersovereenkomst strijdig is met het bepaalde in de Overeenkomst, prevaleert het bepaalde in onderhavige Verwerkersovereenkomst.
Artikel 4 Totstandkoming, duur en einde van de Verwerkersovereenkomst
Deze Verwerkersovereenkomst wordt geacht in werking te zijn getreden op het moment van aanvang van de Overeenkomst en wordt aangegaan voor de duur van de Overeenkomst. Indien Verwerker na afloop van de Overeenkomst in opdracht van Verwerkingsverantwoordelijke gegevens blijft verwerken, blijft deze Verwerkersovereenkomst van kracht zolang Verwerker Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke verwerkt.
Artikel 5 Onderwerp van de Verwerkersovereenkomst
5.1 Verwerker verwerkt uitsluitend in opdracht van Verwerkingsverantwoordelijke in verband met de uitvoering van de Overeenkomst en gedurende de looptijd van de Overeenkomst Persoonsgegevens zoals bedoeld in Privacyregelgeving. Verwerker zal de Persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met Privacyregelgeving verwerken.
5.2 Verwerker zal de Persoonsgegevens uitsluitend verwerken:
a. voor zover dit noodzakelijk is voor de uitvoering van de Overeenkomst;
b. overeenkomstig het doel en de verantwoording zoals vermeld in Annex 1, tenzij verdere verwerking noodzakelijk is ter uitvoering van een op een partij rustende wettelijke verplichting (waaronder begrepen daarop gebaseerde rechterlijke of bestuurlijke bevelen).
5.3 De door Verwerkingsverantwoordelijke in redelijkheid gegeven instructies worden door Xxxxxxxxx opgevolgd met inachtneming van de aard van de Diensten die Verwerker op grond van de Overeenkomst levert.
5.4 Verwerker heeft geen zeggenschap over het doel en de middelen van de Verwerking van Persoonsgegevens. Voor zover niet anders is bepaald in deze Verwerkersovereenkomst, neemt Verwerker geen beslissingen over het gebruik van de gegevens, de verstrekking aan derden en de duur van de verwerking van de gegevens. De zeggenschap over de Persoonsgegevens verstrekt onder deze Verwerkersovereenkomst komt nimmer bij Verwerker te berusten.
5.5 Verwerker zal de Persoonsgegevens gescheiden verwerken van de Persoonsgegevens die zij voor zichzelf of namens derden verwerkt.
5.6 Verwerker zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, geen Persoonsgegevens verwerken of laten verwerken door hemzelf of door derden in landen buiten de Europese Economische Ruimte (“EER”).
Artikel 6 Inschakeling derden
1.1 Verwerker kan bij de uitvoering van de Diensten gebruik maken van (sub)verwerkers. Verwerker verleent haar goedkeuring aan de inschakeling van (sub)verwerkers door verwerker bij de uitvoering van Overeenkomst genoemd in bijlage 1: Annex 1.
1.2 Verwerker informeert Verwerkingsverantwoordelijke over wijzigingen van derden en/of onderaannemers die zij inschakelt in verband met de uitvoering van de Overeenkomst. Verwerker draagt ervoor zorg dat aan de door haar ingeschakelde derden alle relevante verplichtingen uit deze Verwerkersovereenkomst in het kader van de verwerking van Persoonsgegevens contractueel worden opgelegd. Verwerkingsverantwoordelijke heeft het recht om binnen vier weken na de kennisgeving van Verwerker schriftelijk haar bezwaren tegen een voorgenomen wijziging van een ingeschakelde derde kenbaar te maken.
1.3 Indien het bezwaar redelijk is en van Verwerkingsverantwoordelijke, na overleg met Verwerker, in redelijkheid niet verlangd kan worden de Overeenkomst ongewijzigd in stand te houden, heeft Verwerkingsverantwoordelijke het recht de
Overeenkomst, met inachtneming van het bepaalde in de Overeenkomst beëindigen tegen de datum waarop Verwerker gebruik maakt van de diensten van de betreffende derde.
Artikel 7 Medewerkingsverplichtingen
2.1 Verwerker verleent Verwerkingsverantwoordelijke in alle redelijkheid van haar verlangde medewerking, om na goedkeuring van en in opdracht van Verwerkingsverantwoordelijke, binnen de wettelijke termijnen te voldoen aan verplichtingen op grond van Privacyregelgeving, meer in het bijzonder de rechten van betrokkenen, zoals, maar niet bepekt tot een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens. De kosten in verband met de werkzaamheden die Verwerker uitvoert in verband met een uit hoofde van deze Verwerkersovereenkomst ingediend verzoek komen voor rekening van Verwerkingsverantwoordelijke.
2.2 Verwerker zal de redelijke instructies van Verwerkingsverantwoordelijke in verband met de verwerking van de Persoonsgegevens opvolgen, rekening houdend met het feit dat de software die Verwerker op basis van de Overeenkomst ter beschikking stelt generieke software is waarbij het aan Verwerker is te bepalen of instructies van Verwerkingsverantwoordelijke worden opgevolgd. Verwerker stelt Verwerkingsverantwoordelijke op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens of niet passen binnen het ontwikkelprogramma van Verwerker in verband met de door haar aan Verwerkingsverantwoordelijke beschikbaar gestelde software.
Artikel 8 Beschikbaarheid van persoonsgegevens en bewaartermijnen
3.1 De door Xxxxxxxxx in opdracht van Verwerkingsverantwoordelijke verwerkte Persoonsgegevens stelt Verwerker aan Verwerkingsverantwoordelijke beschikbaar middels de overeengekomen Dienst.
3.2 Bij beëindiging van de Overeenkomst levert Verwerker aan Verwerkingsverantwoordelijke de verwerkte Persoonsgegevens op overeenkomstig de door Verwerker aan Verwerkingsverantwoordelijke bekendgemaakte exportprocedure. De kosten gemoeid met deze inspanningen van Verwerker, komen voor rekening van Verwerkingsverantwoordelijke voor zover deze kosten niet inbegrepen zijn in de overeengekomen prijzen en vergoedingen van Verwerker voortvloeiende uit de uitvoering van de Overeenkomst.
3.3 Na beëindiging van de opdracht tot het uitvoeren van verwerkingen vernietigt Verwerker alle Persoonsgegevens die zij in opdracht van Verwerkingsverantwoordelijke verwerkt.
3.4 Verwerkingsverantwoordelijke is verantwoordelijk voor de borging van de in verband met de Verwerking van Persoonsgegevens geldende bewaartermijnen. Verwerker zal geen zelfstandige beslissingen nemen ten aanzien van de duur van de bewaring van de Persoonsgegevens. Verwerkingsverantwoordelijke zal Verwerker voorzien van duidelijke en werkbare schriftelijke instructies omtrent het
verwijderen of vernietigen van Persoonsgegevens, indien dat nodig is om rechtmatige bewaartermijnen te hanteren.
Artikel 9 Beveiliging persoonsgegevens en controle
4.1 Verwerker neemt passende technische en organisatorische beveiligingsmaatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Bij het bepalen van de nodige beveiligingsmaatregelen houdt Verwerker rekening met de aard van de te verwerken Persoonsgegevens. De door Verwerker genomen technische en organisatorische beveiligingsmaatregelen worden nader gespecificeerd in bijlage 2: Annex 2.
4.2 Verwerkingsverantwoordelijke heeft het recht de naleving van de door Verwerker genomen beveiligingsmaatregelen te laten controleren door een onafhankelijk auditor die gebonden is aan geheimhouding. Verwerker stelt Verwerkingsverantwoordelijke hiertoe op verzoek in ieder geval eenmaal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip. Verder stelt Verwerker Verwerkingsverantwoordelijke hiertoe in de gelegenheid indien Verwerkingsverantwoordelijke daar concrete aanleiding toe ziet naar aanleiding van privacy-incidenten.
4.3 Verwerker zal alle redelijkerwijs benodigde medewerking verlenen aan de controle en er voor zorg dragen ook de door hem ingeschakelde derden hiertoe de redelijkerwijs benodigde medewerking zullen verlenen.
4.4 Partijen maken ten aanzien van de uitvoering zodanige afspraken dat het uitvoeren van een controle niet zal leiden tot verstoring van de bedrijfsactiviteiten. Indien dat onverhoopt toch het geval is, zullen Partijen in overleg treden teneinde daarvoor zo spoedig mogelijk een oplossing te vinden. De met de controle gemoeide kosten zijn voor rekening van Verwerkingsverantwoordelijke, tenzij uit de controle blijkt dat Verwerker toerekenbaar is tekortgeschoten in de nakoming van zijn verplichting(en) uit deze Verwerkersovereenkomst en/of de Overeenkomst.
4.5 Verwerker zal eventuele door Verwerkingsverantwoordelijke naar aanleiding van een onderzoek in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen, rekening houdend met het door Verwerker gevoerde informatiebeveiligingsbeleid en het feit dat de software die Verwerker op basis van de Overeenkomst ter beschikking stelt generieke software is waarbij het aan Verwerker is te bepalen of instructies van Verwerkingsverantwoordelijke worden opgevolgd.
Artikel 10 Geheimhouding
5.1 Verwerker behandelt alle Persoonsgegevens als strikt vertrouwelijk en zal deze gegevens geheimhouden.
5.2 Verwerker zal in haar overeenkomsten met zijn medewerkers en/of door hem ingehuurde personen bedingen dat door die personen eveneens geheimhouding zal worden betracht ten aanzien van alle gegevens en informatie die zij in het kader van hun werkzaamheden voor Verwerker verwerken.
5.3 Het is Verwerker niet toegestaan Persoonsgegevens aan anderen dan Verwerkingsverantwoordelijke te verstrekken, tenzij op schriftelijk verzoek van Verwerkingsverantwoordelijke, of met diens schriftelijke toestemming. Verwerker is verplicht schriftelijk te bevestigen dat een verstrekking heeft plaatsgevonden,
waarbij hij exact de verstrekte Persoonsgegevens, de Betrokkene(n), de ontvanger(s) en het moment van verstrekking dient te beschrijven.
5.4 Indien Verwerker op grond van een wettelijke verplichting gegevens dient te verstrekken, verifieert Verwerker de grondslag van het verzoek en de identiteit van de verzoeker en informeert hij onmiddellijk, zo mogelijk voorafgaand aan de verstrekking, Verwerkingsverantwoordelijke ter zake, tenzij dit Verwerker wettelijk of anderszins op basis van een gerechtelijk bevel niet is toegestaan.
5.5 Na beëindiging van de Overeenkomst en deze Verwerkersovereenkomst blijft de in deze bepaling opgenomen geheimhouding van kracht.
Artikel 11 Monitoring, inbreuk in verband met persoonsgegevens en informatieplichten
6.1 Wanneer zich een incident in verband met Persoonsgegevens vallend onder de verantwoordelijkheid van Verwerkingsverantwoordelijke voordoet bij Verwerker, meldt Xxxxxxxxx dit zo spoedig mogelijk, doch uiterlijk binnen 36 uur na ontdekking van het incident bij de door Verwerkingsverantwoordelijke aan te wijzen persoon. Hierbij doet Verwerker opgave van de aard van het incident, de geconstateerde en vermoedelijke gevolgen van het incident voor de verwerking van de Persoonsgegevens, voor zover deze zijn vast te stellen door Verwerker alsmede van de maatregelen die Verwerker heeft getroffen om de gevolgen te beperken. Indien op het moment van de melding nog niet alle hiervoor opgesomde informatie beschikbaar is, zal Verwerker de nog ontbrekende informatie zonder onredelijke vertraging nasturen. Onder “incident” wordt verstaan: een inbreuk in verband met persoonsgegevens zoals bedoeld in artikel 33 AVG.
6.2 Op verzoek van Verwerkingsverantwoordelijke verleent Verwerker de in redelijkheid van haar verlangde medewerking met als doel Verwerkingsverantwoordelijke in staat te stellen een deugdelijk onderzoek te verrichten naar het incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het incident.
6.3 Verwerker zal geschreven procedures voorhanden hebben die hem in staat stellen om Verwerkingsverantwoordelijke van een reactie conform het bepaalde in artikel 11.1 over het incident te voorzien en om effectief samen te werken met Verwerkingsverantwoordelijke.
6.4 Verwerkingsverantwoordelijke beslist of het incident al dan niet wordt gemeld aan de Autoriteit Persoonsgegevens en/of betrokkenen en is tevens verantwoordelijk voor de melding.
Artikel 12 Aansprakelijkheid
7.1 In geval van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst is Verwerker aansprakelijk overeenkomstig het bepaalde in de Overeenkomst alsmede de daarop van toepassing verklaarde algemene voorwaarden.
7.2 Verwerker heeft een aansprakelijkheidsverzekering afgesloten ter dekking van aansprakelijkheid en draagt ervoor zorg dat zij deze verzekering in stand houdt gedurende de looptijd van deze Verwerkersovereenkomst.
Artikel 13 Slotbepalingen
Afwijkingen van deze Verwerkersovereenkomst zijn slechts bindend voor zover zij uitdrukkelijk tussen Partijen schriftelijk zijn overeengekomen.
Akkoordverklaring
Opdrachtgever is akkoord gegaan met deze verwerkersovereenkomst bij het plaatsen van de bestelling van Medicore.
Annex 1: Beschrijving van de verwerking
Naam van de overeenkomst | Medicore | |||
Omschrijving van de dienst | Levering elektronisch cliëntendossier | |||
Ingangsdatum: | ||||
Tenzinger B.V. | Opdrachtgever | |||
Naam: | De xxxx X. Xxxxxx | Naam: | Opdrachtgever met vermelding gegevens op het bestelformulier | |
Adres: | Xxxxxxxxxxxxxx 00X | |||
Postcode: | 3534 AM | |||
Woonplaats | Utrecht | |||
Verwerker | Verwerkingsverantwoordelijke | |||
Categorieën van betrokkenen | ||||
X | Patiënten/cliënten | |||
X | Behandelaren/personeelsleden | |||
Ouders/voogd/wettelijke vertegenwoordiger | ||||
Xxxxxx, namelijk: | ||||
Soort persoonsgegevens | ||||
Algemene persoonsgegevens | ||||
X | Naam, adres, woonplaats | |||
X | Geslacht, geboortedatum en/of leeftijd | |||
X | BSN | |||
X | Contactgegevens | |||
X | Toegangs- of identificatiegegevens (bijv. patiëntnummer of personeelsnummer) | |||
X | Financiële gegevens | |||
X | Identiteitsgegevens (paspoorten of andere legitimatiebewijzen) | |||
X | Locatiegegevens (bijv. IP-adres) | |||
Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verbandhoudende veiligheidsmaatregelen | ||||
Anders, namelijk: | ||||
Bijzondere persoonsgegevens | ||||
Gegevens waaruit iemand zijn ras of etnische afkomst blijkt | ||||
X | Gegevens over iemand zijn gezondheid | |||
Genetische gegevens | ||||
Gegevens waaruit iemand zijn politieke opvattingen blijken | ||||
Gegevens waaruit iemand zijn religieuze of levensbeschouwelijke achtergrond blijkt | ||
Persoonsgegevens waaruit iemand zijn lidmaatschap van een vakbond blijkt | ||
Xxxxxxxx met betrekking tot iemands seksueel gedrag of seksuele gerichtheid | ||
Biometrische gegevens | ||
Bewaartermijn: | Voor de duur van de overeenkomst | |
Goedgekeurde (sub)verwerker(s) | ||
X | Previder | |
Annex 2: Omschrijving beveiligingsmaatregelen
Verwerker neemt passende technische en organisatorische maatregelen die de beschikbaarheid, integriteit en vertrouwelijkheid van de te verwerken Persoonsgegevens beschermen. De maatregelen omvatten in ieder geval: Management systeem
Verwerker voert een informatiebeveiliging managementsysteem (ISMS) dat aantoonbaar voldoet aan de normen ISO 27001:2013 en NEN 7510:2017.
Organisatie en verantwoordelijkheden
Verwerker heeft een Functionaris Gegevensbescherming en een Functionaris Informatiebeveiliging aangesteld. Deze functionarissen zien toe op het borgen en het naleven van de beveiligingsmaatregelen en dragen zorg voor verbetering en aanscherping van het informatiebeveiligingsbeleid.
Veilig personeel
Verwerker verifieert de achtergrond van medewerkers onder andere via een Verklaring Omtrent Gedrag en eist geheimhouding als onderdeel van de arbeidsovereenkomst.
Verwerker legt verantwoordelijkheden van medewerkers vast in functieomschrijvingen en stelt duidelijke regels en procedures op, die medewerkers verplicht dienen te volgen.
Verwerker ontwikkelt de competenties van medewerkers via bewustwording
programma’s en functie specifieke trainingen.
Toegangsbeveiliging
Verwerker waarborgt dat enkel bevoegde Medewerkers toegang hebben tot de Persoonsgegevens voor de doeleinden die zijn vastgelegd.
Verwerker gebruikt formele procedures voor het registreren en afmelden van gebruikers en voor het verlenen en intrekken van toegangsrechten.
Verwerker verleent alleen toegang aan personen, entiteiten of processen op basis van de functie of rol die zij vervullen binnen de organisatie en binnen het kader van deze overeenkomst.
Verwerker logt de toegang tot informatie en informatie-verwerkende systemen en faciliteiten.
Fysieke beveiliging
Verwerker maakt gebruik van professionele datacenters in de EU (Nederland) en heeft passende maatregelen getroffen voor de beveiliging van de kantoren.
Beveiliging bedrijfsvoering
Verwerker neemt minimaal de volgende maatregelen om de correcte en veilige functionering van informatie verwerkende systemen te waarborgen:
• • Ontwikkel-, test- en productieomgevingen zijn gescheiden
• • Wijzigingen aan de productieomgeving volgen een procedure voor
wijzigingsbeheer
• • Er wordt ten minste éénmaal per dag een back-up gemaakt
• • Informatiebeveiligingsgebeurtenissen worden gelogd
• • Systemen worden beheerd volgens gedocumenteerde procedures
• • Er zijn procedures voor het identificeren van kwetsbaarheden en
updaten van systemen
Communicatiebeveiliging
Verwerker neemt passende maatregelen voor het beschermen van informatie in netwerken, waaronder het gebruik van versleutelde verbindingen, het scheiden van netwerken en het gebruik van firewalls. Verwerker legt afspraken over het uitwisselen van informatie met externe partijen vast in een verwerkersovereenkomst.
Beschikbaarheid en continuïteit
Verwerker neemt passende maatregelen om het afgesproken niveau van beschikbaarheid te garanderen.
Verwerker onderhoudt uitwijkplannen om de continuïteit van de verwerkingen te waarborgen in het geval van calamiteiten.