VERWERKERSOVEREENKOMST Stichting Nationaal Programma Grieppreventie (SNPG) wordt aangeduid als: “Verwerker”
Stichting Nationaal Programma Grieppreventie (SNPG) wordt aangeduid als: “Verwerker”
U doet als uitvoerder van het NPG zaken met Xxxxxxxxx. In het vervolg van deze overeenkomst wordt uw huisartspraktijk/zorgorganisatie aangemerkt als “Verwerkingsverantwoordelijke”.
De
dienstverlening van Verwerker is gericht op het coördineren,
ondersteunen en het faciliteren van de uitvoering van grootschalige
vaccinatieprogramma’s ten behoeve van de uitvoerders. SNPG draagt
er zorg voor dat uitvoerders tijdig en altijd over de juiste middelen
en informatie beschikken om de programmatische vaccinatie effectief
en efficiënt uit te voeren.
Om deze diensten aan te kunnen
bieden zal Verwerker mogelijkerwijs Persoonsgegevens van de
uitvoerders verwerken. Uw huisartspraktijk of zorgorganisatie zal
daarbij optreden als Verwerkingsverantwoordelijke in de zin van de
toepasselijke regelgeving en Verwerker. Deze Verwerkersovereenkomst
bevat de voorwaarden waaronder u zal optreden als
Verwerkingsverantwoordelijke en maakt onlosmakelijk onderdeel uit van
de overeenkomst die u met ons heeft.
Nemen het volgende in aanmerking:
(a) De dienstverlening van Verwerkingsverantwoordelijke is voor Verwerker het voeren van de coördinatie, de ondersteuning en het faciliteren van de uitvoering van het vaccinatieprogramma en ervoor zorgen dat uitvoerders tijdig en altijd over de juiste middelen en informatie beschikken om de programmatische vaccinatie uit te kunnen voeren.
(b) Verwerkingsverantwoordelijke is met Verwerker een overeenkomst aangegaan op basis waarvan Verwerker voor Verwerkingsverantwoordelijke diensten verricht of zal gaan verrichten;
(c) Verwerkingsverantwoordelijke beschikt over persoonsgegevens als bedoeld in de Algemene Verordening Gegevensverwerking.
(d) Het verlenen van de diensten die voortvloeien uit de overeenkomst van opdracht, leidt ertoe dat Verwerker voor Verwerkingsverantwoordelijke persoonsgegevens zal gaan verwerken;
(e) Verwerkingsverantwoordelijke is ten aanzien van de verwerking van persoonsgegevens aan te merken als verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG;
(f) Verwerker is ten aanzien van de verwerking van persoonsgegevens aan te merken als verwerker in de zin van artikel 4 lid 8 AVG;
(g) Partijen wensen, mede gelet op het bepaalde in artikel 28 AVG, nadere afspraken te maken over de voorwaarden waaronder Verwerker de persoonsgegevens zal verwerken;
(h) Partijen hebben overeenstemming bereikt omtrent de verwerking van de persoonsgegevens en wensen hun afspraken vast te leggen in de onderhavige overeenkomst.
Verklaren te zijn overeengekomen als volgt:
Artikel 1 Definities
1.1 De navolgende met een hoofdletter aangeduide begrippen hebben in de onderhavige overeenkomst de betekenis die hieronder zijn weergegeven:
Verwerkersovereenkomst: de onderhavige verwerkersovereenkomst met inbegrip van de bijbehorende bijlage.
Diensten: alle werkzaamheden die door Verwerker in het kader van de Onderliggende Overeenkomst worden verricht.
Onderliggende Overeenkomst: de overeenkomst van opdracht tussen Verwerkingsverantwoordelijke en Verwerker, op basis waarvan Verwerker aan Verwerkingsverantwoordelijke Diensten verleent.
Persoonsgegevens: de persoonsgegevens van de huisartspraktijk/zorgorganisatie van Verwerkingsverantwoordelijke.
AVG: de Algemene Verordening Gegevensverwerking.
Artikel 2 Toepasselijkheid
2.1 Partijen hebben in de algemene voorwaarden vastgelegd welke Diensten Verwerker verleent aan Verwerkingsverantwoordelijke. Deze Onderliggende Overeenkomst is partijen genoegzaam bekend. Indien en voor zover het bepaalde in deze Verwerkersovereenkomst in strijd is met een Onderliggende Overeenkomst, prevaleert het bepaalde in deze Verwerkersovereenkomst.
2.2 Verwerker zal de in Bijlage A aan deze Verwerkersovereenkomst gehechte Persoonsgegevens verwerken. In deze bijlage worden tevens de categorieën betrokkenen opgenomen. Op alle verwerkingshandelingen die Verwerker voor Verwerkingsverantwoordelijke uitvoert op basis van de Onderliggende Overeenkomst, zijn de bepalingen van deze Verwerkersovereenkomst van toepassing.
2.3 Verwerkingsverantwoordelijke is volledig verantwoordelijk voor het vaststellen van het doel waarvoor de verwerking van Persoonsgegevens plaatsvindt (hierna: het “Doel”). Het Doel van de verwerking van persoonsgegevens is het kunnen voldoen aan de inhoud van de Onderliggende overeenkomst en het kunnen voeren van de eerder genoemde dienstverlening.
2.4 De in opdracht van Verwerkingsverantwoordelijke door Verwerker te verwerken Persoonsgegevens blijven te allen tijde eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.
Artikel 3 Verplichtingen Verwerker
3.1 Verwerker verplicht zich (i) alle instructies van Verwerkingsverantwoordelijke in het kader van de verwerking van de Persoonsgegevens op te volgen, (ii) de Persoonsgegevens nimmer aan een derde te verstrekken anders dan vermeldt in de Onderliggende Overeenkomst, dan wel een derde toegang te verlenen tot de Persoonsgegevens, zonder dat Verwerker hiervoor de uitdrukkelijke schriftelijke toestemming heeft gekregen van Verwerkingsverantwoordelijke, (iii) de Persoonsgegevens uitsluitend te verwerken ten behoeve van Verwerkingsverantwoordelijke en in het kader van het Doel de Persoonsgegevens voor geen enkel ander doel te gebruiken of aan te wenden, (iv) bij de uitvoering van deze Verwerkersovereenkomst en de verwerking van de Persoonsgegevens te houden aan alle toepasselijke wet- en regelgeving en gedragscodes ter zake van de bescherming van persoonsgegevens, waaronder in ieder geval mede begrepen de AVG en (v) op kosten van Verwerkingsverantwoordelijke op eerste verzoek van Verwerker aan Verwerkingsverantwoordelijke toegang te geven tot de Persoonsgegevens dan wel de Persoonsgegevens aan Verwerkingsverantwoordelijke ter beschikking te stellen op een duurzame gegevensdrager, op de wijze en in het format zoals Verwerkingsverantwoordelijke dat wenst.
3.2 Verwerker verschaft enkel toegang tot de Persoonsgegevens aan haar werknemers indien en voor zover dat nodig is voor het uitvoeren van de Diensten op grond van de Algemene voorwaarden. Alle verplichtingen van Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor de degenen die Persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers en opdrachtnemers van Verwerker, in de ruimste zin van het woord.
3.3 Ten
aanzien van de Persoonsgegevens waarvoor Xxxxxxxxx (mede)
verantwoordelijk is, heeft Verwerker het recht Subverwerkers in te
schakelen en Verwerkingsverantwoordelijke geeft daar toestemming
voor. Meer in het bijzonder geldt dit voor de volgende categorieën
van Subverwerkers:
- RIVM-DVP, dienst vaccinatievoorziening en
preventieprogramma’s
- Verzendhuis
- Accreditatiebureau
’s
- Controlerende instanties en certificeerder
- IT
provider
3.4 Verwerker zal in dat geval de door haar ingeschakelde Subverwerkers dezelfde of strengere verplichtingen opleggen als voor haarzelf uit deze Verwerkersovereenkomst en toepasselijke wet- en regelgeving voortvloeien en ziet toe op de naleving daarvan door de Subverwerkers. De betreffende afspraken met de Subverwerkers zullen schriftelijk worden vastgelegd.
3.5 De bepalingen uit deze overeenkomst zijn wederkerig in de gevallen waarin Verwerker optreedt als Verwerkingsverantwoordelijke.
Artikel 4 Beveiliging
4.1 Verwerker zal alle passende technische en organisatorische maatregelen treffen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking (“Maatregelen”). Deze Maatregelen zullen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen, gelet op de risico’s die verwerking en de aard van de te beschermen Persoonsgegevens met zich brengen. Verwerker garandeert dat zij alle technische en organisatorische Maatregelen die noodzakelijk zijn om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Verwerker draagt ervoor zorg dat personen, niet beperkt tot werknemers, die bij Verwerker deelnemen aan de Verwerkingen zijn gebonden aan een geheimhoudingsverplichting ter zake van de Persoonsgegevens.
Artikel 5 Datalekken
5.1 Verwerker is verplicht Verwerkingsverantwoordelijke ter stond schriftelijk te informeren over een inbreuk op de Maatregelen, beveiligingsincidenten en datalekken waarvan kan worden vermoed dat deze inbreuk leidt tot een (risico op) onbevoegd kennisnemen, verlies of onrechtmatige verwerking van de Persoonsgegevens (“Inbreuk”). De in dit lid vermelde kennisgeving aan Verwerkingsverantwoordelijke omvat in ieder geval (i) de aard en de omvang van de Inbreuk (en de getroffen Persoonsgegevens) en (ii) de door Verwerker genomen maatregelen en de nog te nemen maatregelen om de Inbreuk te (doen) beëindigen dan wel door (ongewijzigd) negatieve gevolgen van de Inbreuk te beperken.
5.2 Verwerker zal in geval van een Inbreuk alle instructies van Verwerkingsverantwoordelijke dienaangaande opvolgen. Verwerker zal in geval van een Inbreuk meewerken aan het adequaat informeren van de betrokkenen.
5.3 De Verwerker doet geen informatie uitgaan over de Inbreuk zonder schriftelijke toestemming van de Verwerkingsverantwoordelijke.
5.4 Partijen komen uitdrukkelijk overeen dat een Inbreuk wordt aangemerkt als een voldoende zwaarwegende reden voor Verwerkingsverantwoordelijke om de Verwerkersovereenkomst en eventuele andere tussen partijen gesloten overeenkomsten op te zeggen of te ontbinden.
5.5 Verwerkingsverantwoordelijke en/of Verwerker kunnen verplicht zijn een Inbreuk te melden aan een toezichthouder/autoriteit. Een dergelijke melding zal nimmer als een tekortkoming van deze Verwerkersovereenkomst, van een Onderliggende Overeenkomst of als een onrechtmatige daad worden beschouwd.
Artikel 6 Controle
6.1 Verwerker handelt alle verzoeken tot inlichtingen met betrekking tot de verwerking van Persoonsgegevens en de Maatregelen vlot en behoorlijk af.
6.2 Verwerker verleent Verwerkingsverantwoordelijke toestemming om de verwerking van persoonsgegevens en de getroffen Maatregelen door Xxxxxxxxx te controleren of te laten controleren door een onafhankelijke en deskundige auditor.
6.3 Indien Verwerkingsverantwoordelijke besluit om een controle uit te (laten) voeren bij Verwerker, verleent Verwerker hieraan alle medewerking, waaronder in ieder geval wordt begrepen het verlenen van toegang tot de locaties waar de Persoonsgegevens worden verwerkt aan de Verwerkingsverantwoordelijke of de door Verwerkingsverantwoordelijke ingeschakelde auditor. Deze medewerking houdt ook in de verstrekking van de vereiste documentatie en inlichtingen.
6.4
Verwerker zorgt ervoor dat zij op verzoek van
Verwerkingsverantwoordelijke aan Verwerkingsverantwoordelijke
rapporteert over de beveiliging en de naleving van de Maatregelen. De
rapportage omvat in ieder geval:
- Het resultaat van de controle
van de logbestanden en indicaties van onrechtmatige toegang of
onrechtmatig gebruik.
- Technische kwetsbaarheden in de
gebruikte informatiesystemen waarin de Persoonsgegevens worden
verwerkt.
- De werknemers die toegang hebben (gehad) tot de
Persoonsgegevens en de verwerkingen die zij hebben uitgevoerd.
-
Wijzigingen in de door Verwerker getroffen Maatregelen, inclusief de
aanleiding daarvan.
Artikel 7 Geheimhouding
7.1 Op alle Persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt, en op alle informatie waarover Verwerker beschikking krijgt en waarvan Xxxxxxxxx het vertrouwelijk karakter kent of redelijkerwijs moet vermoeden, rust een geheimhoudingsplicht jegens derden. Deze geheimhoudingsplicht is niet van toepassing voor zover enig wettelijk voorschrift Verwerker tot bekendmaking verplicht of uit zijn taak bij de uitvoering van deze Verwerkersovereenkomst de noodzaak tot bekendmaking voortvloeit. Verwerker zal haar werknemers, ingehuurd personeel, andere door hem/haar ingeschakelde derden of adviseurs de vertrouwelijke informatie uitsluitend ter inzage geven, verstrekken, ter beschikking stellen of anderszins kenbaar maken, voor zover dit strikt noodzakelijk is in het kader van de Onderliggende Overeenkomst en uitsluitend indien aan de betreffende werknemers, ingehuurd personeel en andere door hem/haar ingeschakelde derden of adviseurs een geheimhoudingsverplichting is opgelegd.
Artikel 8 Bewaartermijnen
8.1 Verwerkingsverantwoordelijke zal Verwerker informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de verwerking van persoonsgegevens door Verwerker. Verwerker zal de persoonsgegevens niet langer verwerken dan overeenkomstig de bewaartermijnen.
Artikel 9 Duur en beëindiging
9.1 Deze Verwerkersovereenkomst vangt aan na het accepteren van deze overeenkomst in de webapplicatie door Verwerkingsverantwoordelijke van deze overeenkomst, dan wel op het moment van ondertekening en is aangegaan voor onbepaalde tijd.
9.2 Indien de Onderliggende Overeenkomst, om welke reden dan ook, eindigt, eindigt deze Verwerkersovereenkomst per gelijke datum onverwijld, zonder dat een nadere opzegging is vereist, tenzij de verwerking nog voortduurt.
9.3 Verplichtingen die naar hun aard bestemd zijn om ook na beëindiging van de Verwerkersovereenkomst voort te duren, blijven na het einde van de Verwerkersovereenkomst bestaan. Tot voornoemde bepalingen behoren onder andere de bepalingen ten aanzien van geheimhouding, gevolgen van beëindiging, boete, aansprakelijkheid en vrijwaring, toepasselijk recht en bevoegde rechter.
Artikel 10 Gevolgen beëindiging
10.1 Indien deze Verwerkersovereenkomst eindigt, op welke grond of wijze dan ook, zal Verwerker ervoor zorg dragen dat alle persoonsgegevens, behalve de gegevens van het aantal bestelde vaccins en toegediende vaccinaties binnen een jaar worden verwijderd.
Artikel 11 Overige bepalingen
11.1 Wijzigingen of aanvullingen op deze Verwerkersovereenkomst zijn slechts geldig indien deze schriftelijk tussen Partijen zijn overeengekomen.
11.2 Het is Verwerker niet toegestaan rechten en/of verplichtingen uit deze Verwerkersovereenkomst aan (een) derde(n) over te dragen, te bezwaren of in te brengen in een maatschap of rechtspersoon, zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
Artikel 12 Toepasselijk recht en bevoegde rechter
12.1 Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
12.2 Geschillen die in verband met deze Overeenkomst ontstaan, (geschillen over het bestaan en de geldigheid van deze Overeenkomst daaronder begrepen), zullen bij uitsluiting worden beslecht door de bevoegde rechter van de rechtbank in Amsterdam, tenzij dwingendrechtelijke bepalingen zich daartegen verzetten. Door op akkoord te klikken gaat u akkoord met de inhoud van deze overeenkomst
Bijlage A - Soort Persoonsgegevens die door Verwerker kunnen worden verwerkt en categorieën betrokkenen
Soort persoonsgegevens:
Naam huisartspraktijk of zorgorganisatie
Adres
Telefoon
Mailadressen
Bankrekeningnummer
Start- en einddatum account
Xxxxxxxxx van betrokkenen:
Verzendhuis
RIVM