Voorwaarden zorgvuldige gegevensverwerking Inleiding
Voorwaarden zorgvuldige gegevensverwerking
Inleiding
Overeenkomst hebt gesloten voor samenwerking/dienstverlening en in het kader daarvan Persoonsgegevens worden uitgewisseld, vinden wij het belangrijk hier afspraken over vast te leggen. Deze Voorwaarden zijn van toepassing als beide Partijen ten aanzien van de eigen dienstverlening zelfstandig het doel en de middelen van de verwerking van de Persoonsgegevens bepalen.
Definities
2.1 De hierna en hiervoor in deze Voorwaarden vermelde, met een hoofdletter geschreven begrippen, hebben de volgende betekenis:
Betrokkene: een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4 sub 1 AVG).
Cliënt: de Betrokkene die gebruik maakt van de diensten geleverd door één of beide partijen.
Inbreuk op de Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (zie artikel 4 onder 12 AVG).
Overeenkomst: de overeenkomst die Opdrachtgever en Opdrachtnemer
Partijen: Opdrachtgever en Opdrachtnemer, zoals beschreven in de Overeenkomst
Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4, onder 1 van de AVG.
Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt (art. 4 onder 8. AVG).
Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens (artikel 4 onder 2. AVG).
Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (art. 4 onder 7. AVG).
Toepasselijk Recht: de toepasselijke wet- of regelgeving, daaronder begrepen enige richtsnoeren, beleidsregels, instructies of aanbevelingen van enige overheidsinstantie, van toepassing op de verwerking van de persoonsgegevens, daaronder begrepen enige wijzigingen, vervangingen, updates of andere latere versies daarvan.
2.2 De in onderhavige Overeenkomst genoemde begrippen worden geïnterpreteerd overeenkomstig de AVG.
Totstandkoming, duur en beëindiging van de Overeenkomst
3.1 Deze voorwaarden ziijn van kracht zijn gedurende de duur van de Overeenkomst, inclusief eventuele verlengingen daarvan.
3.2 Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van de Overeen-komst voort te duren, blijven na beëindiging van de Overeenkomst gelden. Tot deze bepalingen behoren bijvoorbeeld die welke voortvloeien uit de bepalingen betreffende geheim-houding, aansprakelijkheid, geschillenbeslechting en Toepasselijk Recht.
4 Verwerking Persoonsgegevens
4.1 Partijen zullen de persoonsgegevens aantoonbaar en op een behoorlijke en zorgvuldige wijze verwerken in overeenstemming met de op hen rustende verplichtingen op grond van de AVG en overige wet- en regelgeving. In het bijzonder staan Partijen ervoor in dat zij gegevens rechtmatig doorgeven aan de andere Partij
4.2 Partijen zullen passende technische en organisatorische (beveiligings)maatregelen (laten) nemen ter bescherming van de Persoonsgegevens tegen verlies of enige vorm van onrechtmatige verwerking, in overeenstemming met het Toepasselijke Recht.
4.4 Partijen zullen de Persoonsgegevens geheim houden en alle nodige maatregelen treffen om geheimhouding van de Persoonsgegevens te verzekeren.
4.5 Partijen zien erop toe dat de medewerkers voor wie zij verantwoordelijk zijn, de uitgewisselde gegevens uitsluitend inzien als dit noodzakelijk is voor hun werkzaamheden. Indien het medische gegevens betreft, zien Partijen erop toe dat medewerkers, de uitgewisselde gegevens uitsluitend inzien als zij een behandelrelatie hebben met de cliënt, danwel daarbij rechtstreeks betrokken zijn.
4.6 Een klacht met betrekking tot de Verwerking van Persoonsgegevens onder de samenwerkingsovereenkomst/ dienstverleningsovereenkomst die wordt ontvangen door de Partij die ten aanzien van de betreffende Persoonsgegevens niet als Verwerkingsverantwoordelijke is aan te merken, wordt onverwijld doorgestuurd naar de Verwerkingsverantwoordelijke.
4.7 Indien een Partij op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken waarbij de betreffende Persoonsgegevens van de andere Partij zijn ontvangen, verifieert eerstgenoemde Partij de grondslag van het verzoek en de identiteit van de verzoeker. Vervolgens informeert deze Partij voorafgaand aan de verstrekking, de Partij van wie hij de Persoonsgegevens heeft ontvangen. De Persoonsgegeven worden alleen verstrekt indien het niet mogelijk is aan de plicht te voldoen zonder dat er Persoonsgegevens verstrekt worden.
4.8 Partijen bieden elkaar volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van Betrokkenen (zie artikel 5).
5 Rechten van Betrokkenen
5.1 De Partij die in het kader van de Overeenkomst voor een Verwerking van Persoonsgegevens van een Cliënt als Verwerkingsverantwoordelijke is aan te merken, garandeert de rechten van de betreffende Cliënt.
5.2 Als het verzoek van de Client (deels) betrekking heeft op Persoonsgegevens waarvan de andere Partij Verwerkersverantwoordelijke is, zal de Partij dit verzoek onverwijld doorsturen naar de contactpersoon van de andere Partij.
6 Verstrekken van informatie aan Xxxxxxxx
6.1 Partijen zullen in principe ieder voor zich Betrokkenen informeren over de verwerkingen van hun Persoonsgegevens, in ieder geval conform artikel 13 en 14 AVG, waarbij Partijen Betrokkenen tevens zullen informeren over de onderlinge uitwisseling van de Persoonsgegevens.
7 Inschakelen van derden (verwerkers/onderaannemers)
7.1 Wanneer een Partij een andere organisatie inschakelt, zal hij aan deze derde minimaal de verplichtingen opleggen die zijn opgenomen in deze Voorwaarden en relevante wet- en regelgeving. Deze Partij zal de afspraken schriftelijk vastleggen en toezien op de naleving daarvan door de betreffende derde.
7.2 De Partij die de derde heeft gecontracteerd, blijft volledig aansprakelijk voor de gevolgen van het inschakelen van deze derde.
8 Inbreuk in verband met Persoonsgegevens (datalek)
8.1 Indien zich een inbreuk in verband met Persoonsgegevens heeft voorgedaan, melden Partijen, dit conform de AVG en zijn eigen procedure:
a) aan de Autoriteit Persoonsgegevens (artikel 33 AVG);
b) aan de Client wiens Persoonsgegevens het betreft (artikel 34 AVG).
8.2 De Partij die een Inbreuk in verband met Persoonsgegevens constateert ten aanzien van Persoonsgegevens waarvan hij niet als Verwerkingsverantwoordelijke is aan te merken, informeert onverwijld de andere Partij over de betreffende inbreuk en levert daarbij, alle informatie aan die andere Partij nodig heeft voor de melding aan de Autoriteit Persoonsgegevens en de melding aan de Client wiens Persoonsgegevens het betreft. Partijen houden elkaar op de hoogte van de ontwikkelingen ten aanzien van de Inbreuk en van de maatregelen die de Partij treft bij wie de Inbreuk heeft plaatsgevonden om de gevolgen van de Inbreuk te beperken en herhaling te voorkomen.
9.1 Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen of voor het handelen van hun ondergeschikten en van andere personen waarvoor de aansprakelijkheid wordt toegerekend.
9.2 Een Partij is aansprakelijk voor een door de Autoriteit Persoonsgegevens aan de andere Partij opgelegde bestuurlijke boete als deze boete het gevolg is van het onrechtmatig of nalatig handelen van eerstgenoemde Partij.
9.3 Partijen verlenen elkaar vrijwaring voor iedere aanspraak van derden, ter zake van door ondergeschikten of andere aan Partijen gerelateerde personen veroorzaakte schade, dan wel wegens het niet-naleven door Partijen van hun verplichtingen ingevolge deze Voorwaarden.
9.4 Elk der Partijen draagt zelf zorg voor een adequate aansprakelijkheidsverzekering voor aan derden toegebrachte schade, veroorzaakt door haar ondergeschikten of anderen voor wie haar aansprakelijkheid wordt toegerekend.
Wijziging Voorwaarden
10.1 Opdrachtgever behoudt zich het recht voor deze Voorwaarden tussentijds te wijzigen. Opdrachtnemer wordt hiervan op de hoogte gesteld.
10.2 Bij ingrijpende wijzigingen heeft de Opdrachtnemer het recht de Overeenkomst te beëindigen, met inachtneming van de relevante bepalingen in de Algemene voorwaarden onderaanneming Zorgverlening.
|
|
|
Bijlage 1: Melding datalek
Contactgegevens
Om bij calamiteiten met persoonsgegevens snel en met de juiste personen contact op te kunnen nemen moeten vooraf de wederzijdse contactgegevens bekend zijn. Dit kunnen de contactgegevens van de Functionaris voor de Gegevensbescherming (FG) zijn of de persoon die binnen de organisatie als contactpersoon voor datalek incidenten benoemd is (beide hierna: contactpersoon). Deze contactpersoon zal bij incidenten de verdere communicatie binnen de eigen organisatie verzorgen en aanspreekpunt zijn voor de wederpartij. De contactgegevens worden uitgewisseld bij het sluiten van de Overeenkomst.
Melding van incidenten
Als zich een (mogelijk) datalek voordoet bij één van de partijen, informeert getroffen partij onmiddellijk de wederpartij middels een zo compleet mogelijk ingevuld meldingsformulier), in ieder geval per e-mail en aansluitend ook per telefoon. De verantwoordelijke bevestigt de goede ontvangst van het meldingsformulier.
Voor meldingen aan Evean de volgende procedure aanhouden:
Vul het meldingsformulier (zie volgende pagina) in en mail dit naar xxxxxxx@xxxxx.xx
Neem telefonisch contact op met uw 1e of 2e contactpersoon bij Evean op en geef telefonisch door dat er een melding datalek is verzonden naar het centrale e-mailadres.
Indien de contactpersonen niet bereikt worden, neemt u telefonisch contact op met de Servicedesk van het Share Service Center Espria via telnr: 088 - 38 33 033
De Servicedesk zal vervolgens uw contactpersonen bij Evean informeren.
Nadat de melding is ontvangen vindt onderlinge afstemming plaats. Afhankelijk van de ernst van de situatie en de aard van het datalek incident overleggen bovenbedoelde contactpersonen namens hun beider organisaties of:
melding aan de A.P. gedaan dient te worden, en/of;
melding aan de betrokkenen dient plaats te vinden;
welke meldingstekst en informatie hiervoor gebruikt gaat worden. Als eerst nader onderzoek noodzakelijk is, zullen de getroffen partijen overwegen of een voorlopige melding wordt gedaan;
andere verantwoordelijken geïnformeerd dienen te worden;
andere (sub)verwerkers geïnformeerd dienen te worden;
aanvullend onderzoek door of op initiatief van Verantwoordelijke bij Verwerker ondernomen zal worden.
Communicatiewijze
Het verdient de voorkeur om te communiceren per telefoon. Indien gecommuniceerd wordt per telefoon, bevestigen partijen achteraf schriftelijk de inhoud van het besprokene en de gemaakte afspraken.
Partijen nemen maatregelen om er voor te zorgen dat het opgegeven telefoonnummer en e-mailadres actueel is. Minimaal 1x per dag wordt gecontroleerd op binnengekomen e-mailberichten.
Meldingsformulier datalek ketenpartner
|
7