Model1 Verwerkersovereenkomst Zorgaanbieder- Meetbureau

Model1 Verwerkersovereenkomst Zorgaanbieder- Meetbureau


[datum

]

Versie 0.1

De ondergetekenden:

  1. [Zorgaanbieder] [NAAM], gevestigd te [PLAATS] en kantoorhoudende [ADRES], hierbij rechtsgeldig vertegenwoordigd door [NAAM], verder te noemen: "Opdrachtgever";

en

  1. [Dienstverlener Onderzoek/ Meetbureau, NAAM]., gevestigd te [PLAATS] en kantoorhoudende [ADRES], hierbij rechtsgeldig vertegenwoordigd door [NAAM], verder te noemen: “Opdrachtnemer".

gezamenlijk aangeduid als “Partijen” en separaat ook aangeduid als “Partij”; NEMEN HET VOLGENDE IN OVERWEGING:

  1. Opdrachtgever sluit deze verwerkersovereenkomst met Opdrachtnemer betreffende de levering van diensten door Opdrachtnemer aan Opdrachtgever in het kader van het PREM onderzoek, zoals opgenomen in Bijlage A;

  2. In het kader van de uitvoering van deze werkzaamheden voert Opdrachtnemer onderzoek/metingen uit voor Opdrachtgever;

  3. Het verrichten van de diensten brengt met zich mee dat Persoonsgegevens worden verwerkt. Opdrachtgever is verwerkingsverantwoordelijke voor deze Persoonsgegevens conform de Algemene Verordening Gegevensbescherming (AVG).

  4. Opdrachtnemer is in het kader van deze opdracht uitsluitend verwerker van deze Persoonsgegevens.

  5. Shape1 Op grond van het bepaalde de Algemene Verordening Gegevensbescherming (verder te noemen: “AVG”) dienen de afspraken omtrent de verwerking en beveiliging van deze Persoonsgegevens te zijn vastgelegd in een verwerkersovereenkomst;

Shape2


Shape3

Shape4

1 Deze overeenkomst betreft uitdrukkelijk een model, waarbij bepalingen kunnen worden toegevoegd of gewijzigd aan de

 Shape5

afspraken bij beëindiging, mogelijkheden tot opzegging kunnen worden aangepast, toegevoegd zoals men wil

 Shape6

overeenkomen. Ook kunnen aanvullende afspraken over aansprakelijkheid worden toegevoegd of van een andere

 Shape7

overeenkomst van toepassing worden verklaard (de Opdrachtovereenkomst als die er is). Het is mogelijk om Bijlagen toe te

 Shape8

voorliggende situatie. Er kan bijv. sprake zijn van een Opdrachtovereenkomst tussen partijen naast de

 Shape9

verwerkersovereenkomst. De relatie daarmee dient in de verwerkersovereenkomst dan te worden gelegd. Bepalingen over

 Shape10

voegen zoals deze in de overeenkomst genoemd worden, dit is niet perse nodig.

15

  1. Partijen hebben de afspraken omtrent de verwerking van Persoonsgegevens door Opdrachtnemer vastgelegd in deze verwerkersovereenkomst;

  2. Partijen houden zich aan alle op hen van toepassing zijnde wetgeving, waaronder de AVG en gezondheidsrechtelijke wetgeving. Partijen verwerken persoonsgegevens op een behoorlijke, zorgvuldige en transparante wijze.

VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT

1. BEGRIPPEN

1. De in deze Verwerkersovereenkomst gebruikte begrippen die worden geschreven met een hoofdletter hebben de volgende betekenis:

  1. AVG: Algemene Verordening Gegevensbescherming;

  2. Betrokkene: degene op wie Persoonsgegevens betrekking hebben;

  3. Diensten: de diensten die door Opdrachtnemer voor Opdrachtgever worden verricht zoals opgenomen in Bijlage A;

  4. Verwerkersovereenkomst: onderhavige Verwerkersovereenkomst;

  5. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.

2. VERWERKING PERSOONSGEGEVENS

1. De categorieën van Betrokkenen en soorten Persoonsgegevens die door Opdrachtnemer worden verwerkt, alsmede de doeleinden waarvoor Opdrachtnemer deze Persoonsgegevens verwerkt, zijn opgenomen in Bijlage A

2. Opdrachtnemer zal de Persoonsgegevens die aan haar bekend worden, uitsluitend verwerken op basis van schriftelijke instructies van Opdrachtgever en enkel in het kader van de uitvoering van deze Verwerkersovereenkomst, tenzij een op Opdrachtnemer van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling Opdrachtnemer tot verwerking verplicht. In dat geval stelt Opdrachtnemer Opdrachtgever voorafgaand aan de verwerking in kennis van dat wettelijk voorschrift.

3. Opdrachtnemer heeft geen zeggenschap over het doel en middelen van de verwerking van Persoonsgegevens. Niets in deze Verwerkersovereenkomst is bedoeld om op enigerlei wijze

zeggenschap ten aanzien van de Persoonsgegevens aan Opdrachtnemer over te dragen.

4. Het is Opdrachtnemer zonder voorafgaande schriftelijke toestemming van Opdrachtgever niet toegestaan de Persoonsgegevens:

  1. voor andere of verdergaande doeleinden te verwerken dan redelijkerwijs nodig in het kader van de uitvoering van deze Verwerkersovereenkomst en de daarin genoemde doeleinden;

  2. aan derden te verstrekken, behoudens de schriftelijk opgedragen verstrekkingen in het kader van XXXX en/of in het kader van deze Verwerkersovereenkomst schriftelijk door Opdrachtgever verplicht en/of op grond van een rechterlijk bevel en/of een dwingendrechtelijke bepaling van Nederlands of Unierecht.

5. Op deze Verwerkersovereenkomst is het Nederlands recht van toepassing.

16

3. GEHEIMHOUDING

  1. Opdrachtnemer zal de Persoonsgegevens tegenover derden geheimhouden behoudens en zover ter uitvoering van deze Verwerkersovereenkomst noodzakelijk en behoudens de wet hem tot mededeling verplicht en zal deze niet openbaar maken.

  2. Opdrachtnemer staat ervoor in en garandeert dat werknemers en alle overige natuurlijke personen die handelen onder zijn gezag en toegang hebben tot de Persoonsgegevens eveneens onder dezelfde voorwaarden geheimhouding zullen betrachten ten aanzien van voornoemde informatie.


4. BEVEILIGINGSMAATREGELEN OPDRACHTNEMER

  1. Opdrachtnemer treft passende technische en organisatorische maatregelen om verlies van gegevens en onrechtmatige verwerkingen te voorkomen, die onder meer de in Bijlage C genoemde maatregelen omvatten. De omschreven beveiligingsmaatregelen bieden een op het risico van de verwerking afgestemd beveiligingsniveau.

  2. Bij het treffen van de beveiligingsmaatregelen heeft Opdrachtnemer rekening gehouden met de stand van de techniek, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, omvang en de context van de verwerkingen, de doeleinden en het beoogd gebruik van haar Diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van Betrokkenen die zij gezien het beoogd gebruik van de Diensten mag verwachten.

  3. Een overzicht van deze maatregelen en het beleid daarover zijn opgenomen in Bijlage C. De door Opdrachtnemer te nemen maatregelen voldoen in elk geval aan de ISO27001 en andere relevante beveiligingsnormen. Opdrachtnemer richt de beveiliging in op basis van risicoanalyse en gegevenseffect beoordelingen. Opdrachtnemer draagt zorg voor continue en periodieke noodzakelijke evaluatie en bijstelling van de beveiliging om aan de wettelijke beveiligingseisen en dit artikel te blijven voldoen.

  4. Opdrachtnemer toont periodiek aan dat aan de beveiligingsverplichting als bedoeld in dit artikel wordt voldaan.

  5. VERZOEKEN BETROKKENEN, GEGEVENSBESCHERMINGSEFFECTBEOORDELING EN AUDIT

  1. Opdrachtnemer zal, voor zover mogelijk, medewerking verlenen aan redelijke verzoeken van Opdrachtgever die verband houden met bij Opdrachtgever ingeroepen rechten van

Betrokkenen. Indien Opdrachtnemer direct door een Betrokkene wordt benaderd, zal zij deze zo spoedig mogelijk doorverwijzen naar Opdrachtgever, behoudens in de situaties waarvoor tussen partijen is overeengekomen dat het beantwoorden van verzoeken van betrokkenen in het kader van PREM onderdeel vormt van de dienstverlening door de Opdrachtnemer aan de Opdrachtgever.

  1. Opdrachtnemer verleent Opdrachtgever medewerking bij de uitvoering van een wettelijk voorgeschreven gegevensbeschermingseffectbeoordeling en een mogelijk daarop volgende voorafgaande raadpleging zoals bedoeld in de AVG, althans voor zover dat mogelijk is in verband met de haar ter beschikking staande informatie en de aard van de verwerking.

17

  1. Opdrachtnemer voorziet Opdrachtgever op diens verzoek van de noodzakelijke informatie waardoor Opdrachtgever een oordeel kan vormen over de naleving door Opdrachtnemer van het bepaalde in deze Verwerkersovereenkomst. De in dit lid bedoelde informatie omvat tenminste een samenvatting van het rapport dat wordt opgesteld naar aanleiding van de op instructie van Opdrachtnemer minimaal eenmaal per jaar uitgevoerde audit van de getroffen beveiligingsmaatregelen door een onafhankelijke deskundige.

  2. Indien uit het auditrapport van de onafhankelijke deskundige blijkt dat de door

Opdrachtnemer getroffen maatregelen en voorzieningen niet in voldoende mate voldoen aan deze Verwerkersovereenkomst of de AVG, dan zal Opdrachtnemer onverwijld de noodzakelijke verbetermaatregelen doorvoeren, welke passend zijn rekening houdend met de verwerkingsrisico’s verbonden aan de Diensten, de stand van de techniek, de markt waarin zij opereert en de andere in de AVG en deze Verwerkersovereenkomst genoemde factoren.


6. MELDPLICHT DATALEKKEN

  1. Opdrachtnemer informeert Opdrachtgever onverwijld zodra zij constateert dat een inbreuk in verband met de verwerking van de Persoonsgegevens heeft plaatsgevonden zoals bedoeld in artikel 33 en 34 AVG. Deze informatieverstrekking is zodanig dat Opdrachtgever in staat moet zijn om aan haar verplichtingen op grond van artikel 33 en artikel 34 AVG te voldoen. Opdrachtnemer verplicht zich om van alle inbreuken in verband met de verwerking van Persoonsgegevens een logboek bij te houden.

  2. Opdrachtnemer zal alle maatregelen nemen die redelijkerwijze van haar kunnen worden verwacht om de nadelige gevolgen van de inbreuk als bedoeld in lid 1 in voorkomend geval te herstellen dan wel zoveel mogelijk te beperken. Opdrachtnemer zal Opdrachtgever steeds volledig op de hoogte houden over de voortgang van het herstel en alle relevante ontwikkelingen aangaande de inbreuk als bedoeld in lid 1 en de gevolgen daarvan.

  3. Het melden van een inbreuk als bedoeld in lid 1, die op grond van artikel 33 en artikel 34 AVG moet worden gemeld aan de toezichthoudende autoriteit(en) en/of de Betrokkenen, is de verantwoordelijkheid van Opdrachtgever. Opdrachtnemer ondersteunt Opdrachtgever zoveel als in haar macht ligt bij naleving van de meldingsplicht, dan wel de informatieplicht aan betrokkenen.

7. SUB-VERWERKERSCHAP

  1. Opdrachtnemer zal geen sub-verwerker aanstellen, tenzij ze daartoe voorafgaand schriftelijk toestemming verkrijgt van Opdrachtgever.

  2. Opdrachtgever verleent Opdrachtnemer hierbij toestemming om de in Bijlage B genoemde partijen te betrekken als sub-verwerker gedurende de looptijd van de Overeenkomst.

  3. Opdrachtnemer licht Opdrachtgever in over beoogde veranderingen inzake de toevoeging of vervanging van sub-verwerkers, waarbij Opdrachtgever de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.

  4. Indien een sub-verwerker wordt aangesteld, dan:

a) blijft Opdrachtnemer onverkort aansprakelijk voor de nakoming van de verplichtingen uit onderhavige Verwerkersovereenkomst;

18

  1. zal Opdrachtnemer de aanstelling van een sub-verwerker in een schriftelijke overeenkomst vastleggen;

  2. staat Opdrachtnemer ervoor in dat alle verplichtingen die op grond van deze Verwerkersovereenkomst rusten op Opdrachtnemer mede komen te rusten op de sub­-verwerker;

  3. staat Opdrachtnemer ervoor in dat de betreffende sub-verwerker ook de schriftelijke instructies van Opdrachtgever opvolgt.

5. Opdrachtnemer waarborgt dat alle door haar ingeschakelde sub-verwerkers zich waar relevant aan eenzelfde passende beveiligingsniveau committeren ten aanzien van de bescherming van Persoonsgegevens als het beveiligingsniveau waaraan Opdrachtnemer jegens Opdrachtgever gebonden is op grond van deze Verwerkersovereenkomst.

8. INTERNATIONAAL VERKEER

  1. Opdrachtnemer draagt er zorg voor dat iedere verwerking van Persoonsgegevens welke door of namens Opdrachtnemer met inbegrip van de door haar ingeschakelde derden wordt verricht in verband met het uitvoeren van deze Verwerkersovereenkomst binnen de Europese Economische Ruimte (EER) plaats zal vinden.

  2. Zonder de voorafgaande schriftelijke toestemming van Opdrachtgever mag Opdrachtnemer derhalve geen Persoonsgegevens doorgeven naar of opslaan in een land buiten de EER of Persoonsgegevens toegankelijk maken vanuit een niet EER-land.

9. GARANTIE EN VRIJWARING

  1. Opdrachtgever garandeert dat de gegevensverwerking in overeenstemming met de wet plaatsvindt. Dit betekent in ieder geval dat Opdrachtgever garandeert dat hij het recht heeft om de Persoonsgegevens te (laten) verzamelen en hij gerechtigd is tot het (laten) verwerken van deze Persoonsgegevens.

  2. Opdrachtnemer vrijwaart Opdrachtgever voor alle schade en stelt Opdrachtgever schadeloos voor alle claims, acties, aanspraken van derden, alsmede boetes van de Autoriteit Persoonsgegevens, die rechtstreeks voortvloeien uit een toerekenbare tekortkoming door Opdrachtnemer en/of diens subverwerkers in de nakoming van haar verplichtingen onder deze Verwerkersovereenkomst en/of enige schending door Opdrachtnemer en/of diens subverwerkers van de van toepassing zijnde wetgeving op het gebied van verwerking van Persoonsgegevens.

10. AANSPRAKELIJKHEID

1. Opdrachtnemer staat in voor een correcte naleving van haar verplichtingen die voortvloeien uit deze Verwerkersovereenkomst.

11. LOOPTIJD EN EINDE VERWERKERSOVEREENKOMST

  1. Deze Verwerkersovereenkomst treedt in werking op het moment van ondertekening.

  2. De looptijd van de Verwerkersovereenkomst volgt de looptijd van de dienstverleningsopdracht. Als de dienstverleningsopdracht wordt beëindigd, eindigt de

19

looptijd van de Verwerkersovereenkomst met dezelfde beëindigingstermijn, tenzij partijen in voorkomend geval anders overeenkomen.

  1. Zodra de Verwerkersovereenkomst wordt beëindigd of eindigt, om welke reden dan ook, blijven de bepalingen van de Verwerkersovereenkomst van kracht zolang Opdrachtnemer Persoonsgegevens verwerkt ten behoeve van Opdrachtgever, waarna deze Verwerkersovereenkomst van rechtswege eindigt. De geheimhoudingsplicht blijft na beëindiging van de overeenkomst van kracht.

  2. Opdrachtnemer zal de Persoonsgegevens niet langer bewaren dan noodzakelijk voor de uitvoering van de Verwerkersovereenkomst. Op schriftelijk aangeven van Opdrachtgever vernietigt Opdrachtnemer alle van Opdrachtgever ontvangen Persoonsgegevens. Op verzoek van Opdrachtgever worden de persoonsgegevens in een bestand in een machine leesbaar formaat aan Opdrachtgever of een door hem aan te wijzen derde verstrekt.

ALDUS DOOR PARTIJEN OVEREENGEKOMEN EN ONDERTEKEND

Verwerkingsverantwoordelijke/ Opdrachtgever:
Ondertekend voor en namens: [STATUTAIRE NAAM]

Naam: [NAAM]

Functie: [FUNCTIE]

Datum en plaats: [DATUM], [PLAATS]

Shape11 Handtekening:

Verwerker/ Opdrachtnemer:

Ondertekend voor en namens:

Naam: [NAAM]

Functie: [FUNCTIE]

Datum en plaats: [DATUM], [PLAATS]








Nog toe te voegen:

Shape13 Shape12

20

Bijlage A

Bijlage B

Bijlage C

Document Metadata

Filed: March 18th, 2021