VERWERKERSOVEREENKOMST

VERWERKERSOVEREENKOMST

De ondergetekenden:

1. De besloten vennootschap met beperkte aansprakelijkheid BEDRIJFSNAAM ARBODIENST, statutair gevestigd en kantoorhoudende te (POSTCODE) PLAATS aan de STRAAT, ter zake rechtsgeldig vertegenwoordigd door de heer/mevrouw NAAM in zijn/haar hoedanigheid van FUNCTIE, hierna te noemen “Arbodienst”

en

2. Stichting ZorgTTP, statutair gevestigd en kantoorhoudende te (3991 SZ) Houten aan De Bouw 127, ter zake rechtsgeldig vertegenwoordigd door de xxxx X. xxx Xxxxxxxxxx in zijn hoedanigheid van directeur, hierna te noemen “ZorgTTP”

en

3. Stichting Volandis, statutair gevestigd en kantoorhoudende te (3847 LG) Harderwijk aan de Xxxxxxxxxxxx 0-000x, ter zake rechtsgeldig vertegenwoordigd door de heer xx.xx. T.W.H.J. Xxxxx in zijn hoedanigheid van algemeen directeur, hierna te noemen “Volandis”

hierna gezamenlijk te noemen “Partijen”, en ieder afzonderlijk “Partij”;

In overweging nemende dat:

A. Volandis met de Arbodienst een overeenkomst is aangegaan met betrekking tot activiteiten in het kader van het individugerichte pakket preventiezorg, hierna: “Arbodienst/Volandis Overeenkomst”, een en ander zoals nader bepaald in de van toepassing zijnde algemeen verbindend verklaarde cao in de bouwnijverheid (xxx Xxxx & Infra) en de cao Afbouw en deze dienstverlening verwerking van persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (hierna: “AVG“) met zich meebrengt;

B. Volandis met ZorgTTP een overeenkomst is aangegaan ten behoeve van de onomkeerbare pseudonimisering van de door de Arbodienst aangeleverde Persoonsgegevens aan Volandis via ZorgTTP ten behoeve van wetenschappelijk en statistisch onderzoek door Volandis, hierna: “ZorgTTP/Volandis Overeenkomst“. De onomkeerbaar gepseudonimiseerde Persoonsgegevens worden door ZorgTTP aan Volandis ter beschikking gesteld ten behoeve van de uitvoering van de taak van Volandis waartoe zij gehouden is op grond van de onder A genoemde cao’s;

C. De activiteiten en de daarmee samenhangende gegevensstromen staan beschreven in de ‘Uitvoeringsprocedures voor het cao-pakket Individugerichte Preventiezorg’ en de ‘Specificaties informatieverstrekking preventiezorg’ (bijlagen bij de Arbodienst/Volandis Overeenkomst);

D. In de vigerende cao Bouw & Infra is vastgelegd dat Volandis in opdracht van cao-partijen uitvoering geeft aan het individugericht pakket preventiezorg (artikelen 6.4 en 7.1 van de cao Bouw & Infra). De activiteiten in het kader van dit pakket worden uitgevoerd door gecertificeerde arbodiensten die een samenwerkingsovereenkomst hebben gesloten met Volandis (Arbodienst/Volandis Overeenkomst);

E. De bedrijfsartsen van de Arbodienst met de personen die gebruik maken van het individugerichte pakket preventiezorg, een behandelingsovereenkomst zoals bedoeld in de Wet op de geneeskundige behandelingsovereenkomst (hierna: “WGBO“) aangaan. In deze hoedanigheid is en blijft de bedrijfsarts c.q. de Arbodienst aan te merken als Verwerkingsverantwoordelijke van de gegenereerde bijzondere persoonsgegevens;

F. De Arbodienst en Volandis beide als zelfstandig Verwerkingsverantwoordelijke in de zin van de AVG fungeren ten aanzien van de Persoonsgegevens ten behoeve van wetenschappelijk en statistisch onderzoek en ZorgTTP als Verwerker in de zin van de AVG;

G. Onderhavige Verwerkersovereenkomst onlosmakelijk is verbonden met de Arbodienst/Volandis Overeenkomst en met de ZorgTTP/Volandis Overeenkomst in die zin dat deze Verwerkersovereenkomst automatisch eindigt op de dag waarop de Arbodienst/Volandis Overeenkomst en/of de ZorgTTP/Volandis Overeenkomst eindigt, om welke reden ook;

H. Partijen de volgende afspraken xxxxxx vast te leggen in onderhavige Verwerkersovereenkomst omtrent de Verwerking van Persoonsgegevens.

Zijn het volgende overeengekomen:

Artikel 1: Begrippen

In deze Verwerkersovereenkomst wordt verstaan:

a) De begrippen ‘Persoonsgegevens’, ‘Verwerking’, ‘Verwerkingsverantwoordelijke’, ‘Verwerker’, ‘Betrokkene’ en ‘Derde’ zoals opgenomen in artikel 4 van de Algemene Verordening Gegevensbescherming (hierna: ‘AVG’) hebben de betekenis die daaraan in de AVG is gegeven. Deze worden in de Verwerkersovereenkomst met een hoofdletter geschreven. Overige, met een hoofdletter geschreven begrippen, hebben de betekenis zoals opgenomen in deze Verwerkersovereenkomst.

b) Systeem: Het geheel van hardware en software (inclusief procedures en menselijk handelen) dat noodzakelijk is voor de verwerking van Persoonsgegevens of informatie.

Artikel 2: Opdracht en grondslag

2.1 ZorgTTP zal de Persoonsgegevens op verzoek van de Arbodienst verwerken zoals nader gespecificeerd in deze Verwerkersovereenkomst en in Volandis/Arbodienst Overeenkomst zodat Volandis en de Arbodienst kunnen voldoen aan hun wettelijke en contractuele plichten, meer specifiek artikel 61 en bijlage 11 cao Bouw & Infra en artikel 79 en bijlage 7 cao Afbouw. ZorgTTP is daartoe een overeenkomst aangegaan met Volandis ten behoeve van de onomkeerbare pseudonimisering van de door de Arbodienst aangeleverde Persoonsgegevens aan Volandis via ZorgTTP ten behoeve van wetenschappelijk en statistisch onderzoek door Volandis.

2.2 De verwerkingsgrondslag van de Persoonsgegevens is primair gebaseerd op artikel 6 lid 1 sub b AVG (‘noodzakelijk voor de uitvoering van een overeenkomst’) en subsidiair op de verwerkingsgrondslag van artikel 6 lid 1 sub c en f AVG (‘wettelijke verplichting’ en ‘gerechtvaardigd belang’). De verwerkingsgrondslag van de bijzondere persoonsgegevens – zijnde de gezondheidsgegevens – is gebaseerd op artikel 9 lid 2 sub j AVG j° artikel 89 AVG j° artikel 24 UAVG. In Bijlage II van deze Verwerkersovereenkomst wordt een opsomming gegeven van de categorieën Persoonsgegevens die door ZorgTTP worden verwerkt en de Betrokkenen.

2.3 ZorgTTP zal de Persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met de op haar als Verwerker op grond van de AVG rustende verplichtingen verwerken.

2.4 ZorgTTP zal de Persoonsgegevens alleen verwerken voor het doel zoals omschreven in artikel 2.1 en zal de Persoonsgegevens niet verder verwerken dan noodzakelijk is om te voldoen aan dit doel. Volandis en de Arbodienst staan er jegens ZorgTTP voor in dat de inhoud, het gebruik en/of de Verwerking van de Persoonsgegevens niet onrechtmatig zijn en geen inbreuk maken op rechten van Betrokkenen alsmede dat de Persoonsgegevens zijn verkregen op een wijze die overeenstemt met de wettelijke voorschriften, in het bijzonder die voortvloeien uit de AVG, de WGBO en de Wet op de Beroepen in de Individuele Gezondheidszorg (hierna: de “Wet BIG”).

2.5 Partijen verstrekken elkaar over en weer tijdig alle benodigde informatie en medewerking om een goede naleving van de AVG alsmede de overige geldende privacy wet- en regelgeving mogelijk te maken.

Artikel 3: Inschakeling derden

3.1 ZorgTTP is na schriftelijke toestemming van de Arbodienst en Volandis gerechtigd om in het kader van deze Verwerkersovereenkomst gebruik te maken van diensten van een Derde (hierna ook wel “subverwerker”), indien en voor zover ZorgTTP zeker stelt dat deze Derde geen Persoonsgegevens zal gebruiken c.q. Verwerken voor andere doeleinden dan door de Arbodienst, Volandis en ZorgTTP

overeengekomen in deze Verwerkersovereenkomst alsmede dat de verwerking door deze Derde niet plaats zal vinden buiten de EER.

3.2 ZorgTTP blijft in geval van inschakeling van Xxxxxx verantwoordelijk voor de naleving van de verplichtingen uit de onderhavige Verwerkersovereenkomst en zal aan de door haar ingeschakelde Derde(n) minimaal dezelfde verplichtingen opleggen als voor haarzelf uit deze Verwerkersovereenkomst voortvloeien.

3.3 De Arbodienst en Volandis geven hierbij toestemming voor het gebruik van subverwerkers die door ZorgtTTP op moment van ondertekening van deze Verwerkersovereenkomst door ZorgTTP worden ingeschakeld en die als Bijlage III zijn opgenomen.

Artikel 4: Geheimhoudingsplicht

4.1 Partijen zijn gehouden tot geheimhouding van de Persoonsgegevens. Partijen dragen er zorg voor dat een ieder die onder diens gezag handelt, verplicht is tot geheimhouding van de Persoonsgegevens waarvan hij/zij kennis neemt.

4.2 De geheimhouding geldt onverkort, behoudens voor zover een wettelijk voorschrift ZorgTTP tot mededelen verplicht.

4.3 Ook na beëindiging van deze Verwerkersovereenkomst blijft de geheimhoudingsplicht uit hoofde van dit artikel bestaan, behalve voor zover het Persoonsgegevens betreft die reeds publiekelijk bekend zijn geworden, anders dan ten gevolge van een schending van voormelde geheimhoudingsplicht.

Artikel 5: Technische en organisatorische maatregelen

5.1 ZorgTTP zal toepasselijke technische en organisatorische beveiligingsmaatregelen nemen die, gezien de huidige stand der techniek en de daarmee gemoeide kosten, overeenstemmen met de aard van de te verwerken Persoonsgegevens en de opdracht waarin de Persoonsgegevens worden gebruikt, ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige Verwerking.

5.2 ZorgTTP draagt er zorg voor dat haar Systeem op zodanige wijze is ingericht dat de Arbodienst de op haar rustende wettelijke verplichtingen als zorgaanbieder na kan komen.

5.3 ZorgTTP garandeert dat haar Systeem op zodanige wijze is ingericht dat Volandis slechts de beschikking krijgt over onomkeerbaar gepseudonimiseerde Persoonsgegevens.

5.4 Het Systeem voldoet in ieder geval aan de in Bijlage I omschreven normen.

Artikel 6: Toegang arbodienst

6.1 De Arbodienst verkrijgt toegang tot het deel van het Systeem – de Module bestemd voor de Arbodienst – waar de Persoonsgegevens worden verwerkt door ZorgTTP. Toegang aan de Arbodienst wordt uitsluitend verleend met volledige inachtneming van door ZorgTTP voorgeschreven verificatieprocedures en protocollen. De Arbodienst is jegens ZorgTTP verantwoordelijk voor het juiste gebruik van het Systeem, specifiek de Module bestemd voor de Arbodienst - en voor het volgen van de protocollen ter zake. ZorgTTP zal de Arbodienst volledig in kennis stellen van deze toepasselijke protocollen.

6.2 De Arbodienst is geen vergoeding aan ZorgTTP verschuldigd voor de toegang en het gebruik van het Systeem van ZorgTTP.

6.3 Op verzoek van de Arbodienst zal ZorgTTP alle in het Systeem opgeslagen Persoonsgegevens aan de Arbodienst ter beschikking stellen in een door de Arbodienst vast te stellen format/medium/ bestand c.q. de Arbodienst daar toegang toe geven.

6.4 ZorgTTP zal haar volledige medewerking verlenen aan de Arbodienst om:

(i) na goedkeuring van en in opdracht van de Arbodienst en Betrokkenen, die Betrokkenen toegang te laten krijgen tot hun Persoonsgegevens;

(ii) De Arbodienst in staat te stellen om binnen de wettelijke termijn te kunnen voldoen aan haar verplichtingen op grond van Hoofdstuk III van de AVG;

(iii) vast te leggen en aan te tonen dat Persoonsgegevens verwijderd, vernietigd of gecorrigeerd zijn indien zij verwijderd of vernietigd dienen te worden, dan wel indien zij incorrect zijn of, ingeval de Arbodienst het er niet mee eens is dat Persoonsgegevens incorrect zijn, het feit vast te leggen

dat de Betrokkene zijn Medische gegevens als incorrect beschouwt. Bij niet aanpassen van de Persoonsgegevens in een dergelijk geval zal de visie van de Betrokkene aan de Persoonsgegevens worden toegevoegd.

Artikel 7: Datalek

7.1 Indien zich een inbreuk in verband met Persoonsgegevens (hierna: “Datalek”) voordoet ten aanzien van Persoonsgegevens die ZorgTTP verwerkt voor de Arbodienst, dan stelt ZorgTTP de Arbodienst onverwijld en binnen 24 uur na ontdekking daarvan op de hoogte. ZorgTTP spant zich maximaal in om haar subverwerkers ook aan deze termijn te laten voldoen. ZorgTTP voorziet de Arbodienst daarbij van alle redelijkerwijs benodigde informatie om de Arbodienst in staat te stellen om zulks – indien noodzakelijk op grond van artikel 33 AVG – tijdig, juist en volledig te melden aan de Autoriteit Persoonsgegevens en de relevante Betrokkenen. Indien zich in dat kader na de melding ervan aan de Arbodienst eventuele nieuwe, relevante ontwikkelingen voordoen, waaronder begrepen de maatregelen die ZorgTTP (inclusief haar subverwerkers) treft om aan zijn kant de gevolgen van het Datalek te beperken en herhaling te voorkomen, dan stelt ZorgTTP de Arbodienst daarvan onverwijld op de hoogte.

7.2 De Arbodienst zal conform de AVG, Beleidsregels meldplicht datalekken en de Richtsnoeren meldplicht datalekken van de AP de afweging maken of het Datalek gemeld dient te worden bij de Autoriteit Persoonsgegevens en eventueel aan de Betrokkene(n). De verantwoordelijkheid voor de (correcte, tijdige en volledige) melding aan de Autoriteit Persoonsgegevens en eventueel aan de Betrokkene(n) binnen de daarvoor geldende wettelijke termijn ligt volledig bij de Arbodienst. ZorgTTP verstrekt in ieder geval die informatie omtrent het Datalek die de Arbodienst nodig heeft om aan voorgenoemde meldingsplicht(en) te kunnen voldoen. Ten aanzien van de melding aan de Autoriteit Persoonsgegevens door de Arbodienst zal ZorgTTP hierbij rekening houden met de AVG, Beleidsregels meldplicht datalekken en de Richtsnoeren meldplicht datalekken van de AP.

7.3 De Arbodienst zal door ZorgTTP op de hoogte gehouden worden van eventuele nieuwe ontwikkelingen omtrent het Datalek en van de maatregelen die ZorgTTP zal treffen om de gevolgen van het Datalek te beperken en herhaling te voorkomen.

7.4 Indien zich een Datalek voordoet bij een der Verwerkingsverantwoordelijken – zijnde de Arbodienst, respectievelijk Volandis – waarbij sprake is van Persoonsgegevens waarvoor de Arbodienst en Volandis gezamenlijk Verwerkingsverantwoordelijke zijn, dan zal de Partij waarbij het Datalek is geconstateerd, dit onverwijld, in ieder geval binnen 48 uur nadat zij het Datalek heeft ontdekt, schriftelijk melden aan de andere Partij. De Partij bij wie het Datalek plaatsvindt, beoordeelt als Verwerkingsverantwoordelijke of het Datalek dient te worden gemeld bij de Autoriteit Persoonsgegevens en/of Betrokkene(n). Indien het Datalek bij beide Partijen plaatsvindt, dan wel niet kan worden vastgesteld bij welke Partij het Datalek heeft plaatsgevonden, zullen Partijen gezamenlijk en in overleg conform de wet- en regelgeving met betrekking tot de bescherming van persoonsgegevens de afweging maken of het Datalek gemeld dient te worden bij de Autoriteit Persoonsgegevens en/of aan de Betrokkene(n). Partijen verstrekken elkaar in ieder geval die informatie omtrent het Datalek die Partijen nodig hebben om aan voorgenoemde meldingsplicht(en) te kunnen voldoen. Partijen zullen elkaar op de hoogte houden van eventuele nieuwe ontwikkelingen omtrent het Datalek en van de maatregelen die Partijen treffen om de gevolgen van het Datalek te beperken en herhaling te voorkomen.

Artikel 8: Audit in het kader van de AVG

8.1 Het is de Arbodienst en Volandis toegestaan te toetsen of de bescherming van de Persoonsgegevens die ZorgTTP verwerkt in opdracht van de Arbodienst en Volandis aan de normen zoals gesteld in Bijlage I voldoet alsmede om de naleving van deze verwerkersovereenkomst te toetsen. Indien uit deze toets (hierna ook wel: 'audit‘) blijkt dat het Systeem fouten bevat die door het volgen van de gestelde normen voorkomen hadden kunnen worden, dan worden deze fouten zonder extra kosten door ZorgTTP gecorrigeerd. Hetzelfde is van toepassing indien er (bij afronding van de implementatie of tijdens exploitatie) afwijkingen van de in Bijlage I beschreven normen worden vastgesteld. De

Arbodienst en Volandis hebben het recht een audit zoals in deze bepaling opgenomen uit te laten voeren door een daartoe bevoegde externe en gecertificeerde instantie.

8.2 Een audit vindt plaats nadat de Partijen overeenstemming hebben bereikt over het tijdstip en de scope van de audit. De interne kosten die Partijen zullen maken ten behoeve van een audit worden door elke Partij individueel gedragen. De interne kosten die ZorgTTP zal maken ten behoeve van een audit komen ten laste van Volandis. De kosten van de audit worden gedragen door de Arbodienst en Volandis tenzij uit de audit blijkt dat er sprake is van een negatief audit oordeel in welk geval ZorgTTP de kosten van de audit zal dragen.

8.3 Met inachtneming van het bepaalde in dit artikel zal ZorgTTP haar medewerking verlenen aan een audit en alle voor de audit relevante informatie tijdig ter beschikking stellen op de locatie van ZorgTTP waar de audit wordt verricht.

8.4 De bevoegde instantie, zoals benoemd in artikel 8.1, die een audit uitvoert conformeert zich aan de beveiligingsprocedures zoals die bij ZorgTTP van kracht zijn.

8.5 Een audit mag de bedrijfsactiviteiten van ZorgTTP niet onnodig verstoren.

8.6 Partijen komen aanvullend overeen dat jaarlijks een onafhankelijk ICT contract audit plaatsvindt op de uitwisseling van Persoonsgegevens tussen alle gecontracteerde Arbodiensten en Volandis. Volandis zal opdracht geven aan een door de gecontracteerde Arbodiensten geaccepteerde partij. De auditors zijn minimaal NOREA Registered EDP auditors. Deze audit zal gericht zijn op naleving van de contractuele afspraken over gegevensuitwisseling tussen de gecontracteerde Arbodiensten, Volandis en de leverancier van Volandis voor de pseudonimisering in casu ZorgTTP. Volandis en ZorgTTP zullen volledige medewerking geven aan de auditors. Het auditrapport zal door auditors integraal en gelijktijdig worden gedeeld met alle gecontracteerde Arbodiensten die Persoonsgegevens uitwisselen met Volandis via ZorgTTP. De leden 2, 3, 4 en 5 van artikel 8 zijn van overeenkomstige toepassing op deze bepaling.

Artikel 9: Aansprakelijkheid

9.1 Indien een Partij toerekenbaar tekortschiet in de nakoming van de op haar rustende verplichtingen uit hoofde van deze Verwerkersovereenkomst, de AVG en/of overige wet- en regelgeving op het gebied van het verwerken van Persoonsgegevens, is deze Partij aansprakelijk voor de schade die de andere Partij(en) dientengevolge lijdt.

9.2 ZorgTTP vrijwaart de Arbodienst en Volandis tegen aanspraken van derden, waaronder Betrokkenen en de Overheid, (mede) ten gevolge van een Datalek en/of niet nakoming van enige andere verplichting die ZorgTTP krachtens deze Verwerkersovereenkomst en/of de AVG of andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens heeft. ZorgTTP zal de schade van de Arbodienst en/of Volandis vergoeden, daaronder in ieder geval begrepen boetes opgelegd door toezichthoudende instanties, waaronder de Autoriteit Persoonsgegevens, en kosten gemaakt om Betrokkenen en toezichthouders in kennis te stellen van een Datalek.

9.3 De aansprakelijkheid van Partijen is beperkt tot het maximale bedrag dat de verzekeraar van de aansprakelijkgestelde Partij uitkeert.

Artikel 10: Duur

10.1 Deze Verwerkersovereenkomst vangt aan op de datum van ondertekening door Partijen of een andere door Partijen overeengekomen en in deze Verwerkersovereenkomst opgenomen datum. Deze Verwerkersovereenkomst eindigt zodra de Arbodienst/Volandis Overeenkomst eindigt, en/of zodra ZorgTTP/Volandis Overeenkomst eindigt.

10.2 Geen van de Partijen kan deze Verwerkersovereenkomst tussentijds opzeggen of beëindigen.

10.3 Partijen kunnen op geen enkele wijze gehouden worden tot vergoeding van schade en/of overige kosten inzake de beëindiging van deze Verwerkersovereenkomst.

Artikel 11: Gevolgen beëindiging

11.1 In geval van beëindiging van deze Verwerkersovereenkomst doordat de Arbodienst/Volandis en/of de ZorgTTP/Volandis Overeenkomst eindigt, zal ZorgTTP op verzoek van de Arbodienst de in haar bezit zijnde Persoonsgegevens kosteloos rechtstreeks aan de Arbodienst verstrekken op een door de Arbodienst te bepalen gangbaar format/medium/ bestand, waarna ZorgTTP de Persoonsgegevens die zich nog in haar systeem bevinden, zal vernietigen nadat de Arbodienst daar toestemming voor heeft gegeven. Vernietiging zal in elk geval plaatsvinden binnen één maand na beëindiging van deze Verwerkersovereenkomst.

11.2 ZorgTTP bewaart de Persoonsgegevens, met inachtneming van artikel 11.1, tot het einde van de Overeenkomst op grond waarvan de gegevens worden verwerkt of, indien tussen Partijen een bewaartermijn is overeengekomen, niet langer dan deze termijn.

Artikel 12: Geschillen en toepasselijk recht, overige bepalingen

12.1 Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.

12.2 Alle geschillen, verband houdende met de uitvoering van deze Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement Midden-Nederland.

12.3 De overwegingen en bijlagen maken integraal deel uit van de Verwerkersovereenkomst.

12.4 Voor zover er tegenspraak is tussen de Arbodienst/Volandis Overeenkomst en/of de ZorgTTP/Volandis Overeenkomst met deze Verwerkersovereenkomst aangaande de Verwerking van Persoonsgegevens, prevaleert deze Verwerkersovereenkomst.

12.5 Wijziging van enige bepaling(en) van deze Verwerkersovereenkomst kunnen alleen schriftelijk worden overeengekomen door alle Partijen indien dit schriftelijk gebeurt middels rechtsgeldige vertegenwoordigers van Partijen.

12.6 Indien enige bepaling of bepalingen nietig blijken te zijn, tast dit de geldigheid van de overige bepalingen van deze Verwerkersovereenkomst niet aan. Partijen zullen in voorkomend geval in goed overleg (een) alternatieve bepaling(en) opstellen die de nietige bepaling(en) zoveel als mogelijk in stand zal houden.

12.7 Deze Verwerkersovereenkomst bevat alle afspraken tussen Partijen inzake de Verwerking van Persoonsgegevens. Enige andere (verwerkers)overeenkomst die tussen Partijen onderling of tussen een Partij en een andere Partij gesloten is inzake de verwerking van Persoonsgegevens is door ondertekening van deze Verwerkersovereenkomst komen te vervallen.

Genoemde Partijen verklaren zich akkoord met de inhoud van deze Verwerkersovereenkomst en haar bijlagen.

Aldus in drievoud opgemaakt en ondertekend te Harderwijk op _<datum>_

NAAM ARBODIENST Stichting ZorgTTP Stichting Volandis

Naam	X. xxx Xxxxxxxxxxx	T.W.H.J. Hobma
Functie	directeur	algemeen directeur

Bijlage I – Eisen aan systeem van ZorgTTP

ZorgTTP verplicht zich de verwerking uit te voeren conform de richtsnoeren van de Autoriteit Persoonsgegevens en is gedurende de looptijd van deze Verwerkersovereenkomst XXX-XX XXX00000:0000 of de opvolgende NEN-norm gecertificeerd. De maatregelen die ZorgTTP treft betreffen in ieder geval:

- Het transport van Persoonsgegevens binnen het Systeem dient versleuteld te zijn. De versleuteling dient te geschieden middels een algemeen geaccepteerde standaard (best practice).

- De authenticatie tot het Systeem dient te geschieden middels een meervoudige vorm (two-factor- authentication).

- Het Systeem – de Privacy en Verzend Module (PVM), gebruikt door de Arbodienst, dient het gebruik van een sterk wachtwoord af te dwingen.

- De Doel en Receive Module (DRM), gebruikt door Volandis, dient het gebruik van een sterk wachtwoord af te dwingen.

- ZorgTTP maakt gebruik van beveiligde netwerkverbindingen.

- Het Systeem dient zich op Nederlands grondgebied te bevinden.

- Van de Persoonsgegevens die in het Systeem worden verwerkt dient minimaal éénmaal per dag een real-time back-up gemaakt te worden die op een geografisch gescheiden locatie wordt bewaard.

- Back-ups worden regelmatig getest op werking en integriteit van de aanwezige informatie.

- Back-ups worden op een fysiek gescheiden (brand)veilige locatie bewaard;

- Wanneer informatie op draagbare media wordt opgeslagen en/of getransporteerd dient deze versleuteld te zijn middels een algemeen geaccepteerde standaard (best pratice) en dient deze voorzien te zijn van een sterk wachtwoord of sleutel.

- Het Systeem wordt minimaal éénmaal per jaar onderworpen aan een security assessment dat wordt uitgevoerd door een derde onafhankelijke partij.

- Voor de opslag van wachtwoorden wordt gebruik gemaakt van een one-way-hashing techniek.

- Verkeer van en naar het Systeem wordt gecontroleerd middels een firewall en een intrusion prevention system.

- Het Systeem verstrekt geen inloggegevens per e-mail. Verstrekking van gebruikersnamen en wachtwoorden geschied via separate kanalen.

- Voor activiteiten ten behoeve van test-, ontwikkel-, en acceptatiewerkzaamheden worden geen Persoonsgegevens gebruikt.

- Systemen die gebruikt worden voor test-, ontwikkel- en acceptatiewerkzaamheden zijn fysiek gescheiden van het productiesysteem.

- Het Systeem is ondergebracht in een datacenter dat beschikt over een geldige IEC/ISO 27001 certificering.

- Alle activiteiten binnen het Systeem, van zowel gebruikers alsmede beheerders worden gelogd. Alle activiteiten zijn tot aan de gebruiker te herleiden.

- Log bestanden worden als Persoonsgegevens behandeld en beveiligd en minimaal zes maanden bewaard.

- Alle componenten van het Systeem zijn en blijven up-to-date en beschikken over de laatste security updates. Security updates worden zo spoedig mogelijk na publicatie en acceptatie geïnstalleerd.

- ZorgTTP heeft een adequaat en actueel mechanisme in werking om kwaadaardige software, waaronder – maar niet beperkt tot – computervirussen, op te sporen en af te wenden;

- Alle beheerders van het Systeem hebben een geheimhoudingsverklaring ondertekend en krijgen minimaal éénmaal per jaar een security awareness training.

Bijlage II – Categorieën te verwerken persoonsgegevens door ZorgTTP

In onderstaande tabel zijn de variabelen opgenomen die in de Privacy en Verzend Module (PVM) Volandis worden gebruikt en / of bewerkt. Alle overige variabelen worden ongewijzigd doorgegeven.

Variabele	Bewerking	Output
Naam	Input voor een pseudoniem, variabele wordt daarna verwijderd.	Variabele maakt geen onderdeel uit van de output
Geboortedatum	Aggregatie	Geboortejaar wordt doorgegeven, dag en maand op ‘1’ gesteld.
Geslacht	Wordt gebruikt in een pseudoniem. Wordt vervolgens ongewijzigd doorgegeven.	Ongewijzigd
Activiteitdatum	Noodzakelijk voor de calculatie van de leeftijd. Wordt vervolgens geaggregeerd.	De dag wordt op ‘15’ gezet.
Registratienummer	Input voor een pseudoniem, variabele wordt daarna verwijderd.	Variabele maakt geen onderdeel uit van de output
Leeftijd	Xxxxx berekend op basis van ‘geboortedatum’ en ‘activiteitdatum’.

Er worden twee pseudoniemen aangemaakt:

1. Een pseudoniem op basis van naam, geboortedatum en geslacht.

2. Een pseudoniem op basis van het registratienummer.

ZorgTTP verwerkt de volgende categorieën van Persoonsgegevens voor de Arbodienst:

Persoonsgegevens:

a. Naam;

b. Geboortedatum;

c. Opleidingscode;

d. Beroepscode;

(ad c en d kunnen als Persoonsgegevens kwalificeren mits gekoppeld aan ad a en/of ad b)

Bijzondere persoonsgegevens, te weten:

a. Geslacht;

b. Gezondheidsgegevens:

- Lengtemaat;

- Gewicht;

- Gehoor;

- Longfunctie;

- ECG;

- Bloeddruk.

De Betrokkenen waarop de Persoonsgegevens betrekking hebben zijn:

a. Werknemers van werkgevers gebonden aan de cao Afbouw en de xxx Xxxx & Infra.

Bijlage III – Goedgekeurde subverwerkers

De navolgende subverwerkers zijn door Partijen goedgekeurd bij het aangaan van deze verwerkersovereenkomst:

RAM IT Xxxxxxxxxxxxxx 00 0000 XX Xxxxxxx KvK 52270599 Pexlife Xxxxxxxx 0 0000 XX Xxxxxxxxx KvK 60027290

Sub-verwerker	Activiteiten	Type gegevens	Afspraken
RAM IT	Partner voor het hosten van de acceptatie- en productieomgeving is RAM IT uit Utrecht. Subverwerkersovereenkomst en geheimhoudingsverklaring afgesloten.	Onomkeerbaar versleutelde patiënt- gegevens.	ZorgTTP heeft met RAM IT een mantelovereenkomst en sub- verwerkersovereenkomst gesloten waarbinnen alle relevante onderwerpen op het gebied van servicelevels, geheimhouding, wet- en regelgeving en informatiebeveiliging zijn ondergebracht. RAM IT is bovendien gecertificeerd op het gebied van informatiebeveiliging, kwaliteitsmanagement en het hosten van (zorg)data middels certificeringen als Zorg Service Provider (ZSP) en voor NEN7510:2011, ISO270001:2013, ISO9001:2015 en ISO140001:2018. De acceptatie en productieomgeving zijn identiek uitgevoerd met als doel om wijzigingen op veilige en beheerste wijze te kunnen doorvoeren richting productie. Alle data worden in Nederland gehost en daarmee binnen de EER.
PexLife	PexLife is partner van ZorgTTP op het gebied van servicedesk ondersteuning. Subverwerkersovereenkomst en geheimhoudingsverklaring afgesloten.	Gegevens van de contactpersonen bij: 1. databronnen 2. ontvangers van de onomkeerbaar versleutelde patiëntgegevens	ZorgTTP heeft met PexLife overeenkomsten gesloten waarin alle in voor deze verwerkingen relevante vereisten zijn opgenomen zoals geheimhouding, informatiebeveiliging en voorschriften. Er wordt gewerkt met een vast team van medewerkers. PexLife verzamelt en/of verwerkt de gegevens binnen Nederland en daarmee binnen de EER.

Bijlage IV – procedure ‘Toekennen, wijzigen en intrekken toegangsrechten’ van

Volandis

Bij Volandis is de procedure ‘Toekennen, wijzigen en intrekken toegangsrechten’ van toepassing.

Deze procedure is vastgesteld door de directie van Volandis. Het doel van deze procedure is het toekennen, wijzigen en intrekken van digitale toegangsrechten voor de ICT-systemen van Volandis, conform de door de directie vastgestelde autorisatiematrix. In de autorisatiematrix is opgenomen dat er bij Volandis twee functionarissen (projectleider informatievoorziening Data, bi-specialist) zijn die toegangsrechten hebben tot het DataWareHouse (DWH). Deze twee functionarissen hebben de mogelijkheid en de kennis om de aanwezige datasets binnen het DWH te koppelen. Zij hebben hier echter geen belang bij en bovendien mogen zij dit, op straffe van ontslag, ook niet doen.

Indien gewenst kan een schriftelijke verklaring, ondertekend door deze twee functionarissen, worden opgevraagd waarin wordt bevestigd dat zij de datasets niet koppelen om daarmee individuele personen te herleiden.