INTRAMED (ONLINE)
Verwerkersovereenkomst
INTRAMED (ONLINE)
September 2021
Inhoud
Artikel 2: Rollen en verantwoordelijkheden 6
Artikel 4: Verwerkingsbevoegdheid 6
Artikel 5: Beveiliging van de Verwerking 8
Artikel 8: Bijstand vanwege rechten van betrokkene 9
Artikel 9: Inbreuk in verband met persoonsgegevens/datalekken 9
Artikel 10: Teruggave Persoonsgegevens 9
Artikel 11: Informatieplicht en audit 9
Annex I: Verwerkingsregister 10
Xxxxx XX: Xxxxxxxxxxxxxxxxxxxxxxx 00
INLEIDING
Dit document vormt de verwerkersovereenkomst voor Intramed (Online) Producten en Diensten. In deze verwerkersovereenkomst leggen de Partijen vast wat over en weer de rechten, plichten, rollen en verantwoordelijkheden zijn met betrekking tot het veilig en rechtmatig Verwerken van Persoonsgegevens in het kader van de verstrekking van Intramed (Online) Producten en Diensten. De Partijen geven met deze verwerkersovereenkomst invulling aan hun verplichtingen onder de Algemene Verordening Gegevensbescherming (AVG).
ARTIKEL 1: DEFINITIES
De in dit document met een beginhoofdletter geschreven termen, kennen de volgende definities:
Aanmeldformulier | Formulier dat door Leverancier beschikbaar is gesteld en dat is bedoeld om Producten en of Diensten aan te vragen. |
Aanverwante Applicatie Account | Een applicatie van een derde die Klant gebruikt in combinatie met Intramed en/of die Convenient Online BV host als onderdeel van Intramed Online . Het persoonlijke gebruiksrecht van een Eindgebruiker voor Intramed Online en de daarbij behorende persoonlijke instellingen en gegevens. Accounts vallen uiteen in drie soorten: Basic: Bij een Basic account kan alleen worden ingelogd via Een vooraf opgegeven, vast IP-adres. Dit type account is niet geschikt voor gebruik in combinatie met Citrixsoftware Dynamisch: bij een Dynamisch account kan worden ingelogd vanaf ieder IP-adres, met behulp van een VPN-verbinding. Dit type account is niet geschikt voor gebruik in combinatie Met Citrixsoftware. Platina: een Platina account wordt aangeraden voor Gebruik in combinatie met Citrixsoftware. Indien er wordt Ingelogd vanaf een IP-adres dat niet vooraf is opgegeven, dient er gebruik te worden gemaakt van een token. |
Betrokkene | Degene op wie een Persoonsgegeven betrekking heeft. |
Bug | Storing waarbij de applicatie niet goed functioneert en er geen problemen zijn met de database. |
Diensten | De diensten die Leverancier op grond van de Overeenkomst zal leveren aan Klant, waaronder ontwikkeling, beschikbaarstelling, beheer en support van Intramed (Online). |
Eindgebruiker | Natuurlijk persoon die Intramed (Online) gebruikt. |
Hersteltijd | De Hersteltijd is de tijd tussen het tijdstip van registratie van een Storing door Leverancier en het door Leverancier geregistreerde tijdstip waarop de Storing is hersteld. De tijdsduur waarop Leverancier wacht op de medewerking van Klant wordt niet meegerekend in de Hersteltijd. |
Inbreuk in verband met Persoonsgegevens | Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte gegevens. |
Incident | Storing die wordt veroorzaakt door een probleem in de database en kan worden opgelost zonder dat er een softwarewijziging noodzakelijk is. |
Intramed (Online) | De applicatie Intramed, dan wel de hosted applicatie Intramed Online. |
Klant | Afnemer van een Product en/of Dienst van Leverancier. |
Klantdata | Alle gegevens die door of namens Klant worden ingevoerd in de applicatie Intramed (Online). |
Leverancier | Intramed BV, waar het gaat over de levering van Intramed, dan wel Convenient Online BV, waar het gaat over de levering van Intramed Online. |
Licentie | Verleende toestemming van Intramed BV aan Klant om Intramed te mogen gebruiken zonder er de eigendomsrechten over te verkrijgen. |
Licentiegegevens | De gegevens die door Leverancier worden toegekend aan een Licentie. |
Login-gegevens | Gegevens, zoals een gebruikersnaam en wachtwoord (en eventueel een fysiek token), die een Eindgebruiker nodig heeft om in te kunnen loggen in Intramed (Online). |
Materialen | Huisstijl, logo’s, folders, brochures, leaflets, belettering, advertenties, marketing- en/of communicatieplannen, concepten, afbeeldingen, teksten, schetsen, software, documentatie, adviezen, rapporten en andere voortbrengselen van de geest die verband houden met de Producten en Diensten, alsmede voorbereidend materiaal daarvan en de gegevensdragers waarop de Materialen zich bevinden. |
Onderaannemer | De partij anders dan Klant of Leverancier met wie Klant of |
Leverancier direct of indirect een overeenkomst heeft in verband met de uitvoering van diens verplichtingen onder de Overeenkomst tussen Klant en Leverancier of een deel daarvan.
Overeenkomst | Xxxx overeenkomst tot levering van Producten en/of Diensten door Leverancier aan Klant. |
Partij | Leverancier dan wel Klant, als partij bij de Overeenkomst. |
Persoonsgegevens | Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Leverancier in het kader van de Overeenkomst ten behoeve van Klant Verwerkt. |
Product | Intramed en/of Intramed Online dan wel enige andere software, hardware of ander werk dan wel zaak, die Leverancier in het kader van de Overeenkomst verschaft of (als dienst) beschikbaar stelt aan Klant. |
Schriftelijk | Onder Schriftelijk valt in deze voorwaarden ook e-mail en communicatie per fax en het toekennen van Licenties in de Intramed Online omgeving, mits de identiteit van de afzender en de integriteit van het bericht voldoende vaststaan. |
Storing | Een reproduceerbare gebeurtenis die afwijkt van de standaardwerking van de applicatie/Dienst en die de kwaliteit van de applicatie/Dienst vermindert of verstoort. |
Subcontract | Een Overeenkomst die Leverancier in het kader van de gebruiksovereenkomst sluit met een Onderaannemer of andere derde. |
Subverwerker | De partij die door Verwerker wordt ingeschakeld als Verwerker ten behoeve van de Verwerking van de Persoonsgegevens in het kader van deze verwerkersovereenkomst en de gebruiksovereenkomst. |
Vertrouwelijke Informatie | Alle informatie die is gemarkeerd als vertrouwelijk of waarvan het vertrouwelijke karakter uit de aard van de informatie blijkt. Dit betreft informatie die alleen voor een beperkte doelgroep bestemd is. Er bestaat kans op schade bij ongeautoriseerde kennisname. |
Verwerker | Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens Verwerkt; hierna te noemen Leverancier. |
Verwerking | Een bewerking of een geheel van bewerkingen in het kader van de |
Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.
Verwerkingsverantwoordelijke Een natuurlijke persoon of rechtspersoon, een overheidsinstantie,
een dienst of een ander orgaan dat, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze Verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de Verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen; hierna te noemen Klant.
ARTIKEL 2: ROLLEN EN VERANTWOORDELIJKHEDEN
2.1 Partijen erkennen dat Intramed (Online) in haar Producten en Diensten Persoonsgegevens zal Verwerken waar Klant volgens de Verordening de Verwerkersverantwoordelijke voor is. Naar opvatting van de Partijen vormt Leverancier daarbij de Verwerker.
2.2 Intramed (Online) wordt gebruikt door medewerkers van de Klant en door patiënten van de Klant.
2.3 Deze verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door Leverancier.
2.4 Leverancier garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd.
2.5 Verwerker en Verantwoordelijke zullen ieder zorgdragen voor de naleving van de op hen van toepassing zijnde wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van Persoonsgegevens, zoals de AVG.
ARTIKEL 3: LOOPTIJD
3.1 De verwerkersovereenkomst kent dezelfde looptijd als de Intramed (Online) gebruiksovereenkomst.
3.2 Deze verwerkersovereenkomst is van kracht voor zolang als Verwerker (toegang tot) Persoonsgegevens heeft in het kader van de levering van Producten of Diensten aan Verantwoordelijke. Deze verwerkersovereenkomst kan slechts eindigen wanneer Verwerker geen Persoonsgegevens van Verantwoordelijke meer bezit.
3.3 Geen van Partijen kan deze verwerkersovereenkomst tussentijds opzeggen.
ARTIKEL 4: VERWERKINGSBEVOEGDHEID
4.1 Leverancier Verwerkt de Persoonsgegevens uitsluitend in opdracht van en op basis van Schriftelijke instructies van Klant behoudens afwijkende wettelijke voorschriften die op Leverancier van toepassing zijn.
4.2 Afhankelijk van de gegevens die Klant verwerkt in Intramed, kan Leverancier de navolgende gegevens in opdracht van Klant verwerken:
- Naam
- Straat en huisnummer
- Postcode
- Telefoonnummer
- Geboortedatum
- BSN nummer
- E-mailadres
- Verzekeringsgegevens
- Godsdienst of levensovertuiging;
- Ras
- Gegevens over gezondheid
- Gegevens over seksuele leven
Leverancier bewaart en maakt deze gegevens toegankelijk voor Klant en zijn therapeut c.q. zijn praktijk. Dit is noodzakelijk om Intramed (Online) optimaal te laten functioneren en hierdoor de overeengekomen diensten of producten te kunnen leveren aan Klant.
4.3 De in Artikel 4.2 genoemde Persoonsgegevens worden bewaard voor één maand nadat de Licentie voor Intramed is geëindigd. Deze bewaartermijn vervalt wanneer Leverancier wettelijk verplicht is om de Persoonsgegevens langer te bewaren.
4.4 Intramed (Online) wijzigt of verzamelt geen digitale contactgegevens van de patiënten van de Klant. Wijzigingen van patiëntgegevens vallen buiten de scope van Leverancier en blijft de verantwoordelijkheid van de Klant.
4.5 Leverancier helpt mee aan wetenschappelijk onderzoek om de zorg te verbeteren. Uitsluitend als de patiënt door de Klant (de verwerkingsverantwoordelijke) is benaderd om mee te doen aan onderzoek en daarvoor expliciete toestemming heeft gegeven, kan de Leverancier de opdracht geven om deze gebruiksdata zonder (pseudo) anonimisering te delen met onderzoekers. Zonder expliciete toestemming van de Betrokkene zal Leverancier geen gebruiksdata delen met derden, en altijd de regels van de AVG volgen.
4.6 Indien een instructie als bedoeld in het eerste lid naar het oordeel van Leverancier in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt Leverancier Klant daarvan voorafgaand aan de Verwerking in kennis.
4.7 Indien Leverancier op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, informeert hij Klant onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking. Leverancier heeft geen zeggenschap over het doel van de Verwerking van Persoonsgegevens.
ARTIKEL 5: BEVEILIGING VAN DE VERWERKING
5.1 Partijen zullen gezamenlijk zorg dragen voor een passend beveiligingsniveau voor de Verwerkte Persoonsgegevens. Klant draagt daarbij als Verantwoordelijke de hoofdverantwoordelijkheid.
5.2 Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Leverancier waarborgt een op het risico afgestemd beveiligingsniveau.
5.3 Leverancier Verwerkt Persoonsgegevens niet buiten de Europese Unie, tenzij hij daarvoor uitdrukkelijk Schriftelijk toestemming heeft verkregen van Klant en behoudens afwijkende wettelijke verplichtingen.
5.4 Leverancier verleent Klant bijstand bij het doen nakomen van de verplichtingen te weten: beveiliging, melding van datalekken en gegevenseffect beoordeling (Data Protect Impact Assessment).
5.5 Leverancier zal indien daar aanleiding toe is Klant op de hoogte stellen van de beveiligingsmaatregelen die zij en haar Subverwerkers nemen en om die maatregelen correct ten uitvoer te (doen) brengen.
5.6 Klant staat ervoor in dat hij alleen op geheel rechtmatige wijze Persoonsgegevens in zal voeren in de systemen van Leverancier of anderszins ter beschikking zal stellen aan Leverancier.
5.7 Leverancier is niet aansprakelijk voor enige schending van de privacy van werknemers van Klant of van andere personen die Klant met gebruikmaking van Intramed (Online) mocht plegen. Klant vrijwaart Leverancier tegen alle aanspraken voortvloeiend uit dergelijke schending.
5.8 Leverancier staat er voor in dat een ieder die handelt onder het gezag van Leverancier, voor zover deze toegang heeft tot Persoonsgegevens waar Klant de verantwoordelijke voor is, deze slechts Verwerkt in overeenstemming met de overeengekomen beveiligingsmaatregelen en in opdracht van Klant, behoudens afwijkende wettelijke verplichtingen.
ARTIKEL 6: GEHEIMHOUDING
6.1 De Persoonsgegevens zijn Vertrouwelijke Informatie.
6.2 Alle medewerkers van Leverancier die gemachtigd zijn tot het Verwerken van Persoonsgegevens hebben zich ertoe verbonden geheimhouding in acht te nemen.
ARTIKEL 7: SUBVERWERKER
7.1 Wanneer Leverancier een andere Verwerker inschakelt om ten behoeve van Klant
Verwerkingsactiviteiten te verrichten, worden aan deze andere Verwerker (de ‘Subverwerker’) bij een Overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze verwerkersovereenkomst zijn opgenomen.
7.2 Leverancier zal geen nieuwe Subverwerkers gegevens laten Verwerken zonder Klant daarover via de nieuwsbrief tijdig te informeren. Klant kan, indien hij dat nodig acht, binnen 7 dagen na bekendmaking bezwaar maken bij Leverancier tegen de Subverwerker. Bezwaar door Klant moet Schriftelijk en gemotiveerd worden ingediend bij Leverancier.
ARTIKEL 8: BIJSTAND VANWEGE RECHTEN VAN BETROKKENE
8.1 Leverancier verwijst Xxxxxxxxxx indien deze een verzoek aan Leverancier doet altijd door naar Klant.
8.2 Leverancier zal Klant op diens verzoek en waar noodzakelijk de bijstand verlenen waar zij toe in staat is om Klant in staat te stellen te voldoen aan haar plichten volgens de Algemene Verordening Gegevensbescherming, indien Betrokkenen hun privacy rechten uitoefenen zoals het recht op inzage, correctie, gegevenswissing en dataportabiliteit.
ARTIKEL 9: INBREUK IN VERBAND MET PERSOONSGEGEVENS/DATALEKKEN
9.1 Leverancier informeert Xxxxx zonder onredelijke vertraging, zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens.
9.2 Leverancier informeert Klant ook na een melding op grond van het eerste lid van artikel 8 over ontwikkelingen betreffende de Inbreuk in verband met Persoonsgegevens.
9.3 Leverancier op de hoogte stellen van een mogelijk datalek door contact op te nemen met het service centrum van Leverancier via: 0182-621121 of xxxxxxxx@xxxxxxxx.xx.
9.4 Leverancier en/of Klant dragen de door henzelf in verband met de melding aan de bevoegde toezichthoudende autoriteit en Betrokkene te maken kosten.
ARTIKEL 10: TERUGGAVE PERSOONSGEGEVENS
10.1 Na afloop van de Overeenkomst draagt Leverancier, naar gelang de keuze van Xxxxx, zorg voor het terugbezorgen aan Klant of het wissen van alle Persoonsgegevens. Leverancier verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.
10.2 Persoonsgegevens worden in de door Leverancier aangegeven vorm en op de door Leverancier aangegeven wijze afdoende beveiligd terugbezorgd aan Klant in een gangbaar bestandsformat via een downloadlink of via een gangbare datadrager.
ARTIKEL 11: INFORMATIEPLICHT EN AUDIT
11.1 Leverancier stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze verwerkersovereenkomst zijn en worden nagekomen.
11.2 De informatiebeveiliging van Leverancier is gecertificeerd voor de normen ISO 27001 en NEN 7510. Deze certificaten zijn in te zien via de website. Om deze certificeringen te behouden laat Leverancier audits uitvoeren door een onafhankelijk terzake kundig auditbureau. Klant kan op verzoek inzage krijgen in de resultaten van deze externe audits.
11.3 Indien Klant daar ondanks de in artikel 11.2 genoemde certificering en audits aanleiding toe ziet, zal Leverancier medewerking verlenen aan audits om te bepalen dat de gegevensverwerking voldoet aan de eisen van de AVG. Dergelijke audits kunnen maximaal één keer per jaar worden uitgevoerd door een onafhankelijke en terzake kundige partij. De kosten hiervan worden volledig gedragen door de Klant.
11.4 Leverancier kan Klant op verzoek zijn medewerking verlenen als Klant een Data Protection Impact Assessment (DPIA) uitvoert of laat uitvoeren, door inzicht te verschaffen in gegevensstromen en beveiligingsmaatregelen.