Documentatie Gegevensverwerking KlinischeHulp - Verwerkersovereenkomst
Documentatie Gegevensverwerking KlinischeHulp - Verwerkersovereenkomst
Inleiding
Deze Verwerkersovereenkomst en de bijlagen (DPA) weerspiegelen de overeenkomst tussen de partijen met betrekking tot de verwerking van persoonsgegevens door ons namens u, in verband met de KlinischeHulp Algemene Voorwaarden die zijn gesloten tussen u en ons (de Overeenkomst). Dit DPA is aanvullend op, en vormt een integraal onderdeel van, de Overeenkomst en is van kracht nadat u de Algemene Voorwaarden hebt aanvaard, tijdens het aanmeldingsproces. Neem contact met ons op als u het niet eens bent met de inhoud van ons DPA, in welk geval we een op maat gemaakt gegevens-DPA zullen sluiten. We werken dit DPA van tijd tot tijd bij. Als u een actief KlinischeHulp-abonnement heeft, stellen we u op de hoogte wanneer we dat doen via e-mail of via een in-app-melding. De looptijd van dit DPA volgt de looptijd van de Overeenkomst. Termen die niet anders zijn gedefinieerd in dit DPA hebben de betekenis zoals uiteengezet in de Overeenkomst. Voor de doeleinden van dit DPA zijn KlinischeHulp en de klant elk een Partij en samen de Partijen.
1. Definities
Definitie | Betekenis |
Toepasselijke Wetgeving | De AVG en alle andere relevante wetgeving en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de Nederlandse Telecommunicatiewet met betrekking tot het gebruik van cookies. |
Verwerkingsverantwoordelijke | U, die als klant gebruik maakt van de dienst van KlinischeHulp om persoonsgegevens te verwerken en het doel en de middelen van de verwerking bepaalt. |
Gegevensinbreuk | (Verdenking van) Een inbreuk op de beveiliging die leidt tot de onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of toegang tot persoonsgegevens die zijn verzonden, opgeslagen of anderszins verwerkt. |
DPIA | Gegevensbeschermingseffectbeoordeling. |
Betrokkene | Xxxx persoon van wie persoonsgegevens worden verzameld op basis van dit DPA; betrokkenen in de zin van de AVG. |
EER | Europese Economische Ruimte: de lidstaten van de Europese Unie (EU) en IJsland, Liechtenstein en Noorwegen. |
Medewerker | De medewerkers en andere personen die door de Verwerker zijn |
Definitie | Betekenis |
ingeschakeld voor de uitvoering van de Overeenkomst. | |
AVG | Algemene Verordening Gegevensbescherming. |
Persoonsgegevens | Gegevens die rechtstreeks of onrechtstreeks kunnen worden gebruikt om een natuurlijke persoon te identificeren, zoals bedoeld in de AVG. |
Verwerking | Elke bewerking of reeks bewerkingen die wordt uitgevoerd op persoonsgegevens of op sets persoonsgegevens, al dan niet met geautomatiseerde middelen. Voorbeelden zijn: verzamelen, opslaan, wijzigen of gebruiken. |
Verwerker | De partij die persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke. |
DPA | De onderliggende Verwerkersovereenkomst, van toepassing tussen Partijen. |
Ontvanger | Een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of een ander lichaam aan wie/waaraan de persoonsgegevens worden verstrekt. |
Diensten | De dienst(en) die door de Verwerker aan de Verwerkingsverantwoordelijke moeten worden verleend op basis van de Overeenkomst. |
Sub-verwerker | Derde partijen die door de Verwerker zijn ingeschakeld voor de uitvoering van de Overeenkomst. |
Toezichthoudende autoriteit | Een onafhankelijke overheidsinstantie die is opgericht door een EU- lidstaat overeenkomstig de AVG. In Nederland is dit de Autoriteit Persoonsgegevens. |
Derde partij | Een derde partij anders dan de Betrokkene, de Verwerkingsverantwoordelijke of de Verwerker, of de persoon die onder de rechtstreekse autoriteit van de Verwerkingsverantwoordelijke of Verwerker bevoegd is om persoonsgegevens te verwerken. |
2. Toepassingsgebied
2.1. Dit DPA is van toepassing op alle verwerkingen in de uitvoering van de Overeenkomst.
2.2. Dit DPA maakt deel uit van de Overeenkomst en vervangt alle eerdere regelingen tussen de Partijen met betrekking tot de verwerking van persoonsgegevens. In geval van enige tegenstrijdigheid, prevaleren de bepalingen van dit DPA.
3. Rollen van de Partijen
3.1. In het kader van de uitvoering van de Overeenkomst verwerkt KlinischeHulp persoonsgegevens namens u en wordt beschouwd als een Verwerker in de zin van de AVG. U wordt beschouwd als een Verwerkingsverantwoordelijke in de zin van de AVG.
3.2. Als de Verwerker het doel en de middelen van de verwerking bepaalt in plaats van de Verwerkingsverantwoordelijke, wordt de Verwerker beschouwd als de Verwerkingsverantwoordelijke voor die verwerking.
4. Verwerking van Persoonsgegevens
4.1. De Verwerker verwerkt persoonsgegevens alleen: a) Zoals beschreven in Bijlage A (Beschrijving van verwerkingsactiviteiten); b) Overeenkomstig de Overeenkomst en om te voldoen aan andere redelijke instructies van de Verwerkingsverantwoordelijke die in overeenstemming zijn met de voorwaarden van de Overeenkomst (het Doel).
4.2. KlinischeHulp treedt namens en op instructie van de Verwerkingsverantwoordelijke op bij de uitvoering van het Doel.
4.3. De Verwerkingsverantwoordelijke kan zijn instructies wijzigen of aanvullende instructies geven naar eigen goeddunken.
4.4. De Verwerker verwerkt persoonsgegevens nooit voor zijn eigen voordeel, het gebruik van derden en/of andere doeleinden, tenzij de Toepasselijke Wetgeving de Verwerker verplicht tot verwerking. De Verwerker stelt de Verwerkingsverantwoordelijke hiervan op de hoogte vóór de verwerking, voor zover wettelijk toegestaan.
4.5. De Partijen zullen voldoen aan de AVG en andere Toepasselijke Wetgeving met betrekking tot de verwerking van persoonsgegevens. Als de Verwerker vermoedt dat een instructie van de Verwerkingsverantwoordelijke in strijd is met de AVG of Toepasselijke Wetgeving, zal de Verwerker de Verwerkingsverantwoordelijke onmiddellijk op de hoogte stellen.
5. Assistentie & Samenwerking
5.1. De Verwerker zal de Verwerkingsverantwoordelijke alle noodzakelijke bijstand en samenwerking verlenen om te voldoen aan de verplichtingen van de AVG en Toepasselijke Wetgeving, waaronder: a) De beveiliging van persoonsgegevens; b) De uitvoering van controles en audits; c) De uitvoering van DPIA's; d) De voorafgaande raadpleging van de Toezichthoudende Autoriteit; e) Voldoen aan verzoeken van de Toezichthoudende Autoriteit of een andere overheidsinstantie; f) Voldoen aan verzoeken van Xxxxxxxxxxx; g) Melden van Gegevensinbreuken.
Verzoeken van Betrokkenen
5.2. Met betrekking tot verzoeken van Betrokkenen zal de Verwerker alle redelijke maatregelen nemen om ervoor te zorgen dat de Betrokkene zijn rechten kan uitoefenen.
5.3. Als een Betrokkene rechtstreeks contact opneemt met de Verwerker, zal de Verwerker dit onmiddellijk melden aan de Verwerkingsverantwoordelijke, met een verzoek om verdere instructies. In afwachting van instructies zal de Verwerker de Betrokkene adequaat bijstaan en
informeren over de volgende stappen.
5.4. Als de Verwerker de Diensten rechtstreeks aan de Betrokkene aanbiedt, is de Verwerker verplicht de Betrokkene namens de Verwerkingsverantwoordelijke te informeren over de verwerking van persoonsgegevens van de Betrokkene op een manier die in overeenstemming is met de rechten van de Betrokkene.
Verzoeken van de Toezichthoudende Autoriteit
5.5. Met betrekking tot verzoeken van de Toezichthoudende Autoriteit of een Nederlandse en/of buitenlandse overheidsinstantie zal de Verwerker de Verwerkingsverantwoordelijke onmiddellijk op de hoogte stellen voor zover wettelijk toegestaan. Bij het afhandelen van het verzoek of de opdracht zal de Verwerker alle instructies van de Verwerkingsverantwoordelijke opvolgen en alle redelijkerwijs vereiste samenwerking aan de Verwerkingsverantwoordelijke verlenen.
5.6. Als de Verwerker wettelijk is verhinderd om te voldoen aan zijn verplichtingen op basis van artikel 5.5, zal de Verwerker de redelijke belangen van de Verwerkingsverantwoordelijke op de volgende manier bevorderen: a) De Verwerker zal een juridische beoordeling verkrijgen van de mate waarin (i) de Verwerker wettelijk verplicht is om te voldoen aan het verzoek of de opdracht; en (ii) de Verwerker inderdaad verhinderd is om te voldoen aan zijn verplichtingen aan de Verwerkingsverantwoordelijke op basis van artikel 5.5; b) De Verwerker zal alleen samenwerken met het verzoek of de opdracht als de Verwerker wettelijk verplicht is om dit te doen, en de Verwerker zal bezwaar maken waar mogelijk (door juridische stappen) tegen het verzoek of de opdracht of het verbod om de Verwerkingsverantwoordelijke hierover te informeren of de instructies van de Verwerkingsverantwoordelijke op te volgen; c) De Verwerker zal niet meer persoonsgegevens verstrekken dan strikt noodzakelijk is om te voldoen aan het verzoek of de opdracht; d) In het geval van een overdracht zoals gespecificeerd in Artikel 10, zal de Verwerker de mogelijkheden onderzoeken om te voldoen aan de regels van de AVG met betrekking tot overdrachten.
Gegevensbeschermingseffectbeoordeling
5.7. De Verwerkingsverantwoordelijke zal de noodzaak onderzoeken onder de AVG om een DPIA uit te voeren en om voorafgaand overleg te plegen met de relevante Toezichthoudende Autoriteit, voor de inschakeling van de Verwerker.
5.8. De Verwerker zal redelijke bijstand verlenen aan de Verwerkingsverantwoordelijke bij elke DPIA en bij elk voorafgaand overleg met een Toezichthoudende Autoriteit die vereist is op grond van de AVG.
6. Toegang tot Persoonsgegevens
6.1. De Verwerker zal de toegang tot persoonsgegevens beperken voor Medewerkers, Sub- verwerkers, Derde Partijen en andere Ontvangers van persoonsgegevens tot een noodzakelijk minimum.
6.2. De Verwerker zal de toegang tot de persoonsgegevens beperken tot geautoriseerde Medewerkers op basis van de behoefte om te weten.
6.3. De Verwerkingsverantwoordelijke machtigt de inschakeling van Sub-verwerker(s) door de Verwerker zoals vermeld in Bijlage C (Sub-verwerkers).
6.4. De Verwerkingsverantwoordelijke verleent de Verwerker algemene toestemming om Sub-
verwerkers in te schakelen in verband met de verlening van de Diensten.
6.5. De toestemming van de Verwerkingsverantwoordelijke voor uitbestedingswerk aan een Sub- verwerker heeft geen invloed op het feit dat voor de inzet van Sub-verwerkers in een land buiten de EER toestemming is vereist overeenkomstig Artikel 10 van dit DPA.
6.6. De Verwerker legt dezelfde materiële verplichtingen voor gegevensbescherming op aan de Sub- verwerkers zoals uiteengezet in dit DPA, met name met betrekking tot de uitvoering van passende technische en organisatorische maatregelen.
6.7. De Verwerker zal de Verwerkingsverantwoordelijke op de hoogte stellen van eventuele voorgenomen wijzigingen met betrekking tot de inschakeling of vervanging van een Sub-verwerker en de Verwerkingsverantwoordelijke krijgt dertig (30) dagen om gemotiveerd en schriftelijk bezwaar te maken na ontvangst van een dergelijke melding.
6.8. Als de Verwerker verzuimt om op een dergelijk bezwaar in te gaan, is de enige en exclusieve remedie van de Verwerkingsverantwoordelijke om de Overeenkomst en dit DPA onmiddellijk te beëindigen door schriftelijke kennisgeving aan de Verwerker.
6.9. In het geval dat de Verwerker Sub-verwerkers gebruikt, blijft de Verwerker volledig aansprakelijk voor de nakoming van zijn verplichtingen onder dit DPA, de Overeenkomst, de AVG en de Toepasselijke Wetgeving.
7. Beveiligingsmaatregelen
7.1. De Verwerker implementeert alle passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat passend is voor het risico, zodat de verwerking voldoet aan de eisen van de AVG en de Toepasselijke Wetgeving.
7.2. De Verwerker neemt ten minste de beveiligingsmaatregelen opgenomen in Bijlage B (Beveiligingsmaatregelen).
8. Audit
8.1. Op verzoek van de Verwerkingsverantwoordelijke en maximaal 1 (één) keer per kalenderjaar heeft de Verwerkingsverantwoordelijke het recht om een audit te laten uitvoeren door een onafhankelijk (juridisch) persoon die door de Verwerkingsverantwoordelijke is gemachtigd met betrekking tot de organisatie van de Verwerker, om aan te tonen dat de Verwerker voldoet aan de bepalingen van het DPA, de AVG en andere Toepasselijke Wetgeving en Regels.
8.2. De kosten van een audit zijn voor rekening van de Verwerkingsverantwoordelijke, tenzij de audit aantoont dat de Verwerker (of Sub-verwerker) materieel in strijd is met dit DPA, in welk geval de redelijke kosten van de audit door de Verwerker worden gedragen.
8.3. De Verwerker zal onmiddellijk alle maatregelen nemen die redelijkerwijs noodzakelijk zijn volgens een audit, om de naleving van de Verwerker te waarborgen. De hiermee samenhangende kosten zijn voor rekening van de Verwerker.
9. Gegevensinbreuk
9.1. De Verwerker zal de Verwerkingsverantwoordelijke zonder onredelijke vertraging en uiterlijk binnen 36 (zesendertig) uur op de hoogte stellen van een Gegevensinbreuk. Deze melding omvat, indien mogelijk, ten minste alle informatie uit het meest recente "Gegevensinbreukformulier" van de Nederlandse Toezichthoudende Autoriteit.
9.2. Als de Verwerker niet in staat is om alle informatie van de Gegevensinbreuk tegelijkertijd te
verstrekken, kan de informatie stapsgewijs aan de Verwerkingsverantwoordelijke worden verstrekt zonder onredelijke vertraging en uiterlijk binnen 36 (zesendertig) uur na ontdekking.
9.3. Op verzoek van de Verwerkingsverantwoordelijke zal de Verwerker de Verwerkingsverantwoordelijke redelijke bijstand verlenen die nodig is om de Gegevensinbreuken aan de bevoegde Toezichthoudende Autoriteit en/of getroffen Betrokkenen te melden.
9.4. De Verwerker heeft een eigen verplichting om de Gegevensinbreuk binnen 72 (tweeënzeventig) uur te melden aan de Nederlandse Toezichthoudende Autoriteit. De Verwerker heeft ook een eigen verplichting om de Gegevensinbreuk aan de Betrokkenen te melden indien dat vereist is op basis van Toepasselijke Wetgeving.
10. Overdracht van Persoonsgegevens
10.1. De Verwerker mag alleen Persoonsgegevens overdragen aan landen buiten de EER of aan internationale organisaties als:
a) er een adequaat beschermingsniveau is en een overdrachtsmechanisme van de AVG kan worden toegepast; en
b) de Verwerkingsverantwoordelijke uitdrukkelijke voorafgaande schriftelijke toestemming heeft gegeven voor de overdracht.
10.2. De Verwerker stemt in met de overdracht van Persoonsgegevens zoals beschreven in Bijlage D (Gegevensoverdrachten).
10.3. De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk schriftelijk op de hoogte van eventuele (geplande) permanente of tijdelijke overdrachten van Persoonsgegevens naar een land buiten de EER en zal pas overgaan tot dergelijke geplande overdrachten na verkrijging van de schriftelijke toestemming van de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke heeft te allen tijde het recht om aanvullende voorwaarden te verbinden aan haar toestemming voor dergelijke verwerking.
10.4. De bepalingen in dit Artikel 10 zijn niet van toepassing indien een bepaling op grond van het Unierecht of het recht van de lidstaat de Verwerker verplicht tot verwerking. In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke hiervan schriftelijk op de hoogte voorafgaand aan de verwerking voor zover toegestaan door de wet.
10.5. Op verzoek van de Verwerkingsverantwoordelijke zal de Verwerker aantonen dat is voldaan aan de eisen zoals uiteengezet in Artikel 10.1.
11. Vertrouwelijkheid en Geheimhouding
11.1. Alle Persoonsgegevens worden als vertrouwelijk beschouwd en dienen als zodanig te worden behandeld.
11.2. De Partijen zullen alle Persoonsgegevens vertrouwelijk houden en deze op geen enkele wijze openbaar maken (intern of extern), tenzij:
a) openbaarmaking en/of verstrekking van de Persoonsgegevens noodzakelijk is in het kader van de uitvoering van de Overeenkomst of het DPA;
b) enige verplichte wettelijke bepaling of gerechtelijke beslissing de Partijen verplicht tot openbaarmaking en/of verstrekking van de Persoonsgegevens, waarbij de Partijen de andere Partij eerst op de hoogte stellen;
c) openbaarmaking en/of verstrekking van de Persoonsgegevens plaatsvindt met de voorafgaande schriftelijke toestemming van de andere Partij.
12. Aansprakelijkheid & Vrijwaring
12.1. De Verwerker is niet aansprakelijk voor verlies of schade als gevolg van een schending door de Verwerkingsverantwoordelijke van de AVG of toepasselijke wetgeving. De Verwerkingsverantwoordelijke vrijwaart de Verwerker tegen vorderingen van Sub-verwerkers, andere Derden, Betrokkenen of andere personen met betrekking tot dergelijk verlies en schade, en tegen alle juridische en andere kosten die de Verwerker in dat verband maakt en tegen boetes opgelegd aan de Verwerker.
12.2. De aansprakelijkheidsbeperking van de Verwerker zoals overeengekomen in de Overeenkomst en de toepasselijke algemene voorwaarden, is van toepassing op dit DPA. Eén of meer vorderingen tot schadevergoeding uit hoofde van dit DPA en/of de Overeenkomst kunnen in geen geval leiden tot overschrijding van die beperking.
12.3. Indien in de Overeenkomst geen aansprakelijkheidsbeperking is opgenomen, is de aansprakelijkheid van de Verwerker op grond van dit DPA in ieder geval beperkt tot:
a) het bedrag van de vergoeding voor de opdracht op grond van de Overeenkomst; of
b) in ieder geval het gedeelte van de opdracht waaraan de aansprakelijkheid is gerelateerd.
13. Termijn & Beëindiging
13.1. Het DPA vormt een integraal onderdeel van de Overeenkomst en wordt automatisch beëindigd bij beëindiging van de Overeenkomst.
13.2. De Verwerkingsverantwoordelijke kan het DPA beëindigen indien de Verwerker het DPA, de AVG en/of de toepasselijke wetgeving niet naleeft of niet langer kan naleven, zonder dat de Verwerker recht heeft op enige schadevergoeding. De Verwerkingsverantwoordelijke neemt een redelijke opzegtermijn in acht, tenzij de omstandigheden onmiddellijke beëindiging rechtvaardigen.
13.3. Binnen 1 (één) maand na beëindiging van de Overeenkomst zal de Verwerker:
a) alle Persoonsgegevens vernietigen en/of retourneren, inclusief alle bestaande kopieën in het bezit van (rechts)personen die zijn ingeschakeld door de Verwerker;
b) de Persoonsgegevens overdragen aan de Verwerkingsverantwoordelijke en/of een andere partij die door de Verwerkingsverantwoordelijke wordt aangewezen, naar keuze van de Verwerkingsverantwoordelijke.
13.4. Op verzoek van de Verwerkingsverantwoordelijke zal de Verwerker schriftelijk bevestigen dat de Verwerker heeft voldaan aan alle verplichtingen uit hoofde van Artikel 13.3.
13.5. De Verwerker draagt de redelijke kosten voor de vernietiging, retournering en/of overdracht van de Persoonsgegevens. De Verwerkingsverantwoordelijke kan aanvullende eisen stellen aan de wijze van vernietiging, retournering en/of overdracht van de Persoonsgegevens, inclusief eisen met betrekking tot het bestandsformaat.
14. Rechtsgevolgen
Dit DPA wordt pas juridisch bindend tussen de Partijen wanneer de Verwerkingsverantwoordelijke heeft ingestemd met de Gebruiksvoorwaarden, zoals gespecificeerd in de sectie "Inleiding".
15. Diversen
15.1. Alleen schriftelijke wijzigingen van dit DPA zijn geldig.
15.2. Verplichtingen onder het DPA die van nature bedoeld zijn om na beëindiging van dit DPA voort te duren, blijven van kracht na beëindiging van het DPA.
15.3. Dit DPA vervangt alle eerdere overeenkomsten tussen de Partijen met betrekking tot de verwerking van Persoonsgegevens.
Bijlage A - Beschrijving van Verwerkingsactiviteiten SPECIFICATIE VAN VERWERKING
Betrokkenen Zorgprofessionals en cliënten Persoonsgegevens
KlinischeHulp verwerkt namens de Verwerkingsverantwoordelijke de volgende categorieën persoonsgegevens: De opnamen van het gesprek tussen de medisch beoefenaar en de cliënt (de Opnamen); Dit kan (gevoelige) persoonlijke informatie bevatten, zoals: naam, geboortedatum, adres, contactgegevens, klachten, diagnoses, medicijngebruik, allergieën, lengte, gewicht, medische geschiedenis.
Beschrijving van de Verwerking
KlinischeHulp is een toepassing die het gesprek tussen een zorgprofessional en een cliënt omzet in een overzicht met een samenvatting en suggesties voor diagnoses en behandelplannen.
Persoonsgegevens worden verwerkt in overeenstemming met dit document en kunnen worden onderworpen aan de volgende verwerkingsactiviteiten: a. Tijdelijke opslag en andere verwerkingen die nodig zijn om de dienst te verlenen; b. Openbaarmakingen in overeenstemming met de Overeenkomst en/of zoals vereist door de toepasselijke wet. c. Het bieden van klanten- en technische ondersteuning aan de Klant
Frequentie van Verwerking
Doorlopend en zoals bepaald door de Verwerkingsverantwoordelijke.
Bewaartermijn
Onder voorbehoud van de sectie "Termijn en beëindiging" van dit DPA, zullen we persoonsgegevens verwerken maar niet opslaan gedurende de looptijd van de Overeenkomst, tenzij anders schriftelijk overeengekomen.
Bijlage B - Beveiligingsmaatregelen Toegangsbeheer
Persoonsgegevens worden niet opgeslagen en automatisch verwijderd na verwerking, zodat medewerkers geen toegang hebben tot deze informatie.
Overdrachtsbeheer
Gegevens in transit: Beveiligde netwerkverbindingen met Transport Layer Security (TLS) technologie.
Bijlage C - Sub-Verwerkers
Microsoft Azure: Hosting en infrastructuur; implementeren van modellen, beveiligd tijdelijk opslaan en overdragen van gegevens. Gegevensresidentie: gegevens worden gehost in Europa. OpenAI: Levering van LLM-diensten, gebruik alleen met geanonimiseerde input.
Gegevensresidentie: gegevens worden gehost in Europa.