BIJLAGE VERWERKERSOVEREENKOMST
BIJLAGE VERWERKERSOVEREENKOMST
ALGEMEEN:
Deze bijlage Verwerkersovereenkomst maakt integraal deel uit van de Algemene Voorwaarden van Omedi.
IN AANMERKING NEMENDE DAT:
• Verantwoordelijke beschikt over Persoonsgegevens (zoals hieronder gedefinieerd) van diverse Betrokkene (zoals hieronder gedefinieerd);
• Verantwoordelijke bepaalde vormen van verwerking van deze Persoonsgegevens wil laten verrichten door Verwerker (de "Opdracht");
• Verwerker bereid is tot verwerking van de Persoonsgegevens;
• Verwerker de Persoonsgegevens onder verantwoordelijkheid van Verantwoordelijke zal verkrijgen; en
• Deze bijlage Verwerkersovereenkomst geldt als een overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker zoals bedoeld in artikel 28(1) AVG.
VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:
Artikel 1 - Definities
AVG De Algemene Verordening Gegevensbescherming, inclusief uitvoeringswet van deze verordening, of de Wet Bescherming Persoonsgegevens indien deze overeenkomst wordt aangegaan vóór 25 mei 2018.
Betrokkene Degene op wie een Persoonsgegeven betrekking heeft of bij een persoonsgegeven een gerechtvaardigd belang heeft.
Bedrijfsarts De bedrijfsarts die in het kader van de overeenkomst werkzaamheden verricht.
Bijlage De bijlage van deze overeenkomst met een overzicht van de Persoonsgegevens die Partijen verwachten te verwerken, de wijze van verwerking van die gegevens, de doeleinden en de middelen van de verwerking en de gebruiks- en bewaartermijnen van de Persoonsgegevens.
Datalek Elke situatie waarin door een beveiligingsincident Persoonsgegevens onbedoeld worden ingezien door een onbevoegde, kwijtraken, vernietigd worden, aangepast worden of onrechtmatig worden verwerkt.
DPIA Data Protection Impact Assessement (gegevensbeschermingseffectbeoordeling) zoals bedoeld in de AVG.
Normen en De door de verwerker vastgestelde normen en standaarden ter zake van
Standaarden methoden, technieken, procedures, projecten, productiekenmerken en documentatievoorschriften welke bij de uitvoering van de werkzaamheden door de verwerker zullen worden gevolgd.
Opdracht Alle dienstverlening van Verwerker aan Verantwoordelijke en iedere andere vorm van samenwerking, waarbij Verwerker Persoonsgegevens verwerkt waarvoor Verantwoordelijke verantwoordelijk is in de zin van de AVG, ongeacht het rechtskarakter van de overeenkomst waaronder dat geschiedt.
Persoonsgegeven Elk gegeven betreffende een geïdentificeerd of identificeerbare natuurlijke persoon, dat Xxxxxxxxx bij of in verband met het uitvoeren van de Opdracht verkrijgt.
Xxxxxxxxx Xxxxxxxxx (EU) 2016/680 gepubliceerd in het Publicatieblad van de Europese Unie onder nummer L 119/106
Subverwerker Elke partij die door de Verwerker wordt ingeschakeld om, in opdracht van de Verwerker, de Persoonsgegevens te verwerken waarvoor de Verwerker bij deze overeenkomst door de Verantwoordelijke is gemachtigd.
Toezichthouder De Autoriteit Persoonsgegevens (AP) is het zelfstandig bestuursorgaan dat in Nederland bij de wet als toezichthouder is aangesteld voor het toezicht op verwerken van persoonsgegevens.
Artikel 2 - De Betrokkenen
1. Deze verwerkersovereenkomst is van toepassing op alle gegevens die in het kader van de uitvoering van de Overeenkomst met Opdrachtgever door Verwerker worden verzameld voor Opdrachtgever, alsmede op alle uit de Overeenkomst voor Verwerker voortvloeiende Werkzaamheden en de in dat kader te verzamelen gegevens.
2. Ter uitvoering van de Opdracht verwerkt de Verwerker Persoonsgegevens van Betrokkenen. De Betrokkenen van wie Persoonsgegevens worden verwerkt, zijn:
a. Werknemers die in dienst zijn bij de Verantwoordelijke
b. Bezoekers van de website van de Verantwoordelijke
3. Gegevens van andere Betrokkenen worden niet door de Verwerker voor de Verantwoordelijke verwerkt.
Artikel 3 - Uitvoering verwerking
1. Verwerker verbindt zich om onder de voorwaarden van deze overeenkomst en in overeenstemming met de AVG en/of andere toepasselijke wet- en regelgeving de Opdracht uit te voeren voor Verantwoordelijke.
2. Verantwoordelijke heeft en houdt volledige zeggenschap over de Persoonsgegevens. Verwerker verwerkt de Persoonsgegevens op behoorlijke en zorgvuldige wijze.
3. Verwerker verwerkt de Persoonsgegevens uitsluitend voor de Opdracht conform de schriftelijke instructies van Verantwoordelijke, in overeenstemming met de door Verantwoordelijke in de bijlage bepaalde doeleinden en middelen en met inachtneming van de door de Verantwoordelijke in de bijlage vastgestelde bewaartermijnen.
4. Medische gegevens worden verwerkt door de bedrijfsarts en opgeslagen in een voor medische gegevens specifiek geschikte en beveiligde omgeving welke alleen toegankelijk is voor daartoe bevoegd personen.
5. Verwerker schakelt geen Subverwerker in zonder de voorafgaande schriftelijke toestemming van de Verantwoordelijke.
6. Verantwoordelijke geeft bij deze schriftelijk toestemming aan Verwerker om één of meer Subverwerkers in te schakelen bij de verwerking van Persoonsgegevens.
7. Verwerker legt jegens Subverwerkers dezelfde verplichtingen op als Verantwoordelijke in deze overeenkomst aan Verwerker heeft opgelegd.
8. Verwerker blijft jegens Verantwoordelijke verantwoordelijk voor de correcte nakoming van deze overeenkomst.
9. Verwerker informeert Verantwoordelijke op het moment dat Verwerker begint met het delen van Persoonsgegevens aan de Subverwerker.
Artikel 4 - Rechten van betrokkenen
1. Verwerker draagt er zorg voor dat Xxxxxxxxxx al zijn rechten voortvloeiende uit de AVG en/of andere toepasselijke wet- en regelgeving kan uitoefenen.
2. Verwerker zal verder op eerste verzoek van Verantwoordelijke zo spoedig mogelijk, maar uiterlijk binnen vijf werkdagen nadat daartoe een verzoek is gedaan, overgaan tot:
a. het verstrekken van de benodigde informatie;
b. het verbeteren, aanvullen, verwijderen of het afschermen van de Persoonsgegevens; en
c. Het overdragen van de gegevens aan de Verantwoordelijke of aan een door de Verantwoordelijke aangewezen partij.
Artikel 5 - Data Protection Impact Assessment
1. De Verwerker ondersteunt en verleent medewerking aan de Verantwoordelijke om te voldoen aan de uitvoering van een DPIA, indien de verantwoordelijke een DPIA moet uitvoeren.
2. De Verwerker ondersteunt en verleent medewerking aan de Verantwoordelijke met de implementatie van nieuwe (beveiligings-)maatregelen die genomen moeten worden naar aanleiding van een DPIA.
3. De Verwerker brengt bij de Verantwoordelijke slechts redelijke gemaakte kosten in rekening voor het voldoen aan deze verplichtingen. Deze redelijke kosten bedragen maximaal per uur.
4. De Verwerker ondersteunt en verleent medewerking aan de Verantwoordelijke met de implementatie van nieuwe (beveiligings-)maatregelen die genomen moeten worden naar aanleiding van overige analyses en veranderingen, zoals veranderende (inzichten in de) wetgeving.
Artikel 6 - Beveiligingsmaatregelen
1. Verwerker neemt alle passende technische en organisatorische maatregelen om de Persoonsgegevens adequaat te beveiligen en beveiligd te houden tegen verlies of enige vorm van onzorgvuldig, ondeskundig of onrechtmatige gebruik of verwerking, waarbij rekening wordt gehouden met de stand van de techniek.
2. Verwerker heeft in ieder geval de volgende maatregelen genomen:
a. Beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie of via vergelijkbare technologie die minimaal eenzelfde beveiligingsniveau levert.
b. beveiligd versturen van documenten via email.
3. Verwerker staat ervoor in dat personen die handelen onder zijn gezag de Persoonsgegevens alleen op rechtmatige wijze en in overeenstemming met deze overeenkomst, de AVG en/of andere toepasselijke wet- en regelgeving zullen verwerken.
4. Indien Verwerker tekortschiet in het nemen van passende technische en organisatorische beveiligingsmaatregelen en vervolgens nalaat binnen een door Verantwoordelijke gestelde redelijke termijn passende maatregelen te treffen, is Verantwoordelijke gerechtigd, onverminderd zijn overige rechten voortvloeiende uit deze overeenkomst en/of uit de wet, deze maatregelen op kosten van Verwerker uit te voeren of te laten voeren.
5. Verwerker zal Verantwoordelijke onmiddellijk gedetailleerd op de hoogte stellen van ieder Datalek betreffende de Persoonsgegevens. Verwerker doet dit uiterlijk binnen 24 uur na ontdekking van het Datalek. De Verwerker brengt hier geen kosten voor in rekening.
6. Verwerker zal op verzoek van Verantwoordelijke informatie aan Verantwoordelijke geven over de genomen maatregelen om aan de verplichtingen op grond van de AVG, en/of andere toepasselijke wet- en regelgeving, deze overeenkomst en de overige instructies van Verantwoordelijke te voldoen.
Artikel 7 - Registers
1. Verantwoordelijke zal een register bijhouden van alle Persoonsgegevens die hij verwerkt. In dit register legt hij in ieder geval zijn eigen naam en contactgegevens, de te verwerken categorieën van Persoonsgegevens, de verwerkingsdoeleinden en de categorieën van Betrokkenen vast.
2. Verwerker zal een register bijhouden van alle Persoonsgegevens die hij vanwege de Opdracht voor de Verantwoordelijke verwerkt. In dit register legt hij in ieder geval zijn naam, contactgegevens en de naam van de Verantwoordelijke waarvoor hij Persoonsgegevens
verwerkt, de categorieën Persoonsgegevens die hij voor de Verantwoordelijke verwerkt en een beschrijving van de genomen beveiligingsmaatregelen, vast.
Artikel 8 - Doorgifte van persoonsgegevens
1. Verwerker verwerkt de Persoonsgegevens enkel in landen binnen de Europese Unie. Doorgifte van de Persoonsgegevens naar landen buiten de Europese Unie is niet toegestaan.
2. Verwerker meldt Verantwoordelijke binnen welk land of welke landen de Persoonsgegevens worden verwerkt. Dit doet Verwerker ook als de Persoonsgegevens door een Datalek of anderszins abusievelijk in een land terecht zijn gekomen.
Artikel 9 - Geheimhouding
1. Op alle Persoonsgegevens die Verwerker in het kader van deze overeenkomst ontvangt en/of verzamelt, rust een geheimhoudingsplicht jegens derden. Verwerker en alle personen in dienst van, dan wel werkzaam ten behoeve van Verwerker, zijn verplicht tot geheimhouding van de Persoonsgegevens.
2. Verwerker draagt er zorg voor dat alle mensen die voor Verwerker werkzaam zijn verplicht worden tot geheimhouding.
3. Deze geheimhoudingsplicht is niet van toepassing indien in deze overeenkomst anders is bepaald en/of voor zover een wettelijk voorschrift of vonnis tot enige bekendmaking verplicht.
4. Verwerker zal Verantwoordelijke onmiddellijk op de hoogte stellen van ieder verzoek tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de Persoonsgegevens in strijd met de in dit artikel opgenomen geheimhoudingsplicht. Xxxxxxxxx doet dit uiterlijk binnen 24 uur na ontdekking van de schending van de geheimhouding.
Artikel 10 - Duur en beëindiging
1. Deze verwerkersovereenkomst is geldig zolang Verwerker de opdracht heeft van Verantwoordelijke om Xxxxxxxx te verwerken op grond van de Overeenkomst tussen Verantwoordelijke en Verwerker. Zolang door Verwerker Werkzaamheden worden verricht ten behoeve van Verantwoordelijke is deze verwerkersovereenkomst op deze relatie van toepassing.
2. Wijziging van deze verwerkingsovereenkomst kan slechts schriftelijk plaatsvinden middels een door beide partijen geaccordeerd voorstel.
3. Partijen kunnen deze overeenkomst per aangetekende brief tussentijds opzeggen met een opzegtermijn van 1 maand.
4. Als deze overeenkomst eindigt of wordt ontbonden blijft het bepaalde in deze overeenkomst met betrekking tot geheimhouding, aansprakelijkheid, vrijwaring en alle overige bepalingen die naar hun aard bestemd zijn om ook na beëindiging of ontbinding van deze overeenkomst voort te duren, van kracht.
5. Verwerkingsverantwoordelijke en verwerker treden met elkaar in overleg over wijzigingen in deze verwerkingsovereenkomst als een wijziging in regelgeving of een wijziging in de uitleg van regelgeving daartoe aanleiding geven.
6. Indien een partij tekortschiet in de nakoming van een overeengekomen verplichting, kan de andere partij haar in gebreke stellen waarbij de nalatige partij alsnog een redelijke termijn voor de nakoming wordt gegund. Blijft nakoming ook dan uit dan is de nalatige partij in verzuim. Ingebrekestelling is niet nodig wanneer voor de nakoming een fatale termijn geldt, nakoming blijvend onmogelijk is of indien uit een mededeling dan wel de houding van de andere partij moet worden afgeleid dat deze in de nakoming van haar verplichting zal tekortschieten.
7. Partijen kunnen deze overeenkomst met onmiddellijke ingang opzeggen per aangetekende brief, in geval van:
a. aanvraag door of verlening van surseance van betaling aan de andere partij;
b. aanvraag van faillissement door of faillietverklaring van de andere partij; of
c. liquidatie van de andere partij of niet tijdelijke stopzetting van de onderneming van de andere partij.
d. Sprake is van een ingrijpende wijziging in de zeggenschap over de activiteiten van de onderneming van Xxxxxxxxx die maakt dat het in alle redelijkheid niet van de Verantwoordelijke kan worden verwacht dat zij de verwerkingsovereenkomst in stand houdt; of
e. Op een aanmerkelijk deel van het vermogen van verwerker beslag wordt gelegd (anders dan door Verantwoordelijk); of
f. De andere partij aantoonbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze verwerkingsovereenkomst en die ernstige toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling dan wel een van de overige situaties bedoeld in artikel 10 lid 6 zich voordoet.
Artikel 11 - Vernietiging
1. Verwerker stelt alle Persoonsgegevens op eerste verzoek van Verantwoordelijke, maar uiterlijk binnen tien werkdagen na het einde van deze overeenkomst of de Opdracht, ter beschikking aan Verantwoordelijke.
2. Verwerker is verplicht alle Persoonsgegevens op eerste verzoek van Verantwoordelijke volledig en onherroepelijk te verwijderen.
3. Zodra na het einde van deze overeenkomst vaststaat dat Verantwoordelijke alle Persoonsgegevens in een door Verantwoordelijke schriftelijk geaccepteerd formaat bezit, verwijdert Verwerker alle Persoonsgegevens volledig en onherroepelijk binnen veertien dagen.
4. Verwerker kan afwijken van het bepaalde in lid 1 en 2 van dit artikel, voor zover ten aanzien van Persoonsgegevens een wettelijke bewaartermijn zou gelden of voor zover dat noodzakelijk is om tegenover Verantwoordelijke nakoming van zijn verbintenissen te bewijzen.
Artikel 12 - Aansprakelijkheid
Verwerker is aansprakelijk voor en vrijwaart Verantwoordelijke voor alle schade veroorzaakt door Verwerker voortvloeiende uit het niet nakomen van deze overeenkomst alsmede verband houdende met overtreding door Verwerker van de AVG en/of andere toepasselijke wet- en regelgeving.
Artikel 13 - Controle
1. Verantwoordelijke is gerechtigd de naleving van het bepaalde in deze overeenkomst ten hoogste eenmaal per jaar te controleren. Verantwoordelijke kan de controle na toestemming van Xxxxxxxxx daartoe zelf doen of kan het laten uitvoeren door een onafhankelijke registeraccountant, registerinformaticus of andere daartoe gecertificeerde auditor.
2. Verantwoordelijke draagt de kosten van controle met uitzondering van de kosten van het personeel van Verwerker dat de controle begeleidt. Indien uit de controle blijkt dat Verwerker materieel tekortschiet in de nakoming van deze overeenkomst, komen alle kosten voor rekening van Xxxxxxxxx, onverminderd de overige rechten van Verantwoordelijke. Indien Verwerker tekortschiet, maar de tekortkoming niet materieel is, zal Verwerker die tekortkoming op zo kort mogelijke termijn herstellen.
3. Verantwoordelijke zal de controle minimaal tien dagen voor aanvang schriftelijk aankondigen aan Verwerker, voorzien van een omschrijving op welke onderdelen de controle ziet en het controleproces.
4. Indien Verwerker zelf de naleving van deze overeenkomst laat controleren door een onafhankelijke daartoe gecertificeerde partij, verstrekt Verwerker daarvan de eindresultaten aan Verantwoordelijke.
Artikel 14 - Ongeldigheid
Indien een bepaling van deze overeenkomst nietig dan wel onverbindend mocht blijken te zijn, blijven Partijen gebonden aan de overige bepalingen van deze overeenkomst. Partijen zullen de nietige dan wel onverbindende bepaling(en) vervangen door een bepaling die wel verbindend is en waarvan de strekking zoveel mogelijk dezelfde is als die van de te vervangen bepaling(en), rekening houdend met het oogmerk van deze overeenkomst.
Artikel 15 - Overig
1. Deze overeenkomst kan alleen schriftelijk worden gewijzigd door de Partijen.
2. Verwerker is niet gerechtigd de nakoming van zijn verplichtingen uit deze overeenkomst op te schorten, te verrekenen of afhankelijk te stellen van enige actie of verklaring van Verantwoordelijke. Verzuim van Verantwoordelijke bij de Opdracht of vernietiging van de overeenkomst op basis waarvan de Opdracht wordt uitgevoerd, kan op geen enkele manier leiden tot het niet nakomen van de verplichtingen van Verwerker onder deze overeenkomst.
3. Deze overeenkomst prevaleert boven alle overige overeenkomsten tussen Verantwoordelijke en Verwerker.
Artikel 16 - Toepasselijk recht en forumkeuze
1. Deze overeenkomst, en alle niet-contractuele rechten en verplichtingen daaruit voortvloeiende, worden in alle opzichten beheerst door het Nederlands recht.
2. Alle geschillen tussen Partijen welke mochten ontstaan naar aanleiding van deze overeenkomst, dan wel van overeenkomsten die daarvan het gevolg zijn, zullen in eerste instantie worden beslecht door de bevoegde rechter van Rechtbank Gelderland.
Kesteren, 22 mei 2018
ir. X.Xx. Xxxxx, directeur Omedi diagnostisch medisch adviescentrum
BIJLAGE
1. Categorieën en soorten persoonsgegevens
Van de volgende categorieën personen of entiteiten worden gegevens vastgelegd:
• Klanten van Omedi Medisch Diagnostisch Adviescentrum;
• Relaties van de klanten van Omedi Medisch Diagnostisch Adviescentrum. Dit betreft bedrijfsgegevens of werkgeversgegevens;
• Werknemers werkzaam bij de klanten van Omedi Medisch Diagnostisch Adviescentrum of werknemers werkzaam bij de relaties van de van klanten van Omedi Medisch Diagnostisch Adviescentrum;
• Bedrijfsartsen of bedrijfsartsen in opleiding die werkzaamheden verrichten ten behoeve van de klanten van Omedi Medisch Diagnostisch Adviescentrum.
Soorten persoonsgegevens:
• NAW gegevens;
• Geboortedatum;
• BSN (alleen in relatie tot medische zorg of UWV);
• Emailadres;
• Geslacht;
• Telefoon en mobiele nummer;
• Gegevens over verzuim;
• Gegevens over de arbeidsrelatie;
• Gegevens over de arbeidsomstandigheden;
• Gegevens over de arbeidsongeschiktheid;
• Gegevens over de arbeidsmogelijkheden en re-integratie.
2. Wijze van verwerking en gebruiks- en bewaartermijnen
Daar waar verwerker of de bedrijfsartsen die werken voor verwerker, gebruik maken van Dossiermanager:
Dossiermanager is een product van Medisoft (xxx.xxxxxxxxxxxxxx.xx).
Dossiermanager is lokaal geïnstalleerd op een server maakt voor de technische ondersteuning gebruik van een extern automatiseringsbedrijf.
Verwerker verzorgt of laat de volgende werkzaamheden verzorgen:
- Onderhoud van de applicatie Dossiermanager waaronder mede valt het zorgdragen voor voldoende beschikbaarheid van de applicatie en de diverse modules zoals koppelingen met medische apparatuur en het werknemersportaal;
- Het registreren en bewaken van de koppelingen van Dossiermanager met andere applicaties, servers en hardware;
- Het maken van back-ups zowel remote als binnen het datacenter – database, software en configuratie koppelingen, dagelijkse back-up van de data. Deze data worden binnen het datacenter bewaard. Uit voorzorg wordt er ook een kopie van de dagelijkse back-up elders bewaard.
- Applicatiebeheer zoals de koppelingsservice tussen Dossiermanager en externe applicaties op gebied van afspraken en rapportages, programmabeheer, onderhoud programma.
- Technisch beheer zoals het onderhouden van het programma Dossiermanager, beveiliging van de verbindingen, onderhoud van servers, software licenties, anti virus beveiliging.
- Database beheer behelst o.a. het besturen en beheersen van de kwaliteit en kwantiteit van opgeslagen data, de database integriteit. Dit betreft o.a. het bijeenhouden van data in digitale dossiers en het voorkomen van ongeautoriseerde toegang tot die data;
- Toegangsbeheer gericht op het voorkomen van ongeautoriseerde toegang tot gegevens
- Helpdesk activiteiten zoals het uitvoeren van een probleemanalyse en diagnose gericht op bieden van programma ondersteuning en het oplossen van storingen en account blokkades;
- De in- en externe communicatie zoals de inrichting van het berichtenverkeer, afhandelen van klachten, beantwoorden van vragen;
- Archiefbeheer volgens de geldende termijn;
- Vernietiging van gegevensdragers volgens de geldende termijn;
- Printing, scanning, kopiëren binnen een beveiligde kantoor omgeving voor zover het Omedi betreft.
3. Doeleinden en de middelen van verwerking
Inhoudelijke werkzaamheden die namens de verwerkingsverantwoordelijke worden uitgevoerd zoals:
- Het faciliteren van het plannen van afspraken van werknemers met bedrijfsartsen;
- Het faciliteren van de vastlegging van de resultaten van bedrijf medisch onderzoek;
- Het faciliteren van de rapportage van de uitkomsten van bedrijf medisch onderzoek aan werknemer en werkgever in het kader van de het verzuimbeleid, de Ziektewet (ZW), Wet werk en inkomen naar Arbeidsvermogen (WIA), Wet op Arbeidsongeschiktheidsverzekering (WAO), de Wet verbetering Poortwachter, Preventief.
- Het faciliteren van de rapportage van de uitkomsten van bedrijf medisch onderzoek aan het UWV in het kader van de Ziektewet (ZW), Wet werk en inkomen naar Arbeidsvermogen (WIA), Wet op Arbeidsongeschiktheidsverzekering (WAO), de Wet verbetering Poortwachter.