Verwerkersovereenkomst
Verwerkersovereenkomst
De ondergetekenden:
Tandarts …………….. , gevestigd aan de [ adres en postcode en plaats ] en
ingeschreven in het Handelsregister onder nummer [ ], hierna te noemen: “Opdrachtgever”;
en
TTL X Xxxxxx Vof ,gevestigd aan Xxx Xxxxxxxxxxxx 0 0000 XX gevestigd in Haarlem en ingeschreven in het Handelsregister onder nummer 54150469, hierna te noemen: “Opdrachtnemer”;
hierna gezamenlijk ook te noemen: “Partijen” en afzonderlijk als “Partij”.
Overwegingen:
(a) Opdrachtgever drijft een tandheelkundige praktijk of een tandtechnisch laboratorium;
(b) Opdrachtnemer is leverancier van tandtechnische producten zoals kronen, bruggen, protheses en implantaten en levert deze producten van tijd tot tijd aan Opdrachtgever op grond van separate opdrachten van Opdrachtgever, hierna te noemen: de “Opdrachten”;
(c) Opdrachtnemer zal bij het uitvoeren van de Opdrachten persoonsgegevens verwerken waarvoor Opdrachtgever verantwoordelijk blijft. Opdrachtnemer verwerkt de persoonsgegevens uitsluitend in opdracht van Opdrachtgever en niet voor eigen doeleinden. Op deze gegevensverwerking zijn de bepalingen van de Algemene Verordening Gegevensbescherming (EU 2016/679), hierna te noemen: de “AVG”, van toepassing;
(d) Partijen wensen door middel van deze overeenkomst, hierna te noemen: de “Verwerkers overeenkomst”, afspraken vast te leggen met betrekking tot de verwerking van persoonsgegevens in het kader van de te verlenen diensten conform artikel 28 lid 3 AVG;
(e) voor zover van toepassing, vervangt deze Verwerkers overeenkomst de eventuele eerdere overeenkomst(-en) van gelijke strekking die tussen Partijen zijn gesloten.
Zijn als volgt overeengekomen:
Artikel 1. Definities
1.1 Begrippen uit de AVG, zoals “verwerken”, “persoonsgegevens”, “verwerkingsverantwoordelijke” en “verwerker”, hebben de betekenis die daaraan is gegeven in de AVG.
Artikel 2. Onderwerp van deze Verwerkers Overeenkomst
2.1 Opdrachtnemer verwerkt voor de uitvoering van de Opdrachten ten behoeve van Opdrachtgever persoonsgegevens. Een overzicht van de categorieën persoonsgegevens en de doeleinden waarvoor de persoonsgegevens ten behoeve van Opdrachtgever orden verwerkt, is opgenomen in Annex 1.
Artikel 3. Uitvoering verwerking
3.1 Opdrachtnemer zal optreden als Verwerker en Opdrachtgever als Verwerkingsverantwoordelijke in de zin van de AVG.
3.2 Opdrachtnemer garandeert dat zij ten behoeve van Opdrachtgever uitsluitend persoonsgegevens zal verwerken voor zover dit noodzakelijk is voor de uitvoering van de Opdrachten. Overige verwerkingen zullen uitsluitend worden uitgevoerd in expliciete opdracht van Opdrachtgever of als daartoe een wettelijke verplichting bestaat na informeren van en onder verantwoordelijkheid van Opdrachtgever. In geen geval zal Opdrachtnemer persoonsgegevens verwerken voor eigen doeleinden.
3.3 Opdrachtnemer zal alle redelijke verzoeken en/of instructies van Opdrachtgever in verband met de verwerking van de persoonsgegevens opvolgen. Opdrachtnemer stelt Opdrachtgever onmiddellijk op de hoogte indien naar haar oordeel verzoeken of instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van persoonsgegevens.
3.4 Opdrachtnemer zal de persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met de op haar als Verwerker op grond van de AVG en overige wetgeving rustende verplichtingen verwerken. Indien er sprake is van het verwerken van bijzondere persoonsgegevens volgens artikel 9 AVG, zal Opdrachtnemer zich tevens houden aan de bepalingen van boek 7, titel 7, afdeling 5 Burgerlijk Wetboek, indien deze van toepassing zijn op Opdrachtgever.
3.5 Opdrachtnemer zal, tenzij zij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Opdrachtgever, geen persoonsgegevens verwerken of laten verwerken door haarzelf of door derden in landen buiten de Europese Economische Ruimte (“EER”). Opdrachtnemer stelt de in Annex 4 genoemde contactpersoon van Opdrachtgever onmiddellijk schriftelijk op de hoogte van alle (geplande) permanente of tijdelijke doorgiftes van persoonsgegevens naar een land buiten de Europese Economische Ruimte en zal pas uitvoering geven aan dergelijke geplande doorgiftes na schriftelijke toestemming van Opdrachtgever. Opdrachtgever heeft te allen tijde het recht om aanvullende voorwaarden te verbinden aan haar toestemming voor een dergelijke verwerking.
3.6 Opdat Opdrachtnemer de producten en diensten op grond van de Opdrachten kan leveren, kunnen, in afwijking van het bepaalde in artikel 3.5, persoonsgegevens worden verwerkt door een sub-verwerker van Opdrachtnemer buiten de EER, namelijk een entiteit gevestigd in de Xxxxxxxxxxxxxx Xxxxx. Aan deze entiteit worden geen persoonsgegevens verstrekt anders dan de gebitsafdrukken van patiënten. Omdat deze verwerking valt onder de EER-beperkingen op doorgifte van persoonsgegevens, zal Opdrachtnemer een verwerkers overeenkomst sluiten met deze entiteit en wordt de ongewijzigde door de EU goedgekeurde versie van een modelcontract (zonder facultatieve clausules) door verwijzing opgenomen in dit document en zijn deze bedingen op de verwerking van toepassing. Door ondertekening van deze Verwerkers overeenkomst verleent Opdrachtgever toestemming aan Opdrachtnemer om de gebitsafdrukken van patiënten aan de genoemde entiteit te verstrekken.
3.7 Onverminderd enige andere contractuele geheimhoudingsverplichting die op Opdrachtnemer rust, garandeert Opdrachtnemer dat zij alle persoonsgegevens als strikt vertrouwelijk zal behandelen en dat zij al haar werknemers, vertegenwoordigers en/of onderaannemers (“sub-verwerkers”) die betrokken zijn bij de verwerking van persoonsgegevens, ook van deze geheimhoudingsverplichting op de hoogte zal stellen.
3.8 Opdrachtnemer zal, binnen haar invloedsfeer, haar volledige, tijdige en kosteloze medewerking verlenen aan Opdrachtgever om:
(i) na goedkeuring van en in opdracht van Opdrachtgever betrokkenen toegang te laten krijgen tot de hen betreffende persoonsgegevens;
(ii) persoonsgegevens te verwijderen of te corrigeren;
(iii) aan te tonen dat persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect zijn (of, ingeval Opdrachtgever het er niet mee eens is dat persoonsgegevens incorrect zijn, het feit vast te leggen dat de betrokkene zijn persoonsgegevens als incorrect beschouwt);
(iv) de betreffende persoonsgegevens aan Opdrachtgever dan wel aan een door de Opdrachtgever aangewezen derde te verstrekken in een gestructureerde, gangbare en machine leesbare vorm en;
(v) Opdrachtgever anderszins in de gelegenheid te stellen om aan haar verplichtingen onder de AVG of andere toepasselijke wetgeving op het gebied van verwerking van persoonsgegevens te voldoen.
Artikel 4. Beveiliging persoonsgegevens & controle
4.1 Opdrachtnemer zal passende technische en organisatorische beveiligingsmaatregelen nemen die op grond van de AVG, waaronder in ieder geval artikel 32 AVG, vereist zijn.
4.2 Opdrachtnemer heeft te allen tijde een passend en geschreven beveiligingsbeleid voor de verwerking van persoonsgegevens. Een beschrijving van de minimaal te treffen beveiligingsmaatregelen en te hanteren normen is opgenomen in Annex 2 bij deze Verwerkers overeenkomst.
4.3 Opdrachtgever heeft het recht toe te laten zien op de naleving van de hiervoor onder artikel 4.1 en
4.2 van deze Verwerkers overeenkomst genoemde maatregelen door een onafhankelijke, deskundige derde partij. Opdrachtnemer stelt Opdrachtgever, indien Opdrachtgever daarom verzoekt, hiertoe in elk geval eenmaal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip en verder indien Opdrachtgever daar aanleiding toe ziet naar aanleiding van (vermoeden van) informatie- of privacy-incidenten. Opdrachtnemer zal eventuele door Opdrachtgever naar aanleiding van een dergelijke controle in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.
4.4 Opdrachtnemer zal in alle redelijkheid aan het onder artikel 4.3 van deze Verwerkers overeenkomst bedoelde onderzoek haar medewerking verlenen.
4.5 Kosten voortvloeiende uit een onderzoek als bedoeld onder artikel 4.3 van deze Verwerkers overeenkomst zijn voor rekening van Opdrachtgever, daaronder uitdrukkelijk niet inbegrepen is een vergoeding voor de tijd die Opdrachtnemer moet inzetten voor het uitvoeren van dit onderzoek. Voor zover uit het onderzoek naar voren komt dat Opdrachtnemer aanpassingen zal moeten doen die noodzakelijk zijn voor de naleving van de verplichtingen uit deze Verwerkers overeenkomst, komen de daarmee gepaard gaande kosten voor rekening van Opdrachtnemer.
4.6 Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Opdrachtnemer zal daarom de maatregelen zoals geïmplementeerd op basis van dit artikel 4 voortdurend evalueren en verscherpen, aanvullen of verbeteren om te blijven voldoen aan haar verplichtingen onder dit artikel.
Artikel 5. Monitoring beveiliging en afspraken bij datalekken
5.1 Opdrachtnemer zal actief monitoren op inbreuken op de beveiligingsmaatregelen en over de resultaten van de monitoring, voor zover relevant voor Verwerkingsverantwoordelijke, in overeenstemming met dit artikel 5 rapporteren aan Opdrachtgever.
5.2 Zodra zich een incident met betrekking tot de verwerking van de persoonsgegevens voordoet, heeft voorgedaan of zou kunnen voordoen, is Opdrachtnemer verplicht Opdrachtgever daarvan
onverwijld, doch binnen 72 uur na ontdekking, in kennis te stellen en daarbij alle relevante informatie te verstrekken om aan de verplichtingen uit artikel 33 AVG te kunnen voldoen, waaronder in ieder geval:
(i) de aard van het incident;
(ii) het risico dat gegevens onrechtmatig verwerkt zijn of kunnen worden;
(iii) de (mogelijk) getroffen gegevens en tot welke categorie die gegevens behoren;
(iv) de (mogelijk) getroffen betrokkenen;
(v) de geconstateerde en vermoedelijke gevolgen van het incident;
(vi) de maatregelen die getroffen zijn of zullen worden om het incident op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken.
5.3 Opdrachtnemer is, onverminderd de overige verplichtingen uit dit artikel, verplicht om de eventuele negatieve gevolgen die voortvloeien uit een incident zo snel mogelijk ongedaan te
maken dan wel de verdere gevolgen te minimaliseren. Opdrachtnemer en Opdrachtgever treden hierover met elkaar in overleg om nadere afspraken te maken.
5.4 Opdrachtnemer zal Opdrachtgever te allen tijde haar medewerking verlenen en zal de instructies van Opdrachtgever opvolgen, met als doel Opdrachtgever in staat te stellen een
deugdelijk onderzoek te verrichten naar het incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het incident, waaronder begrepen het informeren van de Autoriteit persoonsgegevens (AP) en/of een andere toezichthouder en/of de betrokkene zoals bedoeld in artikel 5.7 van deze Verwerkers overeenkomst.
5.5 Onder “incident” wordt in elk geval het volgende verstaan:
(a) een klacht of (informatie)verzoek van een natuurlijk persoon via Opdrachtgever, met betrekking tot de verwerking van persoonsgegevens door Opdrachtnemer;
(b) een onderzoek naar of beslaglegging door overheidsfunctionarissen op de persoonsgegevens of een vermoeden dat dit gaat plaatsvinden;
(c) iedere ongeautoriseerde toegang, verwerking, verwijdering, verminking, verlies of enige vorm van onrechtmatige verwerking van persoonsgegevens;
(d) een inbreuk op de beveiliging en/of de vertrouwelijkheid, zoals uiteengezet in artikel 3 en 4 van deze Verwerkers overeenkomst, althans ieder ander incident, die/dat leidt (of mogelijk leidt) tot onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, onbevoegde openbaarmaking van – of toegang tot – de persoonsgegevens, of enige aanwijzing dat een dergelijke inbreuk zal plaatsvinden of heeft plaatsgevonden.
5.6 Meldingen die worden gedaan op grond van dit artikel worden onverwijld gericht aan de in Annex 4 opgenomen contactpersoon van Opdrachtgever of, indien relevant, aan een andere door Opdrachtgever tijdens de duur van deze Verwerkers overeenkomst schriftelijk bekend gemaakte andere werknemer van Opdrachtgever.
5.7 Opdrachtgever zal, indien naar haar oordeel noodzakelijk en zover relevant voor het betreffende incident, betrokkenen en de AP informeren over incidenten. Het is Opdrachtnemer niet toegestaan informatie te verstrekken over incidenten aan betrokkenen of andere derde partijen, behoudens voor zover Opdrachtnemer daartoe wettelijk verplicht is.
5.8 Uitsluitend indien de Opdrachtgever daarvoor uitdrukkelijke toestemming geeft, zal Opdrachtnemer de eerste melding van een incident aan de AP doen. Over deze melding en over de voortgang daarvan, houdt de Opdrachtnemer de Opdrachtgever voortdurend op te hoogte.
Artikel 6. Inschakeling onderaannemers (“sub-verwerkers”)
6.1 Zonder voorafgaande schriftelijke toestemming van Opdrachtgever zal Opdrachtnemer haar activiteiten die (deels) bestaan uit het verwerken van persoonsgegevens of vereisen dat persoonsgegevens verwerkt worden, niet uitbesteden aan een derde partij (“sub-verwerker”).
6.2 Opdrachtnemer zal aan de door haar ingeschakelde derde dezelfde of strengere verplichtingen opleggen als voor haarzelf uit deze Verwerkers overeenkomst en de wet voortvloeien en ziet toe op de naleving daarvan door de derde. De betreffende afspraken met de derde zullen schriftelijk worden vastgelegd. Opdrachtnemer zal Opdrachtgever op verzoek afschrift verstrekken van deze overeenkomst(en) voor zover relevant voor naleving van deze Verwerkers overeenkomst.
6.3 Niettegenstaande de toestemming van Opdrachtgever voor het inschakelen van een derde partij, blijft Opdrachtnemer volledig aansprakelijk jegens Opdrachtgever voor de gevolgen van het uitbesteden van werkzaamheden aan een derde.
6.4 Opdrachtgever geeft hierbij toestemming voor het inschakelen van de in Annex 3 opgenomen sub- verwerker(s) door Opdrachtnemer. Partijen zorgen ervoor dat deze bijlage up to date blijft. Opdrachtnemer zal Opdrachtgever direct informeren wanneer een overeenkomst met een sub- verwerker is beëindigd.
Artikel 7. Aansprakelijkheid
7.1 Opdrachtnemer vrijwaart Opdrachtgever en zal Opdrachtgever gevrijwaard houden van alle vorderingen, procedures of acties tegen Opdrachtgever ingesteld door een bevoegde publieke toezichthouder of individu en die verband houden met het verwerken van persoonsgegevens door Opdrachtnemer en/of sub-verwerkers. Opdrachtnemer vrijwaart Opdrachtgever en zal Opdrachtgever ook gevrijwaard houden van alle vorderingen, procedures of acties tegen Opdrachtgever die voortkomen uit een schending van de verplichting tot het beschermen van persoonsgegevens door Opdrachtnemer en/of sub-verwerkers op grond van deze Verwerkers overeenkomst.
7.2 Opdrachtnemer vrijwaart Opdrachtgever en zal Opdrachtgever gevrijwaard houden van de kosten die verband houden met een schending van de verplichting tot het beschermen van persoonsgegevens door Opdrachtnemer en/of sub-verwerkers op grond van deze Verwerkers overeenkomst, wanneer deze schending is veroorzaakt door of is toe te rekenen aan een tekortkoming door Opdrachtnemer in de nakoming van de Overeenkomst, daarin begrepen de verplichtingen van Opdrachtnemer tot het beschermen van Persoonsgegevens op grond van deze Verwerkers overeenkomst.
7.3 De aansprakelijkheid van Opdrachtnemer voor door Opdrachtgever geleden schade uit hoofde van de artikelen 7.1 en 7.2 en/of gebaseerd op een andere grond of gronden, is te allen tijde beperkt tot
€ 5.000,-- (vijfduizend euro) per gebeurtenis.
Artikel 8. Duur, beëindiging en wijziging
8.1 De duur van deze Verwerkers overeenkomst is gelijk aan de duur van de Opdrachten en de bepalingen hiervan zijn op alle huidige en toekomstige Opdrachten van toepassing.
8.2 Na ondertekening door beide Partijen zal deze Verwerkers overeenkomst onderdeel uitmaken van de Opdrachten en zijn deze beide overeenkomsten onlosmakelijk met elkaar verbonden. Dat wil zeggen dat beëindiging van de Opdrachten, op welke grond dan ook (opzegging/ontbinding), tot gevolg heeft dat deze Verwerkers overeenkomst eveneens op dezelfde grond beëindigd wordt, tenzij Partijen in voorkomend geval anders overeenkomen.
8.3 Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkers overeenkomst voort te duren, blijven na beëindiging daarvan gelden. Tot deze bepalingen behoren
onder meer die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid en toepasselijk recht.
8.4 Ieder der Partijen is gerechtigd de uitvoering van deze Verwerkers overeenkomst en de daarmee samenhangende Opdrachten op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:
(a) de andere Partij wordt ontbonden of anderszins ophoudt te bestaan;
(b) de andere Partij aantoonbaar toerekenbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkers overeenkomst en die toerekenbare tekortkoming niet binnen redelijke en in samenspraak vastgestelde termijn is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;
(c) een Partij in staat van faillissement wordt verklaard of surséance van betaling aanvraagt.
8.5 Opdrachtnemer informeert Opdrachtgever onverwijld indien de situatie dreigt te ontstaan zoals benoemd in het vorige lid van dit artikel onder (c), zodat Opdrachtgever tijdig een besluit kan nemen over het terugvorderen van persoonsgegevens.
8.6 Opdrachtgever is gerechtigd deze Verwerkers overeenkomst en de Opdrachten per direct te ontbinden indien Opdrachtnemer te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de persoonsgegevens worden gesteld. Artikel 9.2 van deze Verwerkers overeenkomst is van overeenkomstige toepassing.
8.7 Wijzigingen van deze Verwerkers overeenkomst zijn uitsluitend geldig indien deze tussen Partijen schriftelijk zijn overeengekomen.
8.8 Partijen zullen deze Verwerkers overeenkomst in ieder geval wijzigen indien daarvoor een aanleiding bestaat op basis van ontwikkelingen in de jurisprudentie en/of relevante wet- en regelgeving.
Artikel 9. Bewaartermijnen, teruggave en vernietiging van persoonsgegevens
9.1 Opdrachtnemer bewaart de persoonsgegevens niet langer dan strikt noodzakelijk voor de doelen als omschreven in Annex 1 en in geen geval langer dan tot het einde van deze Verwerkers overeenkomst of, indien tussen Partijen een bewaartermijn is overeengekomen, niet langer dan deze termijn.
9.2 Bij beëindiging van de Verwerkers overeenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Opdrachtgever zal Opdrachtnemer, naar keuze van Opdrachtgever, kosteloos de persoonsgegevens onherroepelijk vernietigen of teruggeven aan Opdrachtgever. Op verzoek van Opdrachtgever verstrekt Opdrachtnemer bewijs van het feit dat de gegevens vernietigd of verwijderd zijn. Indien teruggave, vernietiging of verwijdering niet mogelijk zijn, stelt Opdrachtnemer Opdrachtgever daarvan onmiddellijk op de hoogte. In dat geval garandeert Opdrachtnemer dat zij de persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
9.3 Bij het einde van de Verwerkers overeenkomst zal Opdrachtnemer alle, bij haar bekende en door haar ingeschakelde derden die betrokken zijn bij het verwerken van persoonsgegevens op de hoogte stellen van de beëindiging van de Verwerkers overeenkomst. De verplichtingen uit artikel 9.2 zijn van overeenkomstige toepassing op deze derden. Opdrachtnemer zal waarborgen dat alle betrokken derden hieraan uitvoering zullen geven.
Artikel 10. Slotbepalingen
10.1 De overwegingen en bijlagen maken onderdeel uit van deze Verwerkers overeenkomst.
10.2 In geval van nietigheid c.q. vernietigbaarheid van één of meer bepalingen uit deze Verwerkers overeenkomst, blijven de overige bepalingen onverkort van kracht.
10.3 Op deze Verwerkers overeenkomst is uitsluitend Nederlands recht van toepassing.
10.4 Eventuele conflicten zullen eerst met elkaar besproken worden waarbij beide Partijen zich inspannen om deze in goed overleg met elkaar op te lossen.
10.5 Geschillen over of in verband met deze Verwerkers overeenkomst worden uitsluitend voorgelegd aan de bevoegde rechter in het arrondissement van Opdrachtgever.
Aldus overeengekomen en ondertekend door:
Opdrachtnemer: Opdrachtgever:
Naam: X.Xxxxxx
J.S.L Abbink-Delhaas Naam:
Functie: Directeur Functie: Tandarts
Plaats: Haarlem Plaats:
Datum: 19-05-2018 Datum:
ANNEX 1: Te verwerken persoonsgegevens en doeleinden
Opdrachtnemer verwerkt namens Opdrachtgever de volgende persoonsgegevens:
• patiëntnamen; ·
• geboortedata;
• geslacht; ·
• foto’s en/of afdrukken van het gebit.
Opdrachtnemer zal de persoonsgegevens voor (uitsluitend) de volgende doeleinden verwerken:
De productie en levering van één of meerdere tandtechnische producten zoals kronen, bruggen, protheses en implantaten aan Opdrachtgever.
ANNEX 2: Beveiligingsmaatregelen
Opdrachtnemer zal tenminste de volgende beveiligingsmaatregelen treffen, teneinde een veilige gegevensverwerking te kunnen waarborgen:
(i) tijdige installatie van beveiligingsupdates en patches ter zake van de gebruikte software;
(ii) logische toegangscontrole, gebruik makend van wachtwoorden;
(iii) fysieke maatregelen voor toegangsbeveiliging;
(iv) het bewaren van de (algemene) Windows logging;
(v) het opstellen van een protocol waarin de handelingen die met betrekking tot persoonsgegevens worden uitgevoerd worden beschreven en de waarborgen die daarbij in acht worden genomen;
(vi) organisatorische maatregelen voor toegangsbeveiliging;
(vii) beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie;
(viii) doelgebonden toegangsbeperkingen;
(ix) controle op toegekende bevoegdheden;
(x) screening van nieuwe medewerkers;
(xi) scholing van medewerkers op het gebied van informatiebeveiliging;
(xii) periodieke risico-inventarisaties en opvolging van de daarbij behorende bevindingen.
ANNEX 3: Sub – verwerker(s)
Opdrachtnemer maakt gebruik van leveranciers die de dienstverlening van Opdrachtnemer aan haar opdrachtgevers faciliteren.
Aan de leveranciers die geen persoonsgegevens verwerken, worden geen eisen gesteld op het gebied van technische en organisatorische maatregelen.
Leveranciers die persoonsgegevens verwerken worden gekwalificeerd als sub-verwerkers. Met deze leveranciers worden door Opdrachtnemer een verwerkers overeenkomsten gesloten waarin de technische en organisatorische maatregelen worden vastgelegd die de sub-verwerker moet treffen om onrechtmatige verwerkingen te voorkomen.
De verwerkers overeenkomst hoeft niet gesloten te worden indien de sub-verwerker kwalificeert als Verwerkingsverantwoordelijke.
De volgende leveranciers worden door Opdrachtnemer ingeschakeld in het primaire proces en ontvangen persoonsgegevens ter verwerking:
Type leverancier: | Toegang en bevoegdheden: |
Producerend lab tandtechniek - China | Geen toegang tot NAW-gegevens, geboortedatum en andere persoonsgegevens van patiënt, enkel een barcode zichtbaar die niet te herleiden is naar de patiënt |
Producerend lab tandtechniek- Nederland | Geen toegang tot gegevens, er worden geen patiëntgegevens gecommuniceerd. Enkel casenummers als zijnde referentie. |
Producerend lab tandtechniek- België | Geen toegang tot gegevens, er worden geen patiëntgegevens gecommuniceerd. Enkel casenummers als zijnde referentie. |
IT - Leverancier bedrijfssoftware t.b.v. planning, productie tandtechniek | Toegang – enkel via teamviewer of via inloggegevens van Abbink tandtechniek. |
ANNEX 4: Contactgegevens
Aanspreekpunt Opdrachtnemer: Aanspreekpunt Opdrachtgever:
Naam: Xxxxxx en Xxxxxxxx Xxxxxx E-mailadres: xxxxxxx@xxxxxxx.xx
Telefoonnummer: 023-5452444