STAPP
Oplegger verwerkersovereenkomst STAPP
STAPP
UMCG Centrum voor Revalidatie heeft de Speech Therapy App (STAPP) ontwikkeld. Logopedisten kunnen patiënten uitnodigen om tijdens de logopedische behandeling of bij het zelfstandig oefenen gebruik te maken van STAPP en daarmee hun herstel te bevorderen. De logopedist kan via een eigen account voor de app de voortgang volgen van de patiënten die hij/zij heeft uitgenodigd.
Wanneer logopedisten STAPP afnemen van het UMCG, verwerkt het UMCG persoonsgegevens voor de logopedist. Het UMCG is in dit geval ‘verwerker’ voor de logopedist, de ‘verwerkingsverantwoordelijke’. Tussen beide partijen dient een verwerkersovereenkomst afgesloten worden voor de duur van de hoofdovereenkomst (de overeenkomst waarin de zorginstelling STAPP afneemt van UMCG).
Voor deze verwerkersovereenkomst wordt de modelovereenkomst van de brancheorganisatie zorg gehanteerd. In deze verwerkersovereenkomst worden afspraken gemaakt over de rechten, plichten en verantwoordelijkheden met betrekking tot het verwerken van persoonsgegeven voor het gebruik van STAPP.
Verwerkte gegevens
Gegevens die UMCG verwerkt om STAPP te kunnen faciliteren zijn de volgende:
Van de zorginstelling:
- Factuurgegevens
- Naam en emailadres contactpersoon (instellingsbeheerder)
Van de behandelend logopedisten:
- Naam en emailadres
- Zorginstelling waarvoor u werkt.
Van de patiënten:
- Naam en emailadres
- Dossiernummer
- Behandelmethode
- Oefengegevens, waaronder de foto’s die de patiënt zelf toevoegt.
Doelbinding
In de verwerkersovereenkomst wordt afgesproken dat UMCG niet meer persoonsgegevens verwerkt dan noodzakelijk is voor de uitvoering van de hoofdovereenkomst. Wanneer het UMCG wettelijk verplicht worden om nadere gegevens te verwerken, stelt het UMCG de zorginstelling hiervan op de hoogte. Daarnaast garandeert UMCG in de verwerkersovereenkomst niet te handelen in strijd met gezondheidswetgeving.
Beveiliging
Het UMCG verplicht zich door middel van de verwerkersovereenkomst aantoonbare, passende en doeltreffende maatregelen te nemen om persoonsgegevens te beschermen. Dit doet het UMCG door slechts de medewerkers toegang te verlenen aan de persoonsgegevens die noodzakelijkerwijze toegang moeten hebben tot de persoonsgegevens en accounts om uitvoering te kunnen geven aan de hoofdovereenkomst. Daarnaast treft het UMCG maatregelen om de integriteit, vertrouwelijkheid en beschikbaarheid van de persoonsgegevens te beschermen.
Meldplicht datalekken
Mocht er desondanks een (mogelijke) inbreuk op de door UMCG verwerkte persoonsgegevens plaatsvinden, meldt het UMCG dat onmiddellijk aan de zorginstelling waarbij het UMCG tevens nadere informatie aan de zorginstelling verstrekt omtrent de aard van het incident, de getroffen persoonsgegevens, de (mogelijke) gevolgen en de genomen of te nemen maatregelen. Vervolgens is de zorginstelling verantwoordelijk voor het beoordelen en melden van het incident bij de Autoriteit Persoonsgegevens.
Verzoeken van betrokkenen
Mocht het UMCG verzoeken met betrekking tot informatie, inzage, wijziging, verwijdering, beperking van de verwerking of om persoonsgegevens over te dragen, of klachten ontvangen, stuurt UMCG het verzoek of de klacht door naar de Zorginstelling. De Zorginstelling is verantwoordelijk voor de afhandeling hiervan.
Subverwerkers
Met toestemming van de Zorginstelling maakt UMCG gebruik van subverwerkers waaronder WildSea
B.V. en Exception B.V. De te nemen beveiligingsmaatregelen zijn uitbesteed aan WildSea B.V. die op hun beurt de hosting van de app hebben uitbesteed aan Exception B.V.. UMCG heeft met zijn subverwerkers dezelfde strenge eisen opgelegd als voortvloeien uit onderhavige verwerkersovereenkomst.
Aansprakelijkheid
In principe zijn partijen ieder verantwoordelijk en aansprakelijk voor hun eigen handelen. In geval van verlies en/of verminking van persoonsgegevens en boetes van de Autoriteit Persoonsgegevens, is de Zorginstelling aansprakelijk tenzij claims, acties aanspraken van derden en boetes van de Autoriteit Persoonsgegevens rechtstreeks voortvloeien uit een toerekenbare tekortkoming van UMCG of zijn subverwerkers in zijn verplichtingen onder de verwerkersovereenkomst of schending van wetgeving op het gebied verwerkingen van persoonsgegevens.
Bewaartermijnen, teruggave en vernietiging
UMCG verplicht zich persoonsgegevens niet langer te bewaren dan strikt noodzakelijk. Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van de Zorginstelling zal UMCG tegen redelijke kosten de persoonsgegevens onherroepelijk vernietigen of teruggeven aan de Zorginstelling.