Verwerkersovereenkomst

In deze verwerkersovereenkomst leggen de Partijen vast wat over en weer de rechten, plichten, rollen en verantwoordelijkheden zijn met betrekking tot het veilig en rechtmatig verwerken van persoonsgegevens. De Partijen geven met deze verwerkersovereenkomst invulling aan hun verplichtingen onder de Algemene Verordening Gegevensbescherming (AVG). De ondertekenden:

  1. [uw bedrijf], gevestigd te [uw locatie], in deze rechtsgeldig vertegenwoordigd door [uw naam] (hierna: “Verwerkingsverantwoordelijke”); en
  2. Madeware, gevestigd te Bilthoven, in deze rechtsgeldig vertegenwoordigd door Dhr. S.J.A.R. Lambert (hierna “Verwerker”).

Artikel 1. Doeleinden van verwerking

  1. Verwerker verbindt zich om onder de voorwaarden van deze verwerkersovereenkomst persoonsgegevens te verwerken in opdracht van Verwerkingsverantwoordelijke. Verwerking vindt uitsluitend plaats in het kader van de ondersteunende rol die Verwerker in opdracht van Verwerkingsverantwoordelijke uitvoert plus de doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.
  2. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.
  3. De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.
  4. Verwerker zal de persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze verwerken en in overeenstemming met de op haar als Verwerker rustende verplichtingen op grond van de AVG, voor zover nog van toepassing de Wbp, en overige wet- en regelgeving. Verwerker zal in dat kader ten minste een register van verwerkingen aanleggen als bedoeld in artikel 30 AVG.
  5. In bijlage 1 is het verwerkingsregister opgenomen met de soorten persoonsgegevens, de doeleinden van verwerking en de categorieën van betrokkenen ten aanzien van de verwerkingen die Verwerker zal uitvoeren.

Artikel 2. Verplichtingen Verwerker

  1. Ten aanzien van de in artikel 1 genoemde verwerkingen draagt Verwerker zorg voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de Algemene Verordening Gegevensbescherming (AVG).
  2. Verwerker zal Verwerkingsverantwoordelijke, op eerste verzoek van Verwerkingsverantwoordelijke daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
  3. De verplichtingen van Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
  4. Verwerker zal Verwerkingsverantwoordelijke in kennis stellen indien naar haar mening een instructie van Verwerkingsverantwoordelijke in strijd is met de in lid 1 bedoelde wetgeving.

Artikel 3. Doorgifte van persoonsgegevens

  1. Verwerker zal, tenzij zij hiervoor voorafgaande schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, geen persoonsgegevens verwerken of laten verwerken door haarzelf of door derden in landen buiten de Europese Economische Ruimte (“EER”).
  2. Verwerker zal op verzoek van Verwerkingsverantwoordelijke melden in welk land of welke landen de persoonsgegevens zijn opgeslagen.

Artikel 4. Verdeling van verantwoordelijkheid

  1. Verwerker is enkel en alleen verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verwerkingsverantwoordelijke. Verwerker is uitdrukkelijk niet verantwoordelijk voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen de verzameling van de persoonsgegevens door Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden.
  2. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.

Artikel 5. Inschakelen van subverwerkers

  1. Verwerker mag bij de verwerking van persoonsgegevens voor Verwerkingsverantwoordelijke gebruik maken van subverwerkers. Verwerker zorgt ervoor dat deze subverwerkers schriftelijk ten minste dezelfde plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen.
  2. Verwerker staat in voor een correcte naleving van de plichten uit deze Verwerkersovereenkomst door subverwerkers en is bij fouten van deze subverwerker zelf aansprakelijk voor de schade die de subverwerker heeft veroorzaakt, alsof Verwerker zelf de fout(en) heeft begaan.

Artikel 6. Beveiliging

  1. Verwerker zal zich inspannen om voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
  2. Verwerker kan niet garanderen dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, zal Verwerker zich inspannen de beveiliging te laten voldoen aan een niveau dat redelijk is gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de kosten verbonden aan de te treffen beveiliging.
  3. Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.

Artikel 7. Meldplicht

  1. Verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor het melden van een beveiligingslek en/of datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een kans op nadelige gevolgen of die nadelige gevolgen heeft voor de bescherming van persoonsgegevens) aan de toezichthouder en/of betrokkenen. Om Verwerkingsverantwoordelijke in staat te stellen aan deze wettelijke plicht te voldoen, stelt Verwerker Verwerkingsverantwoordelijke op de hoogte van het beveiligingslek en/of het datalek binnen 48 uur nadat het lek bij haar bekend is geworden.
  2. De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest. Daarnaast behelst de meldplicht:
    • Wat de (vermeende) oorzaak is van het lek
    • Wat het (vooralsnog bekende en/of te verwachten) gevolg is
    • Wat de (voorgestelde) oplossing is
    • Welke rechten de betrokkene heeft
    • Contactgegevens voor de opvolging van de melding
    • Wie geïnformeerd is (zoals betrokkene zelf, Verwerkingsverantwoordelijke, toezichthouder)

Artikel 8. Geheimhouding en vertrouwelijkheid

  1. Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.
  2. Deze geheimhoudingsplicht is niet van toepassing in de volgende gevallen:
    • Verwerkingsverantwoordelijke heeft uitdrukkelijk toestemming gegeven om de informatie aan derden te verschaffen,
    • Het verstrekken van de informatie aan derden is logischerwijs noodzakelijk gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst,
    • Er is een wettelijke verplichting om de informatie aan een derde te verstrekken.

Artikel 9. Afhandeling verzoeken van betrokkenen

  1. Als een betrokkene (bv. de patiënt) een verzoek richt aan Verwerkingsverantwoordelijke en/of Verwerker tot inzage, verbetering, aanvulling, wijziging of afscherming, zoals bedoeld in de AVG (= GDPR), handelen Partijen het verzoek van de betrokkene in onderling overleg af. Verwerkingsverantwoordelijke blijft in dat geval eindverantwoordelijk voor de afhandeling.

Artikel 10. Aansprakelijkheid

  1. Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen.
  2. Verwerker is aansprakelijk voor directe schade die Verwerkingsverantwoordelijke lijdt als gevolg van het niet nakomen door Verwerker (van de strekking) van de Verwerkersovereenkomst.
  3. De aansprakelijkheid van Verwerkingsverantwoordelijke tegen derden, voor directe schade als gevolg van aan Verwerker toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins van Verwerker, is door Verwerkingsverantwoordelijke uitgesloten. Deze schade is voor rekening van Verwerker.
  4. Onder directe schade wordt verstaan alle schade bestaande uit:
    1. Schade direct toegebracht aan stoffelijke zaken (‘zaakschade’);
    2. Redelijke en aantoonbare kosten om Verwerker ertoe te manen de Verwerkersovereenkomst (weer) deugdelijk na te komen;
    3. Redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover die betrekking hebben op de directe schade zoals hier bedoeld is; en
    4. Redelijke en aantoonbare kosten die Verwerkingsverantwoordelijke heeft gemaakt ter voorkoming of beperking van de directe schade, veroorzaakt door Verwerker, zoals in dit artikel bedoeld.
  5. De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten.

Artikel 11. Duur en beëindiging

  1. Deze Verwerkersovereenkomst komt tot stand door ondertekening van Verwerkingsverantwoordelijke en op de datum van elke laatste ondertekening.
  2. Deze Verwerkersovereenkomst kent dezelfde looptijd als de MadeWare Gebruiksovereenkomst.
  3. Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, dan verwijdert of vernietigt Verwerker alle persoonsgegevens die bij haar aanwezig zijn en onder de verwerkersopdracht vallen, en eventuele kopieën daarvan, waarbij Verwerker de wettelijke bewaartermijnen die mogelijk voor haar gelden, in acht neemt.
  4. Verwerker is gerechtigd deze Verwerkersovereenkomst van tijd tot tijd te herzien. Zij zal minimaal drie maanden van tevoren mededeling doen van de wijzigingen aan Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke mag opzeggen tegen het einde van deze drie maanden indien zij niet akkoord kan gaan met de wijzigingen.

Artikel 12. Toepasselijk recht en geschillenbeslechting

  1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
  2. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Verwerker gevestigd is.

Verwerkersovereenkomst

Vul hier uw gegevens in en download uw persoonlijke verwerkersovereenkomst met MadeWare

Bijlage 1. Verwerkingsregister

Deze bijlage 1 maakt integraal onderdeel uit van de Verwerkersovereenkomst tussen Partijen. In dit verwerkingsregister is opgenomen welke soorten persoonsgegevens Verwerker ten behoeve van Verwerkingsverantwoordelijke zal verwerken, voor welke doeleinden de persoonsgegevens verwerkt zullen worden en op welke categorieën betrokkenen de persoonsgegevens betrekking hebben.

Soorten persoonsgegevens In het kader van haar dienstverlening en de Verwerkersovereenkomst kan Verwerker ten behoeve van Verwerkingsverantwoordelijke de volgende soorten persoonsgegevens verwerken:

  • NAW-gegevens;
  • Telefoonnummer;
  • E-mailadres;
  • Geboortedatum;
  • Geslacht;
  • Burgerservicenummer (BSN);
  • NAW-gegevens relatie van de patiënt;
  • Afspraakgegevens;
  • Gegevens van de huisarts;
  • Gegevens van de zorgverlener.;
  • Praktijkgegevens;
  • Sinds wanneer iemand klant is;
  • Gezondheidsgegevens (waaronder medische voorgeschiedenis, gebruik medicatie, medische hulpmiddelen, operaties, gegevens over klachten en behandelingen);
  • Gegevens betreffende de zorgverzekering van betrokkene;
  • Financiële gegevens;
  • Overige persoonsgegevens die Verwerkingsverantwoordelijke ter verwerking beschikbaar stelt aan Verwerker.
Doeleinden van verwerking Verwerking zal uitsluitend plaatsvinden in het kader van de volgende doeleinden:

  • Clouddiensten van Verwerkingsverantwoordelijke;
  • Onderhoud aan databases;
  • Het voeren van klantcontact en het verlenen van support ten behoeve van Verwerkingsverantwoordelijke;
  • Het leveren van en verlenen van toegang tot, een patiënten-portaal;
  • Conversie van gegevens om deze geschikt te maken voor systemen van Verwerker;
  • Doeleinden die redelijkerwijs met bovengenoemde doeleinden samenhangen of die met nadere instemming worden bepaald.
Betrokkenen De persoonsgegevens die de Verwerker verwerkt hebben betrekking op patiënten en medewerkers van Verwerkingsverantwoordelijke.
Bewaartermijn Zolang als de gebruiksovereenkomst voortduurt
Land van verwerken Nederland
Subverwerkers In het geval van Medikad VPS, ‘IT-gemak’ en ‘TransIP’