Voor het verwerken van gegevens voor actieve abonnementhouders volgen wij de Nederlandse en Europese regelgeving.
Wij verwerken gegevens gerelateerd aan de ICT volwassenheid van uw organisatie. Het verrichten van deze diensten brengt met zich mee dat mogelijk persoonsgegevens worden verwerkt. Door het aangaan van een abonnement bent u in formele zin opdrachtgever (hierna “Opdrachtgever”). SpinDok BV (hierna “Opdrachtnemer”) is de verwerkingsverantwoordelijke voor deze persoonsgegevens en geldt als verwerker van deze persoonsgegevens. De onderliggende afspraken en verantwoordelijkheden zijn als volgt:
ARTIKEL 1 Definities
1.1 In dit afspraken overzicht hebben de volgende (onderstreepte) begrippen de daaropvolgende betekenis:
a.) Aanvullende Nationale Wetgeving: elke wetgeving met betrekking tot de verwerking van persoonsgegevens in een lidstaat van de EU, waar de verwerkingsverantwoordelijke aan is onderworpen vanaf 25 mei 2018, naast de Privacy verordening.
b.) Diensten: de diensten die door Opdrachtnemer voor Opdrachtgever worden verricht voor het verwerken van gegevens.
c.) Dienstverleningsafspraken: deze afspraken tussen Opdrachtnemer en Opdrachtgever die betrekking heeft op het verrichten van Diensten.
d.) Implementatiewetgeving: de toepasselijke nationale wetgeving die in het betreffende land van toepassing is op de verwerking van persoonsgegevens in het kader van de Diensten, waaronder de wetgeving die is geïmplementeerd om uitvoering te geven aan de Privacy richtlijn.
e.) Privacy richtlijn: Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
f.) Privacy verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
g.) Inbreuk: tot 25 mei 2018 zoals gedefinieerd in de Implementatiewetgeving, althans bij gebreke daarvan de Inbreuk In Verband Met Persoonsgegevens zoals gedefinieerd in de Privacy verordening en vanaf 25 mei 2018 de Inbreuk In Verband Met Persoonsgegevens zoals gedefinieerd in de Privacy verordening . Voor Nederland wordt tot 25 mei 2018 de “inbreuk op de beveiliging” zoals bedoeld in artikel 34a Wet bescherming persoonsgegevens als Inbreuk beschouwd.
h.) Sub-Verwerker: iedere derde partij die door Opdrachtnemer is betrokken bij de verwerking van persoonsgegevens in het kader van de Diensten.
i.) Toepasselijke Privacy Wetgeving: de Privacy verordening en de Aanvullende Nationale Wetgeving van de betreffende EU landen.
1.2 Elk begrip dat hier niet is gedefinieerd, maar dat wel is gedefinieerd in de Toepasselijke Privacy Wetgeving (zoals “persoonsgegeven”, “verwerken”, etc.), heeft dezelfde betekenis als in de Toepasselijke Privacy Wetgeving.
1.3 Voor wat betreft de begrippen wordt de terminologie van de Privacy verordening gebruikt (bijv. “verwerker” i.p.v. “bewerker”). Daarmee wordt niet bedoeld af te wijken van de betekenis van de Toepasselijke Privacy Wetgeving.
ARTIKEL 2 Algemeen
2.1 Deze afspraken vormen de overeenkomst tussen Opdrachtgever en Opdrachtnemer.
2.2 Deze afspraken hebben betrekking op de verwerking van persoonsgegevens die uit de Diensten voortvloeit, ongeacht of de betreffende Dienstverleningsafspraken wel of niet expliciet refereren aan de verwerking van persoonsgegevens.
2.3 De aard en de doeleinden van de verwerking, evenals het soort persoonsgegevens en de categorieën van betrokkenen die door Opdrachtnemer namens Opdrachtgever worden verwerkt, staan nader uitgewerkt in de bijlage, bij gebreke waarvan de verwerking is beperkt tot de werkzaamheden die strikt noodzakelijk zijn voor de uitvoering van de Dienstverleningsafspraken.
Artikel 3 Hoedanigheden en taken van partijen
3.1 Met betrekking tot de verwerking van persoonsgegevens in het kader van de Diensten, wordt Opdrachtgever beschouwd als de verwerkingsverantwoordelijke en wordt Opdrachtnemer beschouwd als de verwerker.
3.2 Opdrachtnemer zal alleen op basis van schriftelijke instructies van Opdrachtgever de persoonsgegevens verwerken.
3.3 Opdrachtgever wordt geacht de instructies aan Opdrachtnemer te hebben gegeven voor elke verwerking die strikt noodzakelijk is in het kader van het verlenen van de Diensten. Onder deze instructies zijn mede begrepen wijzigingen aan de Diensten, voor zover de Dienstverleningsafspraken zulke wijzigingen toestaat.
3.4 In afwijking van bepaling 3.2 is het Opdrachtnemer toegestaan om de persoonsgegevens te verwerken als een wettelijk voorschrift hem tot verwerking verplicht. In dat geval stelt de Opdrachtnemer, voorafgaand aan de verwerking, Opdrachtgever in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
ARTIKEL 4 Geheimhouding
4.1 Opdrachtnemer zal de persoonsgegevens tegenover derden geheimhouden en zal deze niet openbaar maken, anders dan voor zover noodzakelijk voor het verlenen van de Diensten dan wel voor zover een wettelijk voorschrift of rechterlijk bevel Opdrachtnemer tot mededeling c.q. verstrekking verplicht.
4.2 Opdrachtnemer staat er voor in en garandeert dat werknemers en alle overige natuurlijke personen die handelen onder zijn gezag en toegang hebben tot de persoonsgegevens eveneens onder dezelfde voorwaarden geheimhouding zullen betrachten ten aanzien van voornoemde informatie.
Artikel 5 Beveiligingsmaatregelen en periodieke review daarvan
5.1 Opdrachtnemer zal technische- en organisatorische maatregelen nemen om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking, alsmede om een passende mate van betrouwbaarheid (beschikbaarheid, integriteit en vertrouwelijkheid) te waarborgen. Deze maatregelen zullen passend zijn, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen.
5.2 Bij de beoordeling van een passend veiligheidsniveau zal Opdrachtnemer in het bijzonder aandacht schenken aan risico’s die zich voordoen bij persoonsgegevensverwerking, zoals in het bijzonder de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
5.3 Opdrachtnemer zal in het kader van de in de vorige twee leden beschreven verplichtingen, tenminste de in de bijlage gespecificeerde maatregelen treffen.
5.4 Opdrachtnemer zal periodiek de technische- en organisatorische maatregelen die genomen zijn om de verwerking te beveiligen testen, beoordelen en evalueren, al dan niet door inschakeling van een ter zake deskundige derde. Als uit deze beoordeling volgt dat de genomen maatregelen niet langer voldoende zijn, dan zal Opdrachtnemer alle redelijke stappen nemen om het beveiligingsniveau te verbeteren.
5.5 Opdrachtnemer zal al het noodzakelijke doen om te verzekeren dat enige natuurlijk persoon, die handelt onder het gezag van Opdrachtnemer en die toegang heeft tot persoonsgegevens deze gegevens niet zal verwerken tenzij op basis van instructies van Opdrachtgever, of indien hij of zij daartoe verplicht wordt op grond van wetgeving.
5.6 Verwerker waarborgt dat betrokken medewerkers een geheimhoudingsovereenkomst hebben getekend en geeft Verwerkingsverantwoordelijke op verzoek inzage in deze geheimhoudingsovereenkomst.
ARTIKEL 6 Inbreuk
6.1 Opdrachtnemer informeert Opdrachtgever over iedere Inbreuk. Deze informatie wordt gegeven zonder onredelijke vertraging, doch in ieder geval binnen 24 uur, zodra hij daarvan kennis heeft genomen. In bijlage 3 dienen aanspreekpunten en contactgegevens te worden vastgelegd.
6.2 In de, in het vorige lid bedoelde kennisgeving wordt ten minste het volgende omschreven of meegedeeld, voor zover Opdrachtnemer deze informatie heeft:
a.) De aard van de Inbreuk, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
b.) De naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
c.) De waarschijnlijke gevolgen van de Inbreuk;
d.) De maatregelen die Opdrachtnemer heeft voorgesteld of genomen om de Inbreuk aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan;
e.) Enige andere informatie die Opdrachtgever nodig heeft op basis van de Toepasselijke Privacy Wetgeving.
6.3 Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging in stappen worden verstrekt.
6.4 Opdrachtnemer zal Opdrachtgever ondersteunen bij het naleven van alle verplichtingen op basis van de Toepasselijke Privacy Wetgeving, rekening houdende met de aard van de verwerking en de informatie die beschikbaar is voor de verwerker. Deze ondersteuning houdt ook in het informeren van betrokkenen van een Inbreuk indien de Toepasselijke Privacy Wetgeving daartoe verplicht.
6.5 Opdrachtnemer documenteert alle Inbreuken, met inbegrip van de feiten omtrent de Inbreuk, de gevolgen daarvan en de genomen corrigerende maatregelen, alsmede alle andere relevante informatie omtrent de Inbreuk.
ARTIKEL 7 Locatie van gegevens
7.1 Opdrachtnemer zal persoonsgegevens louter binnen de grenzen van de Europese Economische Ruimte (EER) verwerken (of doen verwerken), tenzij
a.) Het overdragen van persoonsgegeven naar buiten de EER door Opdrachtgever wordt geautoriseerd of geïnstrueerd; of
b.) Wetgeving waar Opdrachtnemer aan is onderworpen, Opdrachtnemer verplicht tot overdracht naar buiten de EER. Indien Opdrachtnemer hiertoe verplicht wordt, zal Opdrachtnemer Opdrachtgever terstond informeren, tenzij deze wetgeving Opdrachtnemer dit verbiedt.
c.) De gegevens worden op dit moment verwerkt in een hoogwaardig Nederlands datacenter in Nederland.
ARTIKEL 8 Sub-verwerkers
8.1 Opdrachtnemer is gerechtigd voor bepaalde taken en activiteiten Sub-Verwerkers aan te stellen welke schriftelijk worden geautoriseerd door Opdrachtgever.
8.2 Indien er een Sub-Verwerker wordt aangesteld, dan:
a.) Blijft Opdrachtnemer onverkort aansprakelijk voor de nakoming van de verplichtingen uit onderhavige overeenkomst;
b.) Zal Opdrachtnemer de aanstelling van een Sub-Verwerker in een schriftelijke overeenkomst vastleggen;
c.) Staat Opdrachtnemer ervoor in dat alle verplichtingen die op grond van deze Dienstverleningsafspraken rusten op Opdrachtnemer mede komen te rusten op deze Sub-Verwerker;
d.) Staat Opdrachtnemer er voor in dat de betreffende Sub-Verwerker ook de schriftelijke instructies van Opdrachtgever opvolgt.
ARTIKEL 9 Rechten van betrokkenen
9.1 De Toepasselijke Privacy Wetgeving geeft de betrokkene bepaalde rechten. De verantwoordelijkheid voor het omgaan met (de uitvoering van) deze rechten rust bij Opdrachtgever.
9.2 Opdrachtnemer zal, indien Opdrachtgever daar om verzoekt, aan Opdrachtgever alle noodzakelijke medewerking verlenen bij de nakoming van de verplichtingen van Opdrachtgever verplichtingen op grond van de rechten genoemd in het vorige lid.
ARTIKEL 10 Informatie, samenwerking, controle en naleving
10.1 Opdrachtnemer zal aan Opdrachtgever alle informatie verstrekken met betrekking tot enige gedragscode of goedgekeurd certificeringsmechanisme waar zij aan gebonden is, zoals bedoeld in respectievelijk artikel 40 en artikel 42 van de Privacy verordening.
10.2 Op het eerste daartoe strekkende verzoek zal Opdrachtnemer aan Opdrachtgever alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte verwerking van persoonsgegevens zodat Opdrachtgever, mede aan de hand van die informatie, aan kan tonen dat zij de Toepasselijke Privacy Wetgeving naleeft.
10.3 Opdrachtgever is gerechtigd om, middels een betrouwbare derde (gebonden aan geheimhouding), te controleren in hoeverre Opdrachtnemer de verplichtingen uit deze Dienstverleningsafspraken naleeft. Opdrachtnemer zal aan een dergelijke controle kosteloos haar volledige medewerking verlenen.
10.4 De leden 2 en 3 zijn niet van toepassing voor zover een dergelijk verzoek of instructie:
a.) Een disproportionele last voor Opdrachtnemer met zich mee brengt;
b.) Niet is gerelateerd aan de verwerking van persoonsgegevens;
c.) Zou leiden tot het openbaren van bedrijfsgeheimen van Opdrachtnemer;
d.) Voor Opdrachtgever niet zou leiden tot extra informatie bovenop de informatie die haar al is verstrekt in het kader van lid 1;
e.) In strijd zou zijn met wetgeving.
10.5 Indien een van de uitzonderingen uit het vorige lid zich voordoet zal Opdrachtnemer daar Opdrachtgever onmiddellijk over informeren.
ARTIKEL 11 Kosten
11.1 De kosten voor de verwerking van gegevens die inherent zijn aan de normale uitvoering van de Diensten, worden geacht besloten te liggen in de Dienstverleningsafspraken gespecificeerde (reeds verschuldigde) vergoeding(en) voor de Diensten.
11.2 Enige ondersteuning of enige andere aanvullende dienstverlening die Opdrachtnemer op grond van deze Dienstverleningsafspraken dient te verlenen (bijv. op grond van artikel 6.4), of die wordt verzocht door Opdrachtgever, inclusief alle verzoeken tot aanvullende informatie, zullen in rekening worden gebracht bij Opdrachtgever overeenkomstig de in de Dienstverleningsafspraken gespecificeerde tarieven. Voor betreffende werkzaamheden gelden de tarieven “Technische consultancy” zoals overeengekomen in de Dienstverleningsafspraken tussen Opdrachtgever en Opdrachtnemer.
11.3 De voorgaande bepaling is niet van toepassing indien de werkzaamheden verband houden met een tekortkoming van Opdrachtnemer onder deze Dienstverleningsafspraken. De werkzaamheden zullen in dat geval kosteloos worden verricht (onverminderd het recht van Opdrachtgever de daadwerkelijk geleden schade op Opdrachtnemer te verhalen). De bewijslast dat de betreffende tekortkoming niet toerekenbaar is ligt bij Opdrachtnemer.
ARTIKEL 12 Aansprakelijkheid
12.1 Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen.
12.2 Enige beperking van de aansprakelijkheid in de Overeenkomst is mutatis mutandis ook van toepassing op deze Verwerkersovereenkomst, met dien verstande dat:
a.) eventuele (impliciete of expliciete) uitsluitingen van aansprakelijkheid voor verlies en/of verminking van Persoonsgegevens zijn uitgesloten;
b.) eventuele (impliciete of expliciete) uitsluitingen van aansprakelijkheid voor boetes die door de Autoriteit Persoonsgegevens of een andere toezichthouder worden opgelegd die rechtstreeks verband houden met een toerekenbare tekortkoming van Verwerker, of een aan Verwerker toerekenbaar gedraging of nalaten, zijn uitgesloten.
12.3 Verwerker vrijwaart Verwerkingsverantwoordelijke en stelt de Verwerkingsverantwoordelijke schadeloos voor alle claims, acties, aanspraken van derden, alsmede boetes van de Autoriteit Persoonsgegevens, die rechtstreeks voortvloeien uit een toerekenbare tekortkoming door Verwerker en/of diens onderaannemers/Subverwerkers in de nakoming van zijn verplichtingen onder deze Verwerkersovereenkomst en/of enige schending door Verwerker en/of diens onderaannemers/Subverwerkers van de van toepassing zijnde wetgeving op het gebied van verwerking van Persoonsgegevens.
12.4 Voor zover Partijen hoofdelijk aansprakelijk zijn jegens derden, waaronder begrepen de betrokkene, of gezamenlijk een boete opgelegd krijgen door de Autoriteit Persoonsgegevens, zijn zij jegens elkaar, ieder voor het gedeelte van de schuld dat hem in hun onderlinge verhouding aangaat, verplicht overeenkomstig het bepaalde in Boek 6, Titel 1, Afdeling 2 van het Burgerlijk Wetboek in de schuld en kosten bij te dragen, tenzij de AVG anders bepaalt in welk geval de AVG voorgaat.
12.5 Iedere beperking van aansprakelijkheid komt voorts voor de betreffende Partij te vervallen in geval van opzet of grove schuld aan de zijde van de betreffende Partij.
12.6 Partijen dragen zorg voor afdoende dekking van de aansprakelijkheid.
ARTIKEL 13 Gevolgen van de toepasselijke privacy wetgeving
13.1 De verantwoordelijkheid voor naleving van de Toepasselijke Privacy Wetgeving bij het verwerken van persoonsgegevens in het kader van de Dienstverleningsafspraken ligt bij Opdrachtgever.
13.2 Opdrachtnemer garandeert dat de Diensten gebruikt kunnen worden in overeenstemming met de Toepasselijke Privacy Wetgeving. Deze garantie geldt alleen voor de Toepasselijke Privacy Wetgeving in in relevante EU landen, bij gebreke waarvan het land van vestiging van Opdrachtgever gelezen wordt. Opdrachtnemer heeft geen kennis van andere Aanvullende Nationale Wetgeving of Implementatiewetgeving.
13.3 Opdrachtgever moet Opdrachtnemer informeren over enige Aanvullende Nationale Wetgeving of Implementatiewetgeving, voor zover van belang voor de uitvoering van de Diensten, indien Opdrachtgever wil dat Opdrachtnemer ook persoonsgegevens verwerkt met betrekking tot de activiteiten van Opdrachtgever in andere landen van de EU.
13.4 Opdrachtnemer zal Opdrachtgever informeren indien zij, op basis van de informatie door Opdrachtgever verstrekt in overeenstemming met het vorige lid, vermoedt dat het uitvoeren van de Diensten (gedeeltelijk) in strijd is met enige Aanvullende Nationale Wetgeving of Implementatiewetgeving.
ARTIKEL 14 Duur, beëindiging en gevolgen van beëindiging
14.1 Deze Dienstverleningsafspraken worden aangegaan voor de duur van de periode waarvoor een actief abonnement is overeengekomen.
14.2 Deze Dienstverleningsafspraken worden automatisch beëindigd bij beëindiging van het abonnement. De gegevensverwerking stopt 3 maanden na beëindiging van het abonnement.
14.3 Opdrachtnemer verwijdert alle gegevens 3 maanden na beëindiging van het abonnement, inclusief eventuele backups uit deze periode.
14.4 Het is aan Opdrachtgever om eventueel gegevens veilig te stellen voor beëindiging van het abonnement.
14.5 Ongeacht het voorgaande:
a.) Is Opdrachtnemer gerechtigd om de gegevens te bewaren indien wetgeving haar daartoe verplicht.
b.) Zal Opdrachtnemer informatie met betrekking tot Inbreuken, zoals bedoeld in artikel 6.5, tenminste tot een jaar na beëindiging van de dienstverlening bewaren.
14.6 Ieder der Partijen is gerechtigd de uitvoering van deze Verwerkersovereenkomst op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:
a.) de andere Partij wordt ontbonden of anderszins ophoudt te bestaan;
b.) de andere Partij aantoonbaar ernstig tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;
c.) een Partij in staat van faillissement wordt verklaard of surséance van betaling aanvraagt.
14.7 Het is Verwerker niet toegestaan om zonder uitdrukkelijke en schriftelijke toestemming van Verwerkingsverantwoordelijke deze Verwerkersovereenkomst en de rechten en plichten die samenhangen met deze Verwerkersovereenkomst over te dragen aan een derde partij .
14.8 Verwerkingsverantwoordelijke is gerechtigd deze Verwerkersovereenkomst en de Overeenkomst per direct te ontbinden indien Verwerker te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de Persoonsgegevens worden gesteld.
ARTIKEL 15 Overige bepalingen
15.1 Voor alle onderwerpen die niet in deze Dienstverleningsafspraken zijn geregeld geldt dat de bepalingen van de relevante Dienstverleningsafspraken mutatis mutandis van toepassing zijn op de verwerking van persoonsgegevens in het kader van die specifieke Dienst.
15.2 Wijzigingen op deze Dienstverleningsafspraken en/of de bijlage zijn alleen geldig voor zover deze schriftelijk zijn vastgelegd en zijn ondertekend door beide partijen.
15.3 Deze Dienstverleningsafspraken kunnen (gedeeltelijk) worden vervangen door standaard contracts-bepalingen als bedoeld in artikel 28 lid 6 van de Privacy verordening, indien zulke bepalingen voor beide partijen wederzijds acceptabel zijn.
ARTIKEL 16 Toepasselijk recht en bevoegde rechter
16.1 Op deze Dienstverleningsafspraken is Nederlands recht van toepassing. Behoudens voor zover de overeenkomst(en) met betrekking tot de Diensten een exclusief bevoegde rechter aanwijzen, is de rechter gevestigd in het arrondissement waar Opdrachtgever vestigingsplaats heeft exclusief bevoegd.
Primaire melding Opdrachtgever: Via de door u verstrekte contactgegevens.
Primaire melding Opdrachtnemer: per email, via info@unicum.ictladder.nl.
Dienstverlening: Het digitaal verwerken, opslaan en presenteren van confidentiële informatie waaronder persoons- en organisatie gegevens.
Aard en soort gegevens: De volgende gegevens gegevens worden verwerkt:
- Persoons- en contact gegevens en adres gegevens van de praktijk, voor duiding van de resultaten;
- Informatie over de praktijk en praktijkvoering voor het kunnen presenteren van metingen op basis van deze informatie;
- Informatie over de bedrijfsvoering, voor analyse en duiding van onder andere de digitale volwassenheid van de praktijk;
- Optioneel: specifieke informatie die namens de zorggroep wordt verzameld voor inventarisatie van processen, systemen en werkwijzen van praktijken. De verzamelde informatie wordt in onderling overleg bepaald;