Verwerksovereenkomst
De ondergetekende:
- SW Zorg & Begeleiding, , gevestigd en kantoorhoudende te Buitenvaart 1614-1 7905 SM Hoogeveen ingeschreven in het Handelsregister van de Kamer van Koophandel onder nummer 71014489 te dezen rechtsgeldig vertegenwoordigd door SW Zorg & Begeleiding
De Maatschappelijk werker en de Verwerker worden hierna gezamenlijk ook wel aangeduid als “Partijen” en ieder afzonderlijk als “Partij”,
Overwegende dat:
(A) SW Zorg & Begeleiding persoonsgegevens bijhoudt van de cliënten in een cliëntendossier om de voortgang van de begeleiding c.q. behandeling vast te leggen conform de vereisten in de beroepscode van de beroepsvereniging en de Zorgprofessional;
(B) De Maatschappelijk werker en de Verwerker een overeenkomst hebben gesloten met betrekking tot de levering van de door de Verwerker aan de matschappelijk werker te leveren dienst: onderhoud website, maken van facturen, financiële handelingen, en dat de Verwerker door haar werkzaamheden in dat verband toegang heeft tot de Persoonsgegevens (zoals hierna gedefinieerd) opgenomen in de cliëntendossiers;
(C) Beide Partijen op de hoogte zijn van de Algemene Verordening Gegevensbescherming en dat zij zich gezamenlijk zullen inspannen om aan alle wettelijke vereisten te voldoen; en
(D) Deze Verwerkersovereenkomst onlosmakelijk verbonden is met de Overeenkomst.
Zijn overeengekomen als volgt:
- Definities en algemene bepalingen
1.1 In deze Verwerkersovereenkomst hebben de navolgende begrippen geschreven met een hoofdletter de betekenis als hieronder gespecificeerd:
Artikel een artikel van deze Verwerkersovereenkomst;
AVG Algemene Verordening Gegevensbescherming;
Betrokkene de natuurlijke persoon op wie de Persoonsgegevens die worden verwerkt betrekking hebben;
Datalek een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens;
Overeenkomst heeft de betekenis die daaraan is toegekend in overweging (B);
Partij(en) heeft de daaraan hiervoor toegekende betekenis;
Persoonsgegevens alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon als bedoeld in de AVG die op welke wijze dan ook verwerkt wordt door de Verwerker in het kader van de Overeenkomst, waaronder, maar niet beperkt tot, de in Artikel 3.1 genoemde gegevens;
PIA gegevensbeschermingseffectbeoordeling (privacy impact assessment) als bedoeld in artikel 35 AVG;
Verwerkersovereenkomst deze verwerkersovereenkomst tussen Partijen;
Verwerking elke handeling of geheel van handeling met betrekking tot de Persoonsgegevens, waaronder maar niet beperkt tot het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen;
Verwerkingsdoeleinde(n) heeft de betekenis die daaraan is toegekend in Artikel 2.5;
Verwerkingsgrond(en) heeft de betekenis die daaraan is toegekend in Artikel Fout! Verwijzingsbron niet gevonden.; en
Verwerkingsregister een register van verwerkingsactiviteiten als bedoeld in artikel 30 AVG.
- Verwerking Persoonsgegevens
2.1 In het kader van de uitvoering van de Overeenkomst, zal de Verwerker toegang hebben tot Persoonsgegevens van cliënten van de Maatschappelijk werker. De Persoonsgegevens zijn en blijven eigendom van de Maatschappelijk werker danwel diens cliënten en de Verwerker heeft slechts toegang tot de Persoonsgegevens indien en voor zover dit noodzakelijk is op grond van de Overeenkomst.
2.2 De Verwerker zal de Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de Maatschappelijk werker danwel in deze Verwerkersovereenkomst overeengekomen afspraken.
2.3 De Verwerker zal bij de Verwerking van Persoonsgegevens te allen tijde handelen in overeenstemming met de van tijd tot tijd toepasselijke wet- en regelgeving.
2.4 Doorgifte door de Verwerker van de Persoonsgegevens naar landen buiten de Europese Unie is onder deze Verwerkersovereenkomst uitdrukkelijk niet toegestaan.
Verwerkingsdoeleinden
2.5 De doelen van de gegevensverwerking zijn gelegen in het beheren van het IT-systeem of het voeren van de financiële administratie] en bestaan uit (de “Verwerkingsdoeleinden”):
- Vervangen van de eigenaar in geval grote drukte en ziekte
De Verwerker zal bij de Verwerking van de Persoonsgegevens ervoor zorgen dat in beginsel alleen Persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek Verwerkingsdoeleinde.
- Persoonsgegevens
3.1 In het kader van de Verwerkingsdoeleinden kunnen de volgende Persoonsgegevens van Betrokkenen worden verwerkt:
- BSN
- Klantnummer
- Contacturen
- betalingen
- Beveiligingsmaatregelen
4.1 De Verwerker is verplicht passende technische en organisatorische maatregelen te nemen ter bescherming van de Persoonsgegevens tegen ongeoorloofde of onrechtmatige Verwerking en tegen onbedoeld verlies, vernietiging, beschadiging, wijziging of openbaarmaking, met inbegrip van maar niet beperkt tot:
de Persoonsgegevens worden opgeslagen op locaties die zowel fysiek als technisch beveiligd zijn;
draagbare apparatuur waarop Persoonsgegevens zijn opgeslagen wordt niet onbeheerd achtergelaten;
personeel gebruikt passende veilige wachtwoorden voor aanmelding in systemen of databases met Persoonsgegevens en de wachtwoorden worden regelmatig gewijzigd;
de toegang tot Persoonsgegevens is beperkt tot uitsluitend die personen voor wie toegang noodzakelijk is in verband met de Verwerkingsdoeleinden;
er worden regelmatig dreigingsanalyses of penetratietesten uitgevoerd op de systemen; en
al het personeel is op de hoogte van hun verantwoordelijkheden met betrekking tot de verwerking van persoonsgegevens, waaronder maar niet beperkt tot de verplichting om een (mogelijk) Datalek zo snel mogelijk aan de directie of een daartoe aangewezen verantwoordelijke te melden.
- PIA en Verwerkingsregister
5.1 De Verwerker informeert de maatschappelijk werker of en wanneer zij een PIA uitvoert en brengt de maatschappelijk werker onverwijld schriftelijk op de hoogte van de uitkomst daarvan. De Verwerker is verplicht op het eerste verzoek van de maatschappelijk werker een PIA uit te voeren.
5.2 De Verwerker houdt een Verwerkingsregister bij en is verplicht de maatschappelijk werker op het eerste verzoek inzage te verschaffen in dat Verwerkingsregister.
- Datalekken
6.1 De Verwerker verplicht zich om zo spoedig mogelijk, doch uiterlijk binnen 24 uur, na het plaatsvinden of – indien dat niet langer mogelijk is – na de eerste ontdekking van een (vermoedelijk) Datalek of ander beveiligingsincident de maatschappelijk werker daarvan in kennis te stellen, onverminderd de verplichting om alle redelijkerwijs benodigde maatregelen te treffen om (verdere) onbevoegde kennisneming, wijziging, verstrekking of anderszins onrechtmatige verwerking te voorkomen of te beperken en een schending van de beveiligingsmaatregelen of de geheimhoudingsplicht of verder verlies van Persoonsgegevens te beëindigen en in de toekomst te voorkomen.
6.2 De Verwerker zal de maatschappelijk werker op het eerste verzoek alle inlichtingen verschaffen die de Maatschappelijk werker noodzakelijk acht om het (vermoedelijke) Datalek of andere beveiligingsincident te kunnen beoordelen en zal meewerken aan het informeren door de maatschappelijk werker van de bevoegde autoriteit(en) en – indien van toepassing – de Betrokkene(n). De Verwerker zal niet zelfstandig bij de bevoegde autoriteit(en) of de Betrokkene(n) melding maken van een (vermoedelijk) Datalek, anders dan na voorafgaande schriftelijke toestemming van de maatschappelijk werker.
6.3 De Verwerker beschikt over een gedegen plan van aanpak betreffende de omgang met en afhandeling van Datalekken en andere beveiligingsincidenten en houdt een gedetailleerd logboek bij van alle (vermoedens van) beveiligingsincidenten en de maatregelen die naar aanleiding daarvan zijn genomen. De Verwerker is verplicht de maatschappelijk werker op het eerste verzoek inzage te verschaffen in de in de voorgaande volzin bedoelde documentatie en alle instructies van de maatschappelijk werker in dat verband zo snel en goed mogelijk op te volgen.
- Rechten Betrokkenen
7.1 De Verwerker verplicht zich ertoe om de maatschappelijk werker op het eerste verzoek alle inlichtingen te verschaffen die nodig zijn voor de Maatschappelijk werker om de Betrokkenen te informeren over de Verwerkingsdoeleinden en hen alle informatie te verstrekken waar zij op grond van de van tijd tot tijd geldende wet- en regelgeving recht op hebben.
7.2 Betrokkenen hebben recht op inzage en/of een kopie van de Persoonsgegevens die van hen verwerkt worden. Voorts hebben Betrokkenen het recht om bij de Maatschappelijk werker een verzoek in te dienen tot rectificatie, vernietiging, afscherming of overdracht van hun Persoonsgegevens. De Verwerker zal de Maatschappelijk werker op het eerste verzoek alle ondersteuning verlenen die noodzakelijk is voor de Maatschappelijk werker om te kunnen voldoen aan verzoeken als bedoeld in dit Artikel 7.2.
- Inzet van derden door de Verwerker
8.1 Het is de Verwerker niet toegestaan om zonder voorafgaande schriftelijke toestemming van de Maatschappelijk werker aan derden toegang te verlenen tot de Persoonsgegevens. De Maatschappelijk werker zal deze toestemming niet op onredelijke gronden onthouden. De Maatschappelijk werker is gerechtigd nadere voorwaarden te verbinden aan een eventuele toestemming, die in ieder geval (maar niet uitsluitend) het volgende zullen inhouden:
De Verwerker heeft een schriftelijke overeenkomst met de derde, waarin in ieder geval het volgende is opgenomen: (i) een verplichting dat de derde met betrekking tot de Verwerking van Persoonsgegevens dient te handelen in overeenstemming met alle bepalingen uit deze Verwerkersovereenkomst; (ii) een verplichting dat de derde alle aanwijzingen van de Maatschappelijk werker en de Verwerker opvolgt met betrekking tot de Verwerking van Persoonsgegevens; (iii) een verplichting van de derde om de Persoonsgegevens uitsluitend in opdracht en volgens de instructies van Verwerker te verwerken; (iv) een verplichting van de derde om zelf geen sub-bewerkers in te schakelen voor de Verwerking van Persoonsgegevens, zonder voorafgaande schriftelijke toestemming van de Maatschappelijk werker; en (v) een verplichting voor de derde om de Maatschappelijk werker en de Verwerker in staat te stellen hun verplichtingen in het geval van een (vermoedelijk) Datalek na te komen;
De Verwerker zal de derde pas toegang verlenen tot de Persoonsgegevens na de toestemming van de Maatschappelijk werker; en
De Maatschappelijk werker is gerechtigd om de gemaakte afspraken tussen de Verwerker en de derde op te vragen.
De eventuele door de Maatschappelijk werker te verlenen toestemming aan de Verwerker laat onverlet de verantwoordelijkheid en aansprakelijkheid van de Verwerker voor de nakoming van haar verplichtingen uit deze Verwerkersovereenkomst.
- Aansprakelijkheid en vrijwaring
9.1 De Verwerker is volledig aansprakelijk jegens de Maatschappelijk werker voor enige schade die voortvloeit uit of betrekking heeft op de uitvoering door de Verwerker van deze Verwerkersovereenkomst.
9.2 De Verwerker vrijwaart de Maatschappelijk werker met betrekking tot alle vorderingen van derden die op enigerlei wijze betrekking hebben op de uitvoering door de Verwerker van deze Verwerkersovereenkomst. De Maatschappelijk werker zal de Verwerker in een voorkomend geval onverwijld in kennis stellen van vorderingen van derden waartegen de Verwerker verplicht is de Maatschappelijk werker te vrijwaren.
- Boete
10.1 Indien de Verwerker een of meerdere van de verplichtingen ingevolge deze Verwerkersovereenkomst schendt, dan is zij gehouden tot betaling aan de Maatschappelijk werker, zonder dat een ingebrekestelling is vereist, van een onmiddellijk opeisbare boete van €10.000,– per schending, te vermeerderen met een boete van € 500,– voor iedere dag dat de schending voortduurt, onverminderd het recht van de Maatschappelijk werker om volledige schadevergoeding te vorderen en onverminderd de overige rechten die op grond van de wet aan de Maatschappelijk werker toekomen. De boete wordt verbeurd vanaf de eerste dag die volgt op de dag waarop de schending zich voordeed, tot en met de dag waarop de schending eindigt.
- Duur en beëindiging
11.1 Deze Verwerkersovereenkomst is onlosmakelijk verbonden met de Overeenkomst, zodat de duur van deze Verwerkersovereenkomst gelijk is aan die van de Overeenkomst (inclusief eventuele verlengingen) en deze Verwerkersovereenkomst niet afzonderlijk van de Overeenkomst kan worden beëindigd.
11.2 Bij beëindiging van de Overeenkomst om welke reden dan ook, dan wel op eerste verzoek van de Maatschappelijk werker gedurende de looptijd van de Overeenkomst, zal de Verwerker ervoor zorgdragen dat – tegen een beperkte vergoeding die de door de Verwerker hiervoor redelijkerwijs en aantoonbaar gemaakte kosten niet overschrijdt – naar de keuze van de Maatschappelijk werker op voor de Maatschappelijk werker op eenvoudige en bruikbare wijze alle of een door de Maatschappelijk werker te bepalen gedeelte van de in het kader van de Verwerkingsdoeleinden en/of de Overeenkomst aan de Verwerker ter beschikking gestelde Persoonsgegevens worden vernietigd of aan de Maatschappelijk werker of een opvolgende leverancier ter beschikking worden gesteld. In geval van ter beschikking stellen van de Persoonsgegevens aan de Maatschappelijk werker of een opvolgend leverancier als bedoeld in de voorgaande volzin, zal de Verwerker te allen tijde de dataportabiliteit waarborgen op zodanige wijze dat er geen sprake is van verlies van functionaliteit of (gedeelten van) gegevens.
11.3 Verplichtingen die naar hun aard en inhoud bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven onverminderd van kracht.
- Overige
Overdracht
12.1 Het is de Verwerker niet toegestaan deze Verwerkersovereenkomst over te dragen bij wijze van contractsoverneming zonder voorafgaande schriftelijke toestemming van de Maatschappelijk werker. Overdracht in strijd met dit Artikel 12.1 is nietig.
Goede trouw
Indien zich enige aangelegenheid voordoet waarin deze Verwerkersovereenkomst niet uitdrukkelijk dan wel impliciet voorziet, verklaren Partijen dat die aangelegenheid te goeder trouw zal worden afgehandeld en opgelost met inachtneming van de redelijke belangen van Partijen.
Ongeldigheid
Indien enig deel, enige voorwaarde of enige bepaling van deze Verwerkersovereenkomst ongeldig, nietig of niet afdwingbaar wordt geoordeeld, blijven alle overige bepalingen en voorwaarden van deze Verwerkersovereenkomst onverkort van kracht en zullen deze daardoor op geen enkele wijze ongeldig worden of daardoor worden aangetast. Partijen zullen de ongeldige, nietige of niet-afdwingbare bepaling vervangen door een geldige en afdwingbare bepaling die zo veel mogelijk de in de oorspronkelijke bepaling vervatte bedoeling van Partijen weergeeft.
Toepasselijk recht en geschillen
Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
Elk geschil voortvloeiende uit of verband houdende met deze Verwerkersovereenkomst zal in eerste instantie of in kort geding worden voorgelegd aan de bevoegde rechtbank in [plaats], Nederland.
Ondertekend in tweevoud op 01-01-2019 te Hoogeveen door:
SW Zorg & Begeleiding,