Contrat de sous-traitance

ENTRE Health Endeavour, dont le siège social est situé Lodewijk Gerritslaan 22, 2600 Berchem, portant le numéro d’entreprise 0743.397.310 et dûment représentée par M. Stijn Coolbrandt.

Désignée ci-après comme “le Sous-traitant“

Le professionnel de la santé ou l’aidant, étant l’utilisateur de la plateforme Zipster.

Désigné ci-après comme “le Responsable du traitement“

Ci-après collectivement dénommés les “Parties“

Considérant que

Le Sous-traitant fournit des services pour le compte du Responsable du traitement, tels que décrits dans l’Accord de base. Ces services impliquent le traitement de données personnelles, et les parties conviennent dans le présent avenant des dispositions relatives au traitement de données personnelles dans le cadre des services.

est convenu comme suit :

1. Cadre conceptuel

1.1 Pour l'application de cet addendum, les définitions suivantes s'appliquent :

Règlement général sur la protection des données : le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant la directive 95/46/CE, ainsi que ses modifications et la réglementation européenne d’application ;
Législation sur la protection des données : le Règlement général sur la protection des données, d’autres réglementations européennes contenant des dispositions relatives à la protection des données et à la vie privée, ainsi que la législation nationale applicable en matière de protection des données et de vie privée dans les États membres, y compris ses modifications et ses actes d’application, notamment les codes de conduite approuvés applicables au secteur.
Données à caractère personnel, Traitement, Responsable du traitement, Sous-traitant, Personne concernée, Consentement : les définitions telles que définies dans le Règlement général sur la protection des données ;
Contrat de base : l’accord entre le responsable du traitement et le sous-traitant concernant l’utilisation de Zipster.

1.2 Le Sous-traitant fournit des services au Responsable du traitement conformément à, et tels que définis dans, le Contrat de base.

Pour les activités de traitement telles que spécifiées dans l’Annexe 1 du présent Addendum, la qualification suivante s’applique :

Le Responsable du traitement détermine la finalité et les moyens du traitement et est donc le responsable du traitement ;
Le Sous-traitant effectue le traitement des données à caractère personnel pour le compte du Responsable du traitement et est donc le sous-traitant.

2. Portée et relation avec le contrat de base

2.1 Cet Addendum fait partie intégrante du Contrat de base conclu entre le Responsable du traitement et le Sous-traitant. Les dispositions du présent Addendum s’appliquent intégralement à toutes les opérations de traitement de données à caractère personnel effectuées par le Sous-traitant dans le cadre de l’exécution des activités de traitement définies à l’Annexe 1.

2.2 Les dispositions du présent Addendum (et des annexes) prévalent sur les dispositions (éventuellement contraires) relatives à la protection des données, au traitement des données et à la confidentialité des données figurant dans le Contrat de base et les remplacent.

3. Traitement conforme à la réglementation et aux instructions écrites du Responsable du traitement

3.1 Lors du traitement des données personnelles, les Parties agissent conformément à la législation sur la protection des données.

3.2 Le Sous-traitant ne traite les données personnelles que sur la base des instructions écrites fournies dans le Contrat de base et telles qu’elles sont incluses dans l’Annexe 1 du présent Addendum. Si les instructions écrites ne sont pas claires, le Sous-traitant ou le Responsable du traitement en informe l’autre partie par écrit, après quoi les instructions sont clarifiées en concertation.

3.3 Sauf disposition contraire dans le présent Addendum, le Sous-traitant ne traitera pas les données personnelles à des fins propres ou pour le compte de tiers, ne les communiquera pas à des tiers ni ne les transférera vers un pays situé en dehors de l’Union européenne sans avoir reçu une instruction écrite du Responsable du traitement à cet effet. Un traitement conforme aux instructions du Contrat de base peut également signifier que le traitement doit être interrompu (immédiatement). Si la réglementation européenne ou nationale oblige le Sous-traitant à effectuer un traitement particulier, le Sous-traitant informe le Responsable du traitement de cette disposition légale avant le traitement, à moins que ladite réglementation n’interdise cette notification pour des motifs d’intérêt général majeur.

3.4 Le Sous-traitant et les Responsables du traitement garantissent que toutes les données personnelles qui leur sont confiées ont été obtenues légalement et peuvent être traitées dans le cadre du Contrat de base.”

4. Mesures techniques et organisationnelles appropriées

4.1 Les Parties mettent en place des mesures techniques et organisationnelles appropriées afin d’assurer un niveau de sécurité adapté au risque.

4.2 Dans le choix de ces mesures, les Parties tiennent compte de l’état de la technique, des coûts de mise en œuvre, ainsi que de la nature, de la portée, du contexte et des finalités du traitement et des risques de probabilité et de gravité variables pour les droits et libertés des personnes.

Ces mesures comprennent, le cas échéant, notamment ce qui suit :

La pseudonymisation et le chiffrement des données personnelles ;
La capacité de garantir en permanence la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement ;
La capacité de rétablir la disponibilité et l’accès aux données personnelles en cas d’incident physique ou technique dans des délais appropriés ;
Une procédure pour tester, évaluer et réviser régulièrement l’efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.

4.3 Lors de l’évaluation du niveau de sécurité approprié, il convient de tenir compte en particulier des risques liés au traitement, notamment en cas de destruction, de perte, de modification ou de divulgation non autorisée ou d’accès non autorisé aux données personnelles transmises, stockées ou traitées, qu’elles soient accidentelles ou illicites. Le Sous-traitant et les les Responsables du traitement s’aligneront sur les normes des codes de conduite approuvés et des mécanismes de certification applicables au secteur.

5. Traitement par un « Sous-traitant » ou un employé

5.1 Le Sous-traitant garantit que les dispositions du présent Addendum sont respectées par ses représentants, agents, sous-traitants et employés.

Le Sous-traitant garantit en outre que :

les personnes autorisées à traiter des données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité ;
des mesures ont été prises pour veiller à ce que toute personne physique agissant sous son autorité et ayant accès aux données personnelles ne les traite que sur instruction du responsable du traitement, sauf si elle est tenue de le faire en vertu de la législation européenne ou nationale.

5.2 Le Sous-traitant ne recourt à aucun autre sous-traitant sans notification préalable au Responsable du traitement.

5.3 Lorsque le Sous-traitant a recours à un sous-traitant (voir annexe 2 pour la liste complète), il impose à ce sous-traitant, par contrat, les mêmes obligations en matière de protection des données que celles qui s’appliquent entre le Sous-traitant et le Responsable du traitement.

6. Fournir une assistance concernant les obligations relatives à la politique de protection des données du responsable du traitement

6.1 En tenant compte de la nature du traitement et des informations à sa disposition, le Sous-traitant s’engage à assister le Responsable du traitement dans le respect des obligations suivantes en matière de protection des données :

Mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque ;
Notifier toute violation de données à caractère personnel à l’autorité de contrôle compétente ;
Communiquer toute violation de données à caractère personnel à la personne concernée ;
Réaliser une analyse d’impact relative à la protection des données ;
Consulter préalablement l’autorité de contrôle si l’analyse d’impact relative à la protection des données révèle un risque élevé en l’absence de mesures prises par le Responsable du traitement pour atténuer le risque.

6.2 En continuité de l’article 6.1, le Sous-traitant informe immédiatement et en détail le Responsable du traitement de toute violation (suspectée) de données à caractère personnel ainsi que de toute fuite de données (y compris chez les sous-traitants) dès qu’il en a connaissance. La notification se fait de telle manière que le Responsable du traitement puisse se conformer en temps utile à ses obligations légales en vertu de la Législation sur la protection des données. Le Sous-traitant indemnise le Responsable du traitement conformément à l’article 9.2. Le Sous-traitant fournit également une assistance dans l’enquête, la limitation et la remédiation d’une violation relative au traitement des données à caractère personnel. Il fournira notamment une assistance pour documenter des mesures telles que la protection des données par la conception et par défaut.

6.3 Le Sous-traitant informe immédiatement le Responsable du traitement de toute plainte, accusation ou demande (même si elle provient d’un régulateur) concernant le traitement des données à caractère personnel par le Sous-traitant. Le Sous-traitant fournit toute la coopération et l’assistance nécessaires que le Responsable du traitement peut raisonnablement attendre concernant une telle plainte, accusation ou demande, notamment en fournissant des informations complètes sur cette plainte, accusation ou demande, ainsi qu’une copie des données à caractère personnel concernant la personne concernée en possession du Sous-traitant.

7. Accorder de l'assistance concernant les demandes des personnes concernées

7.1 En tenant compte de la nature du traitement, le Sous-traitant fournit au Responsable du traitement, à travers des mesures techniques et organisationnelles appropriées, une assistance pour répondre aux obligations de répondre aux demandes d’exercice des droits de la personne concernée, telles que définies dans la Législation sur la protection des données.

Cela implique entre autres :

que le Sous-traitant fournisse toutes les données à caractère personnel demandées par le Responsable du traitement, incluant en tout cas tous les détails et copies de la plainte, notification ou demande, ainsi que toutes données à caractère personnel en sa possession concernant une personne concernée ;

Les temps et ressources que le Fournisseur consacre à fournir l’assistance sont à la charge du Fournisseur.

7.2 Dans la continuité de l’article 7.1, le Sous-traitant s’engage à informer immédiatement le Responsable du traitement s’il reçoit l’une des demandes suivantes d’une personne concernée (ou d’un tiers agissant pour le compte d’une personne concernée) :

une demande d’accès aux données à caractère personnel traitées concernant la personne concernée ;
une demande de rectification de données à caractère personnel inexactes ;
une demande d’effacement de données à caractère personnel ;
une demande de limitation du traitement des données à caractère personnel ;
une demande de réception d’une copie portable des données à caractère personnel, ou de transfert d’une copie à un tiers ;
une opposition à tout traitement de données à caractère personnel ;
ou toute autre demande, plainte ou communication concernant les obligations du Responsable du traitement en vertu de la Législation sur la protection des données.

Le Sous-traitant ne répond pas directement aux demandes et aux requêtes des personnes concernées, sauf si des accords écrits stipulent le contraire.

8. Droit de contrôle par le Responsable du traitement

8.1 Le Responsable du traitement a toujours le droit de vérifier la conformité du Traitement à l’Addendum par le Sous-traitant.

Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations dans le cadre de la Législation sur la Protection des Données.

Le Sous-traitant permet et contribue à la réalisation d’audits, y compris les inspections, effectués par le Responsable du traitement ou un auditeur autorisé. Le Sous-traitant fournit une coopération totale concernant un tel audit et, sur demande du Responsable du traitement, prouve la conformité avec ses obligations sous cet Addendum.

8.2 Le Sous-traitant informe immédiatement le Responsable du traitement s’il considère qu’une instruction au titre de l’article 8.1 viole la Législation sur la Protection des Données.

9. Responsabilité

9.1 Les parties sont chacune responsables et redevables de leurs propres actions. La responsabilité établie dans cet article concerne exclusivement la responsabilité résultant d’une violation de la Législation sur la Protection des Données et de cet Addendum.

9.2 Le Sous-traitant indemnise et décharge le Responsable du traitement de toutes les réclamations, actions, demandes de tiers et de tous dommages et pertes (y compris les amendes de l’Autorité de Protection des Données) découlant directement ou indirectement d’un traitement de données personnelles lorsque les obligations de la Législation sur la Protection des Données, spécifiquement adressées aux sous-traitants, ne sont pas respectées, ou lorsque des actions sont entreprises en dehors ou en violation des instructions licites du Responsable du traitement.

9.3 Les Parties veillent à une couverture adéquate de leur responsabilité.

10. Fin du contrat

10.1 Si le Sous-traitant et le Responsable du traitement ne remplissent pas correctement les obligations de cet Addendum et omettent de prendre des mesures appropriées dans un délai maximal de deux mois, alors, – nonobstant d’autres motifs de résiliation prévus dans l’Accord de Base – l’Accord de Base peut être rompu immédiatement après ledit délai de deux mois et/ou la mission de traitement peut être arrêtée.

10.2 Cet accord forme un tout avec l’Accord de Base et suit donc le destin de l’Accord de Base. Toutefois, si l’Accord de Base prend fin, les dispositions du présent Addendum continuent de s’appliquer dans la mesure nécessaire pour le règlement des obligations conformément à la Législation sur la Protection des Données.

10.3 Immédiatement à (toute) résiliation ou expiration de l’Accord de Base, ou après la fin de la période de conservation, le Sous-traitant doit restituer les données personnelles au Responsable du traitement et/ou effacer complètement et irrévocablement les données personnelles, et supprimer toutes les copies existantes. Le Sous-traitant peut déroger au premier alinéa si la conservation des données personnelles est exigée par la législation européenne ou nationale.

11. Dispositions finales

11.1 En cas de nullité ou d’annulabilité d’une ou plusieurs dispositions du présent Addendum, les autres dispositions restent pleinement en vigueur.

11.2 Le présent Addendum est régi par le droit belge. Les litiges seront soumis aux tribunaux/cours dans l’arrondissement judiciaire d’Anvers, section Anvers, qui ont une compétence territoriale exclusive.

Des questions sur le contenu de cette politique ou sur le fonctionnement de Zipster ? Vous pouvez contacter le DPO à l’adresse suivante : dpo@healthendeavour.agency.

Annexe 1 - La mission et les instructions de traitement telles qu'elles ont été convenues dans le Contrat de Base

I. La finalité du traitement des données à caractère personnel

Le traitement des données personnelles par le Processeur est effectué dans le cadre de l’exécution de l’Accord de Base concernant l’utilisation de la plateforme Zipster.

Zipster permet aux soignants d’interroger les patients sur leurs besoins psychosociaux et, sur base de ces besoins, d’initier une orientation vers des acteurs locaux du bien-être adaptés.

Une orientation ne peut se faire qu’avec le consentement verbal du patient et doit être enregistrée comme telle dans Zipster. Ce consentement implique que l’organisation de soutien verra une demande de soutien dans Zipster, dans laquelle certaines données de base du patient sont visibles (nom, date de naissance, code postal, numéro de téléphone) ainsi que les besoins de soutien pour lesquels l’organisation concernée peut offrir du soutien.

Les données enregistrées dans Zipster ne sont accessibles qu’à l’organisation qui a initié l’orientation et à l’organisation vers laquelle l’orientation est faite. Dans les deux cas, le patient doit donner son consentement éclairé, et cela est également enregistré comme tel dans Zipster.

II. "Données personnelles

Type de donnée personnelle	Nature du traitement	Finalité du traitement	Catégorie(s) de personnes concernées	Classification*
Données d'identification personnelle (nom, numéro de téléphone & email)	Sauvegarde des données personnelles et mise à disposition pour les utilisateurs dans Zipster.	Communication mutuelle entre les utilisateurs de Zipster.	Soignants et aidants	Classe d'information 4
Données d'identification personnelle (nom, numéro de téléphone, email, date de naissance, adresse & numéro de registre national)	Enregistrement des données personnelles et mise à disposition pour les utilisateurs dans Zipster pour lesquels le patient a donné son consentement éclairé.	Constitution de données minimales du patient au sein de Zipster et orientation vers des organisations de soutien.	Patients	Classe d'information 4
Des données liées au travail (organisation et rôle)	Sauvegarder des données liées au travail et les rendre consultables pour les utilisateurs dans Zipster	Délimiter l'organisation dans laquelle un utilisateur peut travailler	Soignants et aidants	Classe d'information 4
Des données sur les besoins psychosociaux (peut-on compter sur du soutien, des problèmes financiers sont-ils imminents, a besoin de soins, situation familiale, ...)	Enregistrer les besoins de soutien et les rendre consultables pour les prestataires de soins et les organisations de soutien dans Zipster, pour lesquels le patient a donné son consentement éclairé	Suivi des besoins psychosociaux du patient et orientation vers des organisations de soutien	Patients	Classe d'information 4
Données concernant l'orientation	Enregistrer l'orientation, le statut de l'orientation et le rendre consultable pour les prestataires de soins et les organisations de soutien dans Zipster, pour lesquels le patient a donné son consentement éclairé	Suivi de l'orientation vers des organisations de soutien	Patients	Classe d'information 4
Les données d'utilisation de Zipster	Enregistrement de l'utilisation de Zipster jusqu'au niveau de chaque action effectuée	Journalisation de sécurité et surveillance	Soignants et aidants	Classe d'information 3

*Modèle de classification de l’information

III. Délais de conservation

Le Responsable du traitement conserve les données personnelles traitées de manière adéquatement sécurisée pendant la période nécessaire à l’exécution du Contrat de Base, et en ce qui concerne les catégories de données personnelles ci-dessous pendant la période définie ci-après :

Pour la classe d’information 3, pendant 60 mois à partir de la dernière action dans Zipster.
Pour la classe d’information 4, pendant 120 mois à partir de la dernière action dans Zipster.

Annexe 2 - Sous-traitants

NSX BV

Galileilaan 15

2845 Niel

0840.966.838

Personne de contact : Frans Verstreken (frans.verstreken@nsx.normalizedsystems.org)

NSX est une spin-off de l’UAntwerpen qui développe l’application back-end de Zipster.

Health Endeavour a un accord de sous-traitance avec NSX.

Amazon Web Services Belgium

Avenue des Arts 27

2040 Bruxelles

0666.812.048

Toutes les informations traitées par Zipster se trouvent dans la base de données back-end hébergée par Amazon Web Services.

Amazon Web Services n’utilise pas d’Accord de Protection des Données, ou accord de sous-traitance, pour la collaboration. Tous les éléments relatifs au traitement et au stockage des données sont inclus dans l’Addendum de traitement des données RGPD d’AWS et font partie de l’Accord Client AWS.

Google Belgium NV

Chaussée d’Etterbeek 180

1040 Bruxelles

0878.065.378

Zipster se compose d’une application front-end accessible publiquement pour les prestataires de soins et les aidants. Le front-end est hébergé dans un environnement Google Cloud, les données étant stockées dans un centre de données européen.

Google n’utilise pas d’Accord de Protection des Données (Data Protection Agreement) pour la collaboration avec la plateforme Cloud. Tous les éléments concernant le traitement et le stockage des données sont inclus dans les Data Processing and Security Terms et font partie des conditions générales d’utilisation. Google informe ses clients de la manière suivante :

We want to be clear about how we proactively protect your data and prioritize your privacy. We start from the fundamental premise that as a Google Cloud customer, you own your customer data. We implement stringent security measures to safeguard your customer data and provide you with tools and features to control it on your terms. We similarly secure any service data generated through providing the services; service data itself is critical to help ensure security and availability.

Google makes these Google Cloud Enterprise Privacy Commitments for Google Workspace and Google Cloud Platform products to describe our overarching responsibility to protect your business when you use our enterprise solutions.

These commitments are backed by the strong contractual privacy commitments we make available to you in the Data Processing Amendment for Google Workspace, and the Data Processing and Security Terms for Google Cloud Platform.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.