Verwerkingsovereenkomst

TUSSEN Health Endeavour waarvan de maatschappelijke zetel gevestigd is te Lodewijk Gerritslaan 22, 2600 Berchem met ondernemingsnummer 0743.397.310 en rechtsgeldig vertegenwoordigd door dhr. Stijn Coolbrandt. 

Hierna genoemd “de Verwerker

EN

De zorg- of hulpverlener, zijnde de gebruiker van het Zipster platform.

Hierna genoemd de ‘Verwerkingsverantwoordelijke

Hierna gezamenlijk genoemd de “Partijen

Overwegende dat

De Verwerker diensten verricht ten behoeve van de Verwerkingsverantwoordelijke, zoals beschreven in de Basisovereenkomst, deze diensten met zich brengen dat persoonsgegevens worden verwerkt en de partijen met dit Addendum de afspraken vastleggen over de verwerking van persoonsgegevens in het kader van de diensten

wordt overeengekomen als volgt:

1. Begrippenkader

1.1 Voor de toepassing van dit Addendum gelden de volgende begripsomschrijvingen:
  • Algemene Verordening Gegevensbescherming: de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, met haar wijzigingen en Europese uitvoeringswetgeving; 
  • Wetgeving Gegevensbescherming: de Algemene Verordening Gegevensbescherming, andere Europese regelgeving waarin bepalingen met betrekking tot gegevensbescherming en privacy worden opgenomen, evenals de toepasselijke nationale wetgeving inzake gegevensbescherming en privacy in de lidstaten met haar wijzigingen en uitvoeringsbesluiten, met inbegrip van voor de sector toepasselijke goedgekeurde gedragscodes. 
  • Persoonsgegevens, Verwerking, Verwerkingsverantwoordelijke, Verwerker, Betrokkene, Toestemming: de begripsomschrijvingen zoals bepaald in de Algemene Verordening Gegevensbescherming; 
  • Basisovereenkomst: de overeenkomst tussen de Verwerkingsverantwoordelijke en de verwerker van met betrekking tot het gebruik van Zipster.
1.2 De Verwerker levert diensten aan de Verwerkingsverantwoordelijke op grond van en zoals gedefinieerd in de Basisovereenkomst.

Voor de verwerkingsactiviteiten zoals bepaald in Annex 1 bij dit Addendum geldt volgende kwalificatie:

  • de Verwerkingsverantwoordelijke bepaalt het doel en de middelen van de verwerking en is bijgevolg verwerkingsverantwoordelijke;
  • de Verwerker verricht de verwerking van persoonsgegevens ten behoeve van de Verwerkingsverantwoordelijke en is bijgevolg verwerker.

2. Toepassingsgebied en verhouding met de basisovereenkomst

2.1 Dit Addendum maakt integraal deel uit van de Basisovereenkomst gesloten tussen de Verwerkingsverantwoordelijke en de Verwerker. De bepalingen uit dit Addendum zijn onverkort van toepassing op alle verwerkingen van persoonsgegevens die de Verwerker verricht in het kader van de uitvoering van de verwerkingsactiviteiten bepaald in Annex 1.

2.2 De bepalingen uit dit Addendum (en Annexen) gaan voor op de (eventueel andersluidende) bepalingen over gegevensbescherming en -verwerking en vertrouwelijkheid van gegevens in de Basisovereenkomst en vervangen deze.

3. Verwerking conform de regelgeving en de schriftelijke instructies van de Verwerkingsverantwoordelijke

3.1 Bij de verwerking van persoonsgegevens handelen de Partijen in overeenstemming met de Wetgeving Gegevensbescherming.

3.2 De Verwerker verwerkt de persoonsgegevens uitsluitend op basis van de schriftelijke instructies zoals meegegeven in de Basisovereenkomst en zoals opgenomen in Annex 1 bij dit Addendum. Indien de schriftelijke instructies niet duidelijk zijn, meldt de Verwerker of Verwerkingsverantwoordelijke dit schriftelijk waarop in onderling overleg de instructies worden verduidelijkt.

3.3 Behoudens andersluidende bepalingen in dit Addendum zal de Verwerker de persoonsgegevens niet voor eigen doeleinden of die van derden verwerken, noch de persoonsgegevens aan derden verstrekken, noch deze doorsturen naar een land gelegen buiten de Europese Unie zonder daartoe een schriftelijke instructie te hebben ontvangen van de Verwerkingsverantwoordelijke. Een verwerking conform de instructies van de Basisovereenkomst kan ook betekenen dat de verwerking (onmiddellijk) moet worden stopgezet. Indien Europese of nationale regelgeving de Verwerker tot een bepaalde verwerking verplicht, stelt de Verwerker de Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die regelgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

3.4 De Verwerker en Verwerkingsverantwoordelijken waarborgen dat alle persoonsgegevens die worden toevertrouwd rechtmatig werden verkregen en kunnen worden verwerkt in het kader van de Basisovereenkomst.

4. Passende technische en organisatorische maatregelen

4.1 De Partijen treffen passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.

4.2 Bij het bepalen van de maatregelen wordt rekening gehouden met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen.

De maatregelen omvatten, waar passend, onder meer het volgende:

  1. Pseudonimisering en versleuteling van persoonsgegevens;
  2. Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
  3. Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
  4. Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

 

4.3 Bij de beoordeling van het passend beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens, hetzij per ongeluk hetzij onrechtmatig. De Verwerker en Verwerkingsverantwoordelijken zullen zich richten naar de normen van goedgekeurde gedragscodes en certificeringsmechanismen zoals die gelden binnen de sector.

5. Verwerking door een “Subverwerker” of werknemer

5.1 De Verwerker waarborgt dat de bepalingen van dit Addendum worden nageleefd door zijn vertegenwoordigers, agenten, onderaannemers en werknemers.

De Verwerker waarborgt in het verlengde daarvan dat:

  • de tot het verwerken van persoonsgegevens gemachtigde personen zich ertoe hebben verbonden om de vertrouwelijkheid in acht te nemen dan wel door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;
  • dat er maatregelen zijn getroffen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder diens gezag en toegang heeft tot de persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij door Europese of nationale regelgeving tot verwerking is gehouden.

5.2 De Verwerker neemt geen andere verwerker in dienst (“Subverwerker”) zonder kennisgeving aan de Verwerkingsverantwoordelijke. 

5.3 Wanneer de Verwerker een beroep doet op een subverwerker (zie annex 2 voor de volledige lijst), legt de Verwerker aan deze subverwerker bij overeenkomst dezelfde verplichtingen inzake gegevensbescherming op zoals die gelden tussen Verwerker en Verwerkingsverantwoordelijke.

6. Verlenen van bijstand bij de verplichtingen m.b.t. het gegevensbeschermingsbeleid van de verwerkingsverantwoordelijke

6.1 Rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, verbindt de Verwerker zich ertoe bijstand te verlenen aan de Verwerkingsverantwoordelijke om volgende verplichtingen in het kader van gegevensbescherming na te leven:

  • het treffen van passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen;
  • het melden van een inbreuk in verband met persoonsgegevens aan de toezichthoudende overheid;
  • de mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene;
  • het uitvoeren van een gegevensbeschermingseffectbeoordeling;
  • het voorafgaand raadplegen van de toezichthoudende overheid indien uit de gegevensbeschermingseffectbeoordeling blijkt dat de verwerking een hoog risico zou opleveren indien de Verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken.

 

6.2 In het verlengde van artikel 6.1, licht de Verwerker de Verwerkingsverantwoordelijke omstandig en onmiddellijk in over een (vermoedelijke) inbreuk in verband met persoonsgegevens alsook over iedere gegevenslek (ook bij de subverwerker) zodra de Verwerker hiervan kennis heeft genomen. De kennisgeving gebeurt op een dergelijke wijze dat de Verwerkingsverantwoordelijke tijdig kan voldoen aan haar wettelijke verplichtingen onder de Wetgeving Gegevensbescherming. De Verwerker vrijwaart de Verwerkingsverantwoordelijke conform artikel 9.2. De Verwerker levert tevens bijstand in het onderzoek naar en de beperking en remediëring van een inbreuk in verband met een verwerking van persoonsgegevens. Daarbij zal hij onder meer ook bijstand verlenen met het oog op het documenteren van maatregelen zoals gegevensbescherming door ontwerp en door standaardinstellingen.

6.3 De Verwerer stelt de Verwerkingsverantwoordelijke onmiddellijk in kennis van enige gemaakte klacht, beschuldiging of aanvraag (ook indien afkomstig van een regulator) met betrekking tot de verwerking van persoonsgegevens door de Verwerker. De Verwerker biedt alle nodige medewerking en ondersteuning die de Verwerkingsverantwoordelijke redelijkerwijs kan verwachten met betrekking tot dergelijke klacht, beschuldiging of aanvraag, onder meer door volledige informatie te verstrekken over dergelijke klacht, beschuldiging of aanvraag samen met een kopie van de persoonsgegevens betreffende de betrokkene in het bezit van de Verwerker.

7. Verlenen van bijstand bij de verzoeken van de betrokkenen

7.1 Rekening houdend met de aard van de verwerking, verleent de Verwerker de Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen bijstand bij het vervullen van de plicht om verzoeken tot uitoefening van de rechten van de betrokkene, zoals bepaald in de Wetgeving Gegevensbescherming, te beantwoorden.

Dit impliceert onder meer:

  • dat de Verwerker alle door de Verwerkingsverantwoordelijke opgevraagde persoonsgegevens bezorgt, in ieder geval met inbegrip van de volledige details en kopieën van de klacht, mededeling of aanvraag en enige persoonsgegevens in zijn bezit met betrekking tot een betrokkene;

De tijd en middelen die de Leverancier spendeert voor het verlenen van de bijstand, zijn voor eigen rekening van de Leverancier.

7.2 In het verlengde van artikel 7.1 verbindt de Verwerker zich ertoe de Verwerkingsverantwoordelijke onverwijld in te lichten indien hij van een betrokkene (of derde handelend voor rekening van een betrokkene) een van de volgende verzoeken krijgt:

  • een aanvraag tot inzage tot de persoonsgegevens die van de betrokkene worden verwerkt;
  • een aanvraag tot rectificatie van onjuiste persoonsgegevens;
  • een aanvraag tot wissing van persoonsgegevens;
  • een aanvraag tot beperking van de verwerking van persoonsgegevens;
  • een aanvraag tot het verkrijgen van een draagbare kopie van de persoonsgegevens, of tot overdracht van een kopie aan een derde;
  • een bezwaar tegen enige verwerking van persoonsgegevens; of
  • elke andere aanvraag, klacht of mededeling met betrekking tot de verplichtingen van de Verwerkingsverantwoordelijke onder de Wetgeving Gegevensbescherming.

 

De Verwerker beantwoordt de verzoeken en aanvragen van de betrokkenen niet zelf, behoudens eventuele andersluidende schriftelijke afspraken.

8. Recht op controle door de Verwerkingsverantwoordelijke

8.1 De Verwerkingsverantwoordelijke heeft steeds het recht om de naleving door de Verwerking van het Addendum te controleren.

De Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van de verplichtingen in het kader van de Wetgeving Gegevensbescherming aan te tonen.

De Verwerker maakt audits, waaronder inspecties, door de Verwerkingsverantwoordelijke of door een gemachtigde controleur, mogelijk en draagt er aan bij. De Verwerker verleent volledige medewerking met betrekking tot een dergelijke audit en levert, op vraag van de Verwerkingsverantwoordelijke, het bewijs van de naleving van zijn verplichtingen onder dit Addendum.

8.2 De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie onder artikel 8.1 inbreuk oplevert op de Wetgeving Gegevensbescherming.

9. Aansprakelijkheid

9.1 Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen. De in dit artikel geregelde aansprakelijkheid heeft uitsluitend betrekking op de aansprakelijkheid ten gevolge van een inbreuk op de Wetgeving Gegevensbescherming en op dit Addendum.

9.2 De Verwerker vergoedt en vrijwaart de Verwerkingsverantwoordelijke voor alle claims, acties, aanspraken van derden en voor alle schade en verliezen (waaronder ook boetes van de Gegevensbeschermingsautoriteit) die rechtstreeks of onrechtstreeks voortvloeien uit een verwerking van persoonsgegevens wanneer bij de verwerking niet is voldaan aan de specifiek tot de verwerkers gerichte verplichtingen van de Wetgeving Gegevensbescherming of wanneer buiten dan wel in strijd met de rechtmatige instructies van de Verwerkingsverantwoordelijke is gehandeld.

9.3 De Partijen dragen zorg voor een afdoende dekking van hun aansprakelijkheid.

10. Einde van de overeenkomst

10.1 Indien de Verwerker en Verwerkingsverantwoordelijken de verplichtingen uit dit Addendum niet correct vervullen en nalaten passende maatregelen te treffen binnen een termijn van maximaal twee maanden, kan, – onverminderd andere beëindigingsgronden zoals voorzien in de Basisovereenkomst – de Basisovereenkomst na voormelde termijn van twee maanden onmiddellijk verbroken worden en/of de verwerkingsopdracht stopgezet worden.

10.2 Deze overeenkomst vormt een geheel met de Basisovereenkomst en volgt dan ook het lot van de Basisovereenkomst. Ingeval de Basisovereenkomst een einde neemt, blijven de bepalingen van dit Addendum evenwel gelden voor zover nodig voor de afwikkeling van de verplichtingen conform de Wetgeving Gegevensbescherming.

10.3 Onmiddellijk bij (eender welke) beëindiging of verstrijken van de Basisovereenkomst, dan wel na afloop van de bewaartermijn, zal de Verwerker de persoonsgegevens terugbezorgen aan de Verwerkingsverantwoordelijke en/of de persoonsgegevens volledig en onherroepelijk wissen, en bestaande kopieën verwijderen. De Verwerker kan van het eerste lid afwijken indien de opslag van de persoonsgegevens door Europese of nationale wetgeving verplicht is.

11. Slotbepalingen

11.1 In geval van nietigheid of vernietigbaarheid van een of meer bepalingen van dit Addendum, blijven de overige bepalingen onverkort van kracht.

11.2 Dit Addendum wordt beheerst door het Belgisch recht. Geschillen worden voorgelegd aan de rechtbanken/hoven in het gerechtelijk arrondissement Antwerpen, afdeling Antwerpen, die exclusieve territoriale bevoegdheid hebben.

Vragen over de inhoud van dit beleid of de werking van Zipster? Daarvoor kan je terecht bij de DPO via dpo@healthendeavour.agency.

Annex 1 - De verwerkingsopdracht- en instructies zoals overeengekomen in de Basisovereenkomst

I. Het doel van de verwerking van persoonsgegevens

De verwerking van Persoonsgegevens door de Verwerker gebeurt in het kader van de uitvoering van de Basisovereenkomst inzake het gebruik van het Zipster platform.

Zipster laat zorgverleners toe om patiënten te bevragen op hun psychosociale noden en op basis van deze noden een doorverwijzing te initiëren naar geschikte lokale welzijnsactoren. 

Een doorverwijzing kan enkel gebeuren mits de patiënt hier de mondelinge toestemming voor geeft en dit als dusdanig in Zipster wordt geregistreerd. Deze toestemming impliceert dat de ondersteunende organisatie een ondersteuningsvraag zal te zien krijgen in Zipster waarin een aantal basisgegevens van de patiënt zichtbaar zijn (naam, geboortedatum, postcode, telefoonnummer) en de ondersteuningsnoden waar de desbetreffende organisatie ondersteuning voor kan bieden. 

De in Zipster geregistreerde gegevens zijn enkel toegankelijk voor de organisatie die de doorverwijzing heeft geïnitieerd en de organisatie naar waar wordt doorverwezen. In beide gevallen dient de patiënt hier de geïnformeerde toestemming voor te geven en wordt dit ook als dusdanig in Zipster geregistreerd. 

II. Persoonsgegevens

Soort Persoonsgegeven Aard van de verwerking Doel van de verwerking Categorie(ën) van betrokkenen Classificatie*
Peroonlijke Identificatiegegevens (naam, telefoonnummer & email) Opslaan van de persoonsgegevens en raadpleegbaar maken voor gebruikers in Zipster Onderlinge communicatie tussen gebruikers van Zipster Zorg- en hulpverleners Informatieklasse 4
Peroonlijke Identificatiegegevens (naam, telefoonnummer, email, geboortedatum, adres & rijksregisternummer) Opslaan van de persoonsgegevens en raadpleegbaar maken voor gebruikers in Zipster waarvoor de patiënt de geïnformeerde toestemming heeft gegeven Opbouwen van minimale patiëntgegevens binnen Zipster en doorverwijzing naar ondersteunende organisaties Patiënten Informatieklasse 4
Werkgerelateerde gegevens (organisatie en rol) Opslaan van werkgerelateerde gegevens en raadpleegbaar maken voor gebruikers in Zipster Afbakenen van de organisatie waarin een gebruiker kan werken Zorg- en hulpverleners Informatieklasse 4
Gegevens over psychosociale noden (kan iemand rekenen op ondersteuning, dreigen financiële problemen, is zorgbehoevend, gezinssituatie, ...) Opslaan van ondersteuningsnoden en dit raadpleegbaar maken voor de zorgverleners en ondersteunende organisaties in Zipster waarvoor de patiënt de geïnformeerde toestemming heeft gegeven Opvolging van de psychosociale noden van de patiënt en doorverwijzing naar ondersteunende organisaties Patiënten Informatieklasse 4
Gegevens over de doorverwijzing Opslaan van de doorverwijzing, de status van de doorverwijzing en dit raadpleegbaar maken voor de zorgverleners en ondersteunende organisaties in Zipster waarvoor de patiënt de geïnformeerde toestemming heeft gegeven Opvolging van de doorverwijzing naar ondersteunende organisaties Patiënten Informatieklasse 4
Gebruiksgegevens Zipster Opslaan van het gebruik van Zipster tot op niveau van elke uitgevoerde actie Veiligheidslogging en monitoring Zorg- en hulpverleners Informatieklasse 3

III. Bewaartermijnen

De Verwerker bewaart de verwerkte persoonsgegevens op adequaat beveiligde wijze gedurende de periode die nodig is voor het uitvoeren van de Basisovereenkomst, en voor wat de onderstaande categorieën persoonsgegevens betreft gedurende de hierna bepaalde periode:

  • Voor informatieklasse 3 gedurende 60 maanden vanaf de laatste actie in Zipster.
  • Voor informatieklasse 4 gedurende 120 maanden vanaf de laatste actie in Zipster.

Annex 2 - Subverwerkers

NSX BV

Galileilaan 15

2845 Niel

0840.966.838

Contactpersoon: Frans Verstreken (frans.verstreken@nsx.normalizedsystems.org)

NSX is een spin-off van de UAntwerpen die de back-end applicatie van Zipster ontwikkelt.

Health Endeavour heeft een verwerkingsovereenkomst met NSX.

Amazon Web Services Belgium

Kunstlaan 27

2040 Brussel

0666.812.048

Alle informatie dat Zipster verwerkt is terug te vinden in de back-end database dat gehost wordt door Amazon Web Services.

Amazon Web Services hanteert voor de samenwerking geen Data Proction Agreement oftewel verwerkersovereenkomst. Alle elementen met betrekking tot de verwerking en opslag van gegevens worden in de AWS GDPR Data Processing Addendum opgenomen en maken deel uit van de AWS Customer Agreement.

Google Belgium NV 

Etterbeeksesteenweg 180

1040 Brussel

0878.065.378

Zipster bestaat uit een front-end applicatie die publiekelijk beschikbaar is voor zorgverleners en hulpverleners. De front-end wordt gehost in een Google Cloud omgeving waarvan de gegevens worden opgeslagen in een Europees datacenter.

Google hanteert voor de samenwerking met het Cloud platform geen Data Protection Agreement oftewel verwerkersovereenkomst. Alle elementen met betrekking tot de verwerking en opslag van gegevens worden in de Data Processing and Security Terms opgenomen en maken deel uit van de algemene gebruikersvoorwaarden. Google informeert haar klanten hierover op de volgende wijze:

We want to be clear about how we proactively protect your data and prioritize your privacy. We start from the fundamental premise that as a Google Cloud customer, you own your customer data. We implement stringent security measures to safeguard your customer data and provide you with tools and features to control it on your terms. We similarly secure any service data generated through providing the services; service data itself is critical to help ensure security and availability.

Google makes these Google Cloud Enterprise Privacy Commitments for Google Workspace and Google Cloud Platform products to describe our overarching responsibility to protect your business when you use our enterprise solutions.

These commitments are backed by the strong contractual privacy commitments we make available to you in the Data Processing Amendment for Google Workspace, and the Data Processing and Security Terms for Google Cloud Platform.