IQ Cloud GDPR

IQ Messenger Cloud Data Protection Schema (DPA) – Verwerkersovereenkomst

In deze Bijlage Verwerkersovereenkomst (“Schema”), tenzij hierin anders gedefinieerd, hebben alle gedefinieerde termen de betekenis zoals uiteengezet in de Overeenkomst.

 

1. ACHTERGROND EN TOEPASBAARHEID

1.1 Opdrachtgever en IQM zijn de Overeenkomst aangegaan. Deze verwerkersovereenkomst, hierna DPA genoemd, maakt deel uit van de Overeenkomst. De Klant welke tevens BUSINESS PARTNER is, is er verantwoordelijk voor dat Eindgebruiker het Product gebruikt volgens de voorwaarden zoals overeengekomen in de Overeenkomst inclusief dit Schema. Dit Schema beschrijft de verplichtingen van , de Verwerker en Verwerkingsverantwoordelijke van de Gegevens. In het kader en ten behoeve van de uitvoering van de Overeenkomst zal Verwerker Persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke.

1.2 Verwerkingsverantwoordelijke en Verwerker zijn deze DPA aangegaan om te voldoen aan de eis van een schriftelijke overeenkomst zoals uiteengezet in de Toepasselijke Wetgeving inzake Gegevensbescherming (Algemene Verordening Gegevensbescherming). In aanvulling op hetgeen in de Overeenkomst is bepaald, geldt ten aanzien van de Verwerking van Persoonsgegevens door Verwerker ten behoeve van Verwerkingsverantwoordelijke dit Schema.

 

2. INTERPRETATIE EN DEFINITIES

2.1 In deze DPA zal / zullen, tenzij de context anders vereist:

1. Verwijzingen naar de partijen omvatten hun respectievelijke opvolgers en toegestane rechtverkrijgenden;
2. Woorden in het enkelvoud omvatten het meervoud en in het meervoud het enkelvoud;
3. Koppen zijn alleen bedoeld om gemakkelijk te worden verwezen;
4. Elke verwijzing naar “DPA” verwijst ook naar elke wijziging of aanvulling daarop;
5. De term “met inbegrip van” betekent met inbegrip van, maar niet beperkt tot;
6. Woorden, uitdrukkingen en acroniemen met een hoofdletter hebben de betekenis die er in deze Overeenkomst, elders in de Overeenkomst aan wordt gegeven, of hebben hun gewone (technische of andere) betekenis;

2.2 In het geval van een conflict tussen een bepaling van deze DPA en andere bepalingen in de Overeenkomst, prevaleren de bepalingen van deze DPA. In het geval dat er een conflict is tussen de bepalingen van deze DPA en de bepalingen van de Bijlagen, prevaleert de tekst van deze DPA, en alleen voor zover de bepalingen (van de instantie) voldoen aan de vereisten zoals uiteengezet in de op dat moment geldende Toepasselijke Gegevensbeschermingswetgeving. In afwijking van de vorige zinnen prevaleert artikel 8 van deze DPA altijd.

2.3 Onder “Overeenkomst” wordt verstaan (al naar gelang de context): (i) de bestaande overeenkomst tussen de Partijen voor de levering van bepaalde producten en/of diensten (met inbegrip van de daaraan gehechte Bijlagen), of (ii) de overeenkomst beschreven onder (i) en alle offertes, bestellingen en andere contractdocumenten met inbegrip van deze DPA (tezamen genomen).

2.4 “AVG” betekent Algemene Verordening Gegevensbescherming;

2.5 “Gelieerde onderneming” betekent, met betrekking tot een entiteit, een andere entiteit die zeggenschap heeft over, onder zeggenschap staat van of onder gemeenschappelijke zeggenschap staat met die entiteit;

2.6 “Toepasselijke wetgeving inzake Gegevensbescherming” betekent alle nationale of internationaal bindende wet- of regelgeving op het gebied van gegevensbescherming die op enig moment tijdens de looptijd van deze DPA van toepassing is op de Verwerking van Persoonsgegevens in het kader van de Overeenkomst;

2.7 “Verwerkingsverantwoordelijke” betekent de rechtspersoon die het doel van en de middelen voor de Verwerking van Persoonsgegevens bepaalt zoals gedefinieerd in de AVG, tevens controller genoemd;

2.8 “Gegevensbeschermingsautoriteiten” betekent elke bevoegde nationale gegevensbeschermingsautoriteit die verantwoordelijk is voor de handhaving van de wetgeving inzake gegevensbescherming.

2.9 “Betrokkene” betekent de natuurlijke persoon op wie de Persoonsgegevens betrekking hebben zoals gedefinieerd in de AVG;

2.10 “EER”: de Europese Economische Ruimte;

2.11 “Partij” betekent de Verwerkingsverantwoordelijke of Verwerker;

2.12 “Verwerker” betekent de rechtspersoon die Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke zoals gedefinieerd in de AVG, tevens processor genoemd;

2.13 “Persoonsgegevens” betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare levende natuurlijke persoon zoals gedefinieerd in de AVG;

2.14 “Inbreuk in verband met persoonsgegevens” betekent een inbreuk op de beveiliging die leidt tot de onopzettelijke of onwettige vernietiging, het verlies, de wijziging, de ongeoorloofde openbaarmaking van of de ongeoorloofde toegang tot verzonden, opgeslagen of anderszins verwerkte persoonsgegevens die waarschijnlijk een risico vormen voor de verwerkingsverantwoordelijke of de persoonsgegevens van de verwerkingsverantwoordelijke;

2.15 “Verwerking” betekent elke bewerking of elk geheel van bewerkingen die wordt uitgevoerd met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of anderszins ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen zoals gedefinieerd in de AVG;

2.16 “Beveiligingsincident” betekent elke daadwerkelijke, verwachte of vermoede i) inbreuk op technische en organisatorische beveiligingsmaatregelen die leidt tot de onopzettelijke of onwettige vernietiging, het verlies, de wijziging, de ongeoorloofde openbaarmaking van of de ongeoorloofde toegang tot gegevens die zijn verzonden, opgeslagen of anderszins verwerkt, met inbegrip van Persoonsgegevens (met inbegrip van een inbreuk in verband met persoonsgegevens zoals gedefinieerd in artikel 4, lid 12, van de AVG); ii) schending van de Privacywetgeving of deze Overeenkomst door een huidige of voormalige werknemer, contractant of agent van de Verwerker of door een andere persoon of derde partij en/of iii) een gebeurtenis waarbij de veiligheid, vertrouwelijkheid, integriteit of beschikbaarheid van gegevens, met inbegrip van Persoonsgegevens, anderszins in het gedrang is gekomen of redelijkerwijs in gevaar zou kunnen worden gebracht;

2.17 “Onderaannemer”: de rechtspersoon die door Verwerker wordt ingeschakeld voor het uitvoeren van Verwerkingsactiviteiten ten behoeve van Verwerker;

 

3. VERWERKING VAN PERSOONSGEGEVENS

3.1 Verwerker verbindt zich ertoe Persoonsgegevens uitsluitend te Verwerken in overeenstemming met gedocumenteerde instructies die van tijd tot tijd door Verwerkingsverantwoordelijke worden meegedeeld. De initiële instructies van de Verwerkingsverantwoordelijke aan Verwerker met betrekking tot het onderwerp van de Verwerking, de aard en het doel van de Verwerking, het type Persoonsgegevens en categorieën van Betrokkenen zijn uiteengezet in deze DPA en in Bijlage 1.

3.2 Verwerker zal de Verwerkingsverantwoordelijke, hetzij als Verwerker, hetzij als Verwerkingsverantwoordelijke, bijstaan bij het nakomen van zijn wettelijke verplichtingen op grond van de Toepasselijke Wetgeving inzake Gegevensbescherming. Dit kan omvatten, maar is niet beperkt tot, de verplichting van de Verwerkingsverantwoordelijke om te assisteren bij en/of te reageren op verzoeken tot uitoefening van de rechten van de Betrokkene, zoals het recht op toegang, het recht op rectificatie, het recht op verwijdering, het recht op beperking van de verwerking, het recht op gegevensoverdraagbaarheid en het recht om bezwaar te maken, evenals de verplichting van de Verwerkingsverantwoordelijke om te zorgen voor een beveiligingsniveau dat past bij het risico en om een gegevensbeschermingseffectbeoordeling uit te voeren.

3.3 Verwerker zal Verwerkingsverantwoordelijke onmiddellijk op de hoogte stellen indien Verwerker niet over voldoende instructies beschikt voor de Verwerking van Persoonsgegevens in een bepaalde situatie of indien instructies op grond van deze DPA, naar het redelijk oordeel van Verwerker, in strijd zijn met de Toepasselijke Wetgeving inzake Gegevensbescherming.

3.4 Indien Betrokkenen, Gegevensbeschermingsautoriteiten of andere bevoegde derden Verwerker verzoeken om informatie over de verwerking van Persoonsgegevens die onder deze DPA vallen, zal Verwerker een dergelijk verzoek doorverwijzen naar Verwerkingsverantwoordelijke. Verwerker mag op geen enkele wijze optreden namens of als vertegenwoordiger van Verwerkingsverantwoordelijke en mag, zonder voorafgaande instructies van Verwerkingsverantwoordelijke, Persoonsgegevens of andere informatie met betrekking tot de Verwerking van Persoonsgegevens niet overdragen of op enige andere wijze openbaar maken aan derden. In het geval Verwerker op grond van toepasselijke wet- en regelgeving verplicht is om Persoonsgegevens die Verwerker namens Verwerkingsverantwoordelijke Verwerkt openbaar te maken, zal Verwerker, tenzij wettelijk verhinderd, Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte stellen en om geheimhouding vragen in samenhang met de openbaarmaking van gevraagde informatie.

 

4. ONDERAANNEMERS

4.1 Verwerker zal de in Bijlage 1 genoemde Onderaannemers inschakelen voor de daarin gespecificeerde doeleinden. Verwerker verbindt zich ertoe ervoor te zorgen dat alle Onderaannemers gebonden zijn aan schriftelijke overeenkomsten die hen verplichten te voldoen aan de verplichtingen inzake gegevensverwerking die overeenkomen met die welke in deze DPA zijn opgenomen.

4.2 In het geval dat Verwerker een andere Onderaannemer wil inschakelen dan vermeld in Bijlage 1, zal Verwerker zonder onnodige vertraging en uiterlijk 8 weken voorafgaand aan het overdragen van Persoonsgegevens aan een dergelijke Onderaannemer, de Verwerkingsverantwoordelijke schriftelijk op de hoogte stellen van de identiteit van een dergelijke Onderaannemer en het doel waarvoor deze zal worden ingeschakeld, de Verwerkingsverantwoordelijke de mogelijkheid te geven om binnen twee weken bezwaar te maken tegen dergelijke wijzigingen.

 

5. DOORGIFTE AAN DERDE LANDEN

De locatie(s) van de Verwerking van Persoonsgegevens is/zijn uiteengezet in Bijlage 1. Verwerker mag Persoonsgegevens niet doorgeven buiten de EER, tenzij specifiek schriftelijk goedgekeurd door Verwerkingsverantwoordelijke en mits adequate bescherming van de Persoonsgegevens in het ontvangende land is gewaarborgd.

 

6. INFORMATIEBEVEILIGING EN VERTROUWELIJKHEID

6.1 Verwerker zal passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder onder meer, voor zover van toepassing:

(i) het pseudonimiseren en versleutelen van Persoonsgegevens;
(ii) het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van systemen en diensten voor de verwerking van persoonsgegevens te waarborgen;
(iii) de mogelijkheid om de beschikbaarheid van en toegang tot Persoonsgegevens tijdig te herstellen in geval van een fysiek of technisch incident; en
(iv) een proces voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de beveiliging van de Verwerking te waarborgen.

6.2 Bij de beoordeling van het passende beveiligingsniveau zal Verwerker rekening houden met de bijzondere risico’s die de Verwerking met zich meebrengt, in het bijzonder door onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot doorgezonden, opgeslagen of anderszins Verwerkte Persoonsgegevens.

6.3 Verwerker zal het Inbreuk in verband met Persoonsgegevens onmiddellijk en in ieder geval uiterlijk binnen 24 uur na kennisname melden aan Verwerkingsverantwoordelijke. De kennisgeving bevat ten minste:

(i) de aard van de inbreuk in verband met persoonsgegevens te beschrijven;
(ii) de naam en contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen, mee te delen;
(iii) de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens te beschrijven;
(iv) de maatregelen beschrijven die Verwerker heeft genomen of voorstelt te nemen om de Inbreuk in verband met Persoonsgegevens aan te pakken, met inbegrip van, in voorkomend geval, maatregelen om de mogelijke nadelige gevolgen ervan te beperken;
(v) alle andere informatie waarover Verwerker beschikt en die de Verwerkingsverantwoordelijke op grond van de Toepasselijke Wetgeving inzake Gegevensbescherming verplicht is te melden aan de Gegevensbeschermingsautoriteiten en/of de Betrokkenen.
(vi) Verwerker zal bovendien de redelijke bijstand verlenen die door de Verwerkingsverantwoordelijke wordt gevraagd om de Inbreuk in verband met Persoonsgegevens te onderzoeken en deze te melden aan de Gegevensbeschermingsautoriteiten en/of de Betrokkenen zoals vereist door de Toepasselijke Wetgeving inzake Gegevensbescherming.
(vii) In geval van een Beveiligingsincident zal Verwerker Verwerkingsverantwoordelijke zo snel als redelijkerwijs mogelijk – maar uiterlijk binnen 24 uur nadat Verwerker kennis heeft genomen van een dergelijk Beveiligingsincident – op de hoogte stellen, en op zodanige wijze dat Verwerkingsverantwoordelijke kan voldoen aan alle relevante wettelijke verplichtingen met betrekking tot Beveiligingsincidenten, in het bijzonder relevante meldingsvereisten met betrekking tot Beveiligingsincidenten en inbreuken in verband met persoonsgegevens zoals gedefinieerd in artikel 4 lid 12 van de AVG. Verwerker draagt er zorg voor dat zij naar behoren op de hoogte is van dergelijke verplichtingen in dit verband.

6.4 Verwerker verbindt zich ertoe de Persoonsgegevens die op grond van deze DPA worden verwerkt niet openbaar te maken of anderszins beschikbaar te stellen aan derden, zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Niettegenstaande het bovenstaande, openbaarmaking aan een Onderaannemer vermeld in Bijlage 1 of later gemeld aan de Verwerkingsverantwoordelijke in overeenstemming met Sectie 4.2 Bovenstaande is toegestaan.

6.5 Verwerker verbindt zich ertoe ervoor te zorgen dat de toegang tot Persoonsgegevens op grond van deze DPA wordt beperkt tot die van haar personeel die rechtstreeks toegang tot de Persoonsgegevens nodig hebben om te voldoen aan de verplichtingen van Verwerker in overeenstemming met deze DPA en de Overeenkomst. Verwerker draagt er zorg voor dat dergelijk personeel (of het nu gaat om werknemers of anderen die door Verwerker zijn ingeschakeld) gebonden is aan een geheimhoudingsplicht met betrekking tot de Persoonsgegevens in dezelfde mate als Verwerker in overeenstemming met deze DPA.

6.6 De geheimhoudingsplichten die in dit artikel worden uiteengezet 6 blijft na afloop of beëindiging van de DPA van kracht.

 

7. RECHTEN CONTROLEREN

Verwerker verbindt zich ertoe om aan Verwerkingsverantwoordelijke alle informatie en alle bijstand ter beschikking te stellen die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om aan te tonen dat aan de in deze DPA vastgelegde verplichtingen is voldaan. Verwerker zal bovendien audits toestaan en bijdragen die worden uitgevoerd door de Verwerkingsverantwoordelijke of een Beschermingsautoriteiten in elk geval uitsluitend met betrekking tot de Verwerking van Verwerkingsverantwoordelijke Persoonsgegevens onder deze DPA.

 

8. AANSPRAKELIJKHEID EN VRIJWARING

8.1 Niettegenstaande de bepalingen in de Overeenkomst, is een Partij aansprakelijk en vrijwaart, verdedigt en vrijwaart een Partij op grond van artikel 82 van de AVG de andere Partij of haar Gelieerde Ondernemingen voor alle schade (inclusief schade als gevolg van reputatieverlies of verlies van gegevens), boetes, verliezen en kosten, opgelopen en voortvloeiend uit of verband houdend met de niet-naleving door de eerste Partij (inclusief haar Onderaannemers en Gelieerde Ondernemingen) van haar verplichtingen uit hoofde van de DPA of de Toepasselijke Gegevensbescherming Wetten voor persoonsgegevens die zij beheert.

8.2 Niettegenstaande de bepalingen in de Overeenkomst, vrijwaart elke Partij de andere Partij tegen claims van derden, met inbegrip van Betrokkenen en Gegevensbeschermingsautoriteiten, en tegen alle daarmee verband houdende schade en redelijkerwijs gemaakte kosten die voortvloeien uit het niet naleven door de eerste Partij (met inbegrip van haar onderaannemers en Gelieerde Ondernemingen) van de verplichtingen uit hoofde van de DPA.

8.3 De volledige aansprakelijkheid van elke Partij zoals bedoeld in Paragraaf 8.1 alsmede de verplichting tot vrijwaring van de wederpartij in 8.2 is cumulatief beperkt tot een bedrag dat gelijk is aan de beperkingen die in de Overeenkomst zijn uiteengezet.

8.4 Artikel 8.3 is niet van toepassing op aansprakelijkheid of vrijwaring als gevolg van opzet of grove nalatigheid of (indien van toepassing) voor zover enige aansprakelijkheid niet kan worden beperkt of uitgesloten door de wet.

 

9. MEDEDELINGEN

Elke kennisgeving of andere mededeling die door de ene partij aan de andere partij moet worden verstrekt op grond van deze DPA, wordt verstrekt in overeenstemming met de kennisgevingsbepaling van de overeenkomst.

 

10. MAATREGELEN NA VOLTOOIING VAN DE VERWERKING VAN PERSOONSGEGEVENS

10.1 Na afloop van de levering van de producten en/of de levering van de producten en/of diensten op grond van de Overeenkomst, zal Verwerker op verzoek alle Persoonsgegevens (inclusief eventuele kopieën daarvan) wissen of retourneren aan Verwerkingsverantwoordelijke, zoals redelijkerwijs geïnstrueerd door Verwerkingsverantwoordelijke, en zal hij ervoor zorgen dat een eventuele Onderaannemer hetzelfde doet.

10.2 Verwerker zal op verzoek van Verwerkingsverantwoordelijke schriftelijk mededeling doen over de maatregelen die zijn genomen met betrekking tot het wissen of teruggeven van de Persoonsgegevens na voltooiing van de Verwerking.

 

Bijlage 1

Soort gegevensverwerking

Doeleinden Specificeer alle doeleinden waarvoor de Persoonsgegevens door Verwerker worden verwerkt	Het opslaan en gebruiken van Klantgegevens voor (wetenschappelijk) onderzoek, foutanalyse, troubleshooting, naleving van wet- en regelgeving ter verbetering van de SaaS Diensten. Alleen geanonimiseerde informatie kan worden gebruikt voor commerciële en productontwikkelingsdoeleinden.
Betrokkenen Specificeer de categorieën van Betrokkenen van wie de Persoonsgegevens mogelijk door Verwerker kunnen worden Verwerkt	Patiënten die professionele zorg krijgen van de Klant. (Zorg)professionals in dienst van de Klant.
Categorieën van persoonsgegevens Specificeer de mogelijke soorten Persoonsgegevens die door Verwerker kunnen worden Verwerkt in het geval dat deze worden verstrekt door aangesloten (medische) systemen van derden.	·        Naam ·        Geslacht ·        Geboortedatum ·        Patiënt-ID ·        Voorkeuren van de patiënt ·        Familieleden van patiënten ·        Overige patiënt gerelateerde (medische) gegevens
Verwerkingen Specificeer alle door Verwerker uit te voeren verwerkingsactiviteiten	Verzameling, alarm- en gebeurtenisstroomverwerking, opslag, rapportage, onderhoud, probleemoplossing en ontwikkeling van nieuwe functionaliteiten voor de IQM Cloud SaaS
Onderaannemer(s) Specificeer de door Verwerker ingeschakelde Onderaannemers (indien van toepassing) en de doeleinden waarvoor de Persoonsgegevens door een dergelijke Onderaannemer worden Verwerkt	Leaseweb
Locatie van de verwerkingen Specificeer alle locaties waar de Persoonsgegevens zullen worden verwerkt door de Verwerker en eventuele Onderaannemers (indien van toepassing)	Online Services en Cloud worden door Leaseweb gehost in geografisch redundante en gescheiden datacenters in Nederland (West-Europa)