Verwerkersovereenkomst

Deze verwerkersovereenkomst is van toepassing tussen:

• Verwerkingsverantwoordelijke (hierna: Verantwoordelijke) - De organisatie die een abonnement heeft afgesloten op ISO-Assist.
• Verwerker - De Regelneef, gevestigd te Nederland, aanbieder van het ISO-Assist platform.

Deze overeenkomst maakt onlosmakelijk deel uit van de algemene voorwaarden en het privacybeleid van ISO-Assist.

Verwerker verwerkt persoonsgegevens in opdracht van Verantwoordelijke ten behoeve van het leveren van de ISO-Assist dienst: een online platform voor ISO 9001 kwaliteitsbeheer in de zorg.

De verwerking vindt plaats gedurende de looptijd van het abonnement. Na beeindiging van het abonnement worden de gegevens verwijderd conform artikel 9 van deze overeenkomst.

Categorieeen van betrokkenen:

• Medewerkers van de Verantwoordelijke (gebruikers van het platform)
• Personen die worden genoemd in documenten, incidentregistraties of klachtendossiers binnen het platform

Categorieeen van persoonsgegevens:

• Accountgegevens: naam, e-mailadres
• Gebruiksgegevens: inlogtijden, acties binnen het platform
• Inhoudelijke gegevens: documenten, analyses, rapportages, incidentregistraties en overige door de Verantwoordelijke ingevoerde gegevens

Bijzondere persoonsgegevens: Verwerker verwerkt in beginsel geen bijzondere persoonsgegevens. Indien de Verantwoordelijke bijzondere persoonsgegevens (zoals gezondheidsgegevens) invoert in het platform, is de Verantwoordelijke hiervoor zelf verantwoordelijk en draagt zorg voor een geldige grondslag conform de AVG.

Verwerker verbindt zich tot het volgende:

• Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de Verantwoordelijke, tenzij een wettelijke verplichting anders vereist.
• Waarborgen dat personen die bevoegd zijn persoonsgegevens te verwerken, zich tot geheimhouding hebben verplicht.
• Passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen (zie artikel 5).
• Geen sub-verwerkers inschakelen zonder voorafgaande schriftelijke toestemming van de Verantwoordelijke (zie artikel 6).
• De Verantwoordelijke bijstaan bij het uitoefenen van de rechten van betrokkenen (inzage, rectificatie, wissing, overdraagbaarheid).
• De Verantwoordelijke bijstaan bij het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA) indien van toepassing.
• Na afloop van de verwerking alle persoonsgegevens wissen of retourneren, naar keuze van de Verantwoordelijke.
• De Verantwoordelijke alle informatie ter beschikking stellen die nodig is om de nakoming van deze overeenkomst aan te tonen, en audits door of namens de Verantwoordelijke mogelijk maken.

Verwerker treft onder meer de volgende beveiligingsmaatregelen:

• Versleutelde communicatie (HTTPS/TLS) voor alle dataoverdracht
• Versleutelde databaseverbindingen
• Toegang tot de server uitsluitend via SSH-sleutels voor bevoegde beheerders
• Dagelijkse geautomatiseerde back-ups van alle gegevens
• Hosting binnen de Europese Unie
• Authenticatie via beveiligde e-maillinks of Google OAuth 2.0
• Rolgebaseerde toegangscontrole binnen het platform

De Verantwoordelijke verleent Verwerker algemene schriftelijke toestemming voor het inschakelen van sub-verwerkers. Verwerker informeert de Verantwoordelijke over voorgenomen wijzigingen in sub-verwerkers, waarbij de Verantwoordelijke de mogelijkheid heeft bezwaar te maken.

Huidige sub-verwerkers:

Voor zover persoonsgegevens worden doorgegeven aan sub-verwerkers buiten de Europese Economische Ruimte, geschiedt dit uitsluitend op basis van een geldig doorgifte-mechanisme: een adequaatheidsbesluit van de Europese Commissie (waaronder het EU-VS Data Privacy Framework) of Standard Contractual Clauses (SCC).

Verwerker stelt de Verantwoordelijke zonder onredelijke vertraging, en waar mogelijk binnen 24 uur na ontdekking, op de hoogte van een inbreuk in verband met persoonsgegevens (datalek).

De melding bevat ten minste:

• De aard van de inbreuk, inclusief de categorieeen en het geschatte aantal betrokkenen
• De waarschijnlijke gevolgen van de inbreuk
• De maatregelen die zijn of worden genomen om de inbreuk aan te pakken

Verwerker verleent alle medewerking aan de Verantwoordelijke bij het melden van het datalek aan de Autoriteit Persoonsgegevens en/of betrokkenen, indien vereist.

Na beeindiging van het abonnement stelt Verwerker de Verantwoordelijke gedurende dertig (30) dagen in de gelegenheid alle gegevens te exporteren via het platform (PDF-export).

Na afloop van deze termijn worden alle persoonsgegevens en inhoudelijke gegevens definitief en onherstelbaar verwijderd uit de productiedatabase en back-ups, tenzij bewaring wettelijk verplicht is.

Verwerker stelt de Verantwoordelijke in staat om, op redelijke termijn en op kosten van de Verantwoordelijke, audits uit te voeren of te laten uitvoeren om de naleving van deze verwerkersovereenkomst te controleren. Verwerker verleent hieraan alle redelijke medewerking.

De aansprakelijkheid van Verwerker uit hoofde van deze verwerkersovereenkomst is beperkt conform het bepaalde in de algemene voorwaarden.

Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter conform de algemene voorwaarden.