Skip to content

Verwerkersovereenkomst voor zorgverleners

Introductie

In dit document wordt het contractuele kader vastgelegd waarbinnen Rosa persoonsgegevens verwerkt ten behoeve van haar professionele klanten. Dit document maakt deel uit van de overeenkomst tussen U (de ‘Klant’ in de Servicevoorwaarden voor zorgverleners) en Rosa (de Overeenkomst). 

'Rosa' verwijst naar Rosa VZW, een vereniging zonder winstoogmerk, gevestigd te Cantersteen 10 - 1000 Brussel, ondernemingsnummer 0745.832.604. Om contact op te nemen met Rosa over de verwerking van persoonsgegevens of om Uw in dit contract vastgelegde rechten uit te oefenen, kunt U een e-mail sturen naar gdpr@rosa.be. 

Elke partij moet voldoen aan alle toepasselijke privacywetten. Dit omvat de privacy- en gegevensbeschermingswetten die van kracht zijn in België. Daarbij is de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 van bijzonder belang. Deze verordening betreft de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevensven tot intrekking van Richtlijn 95/46/EG (AVG). Alle partijen moeten zich houden aan deze wetgeving met betrekking tot de verzameling, het gebruik, de opslag, de openbaarmaking en andere verwerkingsactiviteiten van persoonsgegevens in het kader van deze gegevensverwerkingsovereenkomst (VWO).

Gegevensverwerkingen die onder deze VWO vallen

De activiteiten van Rosa op het gebied van gegevensverwerking worden vermeld en beschreven in het privacybeleid van Rosa. Onder deze overeenkomst vallen alleen verwerkingen onder de categorie "Gegevens die Rosa verwerkt voor rekening van zorgverleners".

Uw rol als verwerkingsverantwoordelijke

U bent de verwerkingsverantwoordelijke voor de verwerking van gegevens die onder deze VWO vallen, omdat:

  • Deze verwerkingen voornamelijk uitgevoerd worden voor Uw professionele behoeften;
  • U de beslissing neemt om deze verwerkingen uit te voeren (door de bijbehorende functionaliteit te activeren of door een dienst te beginnen gebruiken) en U de doeleinde en de middelen van de verwerking bepaalt; en
  • U toezicht houdt op de informatie die tijdens deze verwerkingen wordt verzameld en geregistreerd.

Als verwerkingsverantwoordelijke bent U verantwoordelijk voor de verwerkingsactiviteiten die onder deze VWO vallen, inclusief, maar niet beperkt tot, ervoor zorgen dat U een geldige wettelijke basis heeft voor de verwerkingsactiviteiten die onder deze VWO vallen en dat Uw Gebruikers (indien van toepassing) en Uw patiënten (of andere betrokkenen, indien van toepassing) op de hoogte zijn van deze verwerkingsactiviteiten. U stemt ermee in om Rosa de nodige instructies en documentatie te verstrekken, zodat Rosa haar verplichtingen als verwerker kan nakomen.

 

Algemene verplichtingen van Rosa als verwerker

Als verwerker verwerkt Rosa persoonsgegevens die onder deze VWO vallen namens U, voor zover nodig om de Overeenkomst uit te voeren en in overeenstemming met Uw gedocumenteerde instructies, voor de categorieën van gegevens, categorieën van betrokkenen en doeleinden die zijn beschreven, voor elke gegevensverwerkingsactiviteit, in de sectie "Gegevens die Rosa verwerkt voor rekening van zorgverleners" in het Privacybeleid van Rosa. Rosa zal de persoonsgegevens die onder deze VWO vallen niet voor andere doeleinden verwerken.

Rosa zal U onmiddellijk informeren als zij van mening is dat een instructie in strijd is met de AVG of een andere toepasselijke wetgeving inzake gegevensbescherming.

Indien en voor zover nodig en volgens de voorwaarden van deze VWO (indien van toepassing), zal Rosa U bijstaan bij het waarborgen van de naleving van Uw verplichtingen op grond van de artikelen 32 tot 36 van de AVG, met inbegrip van de rechten van betrokkenen, gegevensbeschermingseffectbeoordelingen en rapportage aan en overleg met toezichthoudende autoriteiten onder de AVG, rekening houdend met de aard van de verwerking en de informatie waarover Rosa beschikt. Voor zover wettelijk toegestaan, kan Rosa U redelijke kosten in rekening brengen voor de verstrekking van dergelijke bijstand.

Bovendien kan Rosa, op verzoek van bevoegde administratieve en gerechtelijke autoriteiten, persoonsgegevens die zij namens U verwerkt, verstrekken om te voldoen aan haar wettelijke verplichtingen. In dergelijke gevallen, en waar wettelijk toegestaan, verplicht Rosa zich om U van deze verstrekking op de hoogte te stellen.

Vertrouwelijkheidsverplichting van Rosa

Rosa moet de in deze VWO bedoelde persoonsgegevens vertrouwelijk behandelen. Rosa mag deze persoonsgegevens alleen aan derden verstrekken indien dit in het privacybeleid van Rosa of in deze VWO is bepaald, indien dit wettelijk verplicht is of indien U hiervoor toestemming geeft. 

Rosa ziet erop toe dat zijn personeel en onderaannemers die toegang hebben tot de persoonsgegevens die onder deze VWO vallen, gebonden zijn door passende geheimhoudingsverplichtingen.

Beveiligingsverplichting van Rosa

Rosa zal passende veiligheidsmaatregelen treffen om de persoonsgegevens die onder dit contract vallen te beschermen tegen ongeoorloofde toegang, wijziging of vernietiging en accidenteel of onrechtmatig verlies. Rosa maakt voor een deel van deze maatregelen gebruik van diensten of technologieën die door onderaannemers worden geleverd. 

Tot de maatregelen die momenteel van kracht zijn, behoren: Technical and Organisational Security Measures

Rosa zal deze beveiligingsmaatregelen van tijd tot tijd evalueren en indien nodig aanpassen, rekening houdend met de evolutie van de risico's, de technologie en de kosten van deze maatregelen.

Gebruik van verwerkers

U geeft Rosa toestemming om gebruik te maken van de diensten die door andere ondernemingen worden geleverd voor het uitvoeren van de gegevensverwerking die onder deze VWO valt. 

Rosa moet verwerkers selecteren die passende veiligheidsmaatregelen treffen. De overeenkomsten tussen Rosa en haar verwerkers moeten in overeenstemming zijn met deze VWO . 

Verwerkers worden beschreven hier.

Rosa zal U informeren als zij een verwerker wijzigt of een nieuwe verwerker aanstelt, zodat U de mogelijkheid krijgt om binnen 30 dagen na ontvangst van de kennisgeving bezwaar te maken tegen deze wijzigingen. Als U bezwaren heeft tegen Rosa's voornemen om een nieuwe verwerker aan te stellen, neem dan contact op met Rosa per e-mail, waarbij wordt begrepen dat U alleen schriftelijk en op redelijke en onderbouwde gronden bezwaar kunt maken tegen een dergelijke aanstelling. Na overleg, en bij gebrek aan overeenstemming tussen U en Rosa binnen 30 dagen, kunt U de Overeenkomst beëindigen. Bij afwezigheid van een dergelijk bezwaar, wordt U geacht deze nieuwe verwerker te hebben goedgekeurd en geaccepteerd.

Onder voorbehoud van de aansprakelijkheidsbeperking zoals vastgelegd in deze VWO, blijft Rosa volledig aansprakelijk tegenover U voor de uitvoering van de verplichtingen van haar verwerkers onder de AVG.

Overdracht van persoonsgegevens

Rosa zal alleen persoonsgegevens overdragen naar een land buiten de Europese Economische Ruimte (EER) op basis van een mechanisme voor gegevensoverdracht dat voldoet aan de bepalingen van de AVG: (1) een adequaatheidsbesluit, (2) passende waarborgen (inclusief standaardcontractbepalingen zoals goedgekeurd door de Europese Commissie of bindende bedrijfsvoorschriften), (3) afwijkingen toegestaan door de AVG in specifieke situaties en nadat U Uw voorafgaande schriftelijke toestemming voor de overdracht hebt gegeven

Afhandelen van verzoeken van betrokkenen om een klacht in te dienen of hun rechten uit te oefenen onder de AVG

Indien Rosa een verzoek of klacht ontvangt van een betrokkene met betrekking tot een gegevensverwerkingsactiviteit die onder deze VWO valt, zal Rosa U zonder onnodige vertraging op de hoogte stellen. Tenzij anders overeengekomen tussen de partijen, bent U verantwoordelijk voor het afhandelen en beantwoorden van dergelijke verzoeken.

Op Uw verzoek zal Rosa U redelijke bijstand en informatie verstrekken die U nodig heeft om te reageren op een verzoek van een betrokkene of om een klacht af te handelen. De partijen zullen samenwerken en te goeder trouw proberen een wederzijds bevredigend antwoord op het verzoek of een oplossing voor de klacht te bereiken. Voor zover wettelijk toegestaan, kan Rosa U redelijke kosten in rekening brengen voor het verlenen van dergelijke bijstand.

Procedure bij een inbreuk in verband met persoonsgegevens

Als een partij een inbreuk in verband met persoonsgegeves of een beveiligingsinbreuk opmerkt of vermoedt met betrekking tot een gegevensverwerkingsactiviteit die onder deze VWO valt, moet zij de andere partij zonder onnodige vertraging op de hoogte stellen. De partijen zullen samenwerken om het incident te onderzoeken en, waar van toepassing, de risico's verbonden aan het incident te beperken, en Rosa zal U helpen om te voldoen aan Uw verplichtingen onder artikel 33 van de AVG en, waar van toepassing, artikel 34 van de AVG, en zal redelijke medewerking verlenen aan onderzoeken.

In ieder geval zal Rosa U, voor zover mogelijk, op de hoogte houden van:

  • de aard en omvang van het datalek;
  • de categorieën en het geschatte aantal getroffen betrokkenen;
  • de contactgegevens van een contactpunt waar meer informatie over het datalek kan worden verkregen;
  • de (vermeende) oorzaak en de datum waarop het datalek plaatsvond (indien geen exacte datum bekend is, de periode waarin het datalek plaatsvond);
  • de waarschijnlijke gevolgen van het inbreuk;
  • de maatregelen die Rosa heeft genomen of heeft geadviseerd om de gevolgen van het inbreuk te beperken;
  • de beslissingen die door Rosa zijn genomen met betrekking tot een melding aan de toezichthoudende autoriteiten en de getroffen betrokkenen.

Voor zover het niet mogelijk is om al deze informatie tegelijkertijd te verstrekken, zal de initiële melding de op dat moment beschikbare informatie bevatten en zal verdere informatie, zodra deze beschikbaar is, zonder onnodige vertraging worden verstrekt.

Tenzij anders overeengekomen tussen de partijen, bent U verantwoordelijk voor het melden van eventuele inbreuken (indien van toepassing) aan de toezichthoudende autoriteiten en de betrokkenen in overeenstemming met de toepasselijke wetgeving.

 

Rechten van audit

Rosa zal U in vertrouwen alle relevante informatie ter beschikking stellen die nodig is om naleving van de verplichtingen die zijn vastgelegd in deze VWO aan te tonen en zal audits, inclusief inspecties, toestaan en eraan bijdragen, die op Uw kosten worden uitgevoerd door een onafhankelijke auditor die door U is aangesteld. Auditors mogen geen concurrent van Rosa zijn en moeten gebonden zijn aan geheimhoudingsverplichtingen. Audits en inspecties zullen plaatsvinden tijdens de normale werktijden van Rosa, op een tijdstip dat van tevoren in overleg tussen de partijen is overeengekomen en mogen de bedrijfsactiviteiten van Rosa niet onredelijk verstoren. Een dergelijke audit mag niet vaker dan één keer per contractjaar plaatsvinden (tenzij de audit wordt uitgevoerd in reactie op een verzoek van een toezichthoudende autoriteit) en moet minimaal dertig (30) dagen van tevoren schriftelijk worden aangekondigd.

Zowel U als Uw auditors moeten de in het kader van een audit openbaar gemaakte informatie vertrouwelijk houden en mogen deze alleen gebruiken voor het doel om de naleving van deze VWO door Rosa te verifiëren.

De bevindingen van de audit zullen door de partijen in onderling overleg worden beoordeeld en zullen (indien nodig) leiden tot de implementatie van aanpassingen door een van de partijen of door beide partijen gezamenlijk, voor zover dit redelijk is in het kader van de uitvoering van de Overeenkomst.

Aansprakelijkheid

De aansprakelijkheid van Rosa jegens U die voortvloeit uit deze VWO, is onderworpen aan de beperkingen en uitsluitingen die zijn vastgelegd in de Overeenkomst. Rosa is in ieder geval alleen aansprakelijk onder deze VWO als zij haar specifieke verplichtingen onder de AVG niet is nagekomen, of heeft gehandeld buiten of in strijd met Uw wettige instructies.

Duur van de verwerkingen

Deze VWO blijft volledig van kracht zolang de Overeenkomst van kracht blijft, of zolang Rosa enige persoonsgegevens met betrekking tot de Overeenkomst in haar bezit heeft.

Tenzij anders overeengekomen tussen de partijen, zal Rosa de persoonsgegevens bewaren gedurende de looptijd van de Overeenkomst.

U kunt Rosa instrueren om persoonsgegevens te verwijderen voorafgaand aan de beëindiging van de Overeenkomst, waarvoor U verantwoordelijk bent en die niet langer relevant zijn voor het beoogde doel.

Na beëindiging van de Overeenkomst zal Rosa, binnen 30 dagen, alle persoonsgegevens aan U restitueren of verwijderen en bestaande kopieën verwijderen, tenzij de wetgeving van de Unie of de Belgische wetgeving een langere opslag van de persoonsgegevens vereist.

Communicatie

U erkent dat het verzenden van e-mails naar het in Uw account vermelde primaire contactadres een geldige manier is om met U te communiceren over deze VWO. U moet dit adres actueel houden. 

Wijziging van deze VWO

Deze versie werd voor het laatst bijgewerkt op 9 oktober 2024. Er zijn wijzigingen aangebracht aan de vorige versie om de naleving van de AVG te verbeteren. Rosa kan deze VWO wijzigen, maar moet de wijzigingen van essentiële bestanddelen en de datum waarop ze van kracht worden, vooraf meedelen. De Overeenkomst tussen U en Rosa zal vanaf die datum dienovereenkomstig worden gewijzigd. Alle niet-essentiële wijzigingen zullen van kracht gaan na publicatie op de website van Rosa.

Toepasselijk recht en geschillen

Deze VWO wordt beheerd door en geïnterpreteerd in overeenstemming met de wetten en andere diverse clausules die van toepassing zijn op de Overeenkomst. Mocht het niet mogelijk zijn om een geschil tussen U en Rosa in der minne te regelen, dan zullen de bevoegde rechtbanken van de Brusselse, Franse of Nederlandse afdeling het geschil beslechten. 

Diversen

In geval van een conflict of ambiguïteit tussen een bepaling in deze VWO en de bepalingen van de Overeenkomst, zullen de bepalingen van deze VWO voorrang hebben.

Elke bepaling van deze VWO die uitdrukkelijk of impliciet van kracht moet worden of blijven na de beëindiging van de Overeenkomst, blijft volledig van kracht.

Termen die niet in deze VWO zijn gedefinieerd maar die wel zijn gedefinieerd in de AVG, hebben dezelfde betekenis als in de AVG.

Indien een van de bepalingen van deze VWO ongeldig, illegaal of niet-afdwingbaar wordt verklaard, wordt de geldigheid, wettigheid en afdwingbaarheid van de overige bepalingen van de VWO niet aangetast en wordt de ongeldige, illegale of niet-afdwingbare bepaling automatisch vervangen door een clausule waarvan het effect zo dicht mogelijk bij dat van de ongeldige, illegale of niet-afdwingbare bepaling komt.