Verwerkersovereenkomst
Bij de gegevens die u invoert in ePGB zitten ook persoonsgegevens. Wettelijk gezien wordt u aangemerkt als verantwoordelijke voor de verwerking van die persoonsgegevens. ePGB is de verwerker. Dat houdt kortgezegd in dat u verantwoordelijk bent voor de persoonsgegevens en wij slechts in uw opdracht werken. In onderstaande verwerkersovereenkomst leggen we onze afspraken hieromtrent vast.
1. Definities
Persoonsgegeven: alle informatie over een natuurlijke persoon (de betrokkene) waarmee direct of indirect de identiteit van deze persoon valt vast te stellen. Voorbeelden: naam, (mail)adres of telefoonnummer.
Betrokkene: degene op wie de persoonsgegevens die worden verwerkt betrekking hebben. Bijvoorbeeld uw zorgverleners.
Verantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. In dit geval bent u dat.
Verwerker: de persoon of de organisatie die voor de verantwoordelijke de persoonsgegevens verwerkt. In dit geval zijn wij dat.
Verwerkersovereenkomst: een overeenkomst waarin de verantwoordelijke en de verwerker afspraken maken over de verwerking van persoonsgegevens, als bedoeld in artikel 28, derde lid, van de Algemene Verordening Gegevensbescherming (hierna: AVG). Deze overeenkomst dus.
2. Partijen
Verantwoordelijke:
U als klant van ePGB (PZN B.V.), die met ons een overeenkomst heeft gesloten tot het gebruik van ons Pgb administratie pakket, hierna te noemen "u".
Verwerker:
PZN B.V. handelend onder de naam ePGB. Kievitlaan 5, 2224JN Katwijk, ingeschreven in de Kvk onder nummer: 34217868
Hierna te noemen "wij".
3. Duur verwerkersovereenkomst
Deze verwerkersovereenkomst geldt vanaf de datum waarop deze door partijen wordt afgesloten. Door online akkoord te geven, komt de verwerkersovereenkomst tot stand. Deze verwerkersovereenkomst is onderdeel van de overeenkomst die wij met u hebben gesloten voor het gebruik van ePGB en eindigt derhalve op het moment dat de overeenkomst met ePGB door u of ons wordt beƫindigd.
4. Doel en inhoud verwerking persoonsgegevens
U beschikt over en bent verantwoordelijk voor de persoonsgegevens. Het onderwerp van de verwerking is de dienst genaamd "ePGB".
Het doel van de verwerking is het gebruiken van de online software van ePGB voor het bijhouden van uw Pgb administratie(s) en het organiseren van de zorgplanning zoals te vinden is op https://www.epgb.nl/rondleiding Wij doen er alles aan om de, in het kader van dit doel, ter beschikking gestelde persoonsgegevens zorgvuldig te verwerken.
De categorie betrokkenen betreft: zorgverleners en eventueel pgb-houders. Met deze verwerkersovereenkomst geeft u ons de opdracht om de volgende persoonsgegevens te verwerken:
Voornaam + achternaam, geslacht, adres, postcode, plaats en land, e-mailadressen, bedrijfsnaam, KvK-nummer, IBAN en tnv gegevens, Btw-nummer, bsn-nummer (bijzonder persoonsgegeven), geboortedatum, telefoonnummers (vast + mobiel en fax), foto of logo, klantnummer Svb, dossiernummer Wmo, Dossiernummer Wlz, relatienummer zorgverzekeraar, AGB-code, ip-adres en inloggegevens.
Binnen ePGB is het mogelijk om notities in de vorm van open tekst in te voeren. Wij hebben geen invloed op het soort persoonsgegevens dat u daar in voert. U gaat ermee akkoord geen verdere bijzondere persoonsgegevens in die invoervelden in te voeren.
Het kan zijn dat we op een later moment extra functionaliteiten aanbieden. Die extra functionaliteiten vallen dan binnen de opdracht die u ons heeft gegeven en zodoende hoeven we daarvoor niet apart toestemming te vragen voor het gebruik.
5. Overeengekomen afspraken
Beide partijen zijn op de hoogte van de Algemene Verordening Gegevensbescherming (AVG / GDPR) en zullen zich gezamenlijk inspannen om aan alle wettelijke eisen te voldoen. Wij houden ons in ieder geval aan de volgende punten:
1. De verwerking van de persoonsgegevens vindt uitsluitend plaats op basis van uw schriftelijke instructies. Wij zijn alleen verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig uw instructies en onder uw uitdrukkelijke (eind)verantwoordelijkheid.
2. Wij handelen in overeenstemming met de toepasselijke wet- en regelgeving betreffende de verwerking van persoonsgegevens.
3. Wij zullen de persoonsgegevens niet voor eigen doeleinden gebruiken en gebruiken ze alleen voor het doel zoals beschreven in artikel 4.
4. De persoonsgegevens die u invoert blijven uw eigendom en u kunt die terugkrijgen door ze te exporteren. Wij zullen ze na afloop van de overeenkomst verwijderen, tenzij wij wettelijk verplicht zijn deze te bewaren. Het verwijderen gebeurt zo snel mogelijk maar in ieder geval binnen vier weken na afloop van de overeenkomst.
5. Personen in dienst van of werkzaam bij ons die in aanraking komen met de persoonsgegevens hebben een geheimhoudingsplicht. Deze geheimhoudingsplicht is niet van toepassing indien u uitdrukkelijk toestemming heeft gegeven om bepaalde persoonsgegevens met anderen te delen; of indien de betrokkene (bijvoorbeeld een klant) uitdrukkelijk toestemming heeft gegeven om deze gegevens met anderen te delen; of als er een wettelijke verplichting is om bepaalde persoonsgegevens aan een andere instantie of persoon, bijvoorbeeld aan het openbaar ministerie, te verstrekken.
6. Wij geven zonder uw toestemming geen persoonsgegevens, die wij in uw opdracht verwerken, door aan andere organisaties. Wel maken we gebruik van de diensten van subverwerkers. Zij verwerken ten behoeve van u en in opdracht van ons persoonsgegevens, zoals bij het versturen van uw facturen en offertes per post of per email. Door deze verwerkersovereenkomst te ondertekenen geeft u ons toestemming om subverwerkers in te schakelen. De subverwerkers vindt u op onze partner pagina op deze link: https://www.epgb.nl/epgb/subverwerkers.
7. Als we een andere subverwerker gaan gebruiken, informeren we u altijd vooraf. Blijft u na de aankondiging gebruik maken van ePGB, dan heeft u hierbij het akkoord gegeven voor die subverwerkers.
8. Wij leggen met een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen vast als in deze overeenkomst met u.
9. Bij het niet nakomen van de verplichtingen van een subverwerker zijn wij nog steeds aansprakelijk voor het nakomen van verplichtingen aan u.
10. Wij hebben passende technische en organisatorische maatregelen genomen zodat de verwerking van de persoonsgegevens aan de vereisten van de AVG voldoet en de bescherming van de rechten van de betrokkenen zijn gewaarborgd. We streven er na dat deze maatregelen voldoen aan de eisen in artikel 32 van de AVG. Wij hebben onder andere de volgende beveiligingsmaatregelen genomen:
- logische toegangscontrole, gebruik makend van sterke wachtwoorden;
- IP-restricties voor toegangsbeveiliging van onze servers, database en bestanden;
- encryptie van de wachtwoorden die staan opgeslagen in de database;
- organisatorische maatregelen voor toegangsbeveiliging;
- beveiliging van netwerkverbindingen via Transport Layer Security (TLS) technologie;
- geheimhoudingsplicht medewerkers en ingeschakelde derden;
- Beveiligde verbinding tot de applicatie en apps met een SSL certificaat.
11. Wij helpen mee om te voldoen aan uw plichten als verantwoordelijke als betrokkenen hun privacyrechten uitoefenen. Wij hebben ervoor gezorgd dat u de gegevens van de betrokkenen kunt wijzigen, verwijderen of exporteren. Indien wij een verzoek ontvangen van een betrokkene, waarvan u de verantwoordelijke bent, op het gebied van het recht op inzage, correctie, vergetelheid en dataportabiliteit, sturen wij dit verzoek naar u door. U bent dan verplicht dit verzoek verder op te pakken en aan de rechten uit de AVG tegemoet te komen.
12. Wij helpen mee om te voldoen aan de verplichtingen rond de meldplicht datalekken. Dit betekent dat wij mogelijke datalekken direct (maar uiterlijk binnen 48 uur) melden aan u en dat wij meewerken aan onderzoek en analyse. Na overleg over de aard en ernst van het datalek beoordeelt u zelf of u het lek meldt aan de Autoriteit Persoonsgegevens en de betrokkenen. Wij melden een datalek niet aan de AP, omdat u verantwoordelijk bent voor de wettelijke verplichtingen in dit kader. Wij brengen voor afhandeling van mogelijke datalekken die bij ons zijn ontstaan geen kosten in rekening.
13. Wij helpen mee om te voldoen aan de verplichtingen rond Data Protection Impact Assessment. Wij brengen hier niet meer dan redelijke kosten voor in rekening.
14. Wij werken mee aan audits die u wilt (laten) uitvoeren. Indien we echter al een auditrapport ter inzage hebben, zult u eerst met goede inhoudelijke argumenten moeten komen waarom de reeds bestaande audit geen uitsluitsel geeft over het naleven van deze verwerkersovereenkomt en u een nieuwe audit wilt uitvoeren. Indien u een audit wilt inzien of wilt laten plaatsvinden doen we dat onder de voorwaarde dat u dat 14 dagen van te voren schriftelijk aankondigt en gebruik maakt. Verder vereisen wij dat u gebruik maakt van een externe auditor die lid is van de Norea (of voldoet aan dezelfde kwaliteitsstandaarden die de Norea stelt). De uitslag van de audit wordt door u en de auditor geheim gehouden en niet met derden gecommuniceerd. Wij stellen alle redelijkerwijs relevante informatie voor de audit zo snel mogelijk beschikbaar. De kosten van de audit zijn voor uw rekening, waaronder ook de (interne) kosten die wij maken.
15. We hosten en verwerken de persoonsgegevens binnen de Europese Economische Ruimte (EER). We maken gebruik van servers in Amsterdam en in Ierland. Enkele van de subverwerkers kunnen gegevens opslaan buiten de EER. Op de partner pagina kunt u lezen welke dat zijn. Deze subverwerkers voldoen aan de beveiligingseisen die door de Europese Commissie als adequaat worden beschouwd. U geeft ons hierbij toestemming om de persoonsgegevens buiten de EER op te slaan.
6 aansprakelijkheid
Als verantwoordelijke voor de verwerking van persoonsgegevens, moet u aan een aantal eisen voldoen:
1. U moet voldoen aan de wettelijke eisen die voor de verwerking van persoonsgegevens gelden en bepalen of u volgens de wet het recht (grondslag) heeft om bepaalde gegevens vast te leggen.
2. U moet nagaan of de persoonsgegevens die u bij ons invoert, voldoende beschermd zijn door de beveiligingsmaatregelen. Wij hebben aan de hand van de privacyrisico's van het soort persoonsgegevens dat we verwerken (als omschreven in artikel 4) onze beveiliging afgestemd. Indien u een ander soort gegevens vastlegt kunnen wij niet garanderen dat onze veiligheidsmaatregelen daarvoor voldoende zijn.
3. U moet uw account zo goed mogelijk beveiligen. U draagt de verantwoordelijkheid om een sterk wachtwoord te kiezen en er zorg voor te dragen dat uw wachtwoord niet gedeeld wordt met derden. Wij raden het gebruik van een password manager aan.
Indien u aan deze eisen niet voldoet en anderen stellen ons aansprakelijk voor hierdoor ontstane, dan stelt u ons schadeloos en vrijwaart u ons voor die aansprakelijkheid.
Volgens de wet zijn wij niet aansprakelijk voor schade als we kunnen bewijzen dat we voldoende technische en organisatorische beveiligingsmaatregelen hebben genomen.
Zijn we wel aansprakelijk, dan is deze aansprakelijkheid beperkt. Daarvoor gelden de afspraken die staan in onze algemene voorwaarden voor het gebruik van ePGB.
7 Toepasselijk recht
Op deze verwerkersovereenkomst en op alle geschillen die daaruit mogen voortvloeien of daarmee mogen samenhangen, is het Nederlands recht van toepassing.
Alle geschillen, die tussen u en ons mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waarin wij zijn gevestigd.
Verwerkersovereenkomst 1.0