Verwerkersovereenkomst

Partijen:

1. De besloten vennootschap met beperkte aansprakelijkheid Hoofdmaatje BV, statutair gevestigd te Driebergen (3971 PA) en kantoorhoudende aan Diederichslaan 17, hierbij rechtsgeldig vertegenwoordigd door de heer F.R. Noz, directeur, hierna te noemen “Verwerker”;

 

en

2. De Kinderfysiotherapeut, hierna te noemen “Klant” of “Verwerkingsverantwoordelijke”.

 

hierna gezamenlijk te noemen: “Partijen”,

Overwegen het volgende:

 

a. Verwerker in opdracht van Verwerkingsverantwoordelijke diensten zal verrichten, bestaande o.a. uit het ter beschikking stellen van de Skully care app, een en ander zoals omschreven in de Algemene Voorwaarden.

 

b. Dit leidt ertoe dat de Verwerker in opdracht van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt (hierna: “Persoonsgegevens” respectievelijk de “Verwerking” of “Verwerking van (de) Persoonsgegevens”), in de zin van de geldende wet- en regelgeving op het gebied van privacy waaronder de Algemene Verordening Gegevensbescherming (“AVG”).  

 

c. Partijen wensen, mede gelet op het bepaalde in de geldende privacywet- en regelgeving zoals artikel 28 AVG, in deze Verwerkersovereenkomst hun wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens vast te leggen.

 

Komen het volgende overeen:

 

Artikel 1: Onderwerp en opdracht Verwerkersovereenkomst

  1. Deze Verwerkersovereenkomst is van toepassing op de Verwerking van Persoonsgegevens in het kader van de uitvoering van de Product- en Dienstenovereenkomst.
     

  2. Verwerkingsverantwoordelijke verstrekt aan de Verwerker de opdracht tot Verwerking van Persoonsgegevens ten behoeve van de uitvoering van de diensten.
     

  3. Verwerker zal de Persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met de geldende wet- en regelgeving betreffende de verwerking van persoonsgegevens, waaronder de AVG, verwerken.

 

Artikel 2: Rolverdeling

  1. Verwerkingsverantwoordelijke is ten aanzien van de in diens opdracht uit te voeren Verwerkingen van Persoonsgegevens de verwerkingsverantwoordelijke in de zin van de geldende privacywet- en regelgeving, zoals de AVG. Verwerker is verwerker in de zin van de geldende privacywet- en regelgeving, zoals de AVG. Verwerkingsverantwoordelijke  heeft en houdt, anders dan Verwerker, zelfstandige zeggenschap over het doel en de middelen van de Verwerking van de Persoonsgegevens. Verwerker zal alle instructies van Verwerkingsverantwoordelijke dienaangaande opvolgen (behoudens afwijkende wettelijke verplichtingen) en neemt zelf geen beslissingen over de Verwerking van Persoonsgegevens.
     

  2. Verwerker draagt er zorg voor dat Verwerkingsverantwoordelijke voorafgaand aan het sluiten van deze Verwerkersovereenkomst toereikend wordt geïnformeerd over de dienst(en) die de Verwerker verleent, en de uit te voeren Verwerkingen. De gegeven informatie moet  in staat stellen een keuze te maken met betrekking tot de aangeboden diensten.
     

  3. De in lid 2 bedoelde diensten moeten in Bijlage 1 bij deze Verwerkersovereenkomst in begrijpelijke taal zijn beschreven, waarna Verwerkingsverantwoordelijke  geïnformeerd akkoord kan gaan met de afname van deze dienst(en). Verwerkingsverantwoordelijke en Verwerker verstrekken elkaar over en weer alle benodigde informatie teneinde een goede naleving van de relevante privacywet- en regelgeving mogelijk te maken.

 

Artikel 3: Gebruik Persoonsgegevens

  1. Verwerker verplicht zich om de van Verwerkingsverantwoordelijke verkregen Persoonsgegevens niet voor andere doeleinden of op andere wijze te gebruiken dan voor het doel, en de wijze waarvoor, de gegevens zijn verstrekt of aan haar bekend zijn geworden. Het is Verwerker derhalve niet toegestaan andere gegevensverwerkingen uit te voeren dan door Verwerkingsverantwoordelijke (mondeling, schriftelijk dan wel elektronisch) aan Verwerker zijn opgedragen. Deze verplichting geldt zowel gedurende de looptijd van de Verwerkersovereenkomst en/of Product- en Dienstenovereenkomst als na afloop daarvan.
     

  2. Een overzicht van de Persoonsgegevens waarop de Verwerking van Persoonsgegevens betrekking heeft is opgenomen in Bijlage 2 bij deze Verwerkersovereenkomst.
     

  3. Verwerker onthoudt zich van verstrekking van Persoonsgegevens aan een derde, tenzij deze uitwisseling plaatsvindt in opdracht van Verwerkingsverantwoordelijke of wanneer dit noodzakelijk is om te voldoen aan een op de Verwerker rustende wettelijke verplichting. In geval van een wettelijke verplichting, verifieert Verwerker voorafgaand aan de verstrekking de grondslag van het verzoek en de identiteit van de verzoeker. Daarnaast informeert Verwerker Verwerkingsverantwoordelijke - indien wettelijk toegestaan - onmiddellijk, zo mogelijk voorafgaand aan de verstrekking.

 

Artikel 4: Geheimhouding

  1. Verwerker zorgt er voor dat een ieder, waaronder haar werknemers, vertegenwoordigers en/of subverwerkers, die betrokken zijn bij de Verwerking van de Persoonsgegevens deze gegevens als vertrouwelijk behandelt. Onder een subverwerker wordt verstaan de partij die door Verwerker wordt ingeschakeld als Verwerker ten behoeve van de Verwerking van Persoonsgegevens in het kader van deze Verwerkingsovereenkomst (“Subverwerker”). Verwerker bewerkstelligt dat voor een ieder die betrokken is bij de Verwerking van de Persoonsgegevens een geheimhoudingsovereenkomst of -beding is gesloten.
     

  2. De in dit artikel bedoelde geheimhoudingsplicht geldt niet voor zover Verwerkingsverantwoordelijke uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een derde te verstrekken, indien het verstrekken van de Persoonsgegevens aan een derde noodzakelijk is gezien de aard van de door Verwerker aan Verwerkingsverantwoordelijke te verlenen diensten, of indien er een wettelijke verplichting bestaat om de Persoonsgegevens aan een derde te verstrekken.

 

Artikel 5: Beveiliging en controle

  1. Verwerker zal zorg dragen voor passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en de kosten gemoeid met de implementatie en de uitvoering van de maatregelen, een passend beschermingsniveau verzekeren, zulks met inachtneming van de risico’s die het verwerken van Persoonsgegevens, en de aard daarvan, meebrengen.
     

  2. De maatregelen zoals genoemd in artikel 5 lid 1 omvatten in ieder geval:

    1. maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt;

    2. maatregelen om de Persoonsgegevens te beschermen tegen met name onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking;

    3. maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verwerkingsverantwoordelijke; en

    4. een passend informatiebeveiligingsbeleid voor de Verwerking van de Persoonsgegevens.
       

  3. Verwerker zal de door haar getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.
     

  4. In Bijlage 3 worden  de technische en organisatorische beveiligingsmaatregelen beschreven.
     

  5. Verwerker stelt Verwerkingsverantwoordelijke in staat om te kunnen voldoen aan haar  wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 6 genoemde verplichtingen ten aanzien van datalekken (d.w.z. een inbreuk in verband met persoonsgegevens zoals bedoeld in de geldende privacywet- en regelgeving zoals artikel 33 lid 1 AVG (“Datalek”). De Verwerker kan dat rapporteren aan de hand van een geldige certificering of een gelijkwaardig controle- of bewijsmiddel.
     

  6. In aanvulling op artikel 5 lid 5 heeft Verwerkingsverantwoordelijke te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, op eigen kosten, de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen te laten toetsen door een onafhankelijke Register EDP auditor. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker in te schakelen gecertificeerde en onafhankelijke auditor die een derden-verklaring (TPM) afgeeft. Verwerkingsverantwoordelijke wordt geïnformeerd over de uitkomsten van de audit.
     

Artikel 6: Datalekken

  1. Verwerker heeft een passend beleid voor de omgang met Datalekken.
     

  2. Indien Verwerker een Datalek of ander incident met betrekking tot de beveiliging van Persoonsgegevens vaststelt, dan zal zij Verwerkingsverantwoordelijke onverwijld hierover informeren. Verwerker  verstrekt alle relevante informatie aan Verwerkingsverantwoordelijke met betrekking tot het Datalek, waaronder informatie over eventuele ontwikkelingen rond het Datalek of ander incident, en de maatregelen die de Verwerker treft om aan haar kant de gevolgen van het Datalek zoveel mogelijk te beperken en herhaling te voorkomen. Aanvullend informeert Verwerker Verwerkingsverantwoordelijke onverwijld indien blijkt dat de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de Betrokkene(n), zoals bedoeld in de geldende privacywet- en regelgeving zoals artikel 34 lid 1 AVG.
     

  3. Ingeval van een Datalek of ander incident met betrekking tot de beveiliging van Persoonsgegevens zal Verwerker alle redelijkerwijs benodigde maatregelen treffen om deze en verdere Datalekken of andere incidenten met betrekking tot de beveiliging van Persoonsgegevens te beëindigen, te voorkomen en te beperken. Verwerker stelt Verwerkingsverantwoordelijke ook in staat om desgewenst zelf passende vervolgstappen te (laten) nemen ten aanzien van het Datalek of ander beveiligingsincident.
     

  4. Verwerker zal Verwerkingsverantwoordelijke volledige medewerking verlenen aan het voldoen aan de meldplicht van de geldende privacywet- en regelgeving, waaronder artikel 33 en 34 AVG, aan de Autoriteit Persoonsgegevens en de Betrokkene(n).
     

  5. De eventuele met de artikelen 6 lid 1 tot en met 3 gemoeide kosten komen voor rekening van Verwerkingsverantwoordelijke. De met artikel 6 lid 4 gemoeide kosten komen voor rekening van Verwerker, voor zover het Datalek of het andere beveiligingsincident het gevolg is van een tekortkoming door Verwerker in de nakoming van diens verplichting(en) uit deze Verwerkersovereenkomst.

 

Artikel 7: Procedure rechten Betrokkenen

  1. Een klacht of verzoek van een betrokkene (dat wil zeggen degene op wie een Persoonsgegeven betrekking heeft (“Betrokkene”)) met betrekking tot de Verwerking van de Persoonsgegevens wordt door de Verwerker onverwijld doorgestuurd naar Verwerkingsverantwoordelijke die verantwoordelijk is voor de afhandeling van het verzoek.
     

  2. Verwerker verleent Verwerkingsverantwoordelijke - voor zover redelijkerwijs mogelijk - volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de geldende wet- en regelgeving op het gebied van privacy waaronder de AVG, meer in het bijzonder de rechten van Betrokkenen zoals een verzoek om inzage, rectificatie, verwijdering, beperking verwerking, overdragen of bezwaar op verwerking van Persoonsgegevens.
     

Artikel 8: Verwerking buiten de Europese Economische Ruimte

  1. Verwerker ziet er op toe dat voor zover Persoonsgegevens buiten de Europese Economische Ruimte (verder: EER) worden Verwerkt, dit alleen plaatsvindt conform wettelijke voorschriften, en eventuele verplichtingen die in dit verband op Verwerkingsverantwoordelijke rusten. Indien gegevens buiten de EER worden verwerkt wordt dit in Bijlage 1 aangegeven, inclusief een opgave van de landen waar de Persoonsgegevens worden verwerkt.

 

 

Artikel 9: Inschakeling Subverwerker

  1. Verwerker kan een Subverwerker inschakelen, van wie de identiteit en vestigingsgegevens zullen worden opgenomen in Bijlage 1. Het is Verwerker zonder toestemming van Verwerkingsverantwoordelijke niet toegestaan om andere Subverwerkers dan vermeld in Bijlage 1 in te schakelen.
     

  2. Verwerker verplicht iedere Subverwerker contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na te leven met betrekking tot de Verwerking van Persoonsgegevens welke verplichtingen en maatregelen minimaal dienen te voldoen aan het bepaalde in deze Verwerkersovereenkomst.
     

  3. Verwerker verplicht iedere Subverwerker contractueel om Persoonsgegevens niet verder te verwerken anders dan in het kader van deze Verwerkersovereenkomst  is overeengekomen.

 

Artikel 10: Bewaartermijnen en vernietiging Persoonsgegevens

  1. Persoonsgegevens en beeldmateriaal van Verwerkingsverantwoordelijke wordt bewaard zolang de Verwerkingsverantwoordelijke de diensten van Verwerker afneemt. Na afloop van die relatie zal Verwerken de Persoonsgegevens en beeldmateriaal van Verwerkingsverantwoordelijke anonimiseren. Zulks geldt tenzij Verwerkingsverantwoordelijke reeds daarvoor verzoekt om verwijdering van de Persoonsgegevens en beeldmateriaal.
     

  2. Tenzij Partijen anders zijn overeengekomen is Verwerker niet gehouden tot het maken van een back-up van de Persoonsgegevens en beeldmateriaal.

 

Artikel 11: Aansprakelijkheid

  1. Verwerker is aansprakelijk voor schade voortvloeiende uit of verband houdende met het niet-nakomen van deze Verwerkersovereenkomst dan wel het handelen in strijd met de geldende wet- en regelgeving op het gebied van privacy, waaronder de AVG.
     

  2. Verwerker is slechts aansprakelijk voor directe schade die  Verwerkingsverantwoordelijke lijdt wegens een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst. De aansprakelijkheid van Verwerker zal te allen tijde beperkt zijn tot het bedrag dat de (beroeps) aansprakelijkheidsverzekeraar van Verwerker ter zake uitkeert. Indien de verzekeraar om welke reden dan ook niet uitkeert zal de aansprakelijkheid van Verwerker te allen tijde beperkt zijn tot maximaal het bedrag (excl BTW) dat Verwerker in het jaar voorafgaand aan de schadeveroorzakende gebeurtenis(sen) aan Klant in rekening heeft gebracht én dat door Klant is betaald. Indien zich meerdere schadeveroorzakende gebeurtenissen voordoen blijft de totale schadevergoeding met betrekking tot alle gebeurtenissen gezamenlijk beperkt tot het bedrag als beschreven in voorgaande volzin.
     

  3. Verwerker is in geen enkel geval aansprakelijk voor indirecte en/of gevolgschade, waaronder mede doch niet uitsluitend begrepen winstderving, vertragingsschade en schade als gevolg van aanspraken van cliënten/patiënten van Klant. Eveneens is uitgesloten de aansprakelijkheid van Verwerker wegens verlies van Persoonsgegevens.
     

  4. Voorwaarde voor het ontstaan van enig recht op schadevergoeding is voorts dat Verwerkingsverantwoordelijke de schade zo spoedig mogelijk na het ontstaan daarvan schriftelijk bij Verwerker meldt. Iedere vordering tot schadevergoeding tegen Verwerker op grond van deze Verwerkersovereenkomst vervalt door het enkele verloop van twee maanden na het ontstaan van de schade.

Artikel 12: Duur en beëindiging

  1. De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de tussen Partijen gesloten Product- en Dienstenovereenkomst, inclusief eventuele verlengingen daarvan.
     

  2. Deze Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Product- en Dienstenovereenkomst, dat wil zeggen na voltooiing van de overeengekomen product- en dienstenlevering door Verwerker. De beëindiging van deze Verwerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voort te duren.

 

Artikel 14: Toepasselijk recht

  1. Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
     

  2. Alle geschillen voortvloeiende of samenhangende met deze Verwerkersovereenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter.




     

 

 

 

 

BIJLAGE 1: PRODUCT EN/OF DIENST

 

Algemene informatie

Naam product en/of dienst: Skully care app.

Beknopte uitleg en werking product en dienst: meetmethode ter bepaling van schedeldeformatie met behulp van fotodetectie.

Link naar leverancier en/of productpagina: https://www.skullycare.com

Subverwerkers

Verwerker maakt gebruik van de volgende Subverwerker(s):

 

Yukon Software Ltd in Oekraine.

Taak/dienst: ontwikkelen en updaten van de App; ontwikkelen, verbeteren van de AI-model ten behoeve van het automatisch meten en uitbreiden van de functionaliteit.

 

BIJLAGE 2: PERSOONSGEGEVENS

Omschrijving Persoonsgegevens, aard verwerking en, etc.

Deze Verwerkersovereenkomst heeft betrekking op de volgende verwerkingen van Persoonsgegevens. Zie schema volgende pagina.

BIJLAGE 3: TECHNISCHE EN ORGANISATORISCHE BEVEILIGINGSMAATREGELEN

 

Omschrijving van de maatregelen zoals bedoeld in artikel 5 lid 2 Verwerkersovereenkomst

  1. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Verwerking van Persoonsgegevens.

De mobiele applicatie ‘Skully Care’ is een digitale tool ontwikkeld om de kinderfysiotherapeut (KFT) te assisteren bij de behandeling van baby’s met een schedeldeformatie. Met de Skully Care app kan de KFT eenvoudige en snel een meting maken, de voortgang monitoren en informatie over de behandeling delen met de ouders of verzorgers van de baby. Deze gedeelde informatie wordt alleen tussen de KFT en ouder of verzorgers uitgewisseld. De KFT kan de ouders of verzorgers van het kind uitnodigen de gegevens in te zien. De app draait op een server, waar ook de gegevens worden opgeslagen. Door de bovenzijde van het hoofdje te fotograferen meet de KFT de mate van afplatting. Het berekenen van de schedeldeformatie wordt uitgevoerd door een AI model die op de server draait. De baby’s zijn niet herkenbaar op de foto’s.

 

De KFT (zorgprofessional) maakt een profiel aan met contactgegevens (E.g. naam, organisatie, adres telefoonnummer en emailadres). De ouders of verzorgers (niet-zorgprofessional) kunnen een profiel aanmaken met contactgegevens (E.g. naam en telefoonnummer). De KFT kan voor zijn of haar behandeld baby een profiel aanmaken (E.g. voornaam, eerste letter achternaam, geboortedatum en het geslacht). Door het gebruik van de Skully Care app kan de KFT informatie aan het profiel van de baby toevoegen zoals meetresultaten, behandel adviezen en foto’s van de bovenzijde van het hoofd. Skully Care sluit met de aangesloten KFT’s een Verwerkingsovereenkomst af. Hierin wordt afgesproken dat het verwerken van persoonsgegevens altijd volgens de richtlijnen van de privacywetgeving moet gebeuren.

 

Tijdens het betrouwbaarheidsonderzoek wordt alleen de meetfunctionaliteit van de Skully Care app gebruikt. Per meting wordt een nummer toegekend. Hierdoor worden er geen persoonsgegevens van de baby of tester opgeslagen. Het monitoren van de voortgang en het delen van een behandelingsplan wordt dus niet gebruikt.

 

Omdat dit een basis versie betreft wordt bij eventuele doorontwikkeling van de Skully Care app er toegewerkt naar een marktklare app (publiekelijk beschikbaar in de app-store) en zullen de benodigde formele stappen worden gezet richting certificering. Dit is in lijn met de gangbare procedure in medische productontwikkeling (conform MDR Medical Device Regulation), waarbij validatie en certificering uitgevoerd wordt met het eindproduct - in de vorm zoals deze daadwerkelijk naar de markt wordt gebracht.

 

Informatiebeveiliging

Skully Care maakt gebruik van twee servers. Op een server draait de applicatie en worden de gegevens opgeslagen. De tweede server is volledig toegewijd aan het trainen van het AI model.

 

De server waar de Skully Care applicatie op draait en waar de gegevens worden opgeslagen draait bij Yukon Software Ltd. Yukon Software Ltd verzorgt dagelijkse back-ups (point-in-time-recovery PITR) en is end-to-end SSL encrypted. De verbinding tussen server en client (mobiele telefoon) is beveiligd met behulp via SSH.

 

Communicatie tussen app en server is HTTPS beschermd en is op ‘signature on every request’ Oauth gebaseerd. Het is mogelijk om de server via de ‘back office’ te benaderen. De backoffice is ingericht als controle en management middel. De back office is alleen door het Skully Care team te benaderen. Deze is beveiligd door de bovengenoemde maatregelingen en is gebruiksnaam en wachtwoord beveiligd.

 

Eén server is volledig gericht op het trainen van het AI model. Deze server is niet aangesloten op het internet. Om deze server te trainen is een fysieke connectie benodigd. Hiervoor heeft slecht één persoon toegang toe.

 

 

Rapportage

In aanvulling op de kennisgeving zoals bedoeld in artikel 6 lid 2, rapporteert Verwerker aan Verwerkingsverantwoordelijke  over de door Verwerker genomen maatregelen aangaande de getroffen technische en organisatorische beveiligingsmaatregelen, mits zich daarin veranderingen, aanvullingen of andere aandachtspunten voordoen.

Contactgegevens: F.R. Noz, freeknoz@skullycare.com.

Ondersteuning

Kennisbank

Oefeningen

FAQ

Feedback

Nieuwsbrief

Social

  • Skully Care Youtube
  • Skully Care Linkedin
  • Facebook Skully Care

Diederichslaan 17, 3971 PA Driebergen

Tel: (+31)613627767

info@skullycare.com 

Copyright © 2020 All rights reserved.