Met een licentie- en een verwerkers-overeenkomst.
Licentie
Om toegang te krijgen tot de Serious Game Infectionary moet jouw zorgorganisatie een licentieovereenkomst aangaan met GGD Twente.
Lees hier een voorbeeld van de licentieovereenkomst.
De algemene licentievoorwaarden zijn van toepassing.
Lees hier de algemene licentievoorwaarden.
En een verwerkersovereenkomst
Ook moet je organisatie een verwerkersovereenkomst aangaan met GGD Twente. Daarin staat beschreven hoe GGD Twente omgaat met de persoonsgegevens van de spelers.
Lees hier een voorbeeld van een verwerkersovereenkomst.
Mail ons
De overeenkomsten kun je opvragen bij GGD Twente. Deze kun je ons ingevuld en ondertekend retour sturen. Stuur een mailtje naar:
wordt mede mogelijk gemaakt door:
Specimen LICENTIEOVEREENKOMST ZORGORGANISATIE INZAKE INFECTIONARY
Partijen bij deze overeenkomst zijn de ondergetekenden:
1. GGD Twente, onderdeel van het openbaar lichaam SamenTwente, rechtspersoon in de zin van artikel 8 lid 1 Wet gemeenschappelijke regelingen, ingeschreven in het Handelsregister onder nummer 08195873, gevestigd en kantoorhoudend te 7511 JM Enschede aan de Nijverheidstraat 30, hierbij rechtsgeldig vertegenwoordigd door mevrouw drs. A.M. Kok MBA, hoofd Algemene Gezondheidszorg, hierna te noemen: ‘GGD Twente’
en
2. ... (rechtsvorm en naam leverancier), gevestigd en kantoorhoudend te ... (postcode en plaats) aan de ... (straatnaam en nummer), ingeschreven in het Handelsregister onder nummer ... (KvK-nummer), hierbij rechtsgeldig vertegenwoordigd door ... (de heer/mevrouw, naam en functie), hierna te noemen: ‘de Zorgorganisatie’
Partijen nemen in aanmerking:
A. GGD Twente is (intellectueel) eigenaar van de serious game Infectionary. GGD Twente stelt de game via internet (‘online’) als een Software as a Service-oplossing (SaaS) beschikbaar aan zorgorganisaties.
B. Infectionary is een innovatieve leermethode om kennis en bewustzijn op het gebied van hygiëne en infectiepreventie te vergroten. De doelgroep van Infectionary is zorgpersoneel, helpende niveau 1 en 2, verzorgende niveau 3 en verpleegkundige niveau 4 en niveau 5 van verpleeghuizen, woonzorgcentra, kleinschalig wonen en thuiszorgorganisaties.
C. De Zorgorganisatie wenst een gebruiksrecht van Infectionary te verkrijgen zodat haar medewerkers Infectionary kunnen spelen. Daarmee kan de Zorgorganisatie via de behaalde resultaten inzicht verkrijgen in het kennisniveau op het gebied van hygiëne en infectiepreventie binnen haar organisatie. Bovendien kunnen haar medewerkers hun kennis en bewustzijn op het gebied van hygiëne en infectiepreventie vergroten en eventueel V&VN-accreditatiepunten behalen.
Partijen zijn het volgende overeengekomen:
Artikel 1 – Licentie, gebruik en diensten
1.1 GGD Twente verleent aan de Zorgorganisatie een recht op online toegang tot en gebruik van Infectionary voor haar medewerkers.
Op basis van de behaalde resultaten genereert Infectionary eveneens een managementrapportage inzake het kennisniveau op het gebied van hygiëne en infectiepreventie binnen de Zorgorganisatie. GGD Twente stelt deze rapportage aan de Zorgorganisatie beschikbaar.
Verder kunnen medewerkers die beschikken over een V&VN-nummer en/of BIG-nummer dit nummer toevoegen aan hun spelersprofiel. Aan deze medewerkers stelt GGD Twente na het behalen van de hiervoor gestelde speeltijd V&VN-accreditatiepunten beschikbaar.
1.2 De Zorgorganisatie is verantwoordelijk voor het gebruik van Infectionary binnen haar eigen organisatie en mag Infectionary niet aanbieden aan personen die niet werkzaam zijn binnen haar eigen organisatie.
1.3 GGD Twente adviseert de Zorgorganisatie per e-mail over het gebruik en het technisch functioneren van Infectionary. GGD Twente verleent de Zorgorganisatie ondersteuning uitsluitend op werkdagen tijdens de gebruikelijke kantooruren van GGD Twente.
Artikel 2 – Algemene Licentievoorwaarden en Verwerkersovereenkomst
2.1 Op deze Licentieovereenkomst zijn de Algemene Licentievoorwaarden Infectionary GGD Twente van toepassing, tenzij hier in deze Licentieovereenkomst uitdrukkelijk van is afgeweken. Deze algemene voorwaarden zijn als bijlage bij deze Licentieovereenkomst gevoegd en maken hier deel van uit. De Zorgorganisatie verklaart deze voorwaarden voor het aangaan van de overeenkomst te hebben kunnen opslaan en/of printen en raadplegen.
2.2 Om de persoonsgegevens van de spelers te beschermen hebben GGD Twente en de Zorgorganisatie een Verwerkersovereenkomst gesloten zoals bedoeld in de AVG. Deze Verwerkersovereenkomst is als bijlage bij deze Licentieovereenkomst gevoegd en maakt hier deel van uit.
Artikel 3 – Financiën en looptijd
3.1 De Zorgorganisatie is voor het aan haar verleende gebruiksrecht en de diensten geen vergoeding aan GGD Twente verschuldigd.
3.2 De Licentieovereenkomst is aangegaan tot 1 januari van het volgende kalenderjaar en wordt behoudens opzegging jaarlijks stilzwijgend met één jaar verlengd. GGD Twente en de Zorgorganisatie kunnen de licentieovereenkomst ieder te allen tijde beëindigen door schriftelijke opzegging aan de andere partij met inachtneming van een opzegtermijn van twee maanden.
Aldus overeengekomen en ondertekend in tweevoud te ... op ...
Bijlage 1 – Algemene Licentievoorwaarden Infectionary GGD Twente
Bijlage 2 – Verwerkersovereenkomst
ALGEMENE LICENTIEVOORWAARDEN ‘INFECTIONARY’ GGD TWENTE
Artikel 1 – Definities
De volgende begrippen die in deze Algemene Licentievoorwaarden en de Licentieovereenkomst zijn gebruikt, hebben de volgende betekenis:
1.1 Broncode: de oorspronkelijke code, geschreven in een programmeertaal, die programma-instructies bevat zoals deze zijn ontwikkeld door de programmeur en die alvorens te worden uitgevoerd moeten worden omgezet in een voor de computer leesbare vorm: de objectcode.
1.2 Documentatie: de beschrijving van functionaliteit en gebruiksmogelijkheden van Infectionary die GGD Twente online aan de medewerker van de Zorgorganisatie ter beschikking heeft gesteld.
1.3 Gebruiker: een verzorgende, verpleegkundige of andere medewerker van de Zorgorganisatie die via en voor rekening en risico van de Zorgorganisatie gebruik maakt van Infectionary.
1.4 Gebruiksrecht: het recht op toegang tot en gebruik van Infectionary zoals omschreven in artikel 2 van deze Algemene Licentievoorwaarden, dat GGD Twente verstrekt aan de Zorgorganisatie.
1.5 IE-rechten of Intellectuele Eigendomsrechten: alle rechten van intellectuele eigendom die ten grondslag liggen aan Infectionary, waaronder mede begrepen auteursrechten, merkrechten, modelrechten, handelsnaam- en domeinnaamrechten en overige knowhow en/of daarmee overeenstemmende en/of daaraan gerelateerde rechten, in binnen- en buitenland, al dan niet geregistreerd. Onder IE-rechten of Intellectuele Eigendomsrechten worden mede begrepen aanvragen ten aanzien van en/of aanspraken op dergelijke rechten en/of licenties, al dan niet impliciet verstrekt.
1.6 Infectionary: de serious game software ‘Infectionary’, zoals deze door GGD Twente aan de Zorgorganisatie althans een Gebruiker ter beschikking wordt gesteld in de vorm van SaaS. Onder Infectionary wordt mede de Documentatie begrepen.
1.7 Overeenkomst: de Licentieovereenkomst zorgorganisatie inzake Infectionary die GGD Twente met de Zorgorganisatie heeft gesloten en waar deze Algemene Licentievoorwaarden deel van uitmaken.
1.8 Objectcode: programmatuur in voor een computer verwerkbare versie.
1.9 Persoonsgegeven: elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon als bedoeld in de Algemene verordening gegevensbescherming.
1.10 Programmatuur: Infectionary alsmede door Leverancier vervaardigde wijzigingen daarop en computerprogrammatuur, waaronder mede begrepen de Objectcode en de Broncode, alsmede technische en gebruikersdocumentatie.
1.11 SaaS: terbeschikkingstelling van software in de vorm van een dienst, waarbij toegang wordt verschaft via een online verbinding.
1.12 Verwerking van persoonsgegevens (ook: ‘Verwerken’, ‘Verwerkt’, etc.): elke handeling of geheel van handelingen met betrekking tot Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen of vernietigen van gegevens.
Artikel 2 – Gebruiksrecht
2.1 GGD Twente verleent hierbij aan de Zorgorganisatie het opzegbare, niet-exclusieve en niet-overdraagbare recht op toegang tot en gebruik van de meest recente versie van Infectionary door middel van SaaS voor de duur van de Overeenkomst en met inachtneming van de voorwaarden en beperkingen van de Overeenkomst (‘Gebruiksrecht’).
2.2 Het Gebruiksrecht omvat mede het recht om eventuele updates of verbeteringen van Infectionary te gebruiken. Het Gebruiksrecht omvat voorts de door GGD Twente – online – aan de Zorgorganisatie ter beschikking te stellen Documentatie, inclusief eventuele aanpassingen daarop indien updates of verbeteringen van Infectionary daartoe aanleiding geven. GGD Twente kan wijzigingen in de software van Infectionary aanbrengen.
2.3 GGD Twente is niet gehouden specifiek voor de Zorgorganisatie bepaalde eigenschappen van Infectionary te handhaven, te wijzigen of toe te voegen.
2.4 De Zorgorganisatie heeft op basis van het Gebruiksrecht het recht om te bepalen welke Gebruikers toegang mogen verkrijgen tot de door GGD Twente ter beschikking gestelde serious game Infectionary. De Zorgorganisatie verstrekt de Gebruikers zelf toegangscodes en is zelf verantwoordelijk voor het beheer en de beveiliging daarvan.
2.5 De Zorgorganisatie mag Infectionary uitsluitend binnen diens organisatie gebruiken en nooit zodanig dat dit gebruik leidt of kan leiden tot enige vorm van (al dan niet commerciële) exploitatie van Infectionary of enig gedeelte daarvan door de Zorgorganisatie, Gebruiker of enige derde. Het is de Zorgorganisatie uitdrukkelijk niet toegestaan om het Gebruiksrecht op Infectionary te sublicentiëren dan wel aan een derde over te dragen.
Artikel 3 – Toepassing Infectionary
3.1 De Zorgorganisatie is verantwoordelijk voor het gebruik en de toepassing in zijn organisatie van Infectionary, evenals voor de controle, de beveiligingsprocedures en adequaat systeembeheer.
3.2 De Zorgorganisatie is verantwoordelijk voor de keuze en de juiste en adequate beschikbaarheid van het internet dan wel andersoortige netwerkmogelijkheden en/of infrastructuur, al dan niet door de Gebruikers. GGD Twente is uitdrukkelijk niet verantwoordelijk voor de goede werking van het internet dan wel andersoortige netwerkmogelijkheden en/of infrastructuur van de Zorgorganisatie of die van derden, behoudens voor die faciliteiten welke onder direct gebruik en beheer van GGD Twente staan.
Artikel 4 – Gebruikersbepalingen
4.1 Het is de Zorgorganisatie niet toegestaan om Infectionary te kopiëren, verveelvoudigen of openbaar te maken op een andere wijze of voor een ander doel dan waarvoor Infectionary ter beschikking is gesteld aan de Zorgorganisatie.
4.2 Het is de Zorgorganisatie niet toegestaan Infectionary te modificeren, te decompileren, de Broncode en/of de Objectcode te verveelvoudigen of te vertalen of anderszins aan reverse engineering te onderwerpen.
4.3 Het is de Zorgorganisatie onder geen enkele omstandigheid toegestaan om technische voorzieningen van GGD Twente ter bescherming van Infectionary te (laten) verwijderen of te (laten) omzeilen.
4.4 De Zorgorganisatie doet al het noodzakelijke teneinde ervoor te zorgen dat Infectionary virusvrij blijft.
4.5 De Zorgorganisatie zorgt er uitdrukkelijk voor en is er verantwoordelijk voor dat de Gebruikers zich eveneens houden aan het bepaalde in artikel 4.1 t/m 4.4. De Zorgorganisatie vrijwaart GGD Twente tegen schade, aanspraken van derden en andere kosten voor zover De Zorgorganisatie hier niet aan voldoet.
4.6 De Zorgorganisatie is verantwoordelijk voor de instructie aan en/of het gebruik door de Gebruikers van Infectionary. De Zorgorganisatie is ook verantwoordelijk voor de wijze waarop de resultaten die met Infectionary worden gegenereerd, worden ingezet.
4.7 De Zorgorganisatie dient te allen tijde:
a. al dan niet middels afspraken met de Gebruikers te verhinderen dat een onbevoegd persoon Infectionary benadert, gebruikt of kopieert alsmede anderszins ongeautoriseerd gebruik van Infectionary te voorkomen;
b. GGD Twente onmiddellijk schriftelijk van alle relevante feiten en omstandigheden op de hoogte te stellen zodra de Zorgorganisatie ongeoorloofd gebruik van Infectionary constateert.
4.8 De Zorgorganisatie verleent desgevraagd onverwijld zijn volledige medewerking aan een door of namens GGD Twente uit te voeren onderzoek betreffende het naleven door de Zorgorganisatie van het bepaalde in de Overeenkomst.
4.9 GGD Twente is te allen tijde gerechtigd de toegang van de Zorgorganisatie en/of een Gebruiker tot Infectionary onmiddellijk en zonder voorafgaande waarschuwing te blokkeren indien blijkt dat de Zorgorganisatie en/of een Gebruiker misbruik maakt (maken) van Infectionary – waaronder het installeren van virussen –, inbreuk maakt (maken) op (IE-)rechten van GGD Twente en/of derden dan wel anderszins lasterlijk en onrechtmatig jegens GGD Twente en/of derden handelt met gebruikmaking van Infectionary of in het geval zij op andere wijze de rechten van GGD Twente en/of derden schaadt. Zulks ter uitsluitende beoordeling van GGD Twente.
4.10 Onverminderd het bepaalde in artikel 4.9, verbeurt de Zorgorganisatie een direct opeisbare boete ad € 50.000,- per overtreding van het bepaalde in dit artikel 4, te vermeerderen met € 10.000,- voor elke dag dat de overtreding voortduurt, zonder dat daartoe enige rechterlijke tussenkomst vereist is, onverminderd alle overige rechten van GGD Twente. GGD Twente behoudt zich het recht voor om naast de boete volledige vergoeding van de door haar geleden schade te vorderen.
Artikel 5 – Geheimhouding en overdracht
5.1 Infectionary is en blijft eigendom van GGD Twente en/of diens toeleveranciers. De Zorgorganisatie zal het recht op toegang tot of gebruik van Infectionary niet aan een derde overdragen, verkopen, verhuren of daarop (beperkte) rechten verlenen. De Zorgorganisatie is er verantwoordelijk voor dat de Gebruikers zich hier ook aan houden en vrijwaart GGD Twente te dier zake.
5.2 De Zorgorganisatie garandeert dat alle van GGD Twente ontvangen data en/of Documentatie waarvan de Zorgorganisatie weet of dient te weten dat deze van vertrouwelijke aard zijn, geheim blijven, tenzij een wettelijke plicht openbaarmaking van die data en/of Documentatie gebiedt. De Zorgorganisatie gebruikt deze data en/of Documentatie slechts voor het doel waarvoor deze verstrekt zijn. De Zorgorganisatie zorgt ervoor dat deze geheimhoudingsplicht ook schriftelijk aan eenieder – waaronder begrepen Gebruikers – die onder haar gezag dan wel in haar opdracht handelt, wordt opgelegd en ziet toe op naleving daarvan.
5.3 De verplichtingen in dit artikel 5 gelden zowel gedurende de looptijd van de Overeenkomst als na afloop daarvan.
5.4 Bij niet-naleving van het bepaalde in dit artikel 5, verbeurt de Zorgorganisatie een direct opeisbare boete ad € 50.000,- per overtreding, te vermeerderen met € 10.000,- voor elke dag dat de overtreding voortduurt, zonder dat daartoe enige rechterlijke tussenkomst vereist is, onverminderd alle overige rechten van GGD Twente. GGD Twente behoudt zich het recht voor om naast de boete volledige vergoeding van de door haar geleden schade te vorderen.
Artikel 6 – Intellectuele Eigendomsrechten
6.1 Alle IE-rechten met betrekking tot Infectionary komen uitsluitend toe aan GGD Twente dan wel diens licentiegevers of toeleveranciers. De Overeenkomst strekt uitdrukkelijk niet tot algehele of gedeeltelijke overdracht van de IE-rechten. De Zorgorganisatie verkrijgt uitsluitend het recht op gebruik van de IE-rechten in het kader van het Gebruiksrecht voor Infectionary als bedoeld in artikel 2.
6.2 De Zorgorganisatie erkent alle IE-rechten met betrekking tot Infectionary van GGD Twente en onthoudt zich van iedere vorm van inbreuk op deze IE-rechten. De Zorgorganisatie vrijwaart GGD Twente voor alle schade en aanspraken van derden die voortvloeien uit inbreuken op de IE-rechten door de Zorgorganisatie dan wel door de Gebruikers.
6.3 Het is de Zorgorganisatie niet toegestaan enige aanduiding betreffende de IE-rechten te verwijderen dan wel te wijzigen.
6.4 Indien de Zorgorganisatie enige inbreuk, van welke aard dan ook, op de IE-rechten met betrekking tot Infectionary van GGD Twente constateert en/of indien een derde zich beroept op betere of oudere rechten ten aanzien van Infectionary, deelt de Zorgorganisatie dit direct aan GGD Twente mee. De Zorgorganisatie verleent op eerste verzoek van GGD Twente alle mogelijke medewerking teneinde de IE-rechten van GGD Twente te helpen beschermen, dit in de breedste zin van het woord.
6.5 Indien GGD Twente Infectionary doorontwikkelt en/of andere nieuwe software ontwikkelt, komen de IE-rechten die dan ontstaan te allen tijde te berusten bij GGD Twente. Mocht enige overdracht van IE-rechten noodzakelijk zijn, dan draagt de Zorgorganisatie hierbij bij voorbaat haar IE-rechten op die doorontwikkelde en/of nieuw ontwikkelde software over aan GGD Twente. Indien een nadere akte dan wel een andersoortige rechtshandeling noodzakelijk is zegt de Zorgorganisatie hierbij onvoorwaardelijk en onherroepelijk toe om alle benodigde medewerking te verlenen om, op eigen kosten, alsnog overdracht van IE-rechten te bewerkstellingen.
6.6 In het geval Infectionary dan wel het Gebruiksrecht als bedoeld in artikel 2 van de Overeenkomst inbreuk maakt op rechten van derden of in het geval naar het oordeel van GGD Twente een gerede kans bestaat dat een zodanige inbreuk zich zou kunnen voordoen, is GGD Twente gerechtigd Infectionary te vervangen of te wijzigen, zodanig, dat de inbreuk daardoor wordt opgeheven en aan de functionele eigenschappen van Infectionary zo weinig als redelijkerwijs mogelijk afbreuk wordt gedaan. In zo’n geval is GGD Twente op geen enkele wijze gehouden tot vergoeding van – als gevolg van die wijziging – door de Zorgorganisatie geleden schade.
Artikel 7 – Dienstverlening
7.1 GGD Twente verleent aan De Zorgorganisatie de diensten zoals bepaald in dit artikel 7.
7.2 GGD Twente adviseert de Zorgorganisatie per e-mail over het gebruik en het (technisch) functioneren van Infectionary. GGD Twente kan voorwaarden stellen aan de kwalificaties en het aantal contactpersonen dat voor ondersteuning in aanmerking komt en ondersteunt niet de individuele Gebruikers. GGD Twente neemt deugdelijk onderbouwde verzoeken om ondersteuning binnen een redelijke termijn in behandeling. GGD Twente kan niet instaan voor de juistheid, volledigheid of tijdigheid van reacties of geboden ondersteuning. Ondersteuning wordt uitsluitend verricht op werkdagen tijdens de gebruikelijke kantooruren.
7.3 GGD Twente is niet gehouden te beschikken over een uitwijkcentrum of andere uitwijkfaciliteiten met betrekking tot Infectionary, tenzij Partijen anders overeenkomen.
7.4 GGD Twente streeft ernaar Infectionary gedurende werkdagen en kantooruren beschikbaar te houden, met dien verstande dat GGD Twente daarbij afhankelijk is van de prestaties van derden en indien deze derden hetgeen is overeengekomen niet nakomen zulks als overmacht zal gelden.
7.5 GGD Twente spant zich naar beste kunnen in de dienstverlening, waaronder begrepen het ter beschikking stellen van Infectionary, met zorg uit te voeren. Alle diensten van GGD Twente worden uitgevoerd op basis van een inspanningsverbintenis.
7.6 GGD Twente verricht de dienstverlening aan de Zorgorganisatie, waaronder begrepen het ter beschikking stellen van Infectionary, slechts in opdracht van de Zorgorganisatie. Indien GGD Twente op grond van een verzoek of bevoegd bevel van een overheidsinstantie of in verband met een wettelijke verplichting werkzaamheden verricht met betrekking tot de data van de Zorgorganisatie en/of haar Gebruikers, komen alle daaraan verbonden kosten voor rekening van de Zorgorganisatie.
7.7 GGD Twente kan wijzigingen in de inhoud en/of omvang van de dienstverlening aanbrengen. Indien zulke wijzigingen een verandering van de bij de Zorgorganisatie geldende procedures tot gevolg hebben, zal GGD Twente de Zorgorganisatie hierover zo tijdig mogelijk inlichten. In dat geval kan De Zorgorganisatie de Overeenkomst schriftelijk opzeggen tegen de datum waarop de wijziging ingaat, tenzij deze wijziging het gevolg is van gewijzigde wet- en/of regelgeving of andere overheidsinstructies.
7.8 GGD Twente kan Infectionary geheel of gedeeltelijk tijdelijk buiten gebruik stellen dan wel haar dienstverlening tijdelijk opschorten voor preventief, correctief of adaptief onderhoud. GGD Twente tracht de buitengebruikstelling niet langer te laten duren dan strikt noodzakelijk is, zo mogelijk buiten kantoortijden te laten plaatsvinden of, naar gelang van de omstandigheden, niet eerder te laten beginnen dan na kennisgeving daarvan aan de Zorgorganisatie.
7.9 Op basis van de door de Gebruikers behaalde resultaten genereert Infectionary een managementrapportage die inzicht verschaft in het kennisniveau op het gebied van hygiëne en infectiepreventie binnen de Zorgorganisatie. De rapportage bevat ook de aan de Gebruikers toegekende V&VN-accreditatiepunten. GGD Twente stelt deze managementrapportage aan de Zorgorganisatie beschikbaar.
Artikel 8 – Garanties
8.1 GGD Twente staat er niet voor in dat Infectionary foutloos is en zonder onderbrekingen zal functioneren. GGD Twente spant zich ervoor in gebreken in Infectionary binnen een redelijke termijn te (laten) herstellen voor zover de Zorgorganisatie de desbetreffende gebreken gedetailleerd omschreven schriftelijk bij GGD Twente heeft gemeld. GGD Twente is nimmer gehouden tot herstel van data in Infectionary die verminkt of verloren zijn geraakt.
8.2 GGD Twente kan in voorkomend geval het herstel van de gebreken uitstellen totdat een nieuwe versie van Infectionary in gebruik wordt genomen. GGD Twente is gerechtigd tijdelijke oplossingen dan wel programma-omwegen of probleem-vermijdende beperkingen in Infectionary aan te (laten) brengen.
8.3 GGD Twente is niet verantwoordelijk voor controle van de juistheid en volledigheid van de resultaten van haar dienstverlening, zoals bedoeld in artikel 7, en de met Infectionary gegenereerde data en rapportages. De Zorgorganisatie controleert deze juistheid en volledigheid zelf regelmatig.
Artikel 9 – Verwerking van Persoonsgegevens
9.1 In het kader van de Overeenkomst worden er (pseudonieme) Persoonsgegevens Verwerkt en uitgewisseld tussen Partijen. Partijen nemen hierbij de bepalingen uit de tussen hen gesloten Verwerkersovereenkomst in acht.
9.2 De Zorgorganisatie garandeert dat zij de Persoonsgegevens in het kader van deze Overeenkomst in overeenstemming met de geldende wet- en regelgeving Verwerkt. De Zorgorganisatie vrijwaart GGD Twente voor aanspraken van Gebruikers en/of derden voor zover De Zorgorganisatie dit niet gestand kan doen en/of doet.
GGD Twente is uitdrukkelijk niet verantwoordelijk voor de Verwerking van de Persoonsgegevens door de Zorgorganisatie.
Artikel 10 – Vergoeding en betaling
10.1 De Zorgorganisatie is aan GGD Twente voor het aan haar verleende Gebruiksrecht bedoeld in artikel 2 en de diensten bedoeld in artikel 7 geen vergoeding verschuldigd.
10.2 Indien GGD Twente op verzoek van de Zorgorganisatie aanvullende diensten verleent, is de Zorgorganisatie hiervoor slechts een vergoeding verschuldigd voor zover Partijen deze vergoeding vooraf zijn overeengekomen.
Artikel 11 – Aansprakelijkheid
11.1 De aansprakelijkheid van GGD Twente tegenover de Zorgorganisatie voor schade – uit welke hoofde dan ook – is beperkt tot het bedrag dat de verzekeraar van GGD Twente ter zake daadwerkelijk uitkeert en is voor het overige uitgesloten.
11.2 Indien de Zorgorganisatie toerekenbaar tekortschiet in de nakoming van haar verplichtingen uit de Overeenkomst, is zij tegenover GGD Twente aansprakelijk voor de schade die GGD Twente en/of door haar ingeschakelde derden hierdoor hebben geleden en/of zullen lijden. De aansprakelijkheid voor schade aan Infectionary en/of de IT-omgeving waarin Infectionary draait en/of wordt gehost, is beperkt tot een bedrag van EUR 500.000,- per gebeurtenis. Samenhangende gebeurtenissen worden daarbij aangemerkt als één gebeurtenis. De Zorgorganisatie verzekert zich afdoende gedurende de gehele looptijd van de Overeenkomst.
Artikel 12 – Looptijd en beëindiging
12.1 De Overeenkomst gaat in op de dag van ondertekening door de Zorgorganisatie.
12.2 De Overeenkomst is aangegaan tot 1 januari van het volgende kalenderjaar en wordt jaarlijks stilzwijgend met één jaar verlengd. Elke Partij kan de Overeenkomst te allen tijde beëindigen door schriftelijke opzegging met inachtneming van een opzegtermijn van twee maanden.
12.3 Elke Partij kan de Overeenkomst ontbinden indien de andere Partij toerekenbaar tekortschiet in de nakoming van diens verplichtingen uit de Overeenkomst zoals bedoeld in artikel 6:265 BW.
12.4 Geen der Partijen is gehouden tot het nakomen van enige verplichting indien zij daartoe verhinderd is als gevolg van overmacht. Onder overmacht wordt mede verstaan niet-nakoming door toeleveranciers van GGD Twente en/of storing van elektriciteit, internet, computernetwerk- of telecommunicatiefaciliteiten, waaronder mede begrepen hacken, malware, wormen, (computer)virussen, trojans, logic bombs, denial en/of service tools (waaronder DDoS-aanvallen).
In afwijking hiervan is de Zorgorganisatie gehouden aan GGD Twente kosten te vergoeden die GGD Twente heeft gemaakt in verband met een extra belasting van het netwerkverkeer als gevolg van een storing als hiervoor bedoeld aan de zijde van De Zorgorganisatie en/of een Gebruiker.
12.5 GGD Twente is gerechtigd de Overeenkomst schriftelijk met onmiddellijke ingang te beëindigen indien aan de Zorgorganisatie surseance van betaling is of wordt verleend, de Zorgorganisatie onder curatele is of wordt gesteld en/of de beslissende zeggenschap over de onderneming van de Zorgorganisatie wijzigt. In geval van faillissement van de Zorgorganisatie eindigt de Overeenkomst van rechtswege. GGD Twente is wegens (be)ëindiging op grond van dit artikel 12.5 nimmer gehouden tot enige restitutie van ontvangen gelden of vergoeding van al dan niet geleden schade.
12.6 De beëindiging van de Overeenkomst ontslaat Partijen niet van hun lopende verplichtingen daaruit. De beëindiging van de Overeenkomst ontslaat Partijen nadrukkelijk niet van het bepaalde met betrekking tot geheimhouding, overdracht, aansprakelijkheid, garanties, intellectuele eigendom, toepasselijk recht en bevoegde rechter en overige bepalingen die naar hun aard bestemd zijn om ook na beëindiging of ontbinding voort te duren.
12.7 Bij beëindiging van de Overeenkomst, om welke reden dan ook, stelt GGD Twente Infectionary niet meer ter beschikking aan de Zorgorganisatie en/of de Gebruikers. Vanaf het moment van beëindiging van deze Overeenkomst zal de Zorgorganisatie:
a. zich onthouden van elk gebruik – op welke wijze dan ook – van Infectionary en ervoor zorgen dat ook Gebruikers zich onthouden van elk gebruik van Infectionary; en
b. alle Documentatie die in haar bezit is direct vernietigen en aan GGD Twente op haar eerste verzoek een behoorlijk bewijs van die vernietiging verstrekken.
Artikel 13 – Overige bepalingen
13.1 Indien één of meer bepalingen van de Overeenkomst onverbindend zou(den) blijken te zijn, blijven de overige bepalingen van de Overeenkomst van kracht. Partijen verbinden zich om de niet-verbindende bepaling(en) te vervangen door een zodanige bepaling(en), die wel verbindend is (zijn) en die zo min mogelijk – gelet op het doel en de strekking van de Overeenkomst – afwijkt (afwijken) van de niet-verbindende bepaling(en).
13.2 De Overeenkomst kan slechts worden gewijzigd dan wel aangevuld door middel van een schriftelijk stuk dat door beide Partijen rechtsgeldig is ondertekend.
13.3 Onder ‘schriftelijk’ wordt in de Overeenkomst ook begrepen e-mail dan wel andere vormen van elektronische communicatie mits de ontvangende Partij te kennen heeft gegeven op dit adres en/of op deze wijze bereikbaar te zijn.
13.4 Het is de Zorgorganisatie niet toegestaan diens rechten en/of plichten uit de Overeenkomst over te dragen aan een derde of met een beperkt recht te bezwaren zonder de schriftelijke toestemming van GGD Twente, die deze toestemming niet op onredelijke gronden zal onthouden.
Het is GGD Twente te allen tijde toegestaan haar rechten, plichten en/of vorderingen op de Zorgorganisatie uit hoofde van de Overeenkomst aan een derde over te dragen.
13.5 De (algemene of inkoop)voorwaarden van De Zorgorganisatie zijn uitdrukkelijk niet van toepassing op de Overeenkomst.
13.6 Op de Overeenkomst alsmede op de daaruit voortvloeiende rechtsverhoudingen is Nederlands recht van toepassing.
13.7 Alle geschillen die onverhoopt tussen Partijen mochten ontstaan in verband met of voortvloeiend uit de Overeenkomst of daaruit voortvloeiende nadere overeenkomsten, worden, zulks na uitsluitende keuze van GGD Twente, in eerste aanleg beslist door arbitrage of door de rechter van de Rechtbank Overijssel, locatie Almelo, tenzij Partijen anders overeenkomen.
Specimen VERWERKERSOVEREENKOMST INZAKE SERIOUS GAME ‘INFECTIONARY’
Deze verwerkersovereenkomst maakt onderdeel uit van de hoofdovereenkomst:
LICENTIEOVEREENKOMST ZORGORGANISATIE INZAKE INFECTIONARY.
De ondergetekenden:
1. ... [Naam Verwerkingsverantwoordelijke], gevestigd aan de ... [adres]) te ... [plaats] en ingeschreven in het register van de Kamer van Koophandel onder nummer ... [KvK-nummer],in deze rechtsgeldig vertegenwoordigd door ... [titel, naam en functie] hierna te noemen, ‘Verwerkingsverantwoordelijke’
en
2. GGD Twente, onderdeel van het openbaar lichaam SamenTwente, rechtspersoon in de zin van artikel 8 lid 1 Wet gemeenschappelijke regelingen, ingeschreven in het Handelsregister onder nummer 08195873, gevestigd en kantoorhoudend te 7511 JM Enschede aan de Nijverheidstraat 30, hierbij rechtsgeldig vertegenwoordigd door mevrouw drs. A.M. Kok MBA, hoofd Algemene Gezondheidszorg, hierna te noemen: ‘Verwerker’.
De ondergetekenden hierna individueel respectievelijk gezamenlijk ook wel te noemen ‘Partij’ respectievelijk ‘Partijen’.
Partijen nemen het volgende in aanmerking:
A. Verwerker diensten verricht ten behoeve van Verwerkingsverantwoordelijke, zoals beschreven in de in Bijlage 1 omschreven overeenkomsten.
B. De diensten meebrengen dat Persoonsgegevens worden verwerkt, waaronder gegevens betreffende de gezondheid.
C. Verwerker de betreffende gegevens louter in opdracht van Verwerkingsverantwoordelijke verwerkt en niet voor eigen doeleinden.
D. Per 25 mei 2018 van toepassing zal zijn Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (Algemene verordening gegevensbescherming).
E. Partijen in deze Verwerkersovereenkomst de afspraken met betrekking tot de verwerking van Persoonsgegevens in het kader van de diensten wensen vast te leggen.
F. Deze Verwerkersovereenkomst, indien van toepassing, alle eerdere Overeenkomst(en) van gelijke strekking tussen Partijen vervangt.
Partijen komen het volgende overeen:
Artikel 1. Definities
1.1. In deze Verwerkersovereenkomst wordt onder de volgende met een hoofdletter aangeduide begrippen het volgende verstaan:
a) Algemene Verordening Gegevens Bescherming of AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.
b) Betrokkene: een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4 sub 1 AVG).
c) Derde: een derde als bedoeld in artikel 4 sub 10 AVG.
d) Functionaris voor de Gegevensbescherming: een functionaris als bedoeld in artikel 37 e.v. AVG.
e) Incident:
i een klacht of (informatie)verzoek van een Betrokkene met betrekking tot de verwerking van Persoonsgegevens door Verwerker;
ii een onderzoek naar of beslaglegging door overheidsfunctionarissen op de Persoonsgegevens of een vermoeden dat dit gaat plaatsvinden;
iii een inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 onder 12 AVG;
iv iedere ongeautoriseerde toegang, verwijdering, verminking, verlies of enige andere vorm van onrechtmatige verwerking van de Persoonsgegevens.
f) Medewerker: de door Partijen voor de uitvoering van deze Verwerkersovereenkomst betrokken natuurlijke persoon die werkzaam is bij of voor een van de Partijen.
g) Overeenkomst(en): de in Bijlage 1 vermelde overeenkomst(en) betreffende de levering van producten en/of diensten.
h) Partij: Verwerkingsverantwoordelijke of Verwerker.
i) Partijen: Verwerkingsverantwoordelijke en Verwerker.
j) Persoonsgegeven: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van artikel 4 onder 1 AVG.
k) Subverwerker: iedere niet-ondergeschikte derde partij die door Verwerker is betrokken bij de verwerking van Persoonsgegevens in het kader van de Overeenkomst, niet zijnde Medewerkers.
l) Verwerker: de verwerker als bedoeld in artikel 4 sub 8 AVG.
m) Verwerkersovereenkomst: de onderhavige overeenkomst.
n) Verwerkingsverantwoordelijke: de verwerkingsverantwoordelijke als bedoeld in artikel 4 sub 7 AVG.
1.2. Voornoemde en overige begrippen worden geïnterpreteerd overeenkomstig de AVG.
1.3. Waar in deze Verwerkersovereenkomst naar bepaalde normen wordt verwezen (zoals NEN7510) wordt daarmee steeds gedoeld op de meest actuele versie daarvan. Voor zover de betreffende norm niet meer wordt onderhouden, dient in de plaats daarvan de meest actuele versie van de logische opvolger van de betreffende norm gelezen te worden.
1.4. Eventuele afwijkingen op de tekst zijn alleen geldig voor zover deze zijn gespecificeerd in bijlage 4. Het bepaalde in bijlage 4 prevaleert op het overigens bepaalde in deze verwerkersovereenkomst.
Artikel 2. Onderwerp van deze Verwerkersovereenkomst
2.1. Deze Verwerkersovereenkomst heeft betrekking op de verwerking van Persoonsgegevens door Verwerker in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst(en).
2.2. Partijen sluiten de Overeenkomst(en) om de expertise die Verwerker heeft als het gaat om het verwerken en beveiligen van Persoonsgegevens te gebruiken voor de uit de Overeenkomst(en) voortvloeiende en in deze Verwerkersovereenkomst nader beschreven doeleinden. Verwerker staat er voor in dat hij hiertoe gekwalificeerd is.
2.3. Deze Verwerkersovereenkomst maakt onverbrekelijk deel uit van de Overeenkomst(en). Voor zover het bepaalde in de Verwerkersovereenkomst strijdig is met het bepaalde in de Overeenkomst(en), prevaleert het bepaalde in de Verwerkersovereenkomst.
Artikel 3. Uitvoering verwerking
3.1. Verwerker garandeert dat hij ten behoeve van Verwerkingsverantwoordelijke uitsluitend Persoonsgegevens zal verwerken voor zover:
a.) dit noodzakelijk is voor de uitvoering van de Overeenkomst (binnen de kader als gespecificeerd in Bijlage 1); of
b.) Verwerkingsverantwoordelijke daartoe nadere schriftelijke instructies heeft gegeven;
3.2. In het kader van het bepaalde in het eerste lid van artikel 3 onder a) zal Verwerker uitsluitend de in Bijlage 1 gespecificeerde Persoonsgegevens verwerken in het kader van de in die bijlage beschreven aard en doeleinden van de verwerking.
3.3. Verwerker zal alle redelijke instructies van Verwerkingsverantwoordelijke in verband met de verwerking van de Persoonsgegevens opvolgen. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens.
3.4. Onverminderd het bepaalde in het eerste lid van dit artikel 3, is het Verwerker toegestaan om Persoonsgegevens te verwerken indien een wettelijk voorschrift (waaronder begrepen daarop gebaseerde rechterlijke of bestuurlijke bevelen) hem tot een verwerking verplicht. In dat geval stelt de Verwerker voorafgaand aan de verwerking Verwerkingsverantwoordelijke in kennis van de beoogde verwerking en het wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Verwerker zal Verwerkingsverantwoordelijke, waar mogelijk, in staat stellen zich te verweren tegen deze verplichte verwerking en ook overigens de verplichte verwerking beperken tot het strikt noodzakelijke.
3.5. Verwerker zal de Persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze verwerken en in overeenstemming met de op hem als Verwerker rustende verplichtingen op grond van de AVG, voor zover nog van toepassing de overige wet- en regelgeving. Verwerker zal in dat kader ten minste een register van verwerkingen aanleggen als bedoeld in artikel 30 AVG en Verwerkingsverantwoordelijke op eerste verzoek een kopie van dat register verstrekken.
3.6. Indien de dienstverlening door Verwerker de verwerking van gezondheidsgegevens of andere bijzondere Persoonsgegevens impliceert, garandeert Verwerker dat hij niet in strijd met gezondheidswetgeving zal handelen.
3.7. Verwerker zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, geen Persoonsgegevens verwerken of laten verwerken door hemzelf of door derden in landen buiten de Europese Economische Ruimte (“EER”).
3.8. Verwerker waarborgt dat betrokken Medewerkers een geheimhoudingsovereenkomst hebben getekend en geeft Verwerkingsverantwoordelijke op verzoek inzage in deze geheimhoudingsovereenkomst.
Artikel 4. Beveiliging Persoonsgegevens en controle
4.1. Verwerker zal aantoonbaar, passende en doeltreffende technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de (in Bijlage 1 gespecificeerde) aard van de te verwerken Persoonsgegevens, ter bescherming van de Persoonsgegevens tegen verlies, onbevoegde kennisname, verminking of enige vorm van onrechtmatige verwerking, alsmede om de (tijdige) beschikbaarheid van de gegevens te garanderen.
In deze beveiligingsmaatregelen zijn de mogelijk in de Overeenkomst reeds bepaalde maatregelen begrepen. De maatregelen omvatten in ieder geval:
a.) maatregelen om te waarborgen dat enkel bevoegde Medewerkers toegang hebben tot de Persoonsgegevens voor de doeleinden die zijn uiteengezet;
b.) maatregelen waarbij de Verwerker zijn Medewerkers en Subverwerkers uitsluitend toegang geeft tot Persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die Persoonsgegevens waartoe de toegang voor de betreffende (rechts)persoon noodzakelijk is;
c.) maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of openbaarmaking;
d.) maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verwerkingsverantwoordelijke;
e.) maatregelen om de tijdige beschikbaarheid van de Persoonsgegevens te garanderen;
f.) maatregelen om te waarborgen dat Persoonsgegevens logisch gescheiden worden verwerkt van de Persoonsgegevens die hij voor zichzelf of namens derde partijen verwerkt;
g.) de overige maatregelen die Partijen zijn overeengekomen zoals vastgelegd in Bijlage 2.
4.2. Verwerker werkt aantoonbaar in overeenstemming met ISO27001 en/of NEN 7510 en heeft een passend, geschreven beveiligingsbeleid geïmplementeerd voor de verwerking van Persoonsgegevens, waarin in ieder geval de in het eerste lid van dit artikel 4 genoemde maatregelen uiteen zijn gezet.
4.3. Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke een door een onafhankelijke en ter zake deskundige derde afgegeven geldig certificaat overleggen, indien deze daarover beschikt, waaruit volgt dat Verwerker de verplichtingen uit dit artikel naleeft.
4.4. Verwerkingsverantwoordelijke heeft het recht toe te (laten) zien op de naleving van de hiervoor onder artikel 4.1 tot en met 4.2 genoemde maatregelen. Verwerker stelt Verwerkingsverantwoordelijke, indien Verwerkingsverantwoordelijke daarom verzoekt, hiertoe in elk geval eenmaal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip en verder indien Verwerkingsverantwoordelijke daar aanleiding toe ziet naar aanleiding van (vermoeden van) informatie- of privacy-incidenten, dat te (laten) controleren. Verwerker zal in alle redelijkheid haar medewerking verlenen aan een dergelijk onderzoek. Verwerker zal eventuele door Verwerkingsverantwoordelijke naar aanleiding van een dergelijk onderzoek in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.
4.5. Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Verwerker zal daarom de maatregelen zoals geïmplementeerd op basis van dit artikel 4 periodiek evalueren en, waar nodig, de maatregelen verbeteren om te blijven voldoen aan de verplichtingen onder dit artikel 4.
Het voorgaande laat de instructiebevoegdheid van Verwerkingsverantwoordelijke om zo nodig aanvullende maatregelen te (doen) treffen onverlet.
Artikel 5. Monitoring, informatieplichten en incidentenmanagement
5.1. Verwerker zal actief monitoren op inbreuken op de beveiligingsmaatregelen en over de resultaten van de monitoring in overeenstemming met dit artikel 5 rapporteren aan Verwerkingsverantwoordelijke.
5.2. Zodra zich een Incident voordoet, heeft voorgedaan of zou kunnen voordoen, is Verwerker verplicht Verwerkingsverantwoordelijke daarvan onmiddellijk in kennis te stellen en daarbij alle relevante informatie te verstrekken over:
1) de aard van het Incident;
2) de (mogelijk) getroffen Persoonsgegevens;
3) de geconstateerde en de vermoedelijke gevolgen van het Incident; en
4) de maatregelen die getroffen zijn of zullen worden om het Incident op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken.
5.3. Verwerker is, onverminderd de overige verplichtingen uit dit artikel, verplicht om maatregelen te treffen die redelijkerwijs van hem kunnen worden verwacht om het Incident zo snel mogelijk te herstellen dan wel de verdere gevolgen zoveel mogelijk te beperken. Verwerker treedt zonder uitstel in overleg met Verwerkingsverantwoordelijke teneinde hierover nadere afspraken te maken.
5.4. Verwerker zal Verwerkingsverantwoordelijke te allen tijde zijn medewerking verlenen en zal de instructies van Verwerkingsverantwoordelijke opvolgen en stelt Verwerkingsverantwoordelijke in staat een deugdelijk onderzoek te verrichten naar het Incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het Incident, waaronder begrepen het informeren van de Autoriteit Persoonsgegevens (AP) en/of de Betrokkene zoals bepaald in artikel 5.8.
5.5. Verwerker zal te allen tijde geschreven procedures voorhanden hebben die hem in staat stellen om Verwerkingsverantwoordelijke van een onmiddellijke reactie over een Incident te voorzien, en om effectief samen te werken met Verwerkingsverantwoordelijke om het Incident af te handelen. Verwerker zal Verwerkingsverantwoordelijke voorzien van een afschrift van dergelijke procedures indien Verwerkingsverantwoordelijke daarom verzoekt.
5.6. Meldingen die worden gedaan op grond van artikel 5.2 worden ogenblikkelijk gericht aan Verwerkingsverantwoordelijke of, indien relevant, aan een door Verwerkingsverantwoordelijke tijdens de duur van deze Verwerkersovereenkomst schriftelijk bekendgemaakte Medewerkers van Verwerkingsverantwoordelijke.
Indien Verwerkingsverantwoordelijke een Functionaris voor de Gegevensbescherming (FG) heeft aangesteld, worden de meldingen gericht aan de betreffende FG, conform de contactgegevens in bijlage 3.
5.7. Het is Verwerker niet toegestaan informatie te verstrekken over Incidenten aan betrokkenen of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is of Partijen anderszins zijn overeengekomen.
5.8. Indien en voor zover Partijen zijn overeengekomen dat Verwerker in relatie tot een Incident rechtstreeks contact onderhoudt met autoriteiten of andere derde partijen, dan houdt de Verwerker de Verwerkingsverantwoordelijke daarvan voortdurend op te hoogte.
Artikel 6. Medewerkingsverplichtingen
6.1.De AVG en overige (privacy)wetgeving kent aan de Betrokkene bepaalde rechten toe. Verwerker zal zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke bij de nakoming van de op Verwerkingsverantwoordelijke rustende verplichtingen voortvloeiend uit deze rechten.
6.2. Een door Verwerker ontvangen klacht of een verzoek van een Betrokkene met betrekking tot verwerking van Persoonsgegevens wordt door Verwerker zonder uitstel doorgestuurd naar Verwerkingsverantwoordelijke.
6.3. Op het eerste daartoe strekkende verzoek van Verwerkingsverantwoordelijke zal Verwerker aan Verwerkingsverantwoordelijke alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte verwerking van Persoonsgegevens zodat Verwerkingsverantwoordelijke, mede aan de hand van die informatie, aan kan tonen dat zij de toepasselijke (privacy) wetgeving naleeft.
6.4. Verwerker zal voorts op eerste verzoek van Verwerkingsverantwoordelijke alle noodzakelijke bijstand verlenen bij de nakoming van de op grond van de toepasselijke privacywetgeving op Verwerkingsverantwoordelijke rustende wettelijke verplichtingen (zoals het uitvoeren van een privacy impact assessment).
Artikel 7. Inschakeling subverwerkers
7.1. Verwerker zal zijn activiteiten die bestaan uit het verwerken van Persoonsgegevens of vereisen dat Persoonsgegevens verwerkt worden, niet uitbesteden aan een Subverwerker zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Het voorgaande is niet van toepassing op de in Bijlage 1 vermelde Subverwerkers.
7.2. Voor zover Verwerkingsverantwoordelijke instemt met de inschakeling van een Subverwerker, zal Verwerker aan deze Subverwerker dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien. Verwerker zal deze afspraken schriftelijk vastleggen en zal toezien op de naleving daarvan door de Subverwerker. Verwerker zal Verwerkingsverantwoordelijke op verzoek afschrift verstrekken van de met de Subverwerker gesloten overeenkomst(en).
7.3. Niettegenstaande de toestemming van Verwerkingsverantwoordelijke voor het inschakelen van een Subverwerker die in opdracht van de Verwerker (gedeeltelijk) gegevens verwerkt, blijft Verwerker volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een Subverwerker De toestemming van Verwerkingsverantwoordelijke voor het uitbesteden van werkzaamheden aan een Subverwerker laat onverlet dat voor de inzet van Subverwerkers in een land buiten de Europese Economische Ruimte toestemming vereist is in overeenstemming met artikel 3.7 van deze Verwerkersovereenkomst.
Artikel 8. Aansprakelijkheid
8.1. Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen.
8.2. Enige beperking van de aansprakelijkheid in de Overeenkomst is mutatis mutandis ook van toepassing op deze Verwerkersovereenkomst, met dien verstande dat:
a.) eventuele (impliciete of expliciete) uitsluitingen van aansprakelijkheid voor verlies en/of verminking van Persoonsgegevens zijn uitgesloten;
b.) eventuele (impliciete of expliciete) uitsluitingen van aansprakelijkheid voor boetes die door de Autoriteit Persoonsgegevens of een andere toezichthouder worden opgelegd die rechtstreeks verband houden met een toerekenbare tekortkoming van Verwerker, of een aan Verwerker toerekenbaar gedraging of nalaten, zijn uitgesloten.
8.3. Verwerker vrijwaart Verwerkingsverantwoordelijke en stelt de Verwerkingsverantwoordelijke schadeloos voor alle claims, acties, aanspraken van derden, alsmede boetes van de Autoriteit Persoonsgegevens, die rechtstreeks voortvloeien uit een toerekenbare tekortkoming door Verwerker en/of diens onderaannemers/Subverwerkers in de nakoming van zijn verplichtingen onder deze Verwerkersovereenkomst en/of enige schending door Verwerker en/of diens onderaannemers/Subverwerkers van de van toepassing zijnde wetgeving op het gebied van verwerking van Persoonsgegevens.
8.4. Voor zover Partijen hoofdelijk aansprakelijk zijn jegens derden, waaronder begrepen de betrokkene, of gezamenlijk een boete opgelegd krijgen door de Autoriteit Persoonsgegevens, zijn zij jegens elkaar, ieder voor het gedeelte van de schuld dat hem in hun onderlinge verhouding aangaat, verplicht overeenkomstig het bepaalde in Boek 6, Titel 1, Afdeling 2 van het Burgerlijk Wetboek in de schuld en kosten bij te dragen, tenzij de AVG anders bepaalt in welk geval de AVG voorgaat.
8.5. Voor zover in de Overeenkomst geen beperking van aansprakelijkheid voor Verwerkingsverantwoordelijke is opgenomen, geldt de in lid 2 opgenomen beperking voor Verwerker eveneens voor de Verwerkingsverantwoordelijke.
8.6. Iedere beperking van aansprakelijkheid komt voorts voor de betreffende Partij te vervallen in geval van opzet of grove schuld aan de zijde van de betreffende Partij.
8.7. Partijen dragen zorg voor afdoende dekking van de aansprakelijkheid.
Artikel 9. Kosten
9.1. De kosten voor de verwerking van gegevens die inherent zijn aan de normale uitvoering van de Overeenkomst, worden geacht besloten te liggen in de op grond van de Overeenkomst reeds verschuldigde vergoedingen.
9.2. De voorgaande bepaling is niet van toepassing indien de werkzaamheden verband houden met een tekortkoming van Verwerker onder deze Verwerkersovereenkomst. De werkzaamheden zullen in dat geval kosteloos worden verricht (onverminderd het recht van Verwerkingsverantwoordelijke de daadwerkelijk geleden schade op Verwerker te verhalen).
Artikel 10. Duur en beëindiging
10.1. Deze Verwerkersovereenkomst gaat in op de datum van ondertekening en de duur van deze Verwerkersovereenkomst is gelijk aan de duur van de in Bijlage 1 genoemde Overeenkomst(en), inclusief eventuele verlengingen daarvan.
10.2. De Verwerkersovereenkomst maakt na ondertekening ervan door beide Partijen integraal en onlosmakelijk deel uit van de Overeenkomst(en). Beëindiging van de Overeenkomst(en), op welke grond dan ook (opzegging/ontbinding), heeft tot gevolg dat de Verwerkersovereenkomst eveneens op dezelfde grond beëindigd wordt (en vice versa), tenzij Partijen in voorkomend geval anders overeenkomen.
10.3. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van deze Verwerkersovereenkomst gelden. Tot deze bepalingen behoren bijvoorbeeld die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid, geschillenbeslechting en toepasselijk recht.
10.4. Ieder der Partijen is gerechtigd, onverminderd hetgeen daartoe bepaald is in de Overeenkomst, de uitvoering van deze Verwerkersovereenkomst en de daarmee samenhangende Overeenkomst op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:
a.) de andere Partij wordt ontbonden of anderszins ophoudt te bestaan;
b.) de andere Partij aantoonbaar [ernstig] tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;
c.) een Partij in staat van faillissement wordt verklaard of surséance van betaling aanvraagt.
10.5. Gelet op de grote afhankelijkheid van Verwerkingsverantwoordelijke van Verwerker alsmede het continuïteitsrisico bij incidenten en calamiteiten (zoals faillissement), verklaart Verwerker zich reeds nu voor alsdan bereid op eerste verzoek van Verwerkingsverantwoordelijke aanvullende afspraken met Verwerkingsverantwoordelijke te maken teneinde voornoemde risico’s te verkleinen. Deze aanvullende afspraken kunnen onder meer bestaan uit:
a.) het maken van afspraken over het periodiek terug of aan een derde partij leveren van de door Verwerker verwerkte gegevens; en/of
b.) het met een derde partij sluiten van een overeenkomst die ertoe strekt dat de betreffende derde partij zich hoofdelijk verbindt tot of borg staat voor de nakoming van de Overeenkomst; en/of
c.) het met een derde partij sluiten van een (tri-partite) overeenkomst die ertoe strekt dat de betreffende derde partij (voortdurend) over alle benodigde gegevens komt te beschikken om in voorkomend geval (een deel van) de op grond van de Overeenkomst te verrichten prestaties – al dan niet op basis van een nieuwe overeenkomst – in plaats van of parallel aan Verwerker te kunnen (gaan) verrichten.
10.6. Verwerker heeft een exit-plan voor het nakomen van alle verplichtingen uit deze Verwerkersovereenkomst, ingeval de Overeenkomst of de Verwerkersovereenkomst (tussentijds) beëindigd wordt. Verwerker geeft op eerste verzoek van Verwerkingsverantwoordelijke afschrift van dit plan.
10.7. Verwerkingsverantwoordelijke is gerechtigd deze Verwerkersovereenkomst en de Overeenkomst per direct te ontbinden indien Verwerker te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de Persoonsgegevens worden gesteld.
10.8. Verwerker dient Verwerkingsverantwoordelijke voorafgaand en tijdig te informeren over een voorgenomen overname of eigendomsoverdracht.
10.9. Het is Verwerker niet toegestaan om zonder uitdrukkelijke en schriftelijke toestemming van Verwerkingsverantwoordelijke deze Verwerkersovereenkomst en de rechten en plichten die samenhangen met deze Verwerkersovereenkomst over te dragen aan een derde partij.
Artikel 11. Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
11.1. Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk, waaronder begrepen de wettelijke bewaartermijnen of een eventueel tussen Partijen gemaakte afspraak over bewaartermijnen zoals vastgelegd in Bijlage 1. In geen geval bewaart Verwerker de Persoonsgegevens langer dan tot het einde van deze Verwerkersovereenkomst. Verwerkingsverantwoordelijke bepaalt of en zo ja hoe lang gegevens bewaard moeten blijven.
11.2. Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker, tegen redelijke kosten, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens onherroepelijk (doen) vernietigen of teruggeven aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens onherroepelijk zijn vernietigd of verwijderd. Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd en gedocumenteerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk is, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
Artikel 12. Intellectuele eigendomsrechten
12.1. Voor zover de (verzameling van) Persoonsgegevens wordt beschermd door enig intellectueel eigendomsrecht, verleent Verwerkingsverantwoordelijke toestemming aan Verwerker de Persoonsgegevens te gebruiken in het kader van de uitvoering van deze Verwerkersovereenkomst.
Artikel 13. Slotbepalingen
13.1. De overwegingen maken onderdeel uit van deze Verwerkersovereenkomst.
13.2. In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.
13.3. In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen Partijen in onderling overleg.
13.4. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
13.5. Partijen zullen zich inspannen conflicten in onderling overleg op te lossen. Hierbij is inbegrepen de mogelijkheid het geschil te beëindigen door een in onderling overleg vast te stellen mediation of arbitrage.
13.6. Geschillen over of in verband met deze Verwerkersovereenkomst worden uitsluitend voorgelegd aan de daartoe in de Overeenkomst aangewezen rechtbank of arbiter(s).
Bijlagen
Bijlage 1: Overeenkomsten, omschrijving Persoonsgegevens, aard verwerkingen, etc.
Bijlage 2: Omschrijving nadere beveiligingsmaatregelen