Dienstverleningsovereenkomst

versie: 20 mei 2026

Partijen

1. Stichting Privacyzorg, gevestigd te Nijmegen, KvK 65358864 (hierna: “Privacyzorg”). 
2. Iedere natuurlijke persoon of rechtspersoon die een abonnement afsluit bij Privacyzorg en gebruik maakt van de in deze overeenkomst beschreven dienstverlening, hierna gezamenlijk te noemen: “Abonnee”.
3. Partijen gezamenlijk: “Partijen”.

1. Doel en uitgangspunten

1. Deze Dienstverleningsovereenkomst is digitaal beschikbaar via de website van Privacyzorg en wordt van toepassing verklaard op alle abonnementen, zoals bevestigd in de overeenkomst en/of via facturatie. Door het aangaan van een abonnement en/of het voldoen van de factuur verklaart de Abonnee zich akkoord met de inhoud van deze Dienstverleningsovereenkomst.
2. Deze overeenkomst beschrijft de dienstverlening waarmee Privacyzorg Abonnee ondersteunt bij het structureel organiseren, uitvoeren en aantoonbaar borgen van verplichtingen op het gebied van privacy en informatiebeveiliging.
3. De dienstverlening wordt geleverd via het PIMS-portaal (centrale digitale omgeving) en – afhankelijk van de gekozen dienstverlening – de AVG‑cockpit en/of NEN‑cockpit.
4. Binnen Basis PLUS wordt gebruikgemaakt van een vereenvoudigde implementatievariant van de NEN-cockpit, afgestemd op kleine zorginstellingen en gebaseerd op uniforme best practices.

5. De dienstverlening is ingericht in drie lagen:

   • Toezicht (FG/CISO) – onafhankelijke controle en bewaking van naleving;

   • Tactisch beheer (WAT & HOE) – inrichting en beheer van beleid, processen en cockpit‑structuren; 

   • Operationeel beheer (DOEN) – uitvoering en ondersteuning, zoals datalekken, verwerkersovereenkomsten, incidenten en vragen.

6. Voor zeer kleine zorginstellingen biedt Privacyzorg daarnaast een lichtgewicht implementatievariant: Basis PLUS. Dit is ontwikkeld voor organisaties met een beperkte organisatiestructuur en lage ICT-complexiteit, zoals huisartsenpraktijken, apotheken en zeer kleine eerstelijns zorginstellingen. Binnen Basis PLUS wordt gewerkt met:

   • • een vooraf ingevulde NEN-cockpit;

     • gestandaardiseerde beheersmaatregelen;

     • groepsbegeleiding via Teams;

     • uniforme aantoonbaarheid zonder zware auditlast.

2. Definities (kernbegrippen)

In deze overeenkomst wordt verstaan onder:

1. PIMS-portaal: de centrale digitale omgeving waarin dossiers, documentatie, taken, voortgang en communicatie rondom privacy en informatiebeveiliging worden georganiseerd en beheerd.
2. AVG‑cockpit: de normatieve cockpit waarin het WAT & HOE van toepasselijke privacy‑eisen wordt vastgelegd en waaruit maatregelen en taken worden aangestuurd. (Normatief kader; uitvoering vindt plaats in operationeel beheer.)
3. NEN‑cockpit (Light): cockpit voor het beheer van informatiebeveiliging conform NEN 7510, als onderdeel van het portaal, waarin onder meer ISMS, documentbeheer, e‑learning en communicatie samenkomen.
4. O×C‑profiel (Omvang × Complexiteit): indeling die bepaalt welk dienstverleningsniveau passend is voor Abonnee, op basis van objectieve kenmerken en het normatief profiel (AVG of NEN / AVG+NEN).
5. Fair use / capaciteitsgrenzen: overeengekomen maxima (aantallen/uren) per onderdeel van de dienstverlening, zoals vastgelegd in de BIJLAGEN.
6. Melding/Ticket: een vraag, verzoek of incident dat door Abonnee aan Privacyzorg wordt voorgelegd en als zodanig wordt geregistreerd.

HOOFDSTUK 1 – DIENSTVERLENING EN ABONNEMENT

3. Abonnementskeuze op basis van O×C en normprofiel

1. Het abonnement van Abonnee wordt vastgesteld op basis van:

   • het O×C‑profiel (omvang/complexiteit); en 
   • de gekozen scope: AVG of NEN óf AVG + NEN
2. De bij het abonnement behorende capaciteitsgrenzen en prestaties zijn vastgelegd in BIJLAGEN.
3. 
   

4. Toegang tot portaal en cockpits

1. Abonnee krijgt toegang tot het portaal.

2. Afhankelijk van de gekozen dienstverlening krijgt Abonnee toegang tot:

   • de AVG‑cockpit; en/of
   • de NEN‑cockpit.
   • 
     

5. Rollen en verantwoordelijkheden

1. Abonnee blijft verantwoordelijk voor de eigen organisatie‑inrichting, besluitvorming en implementatie van maatregelen, tenzij uitdrukkelijk anders overeengekomen. 
2. Privacyzorg ondersteunt Abonnee binnen de afgesproken dienstverlening door normatief kader, beheer en uitvoering te organiseren en te begeleiden in het portaal/cockpits.

HOOFDSTUK 2 – WERKZAAMHEDEN EN PRESTATIES

Dit hoofdstuk beschrijft welke werkzaamheden in de DVO worden genoemd en hoe die passen binnen Toezicht, Tactisch beheer en Operationeel beheer. De exacte aantallen/uren per abonnement staan in de BIJLAGEN.

6. Toezicht (FG/CISO) – onafhankelijke bewaking

Privacyzorg levert toezicht‑activiteiten passend bij het abonnement, waaronder:

1. Toezicht op naleving (AVG en/of NEN‑kader) en signalering van afwijkingen. 
2. Rapportage/jaarverslag (FG/CISO) indien onderdeel van het abonnement (zoals opgenomen in het DVO‑overzicht). 
3. Advisering richting Abonnee over prioriteiten, risico’s en noodzakelijke bijsturing.
4. 
   

7. Tactisch beheer (WAT & HOE) – cockpit‑inrichting en sturing

Privacyzorg ondersteunt bij het tactisch organiseren van compliance, waaronder:

1. Cockpit‑inrichting en normatieve vastlegging (WAT & HOE) in de AVG‑cockpit en/of NEN‑cockpit.
2. Voortgangsbewaking: bewaken van openstaande maatregelen, terugkerende taken en cyclische verplichtingen (zoals opgenomen in het DVO‑overzicht).
3. Cockpit‑rapportages: periodieke rapportages over status, voortgang en aandachtspunten (conform DVO‑overzicht).
4. Periodieke overleggen: afstemming over voortgang, prioriteiten en bijsturing (conform DVO‑overzicht).
5. Keuze‑uren / maatwerkruimte: inzetbare capaciteit voor aanvullende tactische onderwerpen binnen de grenzen van het abonnement.

6. Vereenvoudigde NEN-cockpit Light: Voor zorginstellingen die vallen binnen OxC-niveau Laag en in de meeste gevallen OxC-niveau Midden, wordt in principe gebruikgemaakt van de vereenvoudigde NEN-implementatievariant: NEN-cockpit Light. Deze variant is specifiek ontwikkeld voor kleinere zorginstellingen met:

   • een beperkte organisatiestructuur;
   • beperkte ICT-complexiteit;
   • standaard zorginformatiesystemen;
   • beperkte behoefte aan maatwerkimplementaties.

7. Binnen de NEN-cockpit Light wordt gewerkt met uniforme en geconsolideerde beheersmaatregelen waardoor een beperktere administratieve belasting ontstaat. Privacyzorg kan gemotiveerd afwijken van de NEN-cockpit Light indien de aard, omvang of complexiteit van de organisatie daar aanleiding toe geeft.

8. Basis PLUS implementatieaanpak: Binnen het Basis PLUS abonnement wordt de implementatie van de NEN-cockpit uitgevoerd via een collectieve en gestandaardiseerde aanpak. Hierbij worden organisaties begeleid via groepssessies, waarbij uitsluitend relevante en passende maatregelen worden toegepast voor kleine zorginstellingen. De cockpit wordt vooraf zoveel mogelijk ingericht op basis van best practices, zodat de administratieve belasting voor de organisatie minimaal blijft.
9. 
   

8. Operationeel beheer (DOEN) – uitvoering en ondersteuning

Privacyzorg levert operationele ondersteuning passend bij het abonnement, waaronder:

1. Tickets / meldingen: behandeling van vragen en verzoeken (privacy of informatiebeveiliging) binnen afgesproken grenzen.
2. Datalekken en incidenten: ondersteuning bij beoordeling, registratie, opvolging en (waar nodig) meldproces.
3. Verwerkersovereenkomsten: beoordeling, verwerking en beheer van verwerkersafspraken binnen afgesproken grenzen.
4. Registers: bijhouden en beheren van registers (zoals het register van verwerkingsactiviteiten) binnen afgesproken aantallen.
5. DPIA/risicoanalyses: uitvoeren of beoordelen van DPIA’s binnen afgesproken maxima. 
6. Cockpit‑ondersteuning: operationele ondersteuning bij het verwerken van acties/maatregelen en het compleet houden van dossiervorming in het portaal.
7. Operationele ondersteuning binnen Basis PLUS: Binnen Basis PLUS vindt operationele ondersteuning gedeeltelijk plaats via groepsbegeleiding. Praktische ondersteuning, uitleg en voortgangsbewaking worden collectief begeleid via periodieke Teams-sessies met meerdere zorginstellingen tegelijk. Voor deelname aan Basis PLUS geldt een minimale groepsgrootte van 10 deelnemers.

HOOFDSTUK 3 – VERGOEDING, NACALCULATIE EN LOOPTIJD

9. Vergoeding en betaling

1. Abonnee betaalt een vaste periodieke bijdrage voor de overeengekomen dienstverlening.
2. Facturen dienen binnen 15 dagen na ontvangst te worden voldaan.
3. 
   

10. Additionele werkzaamheden (nacalculatie)

1. Werkzaamheden buiten het abonnement of boven fair‑use grenzen kunnen op basis van nacalculatie worden geleverd.
2. Ook overschrijding van afgesproken uren/volumes kan leiden tot bijfacturatie in overleg. 
3. 
   

11. Contractduur en verlenging

1. De overeenkomst geldt voor één jaar vanaf ondertekening en/of betaling.
2. Zonder opzegging wordt de overeenkomst telkens stilzwijgend met één jaar verlengd.
3. Opzegging geschiedt schriftelijk met een opzegtermijn van drie maanden voor einde contractperiode.
4.  

12. Beëindiging

1. Bij tekortkoming kan ontbinding plaatsvinden na ingebrekestelling en redelijke hersteltermijn.
2. In geval van faillissement/surseance/opheffing kan ontbinding met onmiddellijke ingang.
3. Bij beëindiging kan Abonnee – indien aan verplichtingen voldaan – verzoeken om export van gegevens; kosten kunnen op nacalculatie zijn.

HOOFDSTUK 4 – VERTROUWELIJKHEID, IE, AANSPRAKELIJKHEID

13. Vertrouwelijkheid en geheimhouding

1. Partijen behandelen vertrouwelijke informatie strikt vertrouwelijk en beperken toegang tot “need‑to‑know”. 
2. Uitzonderingen: informatie die reeds openbaar was of rechtmatig via derden is verkregen, of geanonimiseerde/geaggregeerde data. 
3. 
   

14. Intellectuele eigendom

IE‑rechten op methodieken, cockpit‑structuren, templates en voortbrengselen berusten bij Privacyzorg; geen overdracht beoogd. 

15. Aansprakelijkheid

1. Aansprakelijkheid voor directe schade is beperkt tot maximaal de door Abonnee betaalde vergoeding over één contractjaar, met inachtneming van verzekeringsuitkering.
2. Indirecte schade (gevolgschade, winstderving, etc.) is uitgesloten.

HOOFDSTUK 5 – PORTAAL, GEGEVENSVERWERKING EN BEVEILIGING

16. Portaal en beveiliging

1. Privacyzorg treft passende technische en organisatorische maatregelen ter beveiliging van gegevens en systemen binnen het portaal.
2. De NEN‑cockpit (indien afgenomen) ondersteunt het ISMS en brengt e‑learning, documentbeheer en communicatie samen in één platform. 
3. 
   

17. Aanlevering en actualisatie door Abonnee

1. Abonnee levert benodigde gegevens tijdig aan en houdt deze actueel; Partijen spreken de werkwijze af passend bij het abonnement.
2. 
   

18. Gegevensverstrekking aan derden

1. Verstrekking van (persoons)gegevens aan derden vindt alleen plaats binnen wettelijke kaders en – waar vereist – met toestemming/overleg met Abonnee.

HOOFDSTUK 6 – SLOTBEPALINGEN

19. Wijzigingen in dienstverlening en DVO

• Privacyzorg behoudt zich het recht voor de dienstverlening, werkwijzen, cockpitfunctionaliteiten, processen, documentatie en bepalingen in deze dienstverleningsovereenkomst (DVO) tussentijds te wijzigen of aan te vullen indien:
• wijzigingen in wet- en regelgeving daartoe aanleiding geven;
• normen of richtlijnen wijzigen;
• technologische of organisatorische ontwikkelingen dit noodzakelijk maken;
• dit noodzakelijk is voor een doelmatige uitvoering van de dienstverlening;
• wijzigingen plaatsvinden in de gebruikte software, cockpit of ondersteunende systemen.

20. Toepasselijk recht en geschillen

1. Op deze overeenkomst is Nederlands recht van toepassing. 
2. Geschillen worden voorgelegd aan de bevoegde rechter. 
3. 
   

21. Algemene voorwaarden

Op alle overeenkomsten zijn de algemene voorwaarden van Privacyzorg van toepassing (actuele versie via: https://www.privacyzorg.nl/algemene-voorwaarden). 

BIJLAGE 1 – DVO TABEL

1. De in deze bijlage opgenomen aantallen (zoals voortgangsbewaking, portaalaccounts, cockpit‑rapportages, cockpit‑ondersteuning, tickets, registers, periodieke overleggen en keuze‑uren) betreffen **aantallen per contractjaar**, tenzij uitdrukkelijk anders is overeengekomen.
2. Het contractjaar vangt aan op de ingangsdatum van de overeenkomst en loopt gedurende een periode van twaalf (12) maanden.
3. Deze aantallen gelden als richtlijn voor de omvang van de dienstverlening (fair use) binnen het gekozen abonnement.
4. Indien de Abonnee minder gebruik maakt van de dienstverlening dan de in deze bijlage genoemde aantallen, ontstaat **geen recht op restitutie, verrekening of compensatie** van (een deel van) de overeengekomen vergoeding.
5. Niet‑benutte capaciteit kan niet worden meegenomen naar een volgend contractjaar, tenzij hiervoor nadrukkelijk afwijkende afspraken zijn gemaakt.
6. Bij overschrijding van de genoemde aantallen kan Privacyzorg, in overleg met de Abonnee, aanvullende werkzaamheden verrichten op basis van nacalculatie.
7. Basis PLUS betreft een gestandaardiseerde groepsdienstverlening. Individuele consultancy, uitgebreide audits, maatwerkimplementaties en organisatiespecifieke certificeringstrajecten maken geen onderdeel uit van deze dienstverlening, tenzij schriftelijk anders overeengekomen.

BIJLAGE 2 – DIENSTENBESCHRIJVING

Abonnement, O×C, prestaties en fair use. In deze bijlage worden per abonnement de overeengekomen prestaties en capaciteitsgrenzen vastgelegd (o.a. voortgangsbewaking, portaalaccounts, cockpit‑rapportages, jaarverslag FG/CISO, cockpit‑ondersteuning, tickets, registers, periodieke overleggen en keuze‑uren). 

1. Algemene uitgangspunten

1. De dienstverlening van Privacyzorg wordt geleverd op basis van:

   • het O×C‑profiel (Omvang × Complexiteit) van de Abonnee;
   • en het normprofiel:
     AVG of NEN, dan wel AVG + NEN.

2. Op basis hiervan wordt het passende abonnement vastgesteld (Basis PLUS, Brons, Zilver, Goud of Platina).

3. Voor de dienstverlening vanaf abonnement Brons en hoger kunnen aanvullende implementatiekosten van toepassing zijn. Dit geldt onder meer wanneer sprake is van:

   • maatwerkinrichtingen;

   • verhoogde organisatorische of technische complexiteit;

   • aanvullende risicoanalyses;

   • individuele implementatiebegeleiding;

   • versnelde implementatietrajecten;

   • extra documentatie- of auditvereisten.

4. Eventuele aanvullende implementatiewerkzaamheden worden vooraf afgestemd en separaat geoffreerd dan wel op nacalculatiebasis uitgevoerd.

5. De dienstverlening wordt standaard ingericht in drie samenhangende lagen:

   • Toezicht (FG / CISO) – onafhankelijke controle en bewaking van naleving;
   • Tactisch beheer (WAT & HOE) – inrichting van beleid, processen en cockpit‑structuren;
   • Operationeel beheer (DOEN) – uitvoering en ondersteuning in de dagelijkse praktijk.

6. De hieronder beschreven werkzaamheden worden geleverd binnen de grenzen van het gekozen abonnement, waarbij de in deze bijlage opgenomen aantallen en capaciteiten gelden als fair‑use richtlijn.

7. 
   

2. Toezicht (FG / CISO)

Binnen het toezicht levert Privacyzorg onder meer:

• het beschikbaar stellen van een Functionaris Gegevensbescherming (FG) en/of CISO‑rol;
• onafhankelijke toetsing van naleving van privacywetgeving en informatiebeveiliging;
• signalering van risico’s, afwijkingen en knelpunten;
• het opstellen van een periodiek jaarverslag of rapportage (afhankelijk van het abonnement);
• advisering richting bestuur en management.
• 
  

3. Tactisch beheer (WAT & HOE)

Binnen het tactisch beheer ondersteunt Privacyzorg bij het organiseren van compliance, waaronder:

• het inrichten en beheren van de AVG‑cockpit en/of NEN‑cockpit;
• het vastleggen van wet- en normkaders op artikelniveau (WAT & HOE);
• het vertalen van wet- en regelgeving naar beleid, processen en maatregelen;
• het uitvoeren van voortgangsbewaking op openstaande acties en verplichtingen;
• het opstellen van periodieke cockpit‑rapportages;
• het uitvoeren van periodieke overleggen met Abonnee over voortgang en prioritering;
• het beschikbaar stellen van capaciteit (keuze‑uren) voor aanvullende tactische onderwerpen binnen het abonnement;
• begeleiding bij wijzigingen in wet- en regelgeving en doorvertaling naar de organisatie.
• 
  

4. Operationeel beheer (DOEN)

Binnen het operationeel beheer ondersteunt Privacyzorg bij de dagelijkse uitvoering, waaronder:

• het behandelen van meldingen en tickets (vragen, verzoeken en incidenten);
• het afhandelen en registreren van datalekken en informatiebeveiligingsincidenten;
• het beoordelen en beheren van verwerkersovereenkomsten;
• het beheren en actualiseren van registers, waaronder het register van verwerkingsactiviteiten;
• het uitvoeren of ondersteunen bij DPIA’s en risicoanalyses;
• het verwerken van acties, maatregelen en documentatie in het portaal;
• het ondersteunen bij vragen vanuit de organisatie en het geven van praktische oplossingen.

Privacyzorg is daarbij 24/7 bereikbaar voor ondersteuning bij incidenten en urgente vragen.

5. Capaciteit en fair use

De dienstverlening wordt geleverd binnen vooraf afgesproken capaciteit, waaronder:

• aantal voortgangsbewaking‑momenten;
• aantal portaalaccounts;
• aantal cockpit‑rapportages;
• inzet van cockpit‑ondersteuning (uren);
• aantal tickets/meldingen;
• omvang van registers;
• aantal periodieke overleggen;
• inzetbare keuze‑uren.

De exacte invulling van deze capaciteit is afhankelijk van het gekozen abonnement en is gebaseerd op het O×C‑profiel van de Abonnee.

Bij overschrijding van deze capaciteit kan, in overleg, aanvullende ondersteuning worden geleverd op basis van nacalculatie.

6. Portaal en cockpitfunctionaliteit

1. De dienstverlening wordt ondersteund via het portaal van Privacyzorg.

2. Binnen dit portaal worden – afhankelijk van de gekozen dienstverlening – één of meerdere cockpits ingezet:

   • de AVG‑cockpit:

     voor het normatief vastleggen en beheren van privacyverplichtingen (WAT & HOE);

   • de NEN‑cockpit:

     voor het organiseren van informatiebeveiliging conform NEN 7510 (ISMS).

3. De cockpits brengen onder meer samen:

   1. normatieve kaders (wet- en regelgeving);

   2. documentbeheer en dossiervorming;

   3. voortgangsbewaking en taakbeheer;

   4. communicatie en afstemming;

   5. en (waar van toepassing) e‑learning en instructies.

7. Werkwijze Basis PLUS

• Intake en afbakening van de organisatie;
• Vooraf ingevulde NEN-cockpit;
• Selectie van relevante beheersmaatregelen;
• 6 x per jaar periodieke groepssessies via video-overleg;
• Uniforme vastlegging van maatregelen;
• Jaarlijkse lichte beheer- en evaluatiecyclus.

Deze aanpak voorkomt onnodige implementatiekosten en zorgt ervoor dat kleine zorginstellingen aantoonbaar kunnen voldoen aan relevante eisen uit de AVG en NEN7510.

8. Resultaat van de dienstverlening

Door de inzet van deze dienstverlening ontstaat een model waarin:

• verplichtingen niet projectmatig, maar cyclisch worden beheerd;
• het onderscheid tussen WAT & HOE (tactisch) en DOEN (operationeel) helder is;
• toezicht, sturing en uitvoering gescheiden maar samenhangend functioneren;
• en de organisatie op elk moment aantoonbaar compliant is richting toezichthouders.

BIJLAGE 3 – RESPONSTIJDEN & PRIORITERING

Privacyzorg hanteert voor de uitvoering van de dienstverlening verschillende responsetijden, afhankelijk van de aard en urgentie van de werkzaamheden. Hierbij wordt onderscheid gemaakt tussen tactisch beheer (WAT & HOE) en operationeel beheer (DOEN).

1. Tactisch beheer (WAT & HOE)

Tactische werkzaamheden hebben betrekking op de inrichting en aansturing van compliance, waaronder beleid, cockpit‑beheer, voortgangsbewaking en rapportages.

• Tactische werkzaamheden kennen geen prioriteitsindeling;
• De responstijd bedraagt:
  👉 binnen 1 werkdag (op basis van best-effort);
• Uitvoering vindt plaats op basis van planning en afstemming binnen het portaal en periodieke overleggen.
• 
  

2. Operationeel beheer (DOEN)

Operationeel beheer betreft de dagelijkse ondersteuning en uitvoering van werkzaamheden, zoals datalekken, incidenten, vragen en verwerkersovereenkomsten.

Voor deze werkzaamheden geldt een indeling in drie prioriteitsniveaus:

​a. Hoge prioriteit

​Van toepassing bij:

• • datalekken en beveiligingsincidenten;
  • acute risico’s voor persoonsgegevens of continuïteit;
  • situaties waarbij directe actie vereist is.

​Responstijd: 👉 binnen kantoortijden: reactie binnen 4 uur 

​b. Middel prioriteit

​Van toepassing bij:

• • reguliere vragen en verzoeken;
  • ondersteuning bij lopende werkzaamheden;
  • operationele issues zonder directe urgentie.

​Responstijd: 👉 binnen kantoortijden: reactie binnen 3 werkdagen (op basis van best-effort)

​c. Lage prioriteit

​Van toepassing bij:

• • planbare werkzaamheden, zoals het beoordelen van verwerkersovereenkomsten;
  • administratieve of ondersteunende werkzaamheden;
  • niet‑urgente wijzigingen of aanvullingen.

​Responstijd: 👉 reactie binnen 10 werkdagen (op basis van best-effort)

3. Service window en bereikbaarheid

Werkzaamheden worden in beginsel uitgevoerd binnen kantoortijden. Onder kantoortijden wordt verstaan:

👉 maandag tot en met vrijdag van 09:00 tot 17:00 uur, met uitzondering van algemeen erkende feestdagen.

Voor incidenten en urgente situaties is Privacyzorg aanvullend bereikbaar conform de dienstverlening, waarbij – afhankelijk van prioriteit en aard van de melding – ook buiten reguliere werktijden ondersteuning kan worden geboden. 

4. Uitgangspunt

Door deze indeling wordt geborgd dat:

• urgente incidenten direct worden opgepakt;
• reguliere werkzaamheden tijdig worden uitgevoerd;
• en planbare werkzaamheden gestructureerd en efficiënt worden ingepland.

👉 Hiermee ontstaat een balans tussen snelheid, zorgvuldigheid en beheersbaarheid van de dienstverlening.