Leveringsvoorwaarden Basisabonnement - Huisartsenpraktijk (1 jaar)

PARTIJEN  

Deze Leveringsvoorwaarden van stichting Privacyzorg zijn van toepassing op:
  • alle overeenkomsten met betrekking tot "Basis abonnementen” die worden aangegaan via privacyzorg.nl en worden geleverd door stichting Privacyzorg, Postbus 270 te 6600AG Wijchen, Kamer van Koophandel nummer 65358864 te 's-Hertogenbosch, BTW nummer NL8560.79.418.B.01, hierna te noemen "Privacyzorg".
  • De Abonnee wordt geacht door het aangaan van een overeenkomst via Privacyzorg.nl, deze voorwaarden te accepteren.
  • Privacyzorg behoudt zich het recht voor om wijzigingen aan te brengen in deze voorwaarden. Controleer deze voorwaarden daarom regelmatig. De laatste versie is te vinden op www.privacyzorg.nl.
 
KOMEN ALS VOLGT OVEREEN:

HOOFDSTUK 1: ALGEMENE BEPALINGEN

Artikel 1 - Definities
In deze overeenkomst hebben de volgende begrippen, telkens aangeduid met een hoofdletter, de volgende betekenis:
 
DEFINITIE: BETEKENIS:
Abonnee De natuurlijke persoon of rechtspersoon met wie Privacyzorg een "Jaarabonnement Praktijk” sluit, aan wie Privacyzorg een Dienst levert of met wie Privacyzorg in andere rechtsverhouding staat.
Autoriteit Persoonsgegevens (AP) De autoriteit met als taak toe te zien op de Persoonsgegevensverwerkingen.
Beleid gegevensverstrekking Het beleid van Privacyzorg aangaande het beoordelen van aanvragen tot gegevensverstrekking aan derde partijen, zoals benoemd in Bijlage 3.
Betrokkene
 
Degene op wie een persoonsgegeven betrekking heeft, of zijn vertegenwoordiger.
Beveiligingsincident Een inbreuk op de beveiliging, bedoeld in artikel 11 Wbp, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen, dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die worden verwerkt.
Verwerker Degene die ten behoeve van de Verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Dataset De beschrijving van gegevens in de Privacybeheer database, zoals benoemd in Bijlage 2.
Diensten De door Privacyzorg op basis van deze Overeenkomst aan Abonnee te leveren diensten, zoals nader gespecificeerd in de Dienstenbeschrijving.
Dienstenbeschrijving De beschrijving van Diensten, zoals beschreven in Bijlage 1.
Functionaris gegevensbescherming (FG) Externe toezichthouder die binnen de organisatie toezicht houdt op de toepassing en naleving van de Wbp. De wettelijke taken en bevoegdheden van een FG geven deze functionaris een onafhankelijke positie in de organisatie.
Intellectuele Eigendomsrechten Alle rechten van intellectuele eigendom, waaronder, maar daartoe niet beperkt, het auteursrecht, het merkenrecht en het databankenrecht.
IPM-model Integraal Privacy Management, een door Stichting Privacyzorg ontwikkeld model voor het snel en doelgericht organiseren en borgen van de privacywetgeving binnen zorginstelling. Het IPM-model levert alle hulpmiddelen die een instelling nodig heeft voor de inrichting en het managen van privacy compliance. Het IPM-model bestaat uit drie onderdelen: de IPM-score, de IPM-implementatiemethode en de IPM-beheermethode.
Overeenkomst Deze overeenkomst, met inbegrip van de daarbij behorende bijlagen.
Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
Persoonsgegevensverwerking (of Verwerking) Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
(Praktijk)vestiging Een gebouw of complex van gebouwen waar de duurzame uitoefening van de activiteiten van Abonnee plaatsvindt.
Privacybeheer database Database waarin de privacygegevens worden verzameld van de aangesloten Abonnees. Zulks rechtstreeks ten behoeve van het beheer van de Persoonsgegevensverwerkingen die door de Abonnees worden verricht.
Responstijd De tijd die ligt tussen het moment van plaatsen van een melding tot het moment van aanvang van de werkzaamheden die nodig zijn om het probleem op te lossen.
Verantwoordelijke De natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de Persoonsgegevensverwerkingen vaststelt.
Zorgverlener Degene die zelfstandig zorg levert aan patiënten en/of cliënten binnen de Vestiging van de Abonnee.
 

Artikel 2 – Diensten Abonnee

1.    Privacyzorg verleent aan Abonnee de Diensten zoals benoemd in Bijlage 1: Dienstenbeschrijving.

2.    Privacyzorg zal de Dienstenbeschrijving, telkens uitsluitend na overleg met de Abonnee, aanpassen indien dit nodig is om de doeleinden van Privacyzorg en de Abonnee te verwezenlijken. Zij zal Abonnee steeds uiterlijk drie maanden voor het in werking treden van wijzigingen hiervan op de hoogte stellen. Abonnee zal steeds in staat worden gesteld om bij Privacyzorg bezwaren tegen wijzigingen van de Diensten kenbaar te maken en met Privacyzorg hierover in overleg te treden. Privacyzorg zal te allen tijde een actuele versie van de Dienstenbeschrijving beschikbaar stellen via het klantenportaal.

3.    In afwijking van het bepaalde in artikel 2 lid 2 zijn specifieke afspraken tussen partijen aangaande de privacybeheer database opgenomen in Hoofdstuk 2 van deze Overeenkomst.

Artikel 3 - Vergoeding en betaling
1.    Abonnee is voor de verleende Diensten aan Privacyzorg een jaarlijkse financiële bijdrage verschuldigd. 

2.    De financiële bijdrage wordt jaarlijks op 1 januari vastgesteld en geldt per Vestiging, met een maximum van 10 FTE per vestiging.

3.    Abonnee zal de in het eerste lid genoemde financiële bijdrage binnen 14 dagen na ontvangst van de daarop betrekking hebbende factuur voldoen.

4.    Bij een overschrijding van het totaal aan afgesproken werkzaamheden, zoals genoemd in bijlage 1 onder C, zal in overleg met de Abonnee een nacalculatie worden gefactureerd conform de tarieven genoemd onder artikel 4.

Artikel 4 - Uurtarief additionele werkzaamheden
Niet expliciet benoemde werkzaamheden binnen de Dienstverleningsovereenkomst worden apart en op basis van nacalculatie gefactureerd.
De volgende items vallen hieronder:
  • Overschrijding van het totaal aan afgesproken uren en/of calls, zoals genoemd in artikel 3 onder lid 4 
  • Projecten en overige consultancy
  • Overige werkzaamheden op verzoek van de Abonnee
Hiervoor gelden de volgende tarieven:
Privacy & Security consultant EUR 95,00
Projectleider   EUR 95,00

Voor activiteiten die buiten kantoortijden vallen, gelden de volgende overwerktoeslagen:
Gedurende de werkweek (17:00 – 8:30): 25%
Gedurende het weekend (na vrijdag 17:00 – maandag 8:30): 50%

Bovenstaande bedragen zijn inclusief reiskosten en exclusief 21% BTW.

Artikel 5 – Contractperiode en verlenging
1.    Deze overeenkomst treedt in werking op de datum van de aanmelding en wordt aangegaan voor de duur van één jaar.

2.    Behoudens opzegging door één der Partijen, met inachtneming van een opzegtermijn van drie maanden voor het einde van de contractperiode, wordt de overeenkomst daarna telkens stilzwijgend verlengd voor de duur van één jaar.

Artikel 6 – Beëindiging
1.    Indien één der partijen de overeenkomst niet wenst te verlengen, dient de betrokken partij dit schriftelijk kenbaar te maken met inachtneming van een opzegtermijn van 3 kalendermaanden voor het einde van de contractperiode.

2.    Indien één der partijen toerekenbaar tekort schiet in de nakoming van deze Overeenkomst is die partij in verzuim, nadat de andere partij een redelijke termijn heeft geboden om alsnog na te komen en ook binnen die redelijke termijn niet, niet volledig of niet tijdig wordt nagekomen. In dat geval is de andere partij bevoegd de Overeenkomst met onmiddellijke ingang te ontbinden door middel van een daartoe gericht aangetekend schrijven aan de andere Partij.

3.    Niettegenstaande het overige bepaalde zijn gerechtigd zonder ingebrekestelling of rechterlijke tussenkomst bij aangetekend schrijven met onmiddellijke ingang de Overeenkomst te ontbinden;
Iedere partij, indien en zodra:
a)    de andere partij wordt ontbonden of anderszins ophoudt te bestaan;
b)    aan de andere partij (voorlopige) surseance van betaling wordt verleend en de (voorlopige) surseance van betaling langer dan zes maanden achtereen heeft geduurd;
c)    de andere partij in staat van faillissement wordt verklaard;
d)    de andere partij niet (langer) in staat of bereid moet worden geacht haar verplichtingen voortvloeiend uit deze Overeenkomst na te komen;

4.    Bij een ontbinding van de Overeenkomst, zoals genoemd onder de leden 2 en 3, zal door Privacyzorg een eindafrekening worden opgemaakt over de resterende contractperiode.

5.    Bij beëindiging van de Overeenkomst zal de Privacyzorg alle in haar bezit zijnde documentatie betreffende de Overeenkomst aan Abonnee retourneren en (eventuele) kopieën vernietigen. Voorts zal de Abonnee alsdan geen gebruik meer maken van de Producten en Diensten van Privacyzorg.

6.    Indien de Overeenkomst wordt beëindigd anders dan op de wijze zoals genoemd onder lid 3 en indien de Abonnee aan al haar verplichtingen heeft voldaan jegens Privacyzorg, dan zal Privacyzorg binnen 30 dagen na de beëindiging van de Overeenkomst de gegevens van de Abonnee exporteren naar een machine-leesbaar document. Privacyzorg heeft het recht haar verplichting op grond van deze bepaling op te schorten zolang de Abonnee niet aan haar verplichtingen op grond van deze Overeenkomst heeft voldaan.

Artikel 7 - Vertrouwelijkheid en geheimhouding
1.    Indien en voor zover bij de uitvoering van deze Overeenkomst vertrouwelijke informatie van een partij ter kennis komt van de andere partij zal deze ontvangende partij deze informatie alleen gebruiken voor het uitvoeren van deze Overeenkomst en de toegang tot die Informatie beperken tot personen die daarvan voor dat doel kennis moeten nemen. Partijen staan ervoor in dat deze personen door een arbeidsovereenkomst en/of een geheimhoudingsovereenkomst verplicht zijn tot geheimhouding van deze vertrouwelijke informatie.

2.    Onder vertrouwelijke informatie wordt verstaan: alle informatie die partijen in het kader van deze Overeenkomst uitwisselen, waaronder, maar niet daartoe beperkt, de gegevens die Abonnee aanlevert in het kader van het privacybeheer, de gegevens in de privacybeheer database, auditgegevens en alle overige vertrouwelijke organisatorische gegevens.

3.    Onder vertrouwelijke informatie wordt niet verstaan:
  • informatie die reeds openbaar was op het moment dat deze ter kennis kwam van de ontvangende partij of naderhand openbaar is geworden;
  • informatie die de ontvangende partij ook van een derde heeft gekregen zonder dat daarbij een geheimhoudingsverplichting is opgelegd of deze derde daartoe verplicht was;
  • informatie die door Partijen is aangemerkt als zijnde niet-vertrouwelijk;
  • geaggregeerde (geanonimiseerde) data en onderzoeksresultaten die Privacyzorg, onder andere op basis van de gegevens uit de privacybeheer database​, tot stand brengt en publiceert.
Artikel 8 - Intellectuele Eigendomsrechten
1.    Alle Intellectuele Eigendomsrechten met betrekking tot het IPM-model (waaronder de IPM-score, de IPM-implementatiemethode en de IPM-beheermethode), de privacybeheer database, de templates, de audit rapportages, benchmarkgegevens en alle resultaten voortvloeiend uit de Dienstverlening, berusten uitsluitend bij Privacyzorg. Niets in deze overeenkomst beoogt overdracht van deze Intellectuele Eigendomsrechten.

Artikel 9 - Aansprakelijkheid
1.    De totale aansprakelijkheid van Privacyzorg wegens een toerekenbare tekortkoming in de nakoming van deze Overeenkomst of uit enige andere hoofde, waaronder nadrukkelijk begrepen garantie- en/of vrijwaringsverplichtingen, is beperkt tot vergoeding van directe schade tot maximaal het bedrag van de door Abonnee verschuldigde financiële bijdrage over één contractjaar als bedoeld in artikel 3.1. In geen geval zal de totale aansprakelijkheid van Privacyzorg voor directe schade uit welke hoofde dan ook meer bedragen dan het bedrag dat in het betreffende geval wordt uitgekeerd door de bedrijfsaansprakelijkheidsverzekering van Privacyzorg.

2.    De aansprakelijkheid van Privacyzorg voor indirecte schade, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, of schade verband houdende met programmatuur, apparatuur of diensten van derden is uitgesloten.

Artikel 10 - Overige bepalingen
1.    Abonnee krijgt alleen ondersteuning als deze nog niet wist (of kon weten) dat ondersteuning nodig zou zijn op het moment dat Abonnee de overeenkomst afsloot. Bij twijfel is het aan Abonnee om aan te tonen dat deze dat nog niet wist (of kon weten).

2.    Wij kunnen alleen Zorgverleners ondersteunen die werkzaam zijn in Nederland.

3.    Alleen de aangemelde Vestigingen van de Abonnee krijgen ondersteuning van Privacyzorg.

4.    Deze overeenkomst is gebaseerd op de gegevens die u Privacyzorg hebt gegeven toen u deze overeenkomst afsloot. Kloppen die gegevens niet meer? Geef de veranderingen dan zo snel mogelijk aan Privacyzorg door.

5.    Deze overeenkomst treedt in de plaats van alle eerder opgemaakte afspraken tussen Partijen met betrekking tot de Diensten van Privacyzorg.

6.    Geschillen in verband met deze Overeenkomst, waaronder geschillen over de totstandkoming, de uitleg of de uitvoering daarvan, worden bij uitsluiting voorgelegd aan de daartoe bevoegde rechter In het Arrondissement 's-Hertogenbosch.

7.    Op deze Overeenkomst is het Nederlands recht van toepassing.


HOOFDSTUK 2: GEGEVENSVERWERKING IN DE PRIVACYBEHEER DATABASE

Artikel 11 - Privacybeheer database
1.    De gegevens die noodzakelijk zijn voor het privacybeheer van de aangesloten Abonnee worden ingevoerd in de privacybeheer database. Dit systeem bevat de noodzakelijke functionaliteiten om alle facetten van privacybeheer te kunnen borgen.

Artikel 12 - Aanlevering gegevens door Abonnee
1.    De aandachtshouder Privacy binnen de organisatie van de Abonnee zal minimaal één keer per jaar de voor het Privacybeheer benodigde gegevens aanleveren en/of actualiseren, overeenkomstig de beschrijving van de Dataset in Bijlage 2.

Artikel 13 - Gegevensverstrekking aan derden
1.    Privacyzorg kan, op basis van een daartoe strekkende gegevensaanvraag, een selectie van de Gegevens verstrekken aan een derde partij ten behoeve van wetenschappelijk onderzoek of statistiek.

2.    Een aanvraag tot gegevensverstrekking die betrekking heeft op Persoonsgegevens of vertrouwelijke informatie in de zin van artikel 5 Wbp wordt slechts ingewilligd na goedkeuring door de betreffende Abonnee. Het beleid omtrent gegevensverstrekking wordt nader omschreven in Bijlage 3 van deze overeenkomst.

3.    Privacyzorg toetst een gegevensaanvraag van een Toezichthouder/autoriteit op basis van de vigerende Wet- en regelgeving. Privacyzorg zal altijd, voorafgaand aan de feitelijke gegevensverstrekking naar een autoriteit, nader overleg voeren met Abonnee.

Artikel 14 - Privacy en informatiebeveiliging
1.    Privacyzorg zal ten aanzien van de Persoonsgegevensverwerking in de privacybeheer database, die in het kader van de uitvoering van deze Overeenkomst plaatsvinden, optreden als Verantwoordelijk in de zin van de Wet bescherming persoonsgegevens (Wbp).

2.    Privacyzorg verwerkt de Persoonsgegevens van Abonnee uitsluitend in het kader van haar statutaire doeleinden.

3.    Privacyzorg zal de binnen het wettelijke kader voorgeschreven passende technische en organisatorische maatregelen ten uitvoer leggen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de Persoonsgegevensverwerkingen en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere Persoonsgegevensverwerkingen te voorkomen. Privacyzorg werkt de beveiligingsmaatregelen nader uit in een informatiebeveiligingsbeleid en zal dit beleid via haar website beschikbaar maken.

4.    Privacyzorg zal optreden als aanspreekpunt voor Betrokkenen, aangaande de uitoefening van privacyrechten en rechten op grond van de Wbp, in het bijzonder het recht op bezwaar ten aanzien van de Persoonsgegevensverwerkingen die in de privacybeheer database plaatsvinden.

5.    Privacyzorg en de door haar ingezette medewerkers zijn verplicht tot geheimhouding van Persoonsgegevens, waarvan zij in het kader van de uitvoering van deze Overeenkomst kennis nemen, behoudens en voor zover enig wettelijk voorschrift hen tot openbaarmaking en/of afgifte verplicht. Privacyzorg zal erop toezien dat de door haar ingezette personen deze geheimhoudingsverplichting betrachten.

6.    Privacyzorg heeft een beleid voorhanden om te reageren op Beveiligingsincidenten. In geval van een Beveiligingsincident zal Privacyzorg voldoen aan de wettelijke meldingsplicht. Partijen zullen gezamenlijk de benodigde maatregelen treffen om de Betrokkenen, indien wettelijk vereist, te informeren over een Beveiligingsincident.

7.    Indien Abonnee dan wel Privacyzorg een Beveiligingsincident vaststelt, zal deze de andere Partij informeren en zullen beide Partijen alle benodigde maatregelen treffen conform de wettelijke voorschriften om (verdere) schending of Inbreuken betreffende Persoonsgegevensverwerkingen te voorkomen, of te beperken.


BIJLAGE 1: DIENSTENBESCHRIJVING
Privacyzorg verleent aan Abonnee, overeenkomstig art. 2 lid 1 en art. 2 lid 3 van de Dienstverleningsovereenkomst, de Diensten als genoemd in deze Dienstenbeschrijving.
 
Dienst: Scope: Service Window:
TOEZICHT EN ADVIES
Functionaris Gegevensbescherming Collectief (per regio) 1, 2 en 3
Toezicht op alle geregistreerde persoonsgegevensverwerkingen Ja 1
Indien op de verwerking een wettelijk vastgestelde gedragscode van toepassing is, strekt het toezicht mede uit tot de naleving van deze code Ja, best effort 1
Servicedesk: privacy gerelateerde vragen en klachten afhandelen van medewerkers Ja 1
Adviseren over technologie en beveiliging Ja, per telefoon en e-mail 1
Voorlichting en advies over de toepassing van de privacywetgeving Ja 1
IMPLEMENTATIE, REGISTRATIE EN BEHEER
Jaarlijkse Online Evaluatie(s) Ja n.v.t.
Implementatie (van de IPM-beheermethode) Ja, middels de standaard Implementatiemethode n.v.t.
Inventarisatie, registratie en beheer van persoonsgegevensverwerkingen in de Privacybeheer database Ja, bron via Online Evaluatie(s) n.v.t.
Privacy Impact Assessment (PIA) op alle Verwerkingen Ja, best effort n.v.t.
Afsluiten, registreren en beheren van Verwerkersovereenkomsten en Geheimhoudingsovereenkomsten Ja n.v.t.
MODEL EN HULPMIDDELEN
Gebruiksrecht van het Integraal Privacy Management (IPM) model, bestaande uit de IPM-score, IPM-implementatiemethode en de IPM-beheermethode Ja n.v.t.
Gebruiksrecht over alle beschikbare IPM-hulpmiddelen, waaronder de jaarlijkse (technisch/juridisch) geactualiseerde versies van de templates, zoals privacyreglementen, processen, procedures, informatiefolders en presentaties Ja n.v.t.
Gebruiksrecht van het privacy auditsysteem, ten behoeve van het snel en efficiënt kunnen uitvoeren van privacy intakes en audits Ja n.v.t.
Gebruiksrecht van de privacybeheer database, ten behoeve van het privacybeheer binnen de organisatie van de Abonnee Ja n.v.t.
Periodieke nieuwsbrieven Ja n.v.t.
Ontwikkelen van interne privacy processen en procedures

Ja, templates per branche/sector 

n.v.t.
Opstellen van maatwerk processen en procedures Nacalculatie n.v.t.
CONTROLE, VISITATIE EN CERTIFICERING
Advies en ondersteuning bij interne en externe visitaties (privacy/security) Nacalculatie n.v.t.
Advies en ondersteuning bij audits van certificerende instellingen (privacy/security) Nacalculatie n.v.t.
Advies en ondersteuning bij controle door Toezichthouders en/of Autoriteiten (privacy/security) Ja 1, 2 en 3
Quick respons team (7x24u) - om binnen het wettelijk termijn van 72 uur de wettelijke verplichte melding bij de Autoriteit Persoonsgegevens te kunnen plaatsen Ja 1, 2 en 3
Technische en juridische advies en ondersteuning bij privacy- en/of informatiebeveiligingsincidenten, bijvoorbeeld bij een datalek of een hack op een informatiesysteem Ja 1, 2 en 3

Schriftelijk informeren van Betrokkenen en beschikbaar stellen van een telefonisch informatienummer 

Maximaal 500 betrokkenen per contractjaar, daarna o.b.v. nacalculatie 

n.v.t.
Compliance onderzoek (privacy/security) bij Verwerkers Ja, o.b.v. jaarlijkse steekproeven n.v.t.
RAPPORTAGES
Jaarlijkse privacy rapportage Collectief  n.v.t.
KPI-gegevens omtrent het niveau van privacyborging bij aangesloten leden van Zorggroepen en coöperaties. Jaarlijks nav de Online Evaluaties n.v.t.
 

A.     SERVICE WINDOWS:
Omschrijving Tijdvak
Service Window 1 Kantoordagen 09:00 – 17:00 uur
Service Window 2 Kantoordagen 17:00 – 24:00 uur
Service Window 3 ‘s Nachts 24:00 – 09:00 uur, weekend en feestdagen


B.     RESPONS EN REACTIETIJDEN:
Type Prioriteit Responstijd Service Window
Hulp bij calamiteiten Kritisch / Hoog 95% < 60 minuten
100% <180 minuten
1, 2 en 3
Overige calls Normaal 75% < 1 kantoordag
100% < 5 kantoordagen
1
Planbaar werk Planbaar 80% < 5 kantoordagen
100% <10 kantoordagen
1


C.     BEREKENINGSINDICATOREN:
Functionaris gegevensbescherming
Overleg met de Functionaris gegevensbescherming Mail (Ad hoc)
Inventarisatie middels Online Evaluatie
Standaard documentsjablonen tbv privacyborging
Opmaken van Registers van Verwerkingsactiviteiten Standaard
Maximaal aantal Registers van Verwerkingsactiviteiten 8
Opmaken van Data Protection Impact Assessments (DPIA's)
Beoordelen ingediende Verwerkersovereenkomsten
Toegang tot de kennisdatabase
Toegang tot het Privacybeheer Portaal
Telefonische helpdesk tijdens kantoortijden
7 x 24 meldpunt datalekken
Afhandeling datalekken (AP-melding, incidentregister, etc.)
Maximaal aantal Tickets (verzoeken) per jaar 4
  • Per Vestiging is maximaal vier keer per jaar recht op hulp of ondersteuning.  
  • Indien het abonnement in collectief verband is afgesloten, dan geldt de criteria onder punt 1 over het gemiddelde van de groep abonnees.
  • Wanneer de criteria onder de punten 1 en 2 worden overstegen zullen de werkzaamheden apart en op basis van nacalculatie worden gefactureerd, conform de tarieven genoemd onder artikel 4.

BIJLAGE 2: BESCHRIJVING GEGEVENSVERWERKING

De volgende gegevens worden in de privacybeheer database vastgelegd:

D.     Dataset Verwerkingenbeheer:
  • Dossiernaam
  • Datum invoering
  • Verantwoordelijke
  • Referentienummer
  • Naam Functionaris Gegevensbescherming van de Abonnee
  • Gerelateerd Informatiesysteem
  • Namen Auditors en Auditees
  • Aard en type Persoonsgegevens
  • Rechtmatige grondslag van de Persoonsgegevensverwerking
  • Ontvangers
  • Gehanteerde procedures
  • Verrichtte Evaluaties
  • Gekoppelde Wijzigingen
  • Gekoppelde Risico’s

E.     Dataset Risico’s en Wijzigingen:
  • Toegewezen referentienummer
  • Datum van aanmelden
  • Prioriteit van de melding
  • Verantwoordelijke
  • Contract
  • Naam van de aanvrager
  • Bron van de melding
  • Actiehouder van de melding
  • Naam Functionaris Gegevensbescherming van de Abonnee
  • Auditeur van de melding
  • Informatiesysteem wat betrekking heeft op de melding
  • Beheerder van de Persoonsgegevensverwerkingen
  • Onderwerp van de melding
  • Van toepassing zijnde overeenkomsten en procedures
  • Afgenomen evaluaties
  • Analyse van de melding (afhankelijk van de aard van de melding kan dit veld bijzondere persoonsgegevens bevatten!)
  • Maatregelen die genomen moeten worden
  • Verwerkingendossier wat gekoppeld is aan de melding

F.     Dataset Betrokkendossiers:
  • Onderwerp
  • Datum aanmelding
  • Referentienummer
  • Beheerder
  • Actiehouder
  • Prioriteit
  • Deadline
  • Aanvrager
  • Betreffende procedure
  • Subject
  • Omschrijving verzoek (afhankelijk van de aard van de melding kan dit bijzondere persoonsgegevens bevatten!)


BIJLAGE 3: BELEID GEGEVENSVERSTREKKING
De gegevens in de privacybeheer database kunnen naar de inhoud en vertrouwelijkheid in drie categorieën worden onderverdeeld. Deze categorieën zijn:
 
G.     Niveau 1
Deze gegevens beperken zich tot beschrijvende en/of statistische gegevens en schetsen een beeld van het niveau van privacyborging binnen de Vestiging(en) van de Abonnee. Bijvoorbeeld aantallen geregistreerde Persoonsgegevensverwerkingen, klachten, wijzigingen, risico’s, etc. Het betreft geaggregeerde gegevens die redelijkerwijs niet herleid kunnen worden naar de Abonnee, haar medewerkers of patiënten en die evenmin bedrijfsvertrouwelijke informatie bevatten.
 
Het verstrekken van deze data aan belanghebbenden is niet aan bijzondere beperkingen onderworpen. Vraagstellingen betreffende niveau 1 gegevens kunnen worden goedgekeurd door het management van Privacyzorg zonder verdere toestemming van de Abonnee. Door Privacyzorg wordt een overzicht bijgehouden van alle niveau 1 vertrekkingen en dit wordt jaarlijks gerapporteerd aan de Abonnee.
 
H.     Niveau 2
Deze gegevens worden gebruikt in relatie tot het beheer van Persoonsgegevensverwerkingen binnen de privacybeheer database, waaronder de inventarisaties, het register van meldingen van persoonsgegevensverwerkingen en de gegevens die zijn verkregen vanuit de jaarlijkse online evaluatie(s).
 
Niveau 2 gegevens kunnen vertrouwelijk van aard zijn en zijn veelal (bijzondere) persoonsgegevens over medewerkers en patiënten in de zin van de Wbp. Het verstrekken van niveau 2 gegevens moet beoordeeld en goedgekeurd worden door de Abonnee. Privacyzorg is voor niveau 2 gegevens tot strikte geheimhouding verplicht, behoudens en voor zover enig wettelijk voorschrift haar tot openbaarmaking en/of afgifte verplicht.
 
I.     Niveau 3
Het betreft hier gegevens over informatiebeveiliging en zéér vertrouwelijke (juridische) organisatiegegevens van de Abonnee. Niveau 3 gegevens omvatten ook gegevens over veiligheidsincidenten en datalekken. Privacyzorg toetst een niveau 3 gegevensaanvraag van een Toezichthouder/autoriteit op basis van de vigerende Wet- en regelgeving. Privacyzorg zal altijd, voorafgaand aan de feitelijke gegevensverstrekking, nader overleg voeren met de Abonnee. Verzoeken voor niveau 3 gegevens moeten altijd beoordeeld en goedgekeurd worden door zowel het management van Privacyzorg alsmede de Abonnee.
 
Indien het verstrekken van deze gegevens spoedeisend en essentieel is voor de enig wettelijk termijn, zoals bijvoorbeeld het termijn van 72uur waarbinnen een datalek gemeld moet worden, kan het management van Privacyzorg bij onbereikbaarheid van de Abonnee alsnog tot gegevensverstrekking overgaan. Dit zal uitsluitend plaatsvinden na een gedegen afweging door het management van Privacyzorg over het aannemelijke risico op zéér hoge boetes voor de Abonnee, of wanneer (vervolg)sancties voor haar aannemelijk zijn.


--------------------------------------
Versie 29 april 2019