Leveringsvoorwaarden Zilver abonnement - Middelgrote Zorginstelling (maand)

Deze Leveringsvoorwaarden van stichting Privacyzorg zijn van toepassing op:

alle overeenkomsten met betrekking tot "Basis PLUS, Brons, Zilver en Goud abonnementen” die worden aangegaan via privacyzorg.nl en worden geleverd door stichting Privacyzorg, Postbus 270 te 6600AG Wijchen, Kamer van Koophandel nummer 65358864 te 's-Hertogenbosch, BTW nummer NL8560.79.418.B.01, hierna te noemen "Privacyzorg".
De Abonnee wordt geacht door het aangaan van een overeenkomst via Privacyzorg.nl, deze voorwaarden te accepteren.
Privacyzorg behoudt zich het recht voor om wijzigingen aan te brengen in deze voorwaarden. Controleer deze voorwaarden daarom regelmatig. De laatste versie is te vinden op www.privacyzorg.nl.

KOMEN ALS VOLGT OVEREEN:

HOOFDSTUK 1: ALGEMENE BEPALINGEN

Artikel 1 - Definities

In deze overeenkomst hebben de volgende begrippen, telkens aangeduid met een hoofdletter, de volgende betekenis:

DEFINITIE:	BETEKENIS:
Abonnee	De natuurlijke persoon of rechtspersoon met wie Privacyzorg een "Jaarabonnement Praktijk” sluit, aan wie Privacyzorg een Dienst levert of met wie Privacyzorg in andere rechtsverhouding staat.
Autoriteit Persoonsgegevens (AP)	De autoriteit met als taak toe te zien op de Persoonsgegevensverwerkingen.
Beleid gegevensverstrekking	Het beleid van Privacyzorg aangaande het beoordelen van aanvragen tot gegevensverstrekking aan derde partijen, zoals benoemd in Bijlage 3.
Betrokkene	Degene op wie een persoonsgegeven betrekking heeft, of zijn vertegenwoordiger.
Beveiligingsincident	Een inbreuk op de beveiliging, bedoeld in artikel 11 Wbp, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen, dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die worden verwerkt.
Verwerker	Degene die ten behoeve van de Verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Dataset	De beschrijving van gegevens in de Privacybeheer database, zoals benoemd in Bijlage 2.
Diensten	De door Privacyzorg op basis van deze Overeenkomst aan Abonnee te leveren diensten, zoals nader gespecificeerd in de Dienstenbeschrijving.
Dienstenbeschrijving	De beschrijving van Diensten, zoals beschreven in Bijlage 1.
Functionaris gegevensbescherming (FG)	Externe toezichthouder die binnen de organisatie toezicht houdt op de toepassing en naleving van de Wbp. De wettelijke taken en bevoegdheden van een FG geven deze functionaris een onafhankelijke positie in de organisatie.
Intellectuele Eigendomsrechten	Alle rechten van intellectuele eigendom, waaronder, maar daartoe niet beperkt, het auteursrecht, het merkenrecht en het databankenrecht.
IPM-model	Integraal Privacy Management, een door Stichting Privacyzorg ontwikkeld model voor het snel en doelgericht organiseren en borgen van de privacywetgeving binnen zorginstelling. Het IPM-model levert alle hulpmiddelen die een instelling nodig heeft voor de inrichting en het managen van privacy compliance. Het IPM-model bestaat uit drie onderdelen: de IPM-score, de IPM-implementatiemethode en de IPM-beheermethode.
Overeenkomst	Deze overeenkomst, met inbegrip van de daarbij behorende bijlagen.
Persoonsgegevens	Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
Persoonsgegevensverwerking (of Verwerking)	Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
(Praktijk)vestiging	Een gebouw of complex van gebouwen waar de duurzame uitoefening van de activiteiten van Abonnee plaatsvindt.
Privacybeheer database	Database waarin de privacygegevens worden verzameld van de aangesloten Abonnees. Zulks rechtstreeks ten behoeve van het beheer van de Persoonsgegevensverwerkingen die door de Abonnees worden verricht.
Responstijd	De tijd die ligt tussen het moment van plaatsen van een melding tot het moment van aanvang van de werkzaamheden die nodig zijn om het probleem op te lossen.
Verantwoordelijke	De natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de Persoonsgegevensverwerkingen vaststelt.
Zorgverlener	Degene die zelfstandig zorg levert aan patiënten en/of cliënten binnen de Vestiging van de Abonnee.

Artikel 2 – Diensten Abonnee

Privacyzorg verleent aan Abonnee de Diensten zoals benoemd in Bijlage 1: Dienstenbeschrijving.
Privacyzorg zal de Dienstenbeschrijving, telkens uitsluitend na overleg met de Abonnee, aanpassen indien dit nodig is om de doeleinden van Privacyzorg en de Abonnee te verwezenlijken. Zij zal Abonnee steeds uiterlijk drie maanden voor het in werking treden van wijzigingen hiervan op de hoogte stellen. Abonnee zal steeds in staat worden gesteld om bij Privacyzorg bezwaren tegen wijzigingen van de Diensten kenbaar te maken en met Privacyzorg hierover in overleg te treden.

Artikel 3 - Vergoeding en betaling

1. Abonnee is voor de verleende Diensten van Privacyzorg een financiële bijdrage verschuldigd. Deze financiële bijdrage is berekend over:

a)   Het aantal Verwerkingen binnen de organisatie van de Abonnee, én
b)   een inschatting van het benodigde aantal uren voor werkzaamheden dat Privacyzorg voor Abonnee jaarlijks verricht, én
c)   een inschatting van het totaal aantal tickets dat Privacyzorg voor Abonnee binnen de periode registreert, gelijk aan de berekening onder Bijlage 1 onder C.

2.   Het aantal Verwerkingen wordt jaarlijks op 1 januari vastgesteld op basis van een opgave door de Abonnee of aan de hand van een audit door Privacyzorg.
3.   Een eventuele correctie over de financiële bijdrage wordt berekend over de historisch gegevens in de Privacybeheer database van de geregistreerde uren/calls op 1 januari van het voorgaande jaar.
4.   Bij een overschrijding van het totaal aan afgesproken uren en/of calls, zoals genoemd in artikel 3 onder lid 4 zal in overleg met de Abonnee een naheffing/bijbetaling worden berekend voor de resterende contractperiode.
5.   De rechten uit de Berekeningsindicatoren, zoals beschreven in Bijlage 1 onder C, vervallen na het verstrijken van de contractperiode.
6.   Abonnee zal de in het eerste lid genoemde financiële bijdrage binnen 30 dagen na ontvangst van de daarop betrekking hebbende factuur voldoen.

Artikel 4 - Uurtarief additionele werkzaamheden

Niet expliciet benoemde werkzaamheden binnen de Dienstverleningsovereenkomst worden apart en op basis van nacalculatie gefactureerd. De volgende items vallen hieronder:

Overschrijding van het totaal aan afgesproken uren en/of calls, zoals genoemd in Bijlage 1 onder C
Projecten en overige consultancy
Overige werkzaamheden op verzoek van de Abonnee

Hiervoor gelden de volgende tarieven:

Privacy & Security consultant	EUR 95,00
Projectleider	EUR 95,00
ICT-specialisten	Op aanvraag

Voor activiteiten die buiten kantoortijden vallen, gelden de volgende overwerktoeslagen:

Omschrijving:	Toeslag:
Voor en na kantoortijden	150%
Zaterdagen	150%
Zon- en feestdagen	200%

Artikel 5 – Contractperiode en verlenging

1. Deze overeenkomst treedt in werking op de datum van ondertekening en/of betaling van de financiële bijdrage en wordt aangegaan voor de duur van één jaar.
2. Behoudens opzegging door één der Partijen, met inachtneming van een opzegtermijn van drie maanden voor het einde van de contractperiode, wordt de overeenkomst daarna telkens stilzwijgend verlengd voor de duur van één jaar.

Artikel 6 – Beëindiging

1.   Indien één der partijen de overeenkomst niet wenst te verlengen, dient de betrokken partij dit schriftelijk kenbaar te maken met inachtneming van een opzegtermijn van 3 kalendermaanden voor het einde van de contractperiode.
2.   Indien één der partijen toerekenbaar tekortschiet in de nakoming van deze Overeenkomst is die partij in verzuim, nadat de andere partij een redelijke termijn heeft geboden om alsnog na te komen en ook binnen die redelijke termijn niet, niet volledig of niet tijdig wordt nagekomen. In dat geval is de andere partij bevoegd de Overeenkomst met onmiddellijke ingang te ontbinden door middel van een daartoe gericht aangetekend schrijven aan de andere Partij.
3.   Niettegenstaande het overige bepaalde zijn gerechtigd zonder ingebrekestelling of rechterlijke tussenkomst bij aangetekend schrijven met onmiddellijke ingang de Overeenkomst te ontbinden;
Iedere partij, indien en zodra:

a)   de andere partij wordt ontbonden of anderszins ophoudt te bestaan;
b)   aan de andere partij (voorlopige) surseance van betaling wordt verleend en de (voorlopige) surseance van betaling langer dan zes maanden achtereen heeft geduurd;
c)   de andere partij in staat van faillissement wordt verklaard;
d)   de andere partij niet (langer) in staat of bereid moet worden geacht haar verplichtingen voortvloeiend uit deze Overeenkomst na te komen;

4.   Bij een ontbinding van de Overeenkomst, zoals genoemd onder de leden 2 en 3, zal door Privacyzorg een eindafrekening worden opgemaakt over de resterende contractperiode.
5.   Bij beëindiging van de Overeenkomst zal de Privacyzorg alle in haar bezit zijnde documentatie betreffende de Overeenkomst vernietigen. Voorts zal de Abonnee alsdan geen gebruik meer maken van de Producten en Diensten van Privacyzorg.
6.   Indien de Overeenkomst wordt beëindigd anders dan op de wijze zoals genoemd onder lid 3 en indien de Abonnee aan al haar verplichtingen heeft voldaan jegens Privacyzorg, dan zal Privacyzorg (op verzoek van de Abonnee) binnen 30 dagen na de beëindiging van de Overeenkomst de gegevens van de Abonnee exporteren naar een machine-leesbaar document. De kosten voor deze werkzaamheden worden gefactureerd op basis van nacalculatie. Privacyzorg heeft het recht haar verplichting op grond van deze bepaling op te schorten zolang de Abonnee niet aan haar verplichtingen op grond van deze Overeenkomst heeft voldaan.

Artikel 7 - Vertrouwelijkheid en geheimhouding

1.   Indien en voor zover bij de uitvoering van deze Overeenkomst vertrouwelijke informatie van een partij ter kennis komt van de andere partij zal deze ontvangende partij deze informatie alleen gebruiken voor het uitvoeren van deze Overeenkomst en de toegang tot die Informatie beperken tot personen die daarvan voor dat doel kennis moeten nemen. Partijen staan ervoor in dat deze personen door een arbeidsovereenkomst en/of een geheimhoudingsovereenkomst verplicht zijn tot geheimhouding van deze vertrouwelijke informatie.
2.   Onder vertrouwelijke informatie wordt verstaan: alle informatie die partijen in het kader van deze Overeenkomst uitwisselen, waaronder, maar niet daartoe beperkt, de gegevens die Abonnee aanlevert in het kader van het privacybeheer, de gegevens in de Privacybeheer database, auditgegevens en alle overige vertrouwelijke organisatorische gegevens.
3.   Onder vertrouwelijke informatie wordt niet verstaan:

informatie die reeds openbaar was op het moment dat deze ter kennis kwam van de ontvangende partij of naderhand openbaar is geworden;
informatie die de ontvangende partij ook van een derde heeft gekregen zonder dat daarbij een geheimhoudingsverplichting is opgelegd of deze derde daartoe verplicht was;
informatie die door Partijen is aangemerkt als zijnde niet-vertrouwelijk;
geaggregeerde (geanonimiseerde) data en onderzoeksresultaten die Privacyzorg, onder andere op basis van de gegevens uit de Privacybeheer database, tot stand brengt en publiceert.

Artikel 8 - Intellectuele Eigendomsrechten

1. Alle Intellectuele Eigendomsrechten met betrekking tot het IPM-model (waaronder de IPM-score, de IPM-implementatiemethode en de IPM-beheermethode), de Privacybeheer database, de templates, de audit rapportages, benchmarkgegevens en alle resultaten voortvloeiend uit de Dienstverlening, berusten uitsluitend bij Privacyzorg. Niets in deze overeenkomst beoogt overdracht van deze Intellectuele Eigendomsrechten.

Artikel 9 - Aansprakelijkheid

1. De totale aansprakelijkheid van Privacyzorg wegens een toerekenbare tekortkoming in de nakoming van deze Overeenkomst of uit enige andere hoofde, waaronder nadrukkelijk begrepen garantie- en/of vrijwaringsverplichtingen, is beperkt tot vergoeding van directe schade tot maximaal het bedrag van de door Abonnee verschuldigde financiële bijdrage over één contractjaar als bedoeld in artikel 3.1. In geen geval zal de totale aansprakelijkheid van Privacyzorg voor directe schade uit welke hoofde dan ook meer bedragen dan het bedrag dat in het betreffende geval wordt uitgekeerd door de bedrijfsaansprakelijkheidsverzekering van Privacyzorg.
2. De aansprakelijkheid van Privacyzorg voor indirecte schade, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, of schade verband houdende met programmatuur, apparatuur of diensten van derden is uitgesloten.

Artikel 10 – Functionaris gegevensbescherming (FG)

1.   Indien de Abonnee hoofdzakelijk grootschalige verwerkingen uitvoert van bijzondere categorieën van persoonsgegevens en derhalve onder de werking van artikel 37 AVG verplicht is tot het aanwijzen van een FG, zal Privacyzorg een medewerker als (Hoofd) FG registreren bij de Autoriteit Persoonsgegevens.
2.   Wanneer de Abonnee vrijwillig een (collectieve) FG krijgt toegewezen, gelden voor zijn aanwijzing, positie en taken dezelfde voorwaarden van artikel 37 tot en met 39 AVG die zouden gelden als de aanwijzing verplicht was geweest.
3.   Uit hoofde van het recht van de EU of lidstaten heeft de FG een geheimhoudings- of vertrouwelijkheidsplicht bij de uitoefening van zijn taken (Artikel 38(5)). De geheimhoudings- of vertrouwelijkheidsplicht betekent echter niet dat de FG geen contact op mag nemen of advies in mag winnen bij de toezichthouder.
4.   De FG heeft ingevolge artikel 39 lid 1 onderdeel b AVG een toezichthoudende taak. Als onderdeel van deze verplichting erop toe te zien dat de AVG nageleefd wordt, kunnen FG’s met name:

informatie verzamelen om verwerkingswerkzaamheden te identificeren;
analyseren en controleren in hoeverre verwerkingswerkzaamheden aan de AVG voldoen; en
de Abonnee informeren, adviseren of aanbevelingen geven.

5.   De AVG vereist dat de Abonnee erop toezien dat de FG “naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens”.
6.   De FG dient onmiddellijk geraadpleegd te worden indien zich een datalek of ander incident heeft voorgedaan. Dit kan zowel via mail servicedesk@privacyzorg.nl of via telefoon 0800-1090.
7.   De Abonnee ondersteunt de FG door “door hem toegang te verschaffen tot persoonsgegevens en verwerkingen en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid”. Ook is de Abonnee verplicht erop toe te zien dat de FG “geen instructies ontvangt met betrekking tot de uitvoering van [zijn] taken”. Dit betekent dat bij het vervullen van hun taken onder artikel 39 AVG, FG’s geen instructies over de behandeling van een zaak mogen ontvangen, bijvoorbeeld over het te bereiken resultaat, het onderzoeken van een klacht of het raadplegen van een toezichthouder. Verder mogen ze geen instructies ontvangen om een bepaald standpunt in te nemen over een gegevensbeschermingskwestie, bijvoorbeeld over de wettelijke interpretatie.

Artikel 11 - Overige bepalingen

1.   Abonnee krijgt alleen ondersteuning als deze nog niet wist (of kon weten) dat ondersteuning nodig zou zijn op het moment dat Abonnee de overeenkomst afsloot. Bij twijfel is het aan Abonnee om aan te tonen dat deze dat nog niet wist (of kon weten).
2.   Door Abonnee gehanteerde algemene voorwaarden en/of leveringsvoorwaarden zijn uitdrukkelijk niet van toepassing op deze Overeenkomst.
3.   Deze overeenkomst treedt in de plaats van alle eerder opgemaakte afspraken tussen Partijen met betrekking tot de Diensten van Privacyzorg.
4.   Deze overeenkomst is gebaseerd op de gegevens die u Privacyzorg hebt gegeven toen u deze overeenkomst afsloot. Kloppen die gegevens niet meer? Geef de veranderingen dan zo snel mogelijk aan Privacyzorg door.
5.   Geschillen in verband met deze Overeenkomst, waaronder geschillen over de totstandkoming, de uitleg of de uitvoering daarvan, worden bij uitsluiting voorgelegd aan de daartoe bevoegde rechter In het Arrondissement 's-Hertogenbosch.
6.   Op alle overeenkomsten tussen Privacyzorg en Abonnee zijn de algemene voorwaarden van toepassing, zie de actuele versie op: https://www.privacyzorg.nl/page/algemene-voorwaarden
7.   Op deze Overeenkomst is het Nederlands recht van toepassing.

HOOFDSTUK 2: GEGEVENSVERWERKING IN DE PRIVACYBEHEER DATABASE

Artikel 12 - Privacybeheer database

1. De gegevens die noodzakelijk zijn voor het privacybeheer van de aangesloten Abonnee worden ingevoerd in de Privacybeheer database. Dit systeem bevat de noodzakelijke functionaliteiten om alle facetten van privacybeheer te kunnen borgen.

Artikel 13 - Aanlevering gegevens door Abonnee

1.   De aandachtshouder Privacy binnen de organisatie van de Abonnee zal minimaal één keer per drie maanden de voor de Privacybeheer database benodigde gegevens aanleveren en/of actualiseren, overeenkomstig de beschrijving van de Dataset in Bijlage 2.
2.   Wanneer de Abonnee deze werkzaamheden zelf uitvoert, geschiedt de aanlevering van de genoemde gegevens middels een versleutelde Excelsheet. De frequentie van de digitale aanlevering kan in de toekomst worden gewijzigd.
3.   Na ondertekening van deze Overeenkomst zal Privacyzorg de Abonnee nader informeren over de wijze waarop aanlevering dient plaats te vinden.

Artikel 14 - Gegevensverstrekking aan derden

1.   Privacyzorg kan, op basis van een daartoe strekkende gegevensaanvraag, een selectie van de Gegevens verstrekken aan een derde partij ten behoeve van wetenschappelijk onderzoek of statistiek.
2.   Een aanvraag tot gegevensverstrekking die betrekking heeft op Persoonsgegevens of vertrouwelijke informatie in de zin van de AVG, wordt slechts ingewilligd na goedkeuring door de betreffende Abonnee. Het beleid omtrent gegevensverstrekking wordt nader omschreven in Bijlage 3 van deze overeenkomst.
3.   Privacyzorg toetst een gegevensaanvraag van een Toezichthouder/autoriteit op basis van de vigerende Wet- en regelgeving. Privacyzorg zal altijd, voorafgaand aan de feitelijke gegevensverstrekking naar een autoriteit, nader overleg voeren met Abonnee.

Artikel 15 - Privacy en informatiebeveiliging

1.   Privacyzorg zal ten aanzien van de Persoonsgegevensverwerking in de Privacybeheer database, die in het kader van de uitvoering van deze Overeenkomst plaatsvinden, optreden als Verantwoordelijk in de zin van de AVG.
2.   Privacyzorg verwerkt de Persoonsgegevens van Abonnee uitsluitend in het kader van haar statutaire doeleinden.
3.   Privacyzorg zal de binnen het wettelijke kader voorgeschreven passende technische en organisatorische maatregelen ten uitvoer leggen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de Persoonsgegevensverwerkingen en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere Persoonsgegevensverwerkingen te voorkomen. Privacyzorg werkt de beveiligingsmaatregelen nader uit in een informatiebeveiligingsbeleid en zal dit beleid via haar website beschikbaar maken.
4.   Privacyzorg zal optreden als aanspreekpunt voor Betrokkenen, aangaande de uitoefening van privacyrechten en rechten op grond van de AVG, in het bijzonder het recht op bezwaar ten aanzien van de Persoonsgegevensverwerkingen die in de Privacybeheer database plaatsvinden.
5.   Privacyzorg en de door haar ingezette medewerkers zijn verplicht tot geheimhouding van Persoonsgegevens, waarvan zij in het kader van de uitvoering van deze Overeenkomst kennisnemen, behoudens en voor zover enig wettelijk voorschrift hen tot openbaarmaking en/of afgifte verplicht. Privacyzorg zal erop toezien dat de door haar ingezette personen deze geheimhoudingsverplichting betrachten.
6.   Privacyzorg heeft een beleid voorhanden om te reageren op Beveiligingsincidenten. In geval van een Beveiligingsincident zal Privacyzorg voldoen aan de wettelijke meldingsplicht. Partijen zullen gezamenlijk de benodigde maatregelen treffen om de Betrokkenen, indien wettelijk vereist, te informeren over een Beveiligingsincident.
7.   Indien Abonnee dan wel Privacyzorg een Beveiligingsincident vaststelt, zal deze de andere Partij informeren en zullen beide Partijen alle benodigde maatregelen treffen conform de wettelijke voorschriften om (verdere) schending of Inbreuken betreffende Persoonsgegevensverwerkingen te voorkomen, of te beperken.

BIJLAGE 1: DIENSTENBESCHRIJVING

Deze “IPM-dienstverleningsovereenkomst” vormt de voorwaarden voor het “Basis” abonnement.

BASIS

Het “Basis abonnement” is uitermate geschikt voor (een groep) zorgverleners met een beperkt aantal Verwerkingen, zoals apotheken en huisartsenpraktijken. Er wordt één abonnementsprijs gerekend per vestiging (zoals geregistreerd bij de Kamer van Koophandel), met een maximum van 10 FTE’s per vestiging. Om de kosten zo laag mogelijk te houden is voor deze groep zorgprofessionals een dienstverlening ontwikkeld die zo standaard mogelijk is. Bovendien is de inspanning die de zorgverlener zelf moet doen beperkt tot maximaal 15 minuten per jaar. De rest van de noodzakelijke activiteiten zal worden uitgevoerd door ons.

Met dit abonnement hebben de aangesloten Abonnees recht op een jaarlijkse Review, zodat we snel overzicht krijgen om aan de slag te kunnen. Dit kost u maar een kwartiertje van de kostbare tijd! Voor deze groep Abonnees zullen wij een collectieve Functionaris Gegevensbescherming registreren bij de Autoriteit Persoonsgegevens.

De toegezonden verwerkersovereenkomsten zullen wij beoordelen en administratief afhandelen. Ook ontvangen de Abonnees een sectorspecifieke set handige documenten, zoals werknemersinstructies. Bij vragen over privacy of informatiebeveiliging kan tijdens kantoortijden onze servicedesk gebeld of gemaild worden. Alle templates van ons mogen gebruikt worden, wij zorgen ervoor dat deze actueel blijven met nieuwe wet- en regelgeving. De Abonnees kunnen 7x24 een incident of datalek bij ons aanmelden, wij zorgen voor de afhandeling en doen de verplichte melding bij de Autoriteit Persoonsgegevens.

Privacyzorg verleent aan Abonnee, overeenkomstig artikel 2 lid 1 van de Dienstverleningsovereenkomst, de Diensten als genoemd in dit hoofdstuk.

Dienst:	Service Window:
Functionaris Gegevensbescherming	1, 2 en 3
Toezicht op alle geregistreerde persoonsgegevensverwerkingen	1
Indien op de verwerking een wettelijk vastgestelde gedragscode van toepassing is, strekt het toezicht mede uit tot de naleving van deze code	1
Servicedesk: privacy gerelateerde vragen en klachten afhandelen van medewerkers, cliënten en patiënten	1
Adviseren over technologie en beveiliging	1
Voorlichting en advies over de toepassing van de privacywetgeving	1
Jaarlijkse Online Evaluatie(s)	n.v.t.
Onsite Audit	n.v.t.
Implementatie (van de IPM-beheermethode)	n.v.t.
Inventarisatie, registratie en beheer van persoonsgegevensverwerkingen in de Privacybeheer database	n.v.t.
De coördinatie van wijzigingen op geregistreerde Verwerkingen	n.v.t.
Privacy Impact Assessment (PIA) op alle Verwerkingen	n.v.t.
Afsluiten, registreren en beheren van Verwerkersovereenkomsten en Geheimhoudingsovereenkomsten	n.v.t.
Gebruiksrecht van het Integraal Privacy Management (IPM) model, bestaande uit de IPM-score, IPM-implementatiemethode en de IPM-beheermethode	n.v.t.
Gebruiksrecht over alle beschikbare IPM-hulpmiddelen, waaronder de jaarlijkse (technisch/juridisch) geactualiseerde versies van de templates, zoals privacyreglementen, processen, procedures, informatiefolders en presentaties	n.v.t.
Gebruiksrecht van het privacy auditsysteem, ten behoeve van het snel en efficiënt kunnen uitvoeren van privacy intakes en audits	n.v.t.
Gebruiksrecht van de privacybeheer database, ten behoeve van het privacybeheer binnen de organisatie van de Abonnee	n.v.t.
Periodieke nieuwsbrieven	n.v.t.
Ontwikkelen van interne privacy processen en procedures	n.v.t.
Opstellen van maatwerk processen en procedures	n.v.t.
Advies en ondersteuning bij interne en externe visitaties (privacy/security)	n.v.t.
Advies en ondersteuning bij audits van certificerende instellingen (privacy/security)	n.v.t.
Advies en ondersteuning bij controle door Toezichthouders en/of Autoriteiten (privacy/security)	1, 2 en 3
Quick respons team (7x24u) - om binnen de wettelijk termijn van 72 uur de wettelijke verplichte melding bij de Autoriteit Persoonsgegevens te kunnen plaatsen	1, 2 en 3
Technische en juridische advies en ondersteuning bij privacy- en/of informatiebeveiligingsincidenten, bijvoorbeeld bij een datalek of een hack op een informatiesysteem	1, 2 en 3
Compliance onderzoek (privacy/security) bij Verwerkers	Ja, o.b.v. steekproeven
Jaarlijkse privacy rapportage	n.v.t.
KPI-gegevens omtrent het niveau van privacyborging bij aangesloten leden van Zorggroepen en coöperaties.	n.v.t.

A. Service Windows

Omschrijving	Tijdvak
Service Window 1	Kantoordagen 09:00 – 17:00 uur
Service Window 2	Kantoordagen 17:00 – 24:00 uur
Service Window 3	‘s Nachts 24:00 – 9:00 uur; zaterdag, zon- en feestdagen 24 uur

B. Respons en reactietijden

Type	Prioriteit	Responstijd	Service Window
Hulp bij calamiteiten	Kritisch / Hoog	95% < 1 uur / 100% < 2 uren	1, 2 en 3
Overige calls	Normaal	75% < 1 kantoordag / 100% < 5 kantoordagen	1
Planbaar werk	Planbaar	80% < 5 kantoordagen / 100% <10 kantoordagen	1

C. Berekeningsindicatoren

	Basis
Functionaris gegevensbescherming	Collectief
Overleg met de Functionaris gegevensbescherming	Mail (Ad hoc)
Inventarisatie middels Jaarlijkse Review	Portaal
Inventarisatie middels Onsite Audit	✘
Standaard documentsjablonen	✓
Opstellen van beleidstukken, processen, procedures, etc.	✘
Instructies aan direct betrokken medewerkers	✘
Privacy presentaties	Nacalculatie
Opmaken van Registers van Verwerkingsactiviteiten	Standaard
Maximaal aantal Registers van Verwerkingsactiviteiten	8
Opmaken van Data Protection Impact Assessments (DPIA's)	Collectief
Aanbieden van Verwerkersovereenkomsten aan Verwerkers	✘
Beoordelen ingediende Verwerkersovereenkomsten	Max 7
AVG-compliance check	✘
Opstellen privacy jaarrapportage	✘
Toegang tot de kennisdatabase	✓
Toegang tot het Privacybeheer Portaal	✓
Toegang tot beheersysteem Informatiebeveiliging (ISMS)	✓
Telefonische helpdesk tijdens kantoortijden	✓
7 x 24 meldpunt datalekken	✓
Afhandeling datalekken (AP-melding, incidentregister, etc.)	✓
Maximaal aantal Tickets (verzoeken) per jaar	8

BIJLAGE 2: BESCHRIJVING GEGEVENSVERWERKING

Minimaal de volgende gegevens worden in de Privacybeheer database vastgelegd:

D. Dataset Register van Verwerkingsactiviteiten:

o   Dossiernaam
o   Datum invoering
o   Verantwoordelijke
o   Referentienummer
o   Naam Contactpersoon
o   Gerelateerd Informatiesysteem
o   Namen Auditors
o   Aard en type Persoonsgegevens
o   Doelbinding en Rechtmatige grondslag van de Persoonsgegevensverwerking
o   Verwerkers en Ontvangers
o   Gehanteerde procedures
o   Verrichtte Evaluaties
o   Gekoppelde Tickets
o   Gekoppelde Documenten

E. Dataset Tickets

o   Toegewezen ticketnummer
o   Datum van aanmelden
o   Prioriteit van de melding
o   Verantwoordelijke
o   Kostenplaats
o   Naam en contactgegevens van de aanvrager
o   Bron van de melding
o   Actiehouder van de melding
o   Beoordelaar van de melding
o   Register wat betrekking heeft op de melding
o   Onderwerp van de melding
o   Van toepassing zijnde overeenkomsten en procedures
o   Analyse van de melding (afhankelijk van de aard van de melding kan dit veld bijzondere persoonsgegevens bevatten!)
o   Maatregelen die genomen moeten worden

F. Dataset Ontvangers & Verwerkers

o   Register (toegang tot)
o   Verantwoordelijke
o   Naam Ontvanger
o   Verwerker (ja/nee)
o   Doorgifte buiten EU
o   Borging (document)
o   Reden verstrekking
o   Ingangsdatum
o   Opsteller
o   Laatst geupdate

BIJLAGE 3: BELEID GEGEVENSVERSTREKKING

De gegevens in de Privacybeheer database kunnen naar de inhoud en vertrouwelijkheid in drie categorieën worden onderverdeeld. Deze categorieën zijn:

G. Niveau 1

Deze gegevens beperken zich tot beschrijvende en/of statistische gegevens en schetsen een beeld van het niveau van privacyborging binnen de aangesloten Abonnees. Bijvoorbeeld aantallen geregistreerde Persoonsgegevensverwerkingen, klachten, wijzigingen, risico’s, etc. Het betreft geaggregeerde gegevens die redelijkerwijs niet herleid kunnen worden naar de Abonnee, haar medewerkers of patiënten en die evenmin bedrijfsvertrouwelijke informatie bevatten.
Het verstrekken van deze data aan belanghebbenden is niet aan bijzondere beperkingen onderworpen. Vraagstellingen betreffende niveau 1 gegevens kunnen worden goedgekeurd door het management van Privacyzorg zonder verdere toestemming van de Abonnee. Door Privacyzorg wordt een overzicht bijgehouden van alle niveau 1 vertrekkingen en dit wordt jaarlijks gerapporteerd aan de Abonnees.

H. Niveau 2

Deze gegevens worden gebruikt in relatie tot het beheer van Persoonsgegevensverwerkingen binnen de Privacybeheer database, waaronder de inventarisaties, het register van meldingen van persoonsgegevensverwerkingen en de gegevens die zijn verkregen vanuit privacy intakes en de jaarlijkse privacyaudit. Ook valt het Privacy Jaarverslag onder deze categorie.
Niveau 2 gegevens kunnen vertrouwelijk van aard zijn en zijn veelal (bijzondere) persoonsgegevens over medewerkers en patiënten in de zin van de AVG. Het verstrekken van niveau 2 gegevens moet beoordeeld en goedgekeurd worden door de directie van de Abonnee. Privacyzorg is voor niveau 2 gegevens tot strikte geheimhouding verplicht, behoudens en voor zover enig wettelijk voorschrift haar tot openbaarmaking en/of afgifte verplicht.

I. Niveau 3

Het betreft hier gegevens over informatiebeveiliging en zéér vertrouwelijke (juridische) organisatiegegevens van de Abonnee. Niveau 3 gegevens omvatten ook gegevens over veiligheidsincidenten en datalekken. Privacyzorg toetst een niveau 3 gegevensaanvraag van een Toezichthouder/autoriteit op basis van de vigerende Wet- en regelgeving. Privacyzorg zal altijd, voorafgaand aan de feitelijke gegevensverstrekking, nader overleg voeren met de Abonnee. Verzoeken voor niveau 3 gegevens moeten altijd beoordeeld en goedgekeurd worden door zowel het management van Privacyzorg alsmede de directie van de Abonnee.
Indien het verstrekken van deze gegevens spoedeisend en essentieel is voor de enig wettelijk termijn, zoals bijvoorbeeld het termijn van 72uur waarbinnen een datalek gemeld moet worden, kan het management van Privacyzorg bij onbereikbaarheid van de directie van de Abonnee alsnog tot gegevensverstrekking overgaan. Dit zal uitsluitend plaatsvinden na een gedegen afweging door het management van Privacyzorg over het aannemelijke risico op zéér hoge boetes voor de Abonnee, of wanneer (vervolg)sancties voor haar aannemelijk zijn.

--------------------------------------
Versie 24 mei 2023

Algemene Bepalingen

Artikel 1 - Toepasselijkheid

1.1. In deze algemene voorwaarden worden met “Privacyzorg” aangeduid Stichting Privacyzorg en alle
met haar verbonden (rechts)personen en vennootschappen aan wie Stichting Privacyzorg het recht
heeft verleend om deze algemene voorwaarden te hanteren en worden met “afnemer” aangeduid de
(rechts)personen en vennootschappen tot wie een aanbod is gericht en/of met wie een
overeenkomst tot stand komt.

1.2. Deze algemene voorwaarden zijn van toepassing op alle aanbiedingen van en overeenkomsten met Privacyzorg. Uitsluitend door Privacyzorg schriftelijk aanvaarde afwijkingen van deze algemene
voorwaarden kunnen geldig zijn. Algemene voorwaarden van de afnemer zijn op aanbiedingen van
en overeenkomsten met Privacyzorg niet van toepassing.

1.3. De nietigheid of vernietiging van een of meer bepalingen van deze algemene voorwaarden staan
aan de toepasselijkheid van de overige bepalingen van deze algemene voorwaarden niet in de weg.
Privacyzorg en de afnemer zullen in overleg treden om nietige of vernietigde bepalingen van deze
algemene voorwaarden te vervangen door bepalingen, die zoveel mogelijk aansluiten bij het doel en
de strekking van de nietige c.q. vernietigde bepalingen.

Artikel 2 - Aanbod en overeenkomst

2.1. Een aanbod van Privacyzorg geschiedt vrijblijvend en kan door Privacyzorg worden herroepen,
ingetrokken of gewijzigd binnen 5 kalenderdagen na de kennisneming door Privacyzorg van de
aanvaarding van haar aanbod. In een aanbod voorkomende fouten of omissies, in het kader van een
aanbod door Privacyzorg verstrekte adviezen en niet uitsluitend tot de afnemer gerichte –
algemene – informatie, binden Privacyzorg niet.

2.2. Een aanbod van Privacyzorg is gedurende 30 kalenderdagen na de verzending daarvan door
Privacyzorg geldig, tenzij bij het aanbod een andere geldigheidsduur is vermeld of de
geldigheidsduur voor het verstrijken daarvan door Privacyzorg schriftelijk is verlengd.

2.3. Indien een door de afnemer van Privacyzorg gevraagd aanbod niet tot een overeenkomst tussen
Privacyzorg en de afnemer heeft geleid, is de afnemer verplicht de door Privacyzorg in verband
met het doen van het aanbod gemaakte kosten aan Privacyzorg te vergoeden.

2.4. Indien door Privacyzorg een aanbod is gedaan, komt een overeenkomst tussen Privacyzorg en de
afnemer eerst tot stand door de onvoorwaardelijke aanvaarding door de afnemer van het aanbod
van Privacyzorg of door de uitvoering van een opdracht van de afnemer door Privacyzorg.
Uitsluitend het aanbod van Privacyzorg respectievelijk de factuur van Privacyzorg voor de
uitvoering van de opdracht wordt geacht de inhoud van de overeenkomst correct weer te geven.

2.5. Indien door Privacyzorg geen aanbod is gedaan, komt een overeenkomst eerst tot stand door de
schriftelijke aanvaarding of de uitvoering van een opdracht van de afnemer door Privacyzorg.
Uitsluitend de schriftelijke aanvaarding van de opdracht door Privacyzorg respectievelijk de factuur
van Privacyzorg voor de uitvoering van de opdracht wordt geacht de inhoud van de overeenkomst
correct weer te geven.

2.6. Wijzigingen van en/of aanvullingen op de overeenkomst zijn eerst geldig nadat die wijzigingen en/of aanvullingen door Privacyzorg en de afnemer schriftelijk zijn aanvaard.

2.7. Privacyzorg heeft het recht de overeenkomst door derden te laten uitvoeren.

2.8. De afnemer heeft uitsluitend het recht de overeenkomst te annuleren of te ontbinden indien dat in die overeenkomst uitdrukkelijk is overeengekomen en/of de afnemer dat recht aan dwingend
geldende wetgeving ontleent. Indien de afnemer de overeenkomst – rechtsgeldig – annuleert of
ontbindt, is de afnemer verplicht krachtens de overeenkomst geleverde zaken en rechten gelijktijdig
terug te leveren en aan Privacyzorg te vergoeden de door Privacyzorg in verband met het doen
van het aanbod en het tot stand komen en uitvoeren van de overeenkomst gemaakte kosten.

2.9. Privacyzorg heeft het recht de overeenkomst eenzijdig met onmiddellijke ingang geheel of ten dele te beëindigen en/of de uitvoering van haar uit de overeenkomst voortvloeiende verbintenissen met onmiddellijke ingang geheel of ten dele op te schorten indien:

a. de afnemer toerekenbaar is tekortgeschoten in de nakoming van één of meer uit de overeenkomst voortvloeiende verbintenissen en te dien aanzien in verzuim is;

b. een tot het verlenen van – voorlopige – surséance van betaling aan de afnemer strekkend verzoek is ingediend;

c. een tot faillietverklaring van de afnemer strekkend verzoek is ingediend;

d. ten laste van de afnemer executoriaal beslag onder Privacyzorg is gelegd;

e. een tot ontbinding en/of liquidatie van de afnemer strekkend besluit is tot stand gekomen;

f. een of meer aandelen in de afnemer aan anderen dan de aandeelhouder(s) bij het tot stand komen van de overeenkomst zijn overgedragen;

g. de door de afnemer geëxploiteerde onderneming geheel of ten dele aan een of meer anderen is overgedragen.

Privacyzorg is wegens het beëindigen van de overeenkomst en het opschorten van uit de
overeenkomst voortvloeiende verbintenissen om de hiervoor in dit artikel 2.9. bedoelde redenen
nimmer enige schadevergoeding aan de afnemer verschuldigd.

2.10. De afnemer heeft niet het recht de overeenkomst te ontbinden indien de afnemer in verzuim is.

2.11. Indien de overeenkomst is ontbonden vallen de door de afnemer ter uitvoering van de overeenkomst reeds ontvangen prestaties en de daarmee verband houdende betalingsverplichtingen van de afnemer niet onder een ongedaanmakingsverplichting, tenzij Privacyzorg ten aanzien van die
prestaties in verzuim is. In verband met verrichte prestaties voor of bij het ontbinden van de
overeenkomst door Privacyzorg gefactureerde bedragen is de afnemer na de ontbinding
onmiddellijk opeisbaar verschuldigd.

Artikel 3 - Levering en afname

3.1. De levering van zaken door Privacyzorg geschiedt op de plaats van de onderneming van
Privacyzorg en zal uitsluitend op een andere plaats geschieden indien dat schriftelijk is
overeengekomen. Privacyzorg heeft het recht te leveren aantallen in delen te leveren.

3.2. Vervoer, verzending, invoer, uitvoer, opslag en verzekering van door Privacyzorg aan de afnemer
te leveren zaken geschieden voor risico van de afnemer, ook indien op vervoer-, verzend-, invoer-,
uitvoer-, opslag- en/of verzekeringsbewijzen anders is vermeld en/of door Privacyzorg en/of een
hulppersoon van Privacyzorg verricht.

3.3. Levering van zaken door Privacyzorg geschiedt na betaling door de afnemer van de voor – levering van – die zaken verschuldigde bedragen.

3.4. Door Privacyzorg kenbaar gemaakte leveringstermijnen zijn naar beste weten op basis van bij het
tot stand komen van de overeenkomst aan Privacyzorg bekende gegevens vastgesteld, vormen
geen essentieel onderdeel van de overeenkomst en zullen door Privacyzorg zoveel mogelijk in acht
worden genomen. Privacyzorg is door uitsluitend het overschrijden van een leveringstermijn niet in
verzuim en de afnemer kan aan uitsluitend het overschrijden van een door Privacyzorg kenbaar
gemaakte leveringstermijn niet het recht ontlenen om de overeenkomst geheel of ten dele te
ontbinden. Leveringstermijnen gelden niet indien die niet in acht kunnen worden genomen door na
het tot stand komen van de overeenkomst buiten de macht van Privacyzorg ingetreden
omstandigheden.

3.5. De afnemer is verplicht te leveren zaken op de overeengekomen leveringstermijnen af te nemen.
Indien ten aanzien van te leveren zaken geen leveringstermijnen zijn overeengekomen, is de
afnemer verplicht de te leveren zaken op eerste verzoek van Privacyzorg af te nemen. Door
schending van de hiervoor in dit artikel 3.5. bedoelde verplichtingen is de afnemer onmiddellijk in
verzuim.

3.6. Onverminderd de artikelen 3.2. en 5. zijn door Privacyzorg te leveren zaken voor risico van de
afnemer met ingang van het moment waarop – een hulppersoon van – de afnemer de feitelijke macht
over deze zaken heeft respectievelijk met ingang van het verzuim van de afnemer om door
Privacyzorg te leveren zaken af te nemen.

3.7. De afnemer is verplicht de deugdelijkheid van door Privacyzorg geleverde zaken bij de (af)levering
te controleren en Privacyzorg bij de (af)levering van vermoedelijke ondeugdelijkheid van de door
Privacyzorg geleverde zaken in kennis te stellen. Door Privacyzorg geleverde zaken, die de
afnemer of een hulppersoon van de afnemer 7 kalenderdagen na de levering zonder bezwaar heeft
behouden of eerder geheel of ten dele in gebruik heeft genomen, bewerkt, verwerkt of aan anderen
heeft geleverd, worden geacht aan de overeenkomst te beantwoorden.

3.8. Privacyzorg is zonder haar voorafgaande schriftelijke toestemming niet verplicht door de afnemer
aan Privacyzorg geretourneerde zaken aan te nemen. Het aannemen van door de afnemer
geretourneerde zaken impliceert niet de erkenning door Privacyzorg van de reden van het
retourneren. Door de afnemer aan Privacyzorg geretourneerde zaken blijven voor risico van de
afnemer en de afnemer is de overeengekomen vergoedingen verschuldigd, totdat Privacyzorg de
afnemer voor deze zaken heeft gecrediteerd. Indien Privacyzorg geretourneerde zaken niet
aanneemt, is de afnemer verplicht door Privacyzorg in verband met geretourneerde zaken
gemaakte kosten aan Privacyzorg te vergoeden.

Artikel 4 - Prijs en betaling

4.1. Door Privacyzorg kenbaar gemaakte prijzen zijn exclusief omzetbelasting en andere door de
overheid opgelegde heffingen en exclusief kosten van vervoer, verzending, invoer, uitvoer, opslag
en verzekering. Niet in een uitsluitend tot de afnemer gericht aanbod kenbaar gemaakte prijzen
binden Privacyzorg niet. Aan in een tot de afnemer gericht aanbod kenbaar gemaakte prijzen
kunnen door anderen geen rechten worden ontleend.

4.2. Privacyzorg heeft het recht overeengekomen prijzen en tarieven – met onmiddellijke ingang – aan
te passen op basis van de gemiddelde wijziging van de kostprijs van door Privacyzorg te leveren
zaken en/of te verrichten werkzaamheden, wisselkoersen en door de overheid opgelegde
belastingen en heffingen. Een aanpassing van overeengekomen prijzen en tarieven tast de
overeenkomst overigens niet aan.

4.3. De kosten van uitvoering van na het aanbod van Privacyzorg door de afnemer verzochte en door
Privacyzorg aanvaarde wijzigingen van de overeenkomst zijn voor rekening van de afnemer. Indien
zich bij het uitvoeren van de overeenkomst ten tijde van het tot stand komen van de overeenkomst
niet voorziene omstandigheden voordoen, zijn de daaruit voortvloeiende meerkosten voor rekening
van de afnemer.

4.4. Facturen – waaronder pro forma facturen – van Privacyzorg dienen in Euro’s te worden voldaan
overeenkomstig de op de factuur van Privacyzorg vermelde betalingsvoorwaarden. Indien geen
betalingstermijn is vermeld dient de factuur binnen 14 kalenderdagen na de verzending door
Privacyzorg te worden voldaan.

4.5. Indien de afnemer verschuldigde vergoedingen niet binnen de geldende termijn heeft betaald, is de afnemer onmiddellijk in verzuim en over de openstaande vergoeding een vertragingsrente van 12% per jaar verschuldigd. Indien de afnemer verschuldigde vergoedingen na eerste herinnering nalaat te betalen, is de afnemer het bedrag van de door Privacyzorg te maken kosten van rechtsbijstand in en buiten rechte – waaronder de niet geliquideerde proceskosten – aan Privacyzorg verschuldigd. De kosten van rechtsbijstand buiten rechte bedragen 15% van de hoofdsom en de vertragingsrente met een minimum van EUR 500,00 exclusief omzetbelasting.

4.6. Privacyzorg heeft het recht betalingen van de afnemer – ondanks andersluidende vermeldingen
van de afnemer – eerst te laten strekken tot voldoening van vorderingen, die niet voortvloeien uit de
overeenkomst en van vorderingen, die voortvloeien uit tekortkomingen van de afnemer in de
uitvoering van uit de overeenkomst voortvloeiende verbintenissen.

4.7. De afnemer heeft niet het recht zijn betalingsverplichtingen tegenover Privacyzorg op te schorten
en/of te verrekenen met verplichtingen van Privacyzorg tegenover de afnemer. De afnemer heeft
niet het recht de overeenkomst geheel of ten dele met Privacyzorg te ontbinden indien de afnemer
in verzuim is.

4.8. Indien de afnemer zijn betalingsverplichtingen tegenover Privacyzorg niet volledig of binnen de
geldende termijn nakomt, heeft Privacyzorg het recht haar verplichtingen tegenover de afnemer
volledig op te schorten en/of niet na te komen.

4.9. De afnemer is verplicht op eerste verzoek van Privacyzorg de voldoening van uit de overeenkomst
voortvloeiende vorderingen van Privacyzorg te verzekeren en verzekerd te houden. Indien de
afnemer de voldoening van de vorderingen van Privacyzorg desondanks onvoldoende verzekert
en/of verzekerd houdt, heeft Privacyzorg het recht haar verplichtingen tegenover de afnemer
volledig op te schorten en/of niet na te komen.

Artikel 5 - Voorbehoud van eigendom en rechten

5.1. Alle door Privacyzorg aan de afnemer geleverde zaken blijven eigendom van Privacyzorg, totdat
alle door de afnemer krachtens de overeenkomst voor geleverde en/of te leveren zaken en/of
verrichte en/of te verrichten werkzaamheden verschuldigde vergoedingen en de in verband met niet
correcte uitvoering van de overeenkomst verschuldigde vergoedingen, waaronder krachtens artikel
4.5. verschuldigde vergoedingen, volledig aan Privacyzorg zijn betaald. De afnemer is niet
beschikkingsbevoegd ten aanzien van zaken, waarop het hiervoor in dit artikel 5.1. bedoelde
eigendomsvoorbehoud rust en is verplicht belanghebbenden – waaronder beoogde
rechtverkrijgenden – van die beschikkingsonbevoegdheid in kennis te stellen.

5.2. Krachtens de overeenkomst te leveren of te verlenen rechten worden door Privacyzorg steeds aan de afnemer geleverd respectievelijk verleend onder de opschortende voorwaarde dat de daarvoor aan Privacyzorg verschuldigde vergoedingen en de in verband met niet correcte uitvoering van de overeenkomst verschuldigde vergoedingen, waaronder krachtens artikel 4.5. verschuldigde
vergoedingen, volledig aan Privacyzorg zijn betaald. De afnemer is niet beschikkingsbevoegd ten
aanzien van rechten, die onder de hiervoor in dit artikel 5.2. bedoelde opschortende voorwaarde zijn
geleverd respectievelijk verleend en is verplicht belanghebbenden – waaronder beoogde
rechtverkrijgenden – van die beschikkingsonbevoegdheid in kennis te stellen.

Artikel 6 - Rechten van intellectuele eigendom

6.1. Alle rechten van intellectuele eigendom ten aanzien van alle krachtens en/of in het kader van de
overeenkomst tot stand gebrachte en/of verstrekte voortbrengselen – zoals teksten, tekeningen,
analyses, rapporten, methoden, technologieën en databanken – berusten uitsluitend bij Privacyzorg
en/of haar licentiegever(s). De afnemer zal de hiervoor in dit artikel 6.1. bedoelde voortbrengselen
niet openbaar maken, verveelvoudigen, wijzigen en zich niet – anderszins – als maker en/of
rechthebbende daarvan gedragen. De afnemer zal aanduidingen omtrent rechten van intellectuele
eigendom niet uit en van de hiervoor in dit artikel 6.1. bedoelde voortbrengselen verwijderen of
wijzigen.

6.2. Door Privacyzorg ten aanzien van de hiervoor in artikel 6.1. bedoelde voortbrengselen aan de
afnemer verleende rechten omvatten uitsluitend uitdrukkelijk in de overeenkomst beschreven niet
exclusieve rechten, die met onmiddellijke ingang vervallen door gebruik van de voortbrengselen in
strijd met de rechten van Privacyzorg en/of haar licentiegever(s), de overeenkomst, deze algemene
voorwaarden en/of het toepasselijke recht. De afnemer verkrijgt door de overeenkomst geen rechten
van intellectuele eigendom. Door Privacyzorg verleende rechten zijn niet vatbaar voor overdracht.

6.3. De afnemer zal Privacyzorg vrijwaren van vorderingen van derden op basis van de stelling dat
Privacyzorg door gebruik van door de afnemer verstrekte en/of voorgeschreven voortbrengselen
rechten van intellectuele eigendom van derden schendt, alle uit die vorderingen voortvloeiende
verbintenissen van Privacyzorg als haar eigen verbintenissen nakomen en alle uit die vorderingen
voortvloeiende schade aan Privacyzorg vergoeden.

Artikel 7 - Aansprakelijkheid en schadevergoeding

7.1. Aansprakelijkheden en wettelijke verplichtingen tot schadevergoeding van Privacyzorg zijn beperkt door de artikelen 7.1. tot en met 7.7. De artikelen 7.1. tot en met 7.7. zijn van overeenkomstige toepassing op door de afnemer op onrechtmatige daad van Privacyzorg gebaseerde vorderingen.

7.2. Privacyzorg is uitsluitend aansprakelijk voor door opzet of grove schuld van Privacyzorg aan
Privacyzorg toe te rekenen tekortkomingen. Als aan Privacyzorg toe te rekenen tekortkomingen
worden in ieder geval niet beschouwd gedragingen van hulppersonen, gebruik van – ongeschikte –
hulpzaken en tekortkomingen, die voortvloeien uit het anders dan – correct – per post of per telefax
verzenden van verklaringen en gegevens.

7.3. Aansprakelijkheid van Privacyzorg kan uitsluitend ontstaan, nadat de afnemer Privacyzorg
onverwijld na de levering of – bij een bij de levering niet waarneembare tekortkoming – onverwijld na
het constateren van de tekortkoming deugdelijk middels een per aangetekende post verzonden brief
in gebreke heeft gesteld en Privacyzorg gedurende een redelijke termijn in de gelegenheid heeft
gesteld de tekortkoming te zuiveren.

7.4. Een verplichting van Privacyzorg tot schadevergoeding is beperkt tot directe schade tot maximaal
het bedrag van de overeengekomen prijs, exclusief omzetbelasting en andere door de overheid
opgelegde heffingen. Indien de overeenkomst hoofdzakelijk een duurovereenkomst is voor een
tijdvak van meer dan één jaar, wordt de overeengekomen prijs vastgesteld op het totaalbedrag van
de voor één jaar overeengekomen prijzen, exclusief omzetbelasting en andere door de overheid
opgelegde heffingen. In geen geval zal de door Privacyzorg verschuldigde vergoeding voor directe
schade meer dan EUR 50.000,00 bedragen. Privacyzorg is in geen geval verplicht immateriële en
indirecte schade – zoals onder meer gevolgschade, bedrijfsschade en schade wegens verlies van
tijd en/of het missen van financieel voordeel – te vergoeden. Een verplichting van Privacyzorg tot
het vergoeden van schade door dood, lichamelijk letsel of materiële beschadiging van zaken zal in
geen geval meer bedragen dan EUR 500.000,00 per gebeurtenis, waarbij een reeks
samenhangende gebeurtenissen als één gebeurtenis zal worden beschouwd.

7.5. De afnemer zal Privacyzorg vrijwaren van vorderingen van derden – zoals werknemers en (andere) hulppersonen – die voortvloeien uit en/of verband houden met krachtens de overeenkomst door Privacyzorg geleverde zaken en/of verrichte werkzaamheden. De afnemer zal Privacyzorg
vrijwaren van vorderingen van derden op basis van productaansprakelijkheid voor door de afnemer
aan derden geleverde zaken, die mede bestaan uit door Privacyzorg aan de afnemer geleverde
zaken, tenzij de aansprakelijkheid uitsluitend is veroorzaakt door Privacyzorg geleverde
zaken.

7.6. Indien door werknemers en/of (andere) hulppersonen van Privacyzorg ten behoeve van de afnemer werkzaamheden buiten een onderneming van Privacyzorg en/of met door de afnemer beschikbaar gestelde materialen worden verricht, rust op de afnemer tegenover die werknemers en (andere) hulppersonen de in artikel 7:658 BW bedoelde verplichting en aansprakelijkheid, terwijl de afnemer Privacyzorg zal vrijwaren voor vorderingen van die werknemers en (andere) hulppersonen, die voortvloeien uit het niet nakomen door de afnemer van de in artikel 7:658 BW bedoelde
verplichtingen door de afnemer.

7.7. De afnemer staat er voor in dat door Privacyzorg te verwerken gegevens, het verwerken van de
gegevens en het resultaat van die verwerking niet in strijd zijn met het geldende recht – zoals onder
meer de AVG. De afnemer zal Privacyzorg vrijwaren van alle vorderingen van derden op basis van de stelling dat met door Privacyzorg verwerkte gegevens, het
verwerken van gegevens en/of het resultaat van die verwerking het geldende recht – zoals onder
meer de AVG en/of daaruit voortvloeiende rechten – worden
geschonden.

Artikel 8 - Overmacht

8.1. Indien Privacyzorg door overmacht tijdelijk niet in staat is de overeenkomst uit te voeren, is zij
bevoegd het uitvoeren van de overeenkomst geheel of ten dele op te schorten zolang de overmacht
voortduurt. Indien Privacyzorg door overmacht blijvend niet in staat is de overeenkomst uit te
voeren, heeft zij het recht de overeenkomst met onmiddellijke ingang geheel of ten dele op te
zeggen. Onder overmacht worden onder meer verstaan tekortkomingen van (toeleveranciers van)
Privacyzorg en/of (andere) hulppersonen, productiestoringen, werkonderbrekingen en bovenmatig
ziekteverzuim van werknemers, overheidsmaatregelen en weersomstandigheden.

8.2. Indien Privacyzorg door overmacht tijdelijk of blijvend niet in staat is de overeenkomst uit te voeren,
kan de afnemer tegenover Privacyzorg geen aanspraak op uitvoering van de overeenkomst,
ontbinding van de overeenkomst en/of schadevergoeding maken.

Artikel 9 - Vertrouwelijke informatie en non-concurrentie

9.1. De afnemer staat er voor in dat derden niet – door handelen en/of nalaten van hen en/of van hun
werknemers en/of andere hulppersonen – kennis – kunnen – nemen van door Privacyzorg
verstrekte, van Privacyzorg betrokken en uit het uitvoeren van de overeenkomst voortvloeiende
informatie van vertrouwelijke aard. Informatie wordt in ieder geval geachte vertrouwelijk te zijn indien
die informatie door Privacyzorg als zodanig is aangeduid.

9.2. De afnemer zal tijdens de duur van de overeenkomst en gedurende één jaar na het einde van de
overeenkomst zonder toestemming van Privacyzorg geen werknemers en/of andere hulppersonen
van Privacyzorg in dienst nemen en zich onthouden van iedere betrokkenheid bij economische
activiteiten van werknemers en/of andere hulppersonen van Privacyzorg, die betrokken zijn
geweest bij – het uitvoeren van – de overeenkomst.

Artikel 10 - Algemeen

10.1. Als rechtsgeldige verklaringen en rechtshandelingen in de schriftelijke vorm kunnen uitsluitend
worden beschouwd correct per post en/of per telefax verzonden verklaringen en rechtshandelingen.

10.2. De afnemer zal Privacyzorg op de hoogte houden van de juiste en NAW-gegevens van de afnemer en Privacyzorg onmiddellijk schriftelijk in kennis stellen van wijzigingen van de NAW-gegevens van de afnemer.

10.3. Aanbiedingen van en overeenkomsten met Privacyzorg worden uitsluitend beheerst door
Nederlands recht. Het verdrag der Verenigde Naties inzake internationale koopovereenkomsten
betreffende roerende zaken van 11 april 1980 is op aanbiedingen van en overeenkomsten met
Privacyzorg niet van toepassing.

10.4. De absoluut bevoegde rechter in het arrondissement ’s-Hertogenbosch heeft rechtsmacht en is
uitsluitend bevoegd om kennis te nemen van direct of indirect uit de overeenkomst voortvloeiende geschillen.

10.5. De opschriften in deze algemene voorwaarden dienen slechts om de leesbaarheid te bevorderen en
vormen geen onderdeel van deze algemene voorwaarden.

10.6. Indien Privacyzorg een niet Nederlandstalige versie van deze algemene voorwaarden hanteert en tussen de Nederlandstalige versie en niet Nederlandstalige versie verschillen bestaan, is uitsluitend de Nederlandstalige versie bindend.

DIENSTVERLENING

De in dit hoofdstuk “Dienstverlening” vermelde bepalingen zijn naast en met voorrang voor de bepalingen in het hoofdstuk “Algemene bepalingen” van toepassing indien Privacyzorg diensten verleent.

Artikel 11 - Meer leveranciers

11.1. Indien overeen te komen dienstverlening verband houdt met door anderen verrichte en/of te
verrichten diensten en/of door andere geleverde en/of te leveren zaken, is de afnemer verplicht
Privacyzorg daarvan vóór het tot stand komen van overeenkomst schriftelijk in kennis te stellen met
vermelding van de namen van de andere leveranciers.

Artikel 12 - Uitvoering

12.1. Privacyzorg is verplicht de overeengekomen dienstverlening naar beste kunnen en met zorg uit te voeren aan de hand van door Privacyzorg schriftelijk aanvaarde afspraken en procedures.

12.2. Indien is overeengekomen dat dienstverlening in fasen zal plaatsvinden, heeft Privacyzorg het
recht de uitvoering van de volgende fasen uit te stellen totdat de afnemer de resultaten van de
voorafgaande fasen schriftelijk heeft goedgekeurd.

12.3. Privacyzorg is uitsluitend verplicht bij de uitvoering van de overeengekomen dienstverlening
aanwijzingen van de afnemer op te volgen, indien Privacyzorg die verplichting bij de overeenkomst
uitdrukkelijk heeft aanvaard en de aanwijzingen van de afnemer tijdig zijn verstrekt en verantwoord
zijn. Privacyzorg is in geen geval verplicht aanwijzingen op te volgen, die de inhoud en/of de
omvang van de overeengekomen dienstverlening beïnvloeden. De afnemer is voor het opvolgen van
aanwijzingen, die de inhoud en/of de omvang van de overeengekomen dienstverlening beïnvloeden,
aan Privacyzorg een door Privacyzorg op basis van haar tarieven vast te stellen – aanvullende –
vergoeding verschuldigd.

12.4. Privacyzorg heeft het recht de overeengekomen dienstverlening geheel of ten dele door een of
meer anderen – dan een of meer bepaalde personen – met dezelfde kwalificaties te laten uitvoeren.

Artikel 13 - Wijzigingen en meerwerk

13.1. Indien Privacyzorg op verzoek of met voorafgaande toestemming van de afnemer buiten de inhoud en/of de omvang van de overeengekomen dienstverlening vallende werkzaamheden heeft verricht, is de afnemer aan Privacyzorg een door Privacyzorg op basis van haar tarieven vast te stellen – aanvullende – vergoeding verschuldigd. Privacyzorg is niet verplicht buiten de inhoud en/of de
omvang van de overeengekomen dienstverlening vallende werkzaamheden te verrichten en kan
verlangen dat daarvoor een afzonderlijke overeenkomst tot stand komt.

13.2. De afnemer aanvaardt dat door het verrichten van buiten de inhoud en/of de omvang van de
overeengekomen dienstverlening vallende werkzaamheden in de zin van artikel 13.1. het volbrengen
van de overeengekomen dienstverlening en de wederzijdse verantwoordelijkheden kunnen worden
beïnvloed.

=============
Versie 24 mei 2023