Privacy & Beveiliging

Alle termen die in dit document met een hoofdletter worden gebruikt, maar niet in dit document worden gedefinieerd, hebben de betekenis die daaraan in de Algemene Voorwaarden is toegekend.

Artikel 1: Definities

“Klantgegevens”:	Betekent alle gegevens, met inbegrip van alle tekst-, geluids-, video- en afbeeldingbestanden en software die aan Nipro Digital Technologies Europe zijn verstrekt door, of uit naam van, de Klant door middel van het gebruik van Diensten en/of Producten door de Klant.
“ Ondersteuningsgegevens ”:	Betekent alle gegevens, met inbegrip van tekst-, geluids-, video-, afbeeldings- of softwarebestanden die aan Nipro Digital Technologies Europe worden verstrekt door of namens de Klant in het kader van een overeenkomst met Nipro Digital Technologies Europe voor het verkrijgen van technische ondersteuning voor Producten en/of Diensten.
“ Patiënt ”:	Een zorgbehoevende onder het toezicht van de Klant.
“ Patiëntgegevens ”:	Klantgegevens met betrekking tot gezondheidsinformatie over Patiënten.
“ Persoonsgegevens ”:	Betekent informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon. Een identificeerbare natuurlijke persoon is een persoon waarvan de identiteit direct of indirect kan worden bepaald, met name aan de hand van een identiteitsaanduiding zoals een naam, een identificatienummer, locatiegegevens, online identifier of een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van de betreffende natuurlijke persoon.

Artikel 2: Toepassing

2.1 Reikwijdte . Dit document bepaalt de privacy en beveiliging voorwaarden die van toepassing zijn op de Levering van Producten en/of Diensten door Nipro Digital Technologies Europe NV (“Nipro Digital Technologies Europe”, “we”, “wij”, “ons” of “onze”), en op de Aanvaarding van deze Producten en/of Diensten door de Klant (“u”, “uw”).

2.2 Looptijd. Deze voorwaarden zijn van toepassing voor de gehele looptijd van de Overeenkomst.

Artikel 3: Verwerking van Persoonsgegevens

3.1 Algemene Verordening Gegevensbescherming . Artikel 28, lid 1 van de Algemene Verordening Gegevensbescherming (“AVG”) van de Europese Unie vereist een overeenkomst tussen een Verwerkingsverantwoordelijke en Verwerker, en tussen een Verwerker en Subverwerker, waarin is bepaald dat de verwerking moet worden uitgevoerd overeenkomstig technische en organisatorische maatregelen die voldoen aan de vereisten van de AVG en die waarborgen dat de rechten van de betrokkene worden beschermd.

De AVG-voorwaarden in Bijlage 1 zijn bedoeld om aan deze vereisten voor de partijen te voldoen. De AVG-voorwaarden zijn als volgt georganiseerd:

· In onderdeel C worden de relevante contractvoorwaarden gereproduceerd (met kleine wijzigingen voor de duidelijkheid) die vereist zijn voor verwerkers en verwerkingsverantwoordelijken op grond van artikel 28, 32 en 33 van de AVG.

· Bijlage 1 .1 biedt meer details over wat een Klant mag verwachten van Nipro Digital Technologies Europe met betrekking tot de naleving van deze voorwaarden, alsmede de verplichtingen die Nipro Digital Technologies Europe op zich neemt met betrekking tot artikel 30 en 34-36 van de AVG.

Nipro Digital Technologies Europe verbindt zich aan de AVG-voorwaarden voor alle klanten met ingang van 25 mei 2018.

3.2 Toestemming voor het verzamelen en verwerken van Persoonsgegevens . De Klant dient alle benodigde rechten en toestemmingen van personen te verkrijgen met betrekking tot het verzamelen en verwerken van Persoonsgegevens. De Klant verklaart en garandeert dat:

De Klant de wettelijke rechten en toepasselijke toestemmingen heeft om Persoonsgegevens te verzamelen en in te voeren in de Cloud Diensten indien van toepassing;
De Klant zich houdt aan alle toepasselijke wetten voor de verwerking en verzending van Persoonsgegevens naar Nipro Digital Technologies Europe;
De Klant volledig verantwoordelijk is voor de juistheid, kwaliteit, integriteit, wettelijkheid, betrouwbaarheid en geschiktheid van alle Persoonsgegevens.

Bepaalde Diensten vertrouwen voor de correcte werking op de Persoonsgegevens zoals verstrekt door de Klant. Nipro Digital Technologies Europe is niet aansprakelijk voor de inhoud van de ingevoerde Persoonsgegevens.

Artikel 4: Gebruik van Klantgegevens en Ondersteuningsgegevens

4.1 Beperkt gebruik van Klantgegevens . Klantgegevens worden alleen gebruikt om de Klant de Diensten te leveren, met inbegrip van doeleinden die in overeenstemming zijn met het leveren van die Diensten. Nipro Digital Technologies Europe zal geen Klantgegevens gebruiken of hier informatie van afleiden voor enige reclame of soortgelijke commerciële doeleinden. Tussen partijen behoudt de Klant alle rechten, eigendom en belangen met betrekking tot de Klantgegevens. Nipro Digital Technologies Europe verkrijgt geen rechten met betrekking tot de Klantgegevens, anders dan de rechten die de Klant Nipro Digital Technologies Europe verleent om de Diensten aan de Klant te leveren. Deze paragraaf heeft geen invloed op de rechten van Nipro Digital Technologies Europe in de software of diensten waarvoor Nipro Digital Technologies Europe de Klant een licentie verleent.

4 .2. Eigendom van Patiëntgegevens . De door Gebruikers ingevoerde Patiëntgegevens zijn het eigendom van de Klant of van de individuele artsen onder wiens medische verantwoordelijkheid de Patiëntgegevens werden ingevoerd.

4.3 Gebruiksrecht op geanonimiseerde Klantgegevens . De Klant verstrekt aan Nipro Digital Technologies Europe gedurende de looptijd van de Overeenkomst een gebruiksrecht op een geanonimiseerde versie van de Klantgegevens. Deze geanonimiseerde gegevens kunnen enkel door Nipro Digital Technologies Europe gebruikt worden voor het verbeteren van haar Producten en Diensten.

4.4 Beperkt gebruik van Ondersteuningsgegevens. Ondersteuningsgegevens worden alleen gebruikt voor het leveren van ondersteuning aan de Klant, met inbegrip van activiteiten die in overeenstemming zijn met het leveren van ondersteuning, zoals het zoeken naar de oorzaak van terugkerende problemen en het aanbrengen van verbeteringen in de ondersteuning of in de Diensten. Nipro Digital Technologies Europe zal geen Ondersteuningsgegevens gebruiken of hier informatie uit afleiden voor enige reclame- of soortgelijke commerciële doeleinden zonder de toestemming van de Klant. Tussen partijen behoudt de Klant alle rechten, eigendom en belangen met betrekking tot de Ondersteuningsgegevens van de Klant. Nipro Digital Technologies Europe verkrijgt geen rechten met betrekking tot de Ondersteuningsgegevens van de Klant, anders dan de rechten die de Klant aan Nipro Digital Technologies Europe verleent om de ondersteuning aan de Klant te leveren. Deze paragraaf heeft geen invloed op de rechten van Nipro Digital Technologies Europe met betrekking tot de software of diensten waarvoor Nipro Digital Technologies Europe de Klant een licentie verleent.

Artikel 5: Bekendmaking van Klantgegevens en Ondersteuningsgegevens

5.1 Algemene regel . Nipro Digital Technologies Europe zal geen Klantgegevens of Ondersteuningsgegevens bekendmaken buiten Nipro Digital Technologies Europe of de door haar gecontroleerde dochterondernemingen en gelieerde ondernemingen, uitgezonderd (1) op aanwijzing van de Klant (2) zoals beschreven in deze Overeenkomst of (3) indien een wettelijke verplichting daartoe bestaat.

5.2 Opsporingsautoriteiten . Nipro Digital Technologies Europe zal geen Klantgegevens of Ondersteuningsgegevens bekendmaken aan opsporingsautoriteiten, tenzij wettelijk verplicht. Indien opsporingsautoriteiten contact opnemen met Nipro Digital Technologies Europe om Klantgegevens of Ondersteuningsgegevens op te vragen, probeert Nipro Digital Technologies Europe hen door te verwijzen om die gegevens rechtstreeks bij de Klant op te vragen. Indien Nipro Digital Technologies Europe is gehouden om Klantgegevens of Ondersteuningsgegevens bekend te maken aan opsporingsautoriteiten, zal Nipro Digital Technologies Europe de Klant onmiddellijk op de hoogte stellen en een kopie van de vordering verstrekken, tenzij dit wettelijk niet is toegestaan.

5.3 Meldingsplicht . Bij ontvangst van ieder ander verzoek van derden om Klantgegevens of Ondersteuningsgegevens, zal Nipro Digital Technologies Europe de Klant onmiddellijk op de hoogte stellen, tenzij dit wettelijk niet is toegestaan. Nipro Digital Technologies Europe zal het verzoek afwijzen, tenzij Nipro Digital Technologies Europe wettelijk verplicht is aan het verzoek te voldoen. Indien het verzoek gegrond is, zal Nipro Digital Technologies Europe proberen de derde partij door te wijzen om de gegevens rechtstreeks bij de Klant op te vragen.

5.4 Toegang tot gegevens . Nipro Digital Technologies Europe zal derden niets van het volgende verstrekken: (a) directe, indirecte, algehele of onbeperkte toegang tot Klantgegevens of Ondersteuningsgegevens; (b) de platformversleutelingscodes die zijn gebruikt voor het beveiligen van de Klantgegevens of Ondersteuningsgegevens of middelen om deze versleuteling te breken; of (c) toegang tot Klantgegevens indien Nipro Digital Technologies Europe ervan op de hoogte is dat deze gegevens zullen worden gebruikt voor andere doeleinden dan welke worden genoemd in het verzoek van de derde partij. Ter ondersteuning van het bovenstaande, kan Nipro Digital Technologies Europe de basis-contactgegevens van de Klant aan de derde partij verstrekken.

5.5 Patiëntgegevens . Nipro Digital Technologies Europe verbindt er zich toe de wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en het medische beroepsgeheim te respecteren met betrekking tot niet geanonimiseerde Patiëntgegevens waarvan Nipro Digital Technologies Europe toevallig kennis zou krijgen in het kader van de uitvoering van de Overeenkomst. Behoudens indien uitdrukkelijk schriftelijk anders bepaald, zal Nipro Digital Technologies Europe deze gegevens strikt geheim houden en voor geen enkel doeleinde gebruiken.

5.6 Zwijgplicht Patiëntgegevens . Nipro Digital Technologies Europe garandeert dat al haar medewerkers evenals de door haar gevolmachtigde personen ertoe verplicht worden het strengste stilzwijgen te bewaren ten aanzien van alle Patiëntgegevens welke zij in het kader van het uitvoeren van de Overeenkomst onder zich krijgt. Deze zwijgplicht duurt na het beëindigen van de samenwerking tussen Nipro Digital Technologies Europe en de Klant verder en geldt ook nog na het overlijden van een patiënt. De zwijgplicht kan uitsluitend door de betrokken patiënt zelf of door een rechtbank ontbonden worden. Nipro Digital Technologies Europe zal zonder de uitdrukkelijke toestemming van de Klant geen dergelijke gegevens op papier of elektronische informatiedragers bewaren, noch als origineel, noch als kopie. Indien Nipro Digital Technologies Europe in het bezit van dergelijke data is, zal zij op eerste vraag van de Klant deze data teruggeven, onleesbaar maken of vernietigen.

Artikel 6: Beveiliging

6.1 Beschermingsmaatregelen . Nipro Digital Technologies Europe doet er alles aan om de Klantgegevens zoveel mogelijk te beschermen. Nipro Digital Technologies Europe heeft gepaste technische en organisatorische maatregelen geïmplementeerd en zal deze onderhouden en opvolgen met als doel het beschermen van Klantgegevens en Ondersteuningsgegevens tegen onvoorziene, ongeautoriseerde of onrechtmatige toegang, openbaarmaking, wijziging, verlies of vernietiging.

6.2 Gegevensbeveiligingsbeleid . Waar toepasselijk geldt voor de Diensten van Nipro Digital Technologies Europe een schriftelijk gegevensbeveiligingsbeleid (“Gegevensbeveiligingsbeleid”) dat is gealigneerd met de courante industrie- en overheidsnormen. Nipro Digital Technologies Europe kan op elk moment industrie- en overheidsnormen toevoegen.

Onder voorbehoud van geheimhoudingsverplichtingen, zal Nipro Digital Technologies Europe elk Gegevensbeveiligingsbeleid, samen met andere informatie betreffende de praktijken en het beleid van Nipro Digital Technologies Europe terzake beveiliging waar de Klant redelijkerwijs om vraagt, beschikbaar maken voor de Klant.

De Klant is geheel zelf verantwoordelijk voor het doornemen van het Gegevensbeveiligingsbeleid en dient zelf vast te stellen of dit voldoet aan de vereisten van de Klant.

6.3 Genomen maatregelen . Nipro Digital Technologies Europe heeft onder meer volgende maatregelen geïmplementeerd om de Klantgegevens en Ondersteuningsgegevens te beschermen:

Structuur van gegevensbeveiliging	Eigendom van beveiliging. Nipro Digital Technologies Europe heeft een of meer beveiligingsfunctionarissen aangewezen die verantwoordelijk zijn voor het coördineren en controleren van de beveiligingsregels en -procedures. Beveiligingsrollen en -verantwoordelijkheden. Medewerkers van Nipro Digital Technologies Europe met toegang tot Klantgegevens zijn onderworpen aan verplichtingen met betrekking tot vertrouwelijkheid. Programma voor risicobeheer. Nipro Digital Technologies Europe heeft een risicoanalyse uitgevoerd voorafgaande aan het verwerken van Klantgegevens of het uitvoeren van de Diensten. Nipro Digital Technologies Europe bewaart de beveiligingsdocumenten nadat deze niet langer geldig zijn conform haar bewaartermijnvereisten.
Beheer van bedrijfsmiddelen	Inventaris van bedrijfsmiddelen. Nipro Digital Technologies Europe houdt een inventaris bij van alle media waarop Klantgegevens zijn opgeslagen. Toegang tot de inventarissen van die media is beperkt tot medewerkers van Nipro Digital Technologies Europe die daar schriftelijke toestemming voor hebben. Behandeling van bedrijfsmiddelen Nipro Digital Technologies Europe classificeert Klantgegevens om deze herkenbaar te maken en om toegang daartoe in gepaste mate te beperken. Nipro Digital Technologies Europe legt beperkingen op met betrekking tot het afdrukken van Klantgegevens en beschikt over procedures voor het vernietigen van afgedrukt materiaal dat Klantgegevens bevat. Medewerkers van Nipro Digital Technologies Europe moeten toestemming van Nipro Digital Technologies Europe verkrijgen voorafgaande aan het opslaan van Klantgegevens op draagbare apparaten, het op afstand raadplegen van Klantgegevens of het verwerken van Klantgegevens buiten de faciliteiten van Nipro Digital Technologies Europe.
Beveiliging personeelszaken	Beveiligingstraining. Nipro Digital Technologies Europe stelt haar medewerkers op de hoogte van relevante beveiligingsprocedures en hun rol daarbij. Nipro Digital Technologies Europe stelt haar medewerkers ook op de hoogte van de mogelijke gevolgen van het schenden van de beveiligingsregels en -procedures. Nipro Digital Technologies Europe gebruikt alleen anonieme gegevens bij de training.
Fysieke en omgevingsbeveiliging	Fysieke toegang tot faciliteiten. Nipro Digital Technologies Europe beperkt de toegang tot faciliteiten waar informatiesystemen zijn geplaatst waarmee Klantgegevens worden verwerkt, tot geïdentificeerde, geautoriseerde personen. Fysieke toegang tot componenten. Nipro Digital Technologies Europe houdt een bestand bij van binnenkomende en uitgaande media die Klantgegevens bevatten, waaronder het type media, de geautoriseerde afzender/ontvangers, de datum en het tijdstip, het aantal media en de typen Klantgegevens die deze bevatten. Bescherming tegen verstoringen. Nipro Digital Technologies Europe gebruikt verschillende systemen die voldoen aan industrienormen om te beschermen tegen gegevensverlies vanwege stroom- of lijnstoringen. Verwijdering van onderdelen. Nipro Digital Technologies Europe maakt gebruik van procedures die aan industrienormen voldoen, om Klantgegevens te verwijderen wanneer deze niet langer nodig zijn.
Beheer van communicatie en operationele activiteiten	Operationeel beleid. Nipro Digital Technologies Europe houdt beveiligingsdocumenten bij met beschrijvingen van de beveiligingsmaatregelen en de relevante procedures en verantwoordelijkheden van haar medewerkers die toegang hebben tot Klantgegevens. Procedures voor gegevensherstel Nipro Digital Technologies Europe beheert voortdurend, maar in ieder geval niet minder vaak dan eens per week (tenzij er tijdens die periode geen Klantgegevens zijn bijgewerkt) meerdere exemplaren van de Klantgegevens waarmee de Klantgegevens kunnen worden hersteld. Nipro Digital Technologies Europe slaat exemplaren van de Klantgegevens en herstelprocedures op een andere locatie op dan de locatie van de primaire computerapparatuur waarmee de Klantgegevens worden verwerkt. Nipro Digital Technologies Europe heeft specifieke procedures geïmplementeerd waarmee de toegang tot Klantgegevens wordt beheerd. Nipro Digital Technologies Europe evalueert de procedures voor gegevensherstel ten minste eenmaal per zes maanden. Nipro Digital Technologies Europe houdt een logboek bij van de pogingen tot gegevensherstel, waaronder de verantwoordelijke persoon, de beschrijving van de herstelde gegevens en indien van toepassing, de persoon die daarvoor verantwoordelijk is, en welke gegevens eventueel handmatig moesten worden ingevoerd tijdens het gegevensherstel. Schadelijke software. Nipro Digital Technologies Europe beschikt over programma’s die voorkomen dat met behulp van schadelijke software ongeoorloofde toegang wordt verschaft tot Klantgegevens, waaronder schadelijke software afkomstig uit openbare netwerken. Gegevens buiten grenzen Nipro Digital Technologies Europe versleutelt Klantgegevens die worden overgedragen via openbare netwerken, of stelt de Klant in staat dat te doen. Nipro Digital Technologies Europe beperkt de toegang tot Klantgegevens op media die buiten de faciliteiten worden overgebracht. Registratie van gebeurtenissen. Nipro Digital Technologies Europe registreert toegang tot en gebruik van informatiesystemen die Klantgegevens bevatten, of stelt de Klant in staat dit te doen. Hierbij wordt de toegangs-id, tijd, verleende of geweigerde autorisatie en relevante activiteit vastgelegd.
Toegangsbeheer	Toegangsbeleid. Nipro Digital Technologies Europe houdt een bestand bij met beveiligingsmachtigingen van personen die toegang hebben tot Klantgegevens. Machtiging tot toegang Nipro Digital Technologies Europe houdt een bestand bij met medewerkers die zijn gemachtigd tot toegang tot Nipro Digital Technologies Europe-systemen die Klantgegevens bevatten. Nipro Digital Technologies Europe schakelt authenticatiereferenties die gedurende een periode van niet langer dan zes maanden niet zijn gebruikt, uit. Nipro Digital Technologies Europe identificeert de medewerkers die geoorloofde toegang tot gegevens en resources verlenen, wijzigen of intrekken. Nipro Digital Technologies Europe zorgt ervoor dat, waar meer dan één persoon toegang heeft tot systemen met Klantgegevens, elke persoon een eigen identifier/aanmeldingsnaam heeft. Minimale rechten Technisch ondersteunend personeel heeft alleen toegang tot Klantgegevens indien nodig. Nipro Digital Technologies Europe beperkt toegang tot Klantgegevens tot die personen voor wie toegang tot Klantgegevens nodig is om hun werk te kunnen uitvoeren. Integriteit en vertrouwelijkheid Nipro Digital Technologies Europe draagt medewerkers van Nipro Digital Technologies Europe op beheersessies af te sluiten bij het verlaten van locaties die in het beheer van Nipro Digital Technologies Europe zijn, of wanneer computers anderszins onbeheerd zijn. Nipro Digital Technologies Europe slaat wachtwoorden zodanig op dat ze onbegrijpelijk zijn wanneer ze in gebruik zijn. Authenticatie Nipro Digital Technologies Europe gebruikt praktijken die voldoen aan branchenormen om gebruikers die proberen zich toegang te verschaffen tot gegevenssystemen, te identificeren en authenticeren. Waar authenticatiemechanismen gebaseerd zijn op wachtwoorden, vereist Nipro Digital Technologies Europe dat de wachtwoorden regelmatig worden vernieuwd. Waar authenticatiemechanismen gebaseerd zijn op wachtwoorden, vereist Nipro Digital Technologies Europe dat de wachtwoorden ten minste acht tekens lang zijn. Nipro Digital Technologies Europe zorgt ervoor dat uitgeschakelde of verlopen id’s niet aan andere personen worden verleend. Nipro Digital Technologies Europe houdt toezicht op herhaalde pogingen tot het openen van de gegevenssystemen met een ongeldig wachtwoord, of stelt de Klant in staat hierop toezicht te houden. Nipro Digital Technologies Europe maakt gebruik van procedures die voldoen aan industrienormen, om wachtwoorden die zijn beschadigd of per ongeluk onthuld, uit te schakelen. Nipro Digital Technologies Europe gebruikt voor het beschermen van wachtwoorden procedures die voldoen aan industrienormen, waaronder procedures voor het behouden van de vertrouwelijkheid en integriteit van wachtwoorden, bij het toewijzen, verspreiden en opslaan van wachtwoorden. Netwerkontwerp. Nipro Digital Technologies Europe beschikt over middelen om te voorkomen dat personen die veronderstellen dat zij beschikken over toegangsrechten die niet aan hen zijn toegewezen, toegang krijgen tot Klantgegevens.
Beheer van incidenten gegevensbeveiliging	Antwoordprocedure incidenten Nipro Digital Technologies Europe houdt een bestand bij met schendingen van de beveiliging, met een beschrijving van de schending, de periode en de gevolgen van de schending, de naam van degene die de schending meldt, de naam van degene aan wie de schending wordt gemeld, en de procedure voor het herstellen van gegevens. Voor elke schending van de beveiliging die een Beveiligingsincident is, wordt door Nipro Digital Technologies Europe zonder onredelijke vertraging, en in elk geval binnen 5 werkdagen, een kennisgeving verstrekt zoals verder beschreven in artikel 10 van deze Voorwaarden. Nipro Digital Technologies Europe houdt de openbaarmaking van Klantgegevens bij, met inbegrip van welke gegevens openbaar zijn gemaakt, aan wie en op welke tijdstippen, of stelt de Klant in staat dat te doen. Service Monitoring. Beveiligingsmedewerkers van Nipro Digital Technologies Europe controleren logboeken ten minste elke zes maanden om indien noodzakelijk herstelprocedures voor te stellen.
Beheer bedrijfscontinuïteit	Nipro Digital Technologies Europe beschikt over nood- en calamiteitenplannen voor de faciliteiten waar de informatiesystemen van Nipro Digital Technologies Europe zijn geplaatst waarmee Klantgegevens worden verwerkt. De redundante opslag en de procedures voor gegevensherstel van Nipro Digital Technologies Europe zijn ontworpen om de Klantgegevens te kunnen herstellen in de originele of laatst gerepliceerde staat voordat de gegevens verloren raakten of vernietigd werden.

Artikel 9: Periodieke audits

9.1 Controles . Voor elk van haar Diensten voert Nipro Digital Technologies Europe controles uit van de beveiliging van de computers, de computeromgeving en de fysieke datacenters die worden gebruikt voor het verwerken van Klantgegevens (met inbegrip van persoonlijke gegevens), en wel als volgt:

Waar een norm of raamwerk voor controles van kracht is, wordt ten minste eenmaal per jaar een controle volgens deze norm of dit raamwerk uitgevoerd.
Elke controle wordt uitgevoerd volgens de normen en regels van de regulatieve of goedkeurende instantie voor de betreffende controlenorm of het controleraamwerk.
Elke controle wordt uitgevoerd door gekwalificeerde, onafhankelijke externe beveiligingscontroleurs die door Nipro Digital Technologies Europe worden geselecteerd en betaald.

9.2 Controlerapport . Elke controle resulteert in de opstelling van een controlerapport (“Nipro Digital Technologies Europe-controlerapport”). Dit rapport is Vertrouwelijke Informatie van Nipro Digital Technologies Europe. Het Nipro Digital Technologies Europe-controlerapport geeft een duidelijke indicatie van eventuele wezenlijke bevindingen van de controleur. Nipro Digital Technologies Europe zal kwesties die in het Nipro Digital Technologies Europe-controlerapport worden vermeld direct verhelpen om te voldoen aan de eisen van de controleur.

Als de Klant hierom vraagt, verstrekt Nipro Digital Technologies Europe elk Nipro Digital Technologies Europe-controlerapport aan de Klant zodat de Klant de naleving door Nipro Digital Technologies Europe van de veiligheidsverplichtingen in het kader van de Overeenkomst kan controleren. Voor het Nipro Digital Technologies Europe-controlerapport gelden de geheimhoudings- en verspreidingsbeperkingen van Nipro Digital Technologies Europe en de controleur.

Artikel 10: Kennisgeving van beveiligingsincidenten.

10.1 Beveiligingsincident procedure . Indien Nipro Digital Technologies Europe kennis heeft van enige onrechtmatige toegang tot Klantgegevens of Ondersteuningsgegevens die zijn opgeslagen op apparatuur of faciliteiten van Nipro Digital Technologies Europe, of van ongeautoriseerde toegang tot dergelijke apparatuur of faciliteiten, hetgeen leidt tot verlies, openbaarmaking of wijziging van Klantgegevens of Ondersteuningsgegevens (elk een “Beveiligingsincident”), zal Nipro Digital Technologies Europe onmiddellijk: (1) de Klant op de hoogte stellen van het Beveiligingsincident; (2) het Beveiligingsincident onderzoeken en de Klant voorzien van gedetailleerde informatie over het Beveiligingsincident; en (3) redelijke stappen nemen om de gevolgen te beperken en de schade die voortkomt uit het Beveiligingsincident te beperken.

10.2 Meldingsplicht door Nipro Digital Technologies Europe . Kennisgeving(en) van Beveiligingsincidenten worden verzonden naar een of meer beheerders van de Klant langs een door Nipro Digital Technologies Europe gekozen weg, waaronder via e-mail. Het is de volledige verantwoordelijkheid van de Klant erop toe te zien dat de beheerders van de Klant hun accurate contactgegevens aan Nipro Digital Technologies Europe bekend maken. De verplichting van Nipro Digital Technologies Europe om Beveiligingsincidenten te melden en stappen te ondernemen op grond van deze bepaling is geen erkenning van Nipro Digital Technologies Europe van enig gebrek of aansprakelijkheid met betrekking tot het Beveiligingsincident.

10.3 Meldingsplicht door Klant . De Klant dient Nipro Digital Technologies Europe onmiddellijk op de hoogte te stellen van mogelijk misbruik van de accounts of verificatiegegevens van de Klant of beveiligingsincidenten in verband met een van haar Diensten.

Artikel 11: Locatie van de gegevensverwerking

11.1 Locatie gegevensverwerking . Nipro Digital Technologies Europe zal zich houden aan de vereisten van de wetgeving inzake bescherming van Persoonsgegevens van de Europese Economische Ruimte en Zwitserland betreffende het verzamelen, gebruiken, overdragen, bewaren en op overige wijze verwerken van Persoonsgegevens uit de Europese Economische Ruimte en Zwitserland. Vanaf het moment waarop de AVG van kracht wordt, zal Nipro Digital Technologies Europe erop toezien dat overdrachten van Persoonsgegevens naar een land buiten de Europese Economische Ruimte en Zwitserland of een internationale organisatie onderworpen zijn aan passende veiligheidsmechanismen, zoals beschreven in artikel 46 van het AVG, en dat dergelijke overdrachten en veiligheidsmechanismen worden gedocumenteerd overeenkomstig artikel 30, lid 2 van de AVG.

Artikel 12: Opslag van data

12.1 Locatie van data . Nipro Digital Technologies Europe maakt uitsluitend gebruik van digitale dragers geïnstalleerd binnen de grenzen van de Europese Economische Ruimte om Klantgegevens “at-rest” bij te houden. Nipro Digital Technologies Europe verbindt zich er uitdrukkelijk toe om nooit Klantgegevens op digitale dragers te plaatsen die zich buiten de grenzen van de Europese Economische Ruimte bevinden.

12.2 Encryptie van data . Nipro Digital Technologies Europe zal Persoonsgegevens en Patiëntgegevens altijd geëncrypteerd bijhouden en waar mogelijk andere Klantgegevens geëncrypteerd bijhouden rekening houdend met de impact op de werking van haar Diensten.

Artikel 13: Verwijdering of teruggave van Klantgegevens

13.1 Teruggave Patiëntgegevens . Binnen de 60 dagen na het beëindigen van de Overeenkomst ontvangt de Klant vanwege Nipro Digital Technologies Europe alle door de Klant in de Software geregistreerde Patiëntgegevens in een voor een doorsnee gebruiker leesbare en interpreteerbare indeling en opmaak. Nipro Digital Technologies Europe verbindt er zich tevens toe bij de beëindiging van de Overeenkomst en tot 6 maanden na het einde van de Overeenkomst ter goeder trouw met de Klant samen te werken om de Patiëntgegevens verzameld tijdens de Overeenkomst over te transfereren naar een derde partij, dit met de bedoeling continuïteit voor de Klant te verzekeren.

13.2 Verwijderen Klantgegevens . Niet meer dan 180 dagen na het aflopen of het beëindigen van het gebruik van de Diensten door de Klant, zal Nipro Digital Technologies Europe het account uitschakelen en de Klantgegevens van het account verwijderen.

Artikel 14: Gebruik van onderaannemers

14.1 Inhuren van onderaannemers . Nipro Digital Technologies Europe kan autonoom en naar eigen goedkeuring onderaannemers inhuren voor de levering van bepaalde beperkte of aanvullende diensten in haar naam. Die onderaannemers mogen Klantgegevens en Ondersteuningsgegevens uitsluitend verzamelen voor het leveren van de diensten die Nipro Digital Technologies Europe hen gevraagd heeft te leveren, en zullen Klantgegevens en Ondersteuningsgegevens voor geen enkel ander doel mogen gebruiken.

14.2 Voorwaarden voor onderaannemers . Onderaannemers aan wie Nipro Digital Technologies Europe Klantgegevens verstrekt, zelfs indien dit slechts voor opslagdoeleinden is, dienen een schriftelijke overeenkomst met Nipro Digital Technologies Europe te zijn aangegaan die ten minste dezelfde mate van bescherming biedt als de Overeenkomst.

14.3 Bekendmaking gebruikte onderaannemers . Nipro Digital Technologies Europe biedt een website waarop de onderaannemers worden vermeld die zijn gemachtigd om toegang te verkrijgen tot Klantgegevens in de Diensten en de beperkte of aanvullende diensten die ze leveren. Ten minste 1 maanden voordat Nipro Digital Technologies Europe een nieuwe onderaannemer machtigt om toegang te verkrijgen tot Klantgegevens, werkt Nipro Digital Technologies Europe de website bij en verschaft Nipro Digital Technologies Europe de Klant een mechanisme om op de hoogte te worden gebracht van de wijziging.

Artikel 15: Contact met Nipro Digital Technologies Europe opnemen

15.1 Contact opnemen . Als de Klant gelooft dat Nipro Digital Technologies Europe zich niet houdt aan haar beloften met betrekking tot privacy of beveiliging, kan de Klant contact opnemen met de verantwoordelijke voor gegevensbescherming van Nipro Digital Technologies Europe. Het postadres van Nipro Digital Technologies Europe is:

Nipro Digital Technologies Europe NV

T.av. Data Protection Officer

Baron Ruzettelaan 1 bus 1.3

8310 Brugge, België

Bijlage 1 – Voorwaarden van de Algemene Verordening Gegevensbescherming van de Europese Unie

A. Definities

Termen die in deze AVG-voorwaarden worden gebruikt, maar niet gedefinieerd, zoals “inbreuk in verband met persoonsgegevens”, “verwerking”, “verwerkingsverantwoordelijke”, “verwerker” en “betrokkene”, hebben dezelfde betekenis als beschreven in artikel 4 van de AVG.

Daarnaast wordt de volgende definitie gebruikt in deze AVG-voorwaarden:

“Subverwerkers” betekent de andere verwerkers die door Nipro Digital Technologies Europe worden gebruikt voor het verwerken van Persoonsgegevens.

B. Rollen en bereik

1. Deze AVG-voorwaarden zijn van toepassing op de verwerking van Persoonsgegevens namens de Klant door Nipro Digital Technologies Europe binnen de reikwijdte van de AVG.

2. In het kader van deze AVG-voorwaarden komen de Klant en Nipro Digital Technologies Europe overeen dat de Klant de verwerkingsverantwoordelijke en Nipro Digital Technologies Europe de verwerker is met betrekking tot de Persoonsgegevens, uitgezonderd in gevallen dat de Klant optreedt als verwerker van de Persoonsgegevens. In dat geval is Nipro Digital Technologies Europe een subverwerker.

3. Deze AVG-voorwaarden vormen geen beperking of vermindering van de verplichtingen met betrekking tot de bescherming van persoonsgegevens die Nipro Digital Technologies Europe op zich neemt in de Privacy en beveiligings Voorwaarden of een andere overeenkomst tussen Nipro Digital Technologies Europe en de Klant.

4. Deze AVG-voorwaarden zijn niet van toepassing wanneer Nipro Digital Technologies Europe de Verwerkingsverantwoordelijke is met betrekking tot Persoonsgegevens.

C. Relevante AVG-verplichtingen: artikel 28, 32 en 33

1. Nipro Digital Technologies Europe neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de Klant. In het geval van algemene schriftelijke toestemming licht Nipro Digital Technologies Europe de Klant in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de Klant de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken. (Artikel 28, lid 2)

2. De verwerking door Nipro Digital Technologies Europe wordt geregeld door deze AVG-voorwaarden krachtens het recht van de Europese Unie of de lidstaat (hierna “Unierecht of het lidstatelijk recht”) die de Nipro Digital Technologies Europe ten aanzien van de Klant bindt. Hierin is met name bepaalt dat Nipro Digital Technologies Europe:

(a) de Persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de Klant, onder meer met betrekking tot doorgiften van Persoonsgegevens aan een derde land of een internationale organisatie, tenzij een op Nipro Digital Technologies Europe van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling Nipro Digital Technologies Europe tot verwerking verplicht; in dat geval stelt Nipro Digital Technologies Europe de Klant, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt;

(b) waarborgt dat de tot het verwerken van de Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;

(d) aan de in de leden 2 en 3 bedoelde voorwaarden voor het in dienst nemen van een andere verwerker voldoet;

(e) rekening houdend met de aard van de verwerking, de Klant door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verleent bij het vervullen van de plicht van de Klant om verzoeken om uitoefening van de in hoofdstuk III van de AVG vastgestelde rechten van de betrokkene te beantwoorden;

(f) rekening houdend met de aard van de verwerking en de Nipro Digital Technologies Europe ter beschikking staande informatie de Klant bijstand verleent bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de AVG;

(g) na afloop van de verwerkingsdiensten, naargelang de keuze van de Klant, alle Persoonsgegevens wist of deze aan de Klant terugbezorgt, en bestaande kopieën verwijdert, tenzij opslag van de Persoonsgegevens Unierechtelijk of lidstaatrechtelijk is verplicht;

(h) de Klant alle informatie ter beschikking stelt die nodig is om de nakoming van de in artikel 28 van de AVG neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de Klant of een door de Klant gemachtigde controleur mogelijk maakt en eraan bijdraagt.

Nipro Digital Technologies Europe stelt de Klant onmiddellijk in kennis indien een instructie naar mening van Nipro Digital Technologies Europe inbreuk oplevert op de AVG of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake bescherming van persoonsgegevens. (Artikel 28, lid 3)

3. Wanneer Nipro Digital Technologies Europe een andere verwerker in dienst neemt om voor rekening van de Klant specifieke verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst of een andere rechtshandeling krachtens Unierecht of lidstatelijk recht dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze AVG-voorwaarden, met name de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden opdat de verwerking aan het bepaalde in de AVG voldoet. Wanneer de andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft Nipro Digital Technologies Europe ten aanzien van de Klant volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker. (Artikel 28, lid 4)

4. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de Klant en de Nipro Digital Technologies Europe passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:

(a) de pseudonimisering en versleuteling van Persoonsgegevens;

(b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;

(c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen; en

(d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. (Artikel 32, lid 1)

5. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens, hetzij per ongeluk hetzij onrechtmatig. (Artikel 32, lid 2)

6. De Klant en Nipro Digital Technologies Europe treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de Klant of van Nipro Digital Technologies Europe en toegang heeft tot Persoonsgegevens, deze slechts in opdracht van de Klant verwerkt, tenzij hij of zij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden. (Artikel 32, lid 4)

7. Nipro Digital Technologies Europe informeert de Klant zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. (Artikel 33, lid 2) In deze melding wordt ten minste het volgende omschreven of meegedeeld:

(a) de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en Persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en Persoonsgegevensregisters in kwestie;

(b) de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;

(d) de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan. (Artikel 33, lid 3)

Bijlage 1.1 – Aanvullende AVG-voorwaarden

A. Subverwerkers

1. De Klant stemt ermee in dat Nipro Digital Technologies Europe Subverwerkers inschakelt voor de verwerking van Persoonsgegevens overeenkomstig deze AVG-voorwaarden.

2. Nipro Digital Technologies Europe zal erop toezien dat Subverwerkers zijn gebonden door schriftelijke overeenkomsten die hen vereisen ten minste dezelfde mate van bescherming van persoonsgegevens te bieden als welke van Nipro Digital Technologies Europe wordt verlangd op grond van deze AVG-voorwaarden.

B. Hulp aan Klanten bij beantwoording van verzoeken van betrokkenen

1. Nipro Digital Technologies Europe stelt de Persoonsgegevens van de betrokkenen beschikbaar aan de Klant en maakt het mogelijk te voldoen aan verzoeken van betrokkenen om een of meer van hun rechten op grond van de AVG uit te oefenen op een wijze die in overeenstemming is met de functionaliteit van het Product en de rol van Nipro Digital Technologies Europe als verwerker. Nipro Digital Technologies Europe zal voldoen aan redelijke verzoeken van de Klant om te helpen bij het beantwoorden van dergelijke verzoeken van een betrokkene.

2. Indien Nipro Digital Technologies Europe een verzoek ontvangt van een betrokkene van de Klant om gebruik te maken van een of meer rechten op grond van de AVG, zal Nipro Digital Technologies Europe de betrokkene doorverwijzen om het verzoek rechtstreeks aan de Klant te richten.

C. Verwerking van persoonsgegevens

1. De Abonnementsovereenkomst van de Klant (met inbegrip van deze AVG-voorwaarden), samen met het gebruik en de configuratie van de voorzieningen van het Product door de Klant, vormen de volledige en definitieve instructies aan Nipro Digital Technologies Europe voor de verwerking van Persoonsgegevens.

2. Nipro Digital Technologies Europe kan Persoonsgegevens ook overdragen indien vereist op grond van het toepasselijk recht.

3. Nipro Digital Technologies Europe zal erop toezien dat het personeel dat wordt ingezet voor de verwerking van Persoonsgegevens (i) de Persoonsgegevens uitsluitend zal verwerken op aanwijzing van de Klant, tenzij verplicht op grond van Unierecht, lidstaatrecht of ander toepasselijk recht en (ii) zich eraan heeft verbonden de vertrouwelijkheid van de Persoonsgegevens te bewaren, ook nadat de werkovereenkomst met hen is geëindigd.

4. Het onderwerp van de verwerking is beperkt tot Persoonsgegevens binnen de reikwijdte van de AVG, en de duur van de verwerking is voor de duur van het recht van de Klant tot het gebruik van het Product of de overeenkomst met de Klant voor de levering van Professionele Diensten. De aard en het doel van de verwerking dient de levering te zijn van het Product of de Professionele Diensten in het kader van de licentieovereenkomst of abonnementsovereenkomst van de Klant. Tot de typen Persoonsgegevens die worden verwerkt door het Product of de Professionele Diensten behoren de typen die worden beschreven in artikel 4 van de AVG alsmede andere Persoonsgegevens die door de Klant worden verzonden naar het Product of in het kader van de overeenkomst voor de levering van Professionele Diensten. De categorieën van betrokkenen zijn vertegenwoordigers en eindgebruikers van de Klant, zoals werknemers, opdrachtnemers, medewerkers en klanten.

5. Na het aflopen of de beëindiging van het recht van de Klant om het Product te gebruiken of het einde van de overeenkomst voor de levering van Professionele Diensten aan de Klant, zal Nipro Digital Technologies Europe de Persoonsgegevens verwijderen of retourneren overeenkomstig de voorwaarden en tijdschema's voor elk van de Online Diensten zoals uiteengezet in de Voorwaarden voor Online Diensten, voor elk Product zoals beschreven in de documentatie van het Product, en voor Professionele Diensten zoals beschreven in de toepasselijke voorwaarden voor de werkopdracht, tenzij het Unierecht, lidstaatrecht of ander toepasselijk recht vereist dat de Persoonsgegevens worden bewaard.

D. Beveiliging

Nipro Digital Technologies Europe (i) hanteert beveiligingspraktijken en een beveiligingsbeleid voor de bescherming van Persoonsgegevens zoals beschreven in het schriftelijke beleid inzake de bescherming van persoonsgegevens (dat beleid, eens Gegevensbeschermingsbeleid”) voor elk Product en voor Professionele Diensten, en (ii) stelt de Klant in de gelegenheid, onderworpen aan een geheimhoudingsplicht, kennis te nemen van dit Gegevensbeschermingsbeleid, alsmede beschrijvingen van de beveiligingsmechanismen die zijn toegepast voor het Product of de Professionele Diensten en andere informatie betreffende de beveiligingspraktijken en het beveiligingsbeleid van Nipro Digital Technologies Europe die redelijkerwijs door de Klant wordt gevraagd.

E. Inbreuk in verband met persoonsgegevens.

Nipro Digital Technologies Europe zal redelijke inspanningen verrichten om de Klant te helpen bij de nakoming van de verplichtingen van de Klant om de relevante toezichthoudende autoriteit en de betrokkenen op de hoogte te stellen van een inbreuk in verband met persoonsgegevens op grond van artikel 33 en 34 van de AVG.

F. Register van verwerkingsactiviteiten

Nipro Digital Technologies Europe houdt alle registers bij die vereist zijn op grond van artikel 30, lid 2 van de AVG en stelt deze, voor zover ze van toepassing zijn op de verwerking van Persoonsgegevens namens de Klant, op verzoek beschikbaar aan de Klant.

G. Wijziging, aanvulling en looptijd

1. Nipro Digital Technologies Europe kan deze AVG-voorwaarden wijzigen of aanvullen, met voorafgaande kennisgeving aan de Klant, (i) indien dit wordt verplicht door een toezichthoudende autoriteit of een andere overheids- of regulatieve instantie, (ii) indien dit noodzakelijk is om te voldoen aan het toepasselijk recht, (iii) om standaard contractuele bepalingen te implementeren die worden voorgeschreven door de Europese Commissie, of (iv) om zich te houden aan een goedgekeurde gedragscode of een certificeringsmechanisme dat is goedgekeurd of gecertificeerd conform artikel 40, 42 en 43 van de AVG.

2. Zonder afbreuk te doen aan deze AVG-voorwaarden kan Nipro Digital Technologies Europe van tijd tot tijd aanvullende informatie en details verstrekken over de wijze waarop Nipro Digital Technologies Europe deze AVG-voorwaarden uitvoert in Productspecifieke technische, privacy- en beleidsdocumentatie.

3. Deze AVG-voorwaarden worden van kracht op (a) de datum waarop de AVG van kracht wordt, of (b) de datum waarop de Klant een Product in gebruik neemt of Nipro Digital Technologies Europe begint met de levering van Diensten waarbij Nipro Digital Technologies Europe de rol van verwerker of subverwerker vervult, indien dat later is.