Privacy & Beveiliging

Alle termen die in dit document met een hoofdletter worden gebruikt, maar niet in dit document worden gedefinieerd, hebben de betekenis die daaraan in de Algemene Voorwaarden is toegekend.

Artikel 1: Definities

 

“Klantgegevens”:

Betekent alle gegevens, met inbegrip van alle tekst-, geluids-, video- en afbeeldingbestanden en software die aan NephroFlow zijn verstrekt door, of uit naam van, de Klant door middel van het gebruik van Diensten en/of Producten door de Klant.

Ondersteuningsgegevens”:

Betekent alle gegevens, met inbegrip van tekst-, geluids-, video-, afbeeldings- of softwarebestanden die aan NephroFlow worden verstrekt door of namens de Klant in het kader van een overeenkomst met NephroFlow voor het verkrijgen van technische ondersteuning voor Producten en/of Diensten.

Patiënt”:

Een zorgbehoevende onder het toezicht van de Klant.

Patiëntgegevens”:

Klantgegevens met betrekking tot gezondheidsinformatie over Patiënten.

Persoonsgegevens”:

Betekent informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon. Een identificeerbare natuurlijke persoon is een persoon waarvan de identiteit direct of indirect kan worden bepaald, met name aan de hand van een identiteitsaanduiding zoals een naam, een identificatienummer, locatiegegevens, online identifier of een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van de betreffende natuurlijke persoon.


Artikel 2: Toepassing

2.1         Reikwijdte. Dit document bepaalt de privacy en beveiliging voorwaarden die van toepassing zijn op de Levering van Producten en/of Diensten door NephroFlow NV (“NephroFlow”, “we”, “wij”, “ons” of “onze”), en op de Aanvaarding van deze Producten en/of Diensten door de Klant (“u”, “uw”).

2.2        Looptijd. Deze voorwaarden zijn van toepassing voor de gehele looptijd van de Overeenkomst.

Artikel 3: Verwerking van Persoonsgegevens

 

3.1        Algemene Verordening Gegevensbescherming. Artikel 28, lid 1 van de Algemene Verordening Gegevensbescherming (“AVG”) van de Europese Unie vereist een overeenkomst tussen een Verwerkingsverantwoordelijke en Verwerker, en tussen een Verwerker en Subverwerker, waarin is bepaald dat de verwerking moet worden uitgevoerd overeenkomstig technische en organisatorische maatregelen die voldoen aan de vereisten van de AVG en die waarborgen dat de rechten van de betrokkene worden beschermd.

De AVG-voorwaarden in Bijlage 1 zijn bedoeld om aan deze vereisten voor de partijen te voldoen. De AVG-voorwaarden zijn als volgt georganiseerd:

·       In onderdeel C worden de relevante contractvoorwaarden gereproduceerd (met kleine wijzigingen voor de duidelijkheid) die vereist zijn voor verwerkers en verwerkingsverantwoordelijken op grond van artikel 28, 32 en 33 van de AVG.

·       Bijlage 1.1 biedt meer details over wat een Klant mag verwachten van NephroFlow met betrekking tot de naleving van deze voorwaarden, alsmede de verplichtingen die NephroFlow op zich neemt met betrekking tot artikel 30 en 34-36 van de AVG.


NephroFlow verbindt zich aan de AVG-voorwaarden voor alle klanten met ingang van 25 mei 2018.

3.2        Toestemming voor het verzamelen en verwerken van Persoonsgegevens. De Klant dient alle benodigde rechten en toestemmingen van personen te verkrijgen met betrekking tot het verzamelen en verwerken van Persoonsgegevens. De Klant verklaart en garandeert dat:

  1. De Klant de wettelijke rechten en toepasselijke toestemmingen heeft om Persoonsgegevens te verzamelen en in te voeren in de Cloud Diensten indien van toepassing;
  2. De Klant zich houdt aan alle toepasselijke wetten voor de verwerking en verzending van Persoonsgegevens naar NephroFlow;
  3. De Klant volledig verantwoordelijk is voor de juistheid, kwaliteit, integriteit, wettelijkheid, betrouwbaarheid en geschiktheid van alle Persoonsgegevens.

Bepaalde Diensten vertrouwen voor de correcte werking op de Persoonsgegevens zoals verstrekt door de Klant. NephroFlow is niet aansprakelijk voor de inhoud van de ingevoerde Persoonsgegevens.

Artikel 4: Gebruik van Klantgegevens en Ondersteuningsgegevens


4.1        
Beperkt gebruik van Klantgegevens. Klantgegevens worden alleen gebruikt om de Klant de Diensten te leveren, met inbegrip van doeleinden die in overeenstemming zijn met het leveren van die Diensten. NephroFlow zal geen Klantgegevens gebruiken of hier informatie van afleiden voor enige reclame of soortgelijke commerciële doeleinden. Tussen partijen behoudt de Klant alle rechten, eigendom en belangen met betrekking tot de Klantgegevens. NephroFlow verkrijgt geen rechten met betrekking tot de Klantgegevens, anders dan de rechten die de Klant NephroFlow verleent om de Diensten aan de Klant te leveren. Deze paragraaf heeft geen invloed op de rechten van NephroFlow in de software of diensten waarvoor NephroFlow de Klant een licentie verleent.

4.2.        Eigendom van Patiëntgegevens. De door Gebruikers ingevoerde Patiëntgegevens zijn het eigendom van de Klant of van de individuele artsen onder wiens medische verantwoordelijkheid de Patiëntgegevens werden ingevoerd.

4.3        Gebruiksrecht op geanonimiseerde Klantgegevens. De Klant verstrekt aan NephroFlow gedurende de looptijd van de Overeenkomst een gebruiksrecht op een geanonimiseerde versie van de Klantgegevens. Deze geanonimiseerde gegevens kunnen enkel door NephroFlow gebruikt worden voor het verbeteren van haar Producten en Diensten.

4.4         Beperkt gebruik van Ondersteuningsgegevens. Ondersteuningsgegevens worden alleen gebruikt voor het leveren van ondersteuning aan de Klant, met inbegrip van activiteiten die in overeenstemming zijn met het leveren van ondersteuning, zoals het zoeken naar de oorzaak van terugkerende problemen en het aanbrengen van verbeteringen in de ondersteuning of in de Diensten. NephroFlow zal geen Ondersteuningsgegevens gebruiken of hier informatie uit afleiden voor enige reclame- of soortgelijke commerciële doeleinden zonder de toestemming van de Klant. Tussen partijen behoudt de Klant alle rechten, eigendom en belangen met betrekking tot de Ondersteuningsgegevens van de Klant. NephroFlow verkrijgt geen rechten met betrekking tot de Ondersteuningsgegevens van de Klant, anders dan de rechten die de Klant aan NephroFlow verleent om de ondersteuning aan de Klant te leveren. Deze paragraaf heeft geen invloed op de rechten van NephroFlow met betrekking tot de software of diensten waarvoor NephroFlow de Klant een licentie verleent.

Artikel 5: Bekendmaking van Klantgegevens en Ondersteuningsgegevens

5.1        Algemene regel. NephroFlow zal geen Klantgegevens of Ondersteuningsgegevens bekendmaken buiten NephroFlow of de door haar gecontroleerde dochterondernemingen en gelieerde ondernemingen, uitgezonderd (1) op aanwijzing van de Klant (2) zoals beschreven in deze Overeenkomst of (3) indien een wettelijke verplichting daartoe bestaat.

5.2        Opsporingsautoriteiten. NephroFlow zal geen Klantgegevens of Ondersteuningsgegevens bekendmaken aan opsporingsautoriteiten, tenzij wettelijk verplicht. Indien opsporingsautoriteiten contact opnemen met NephroFlow om Klantgegevens of Ondersteuningsgegevens op te vragen, probeert NephroFlow hen door te verwijzen om die gegevens rechtstreeks bij de Klant op te vragen. Indien NephroFlow is gehouden om Klantgegevens of Ondersteuningsgegevens bekend te maken aan opsporingsautoriteiten, zal NephroFlow de Klant onmiddellijk op de hoogte stellen en een kopie van de vordering verstrekken, tenzij dit wettelijk niet is toegestaan.

5.3        Meldingsplicht. Bij ontvangst van ieder ander verzoek van derden om Klantgegevens of Ondersteuningsgegevens, zal NephroFlow de Klant onmiddellijk op de hoogte stellen, tenzij dit wettelijk niet is toegestaan. NephroFlow zal het verzoek afwijzen, tenzij NephroFlow wettelijk verplicht is aan het verzoek te voldoen. Indien het verzoek gegrond is, zal NephroFlow proberen de derde partij door te wijzen om de gegevens rechtstreeks bij de Klant op te vragen.

5.4        Toegang tot gegevens. NephroFlow zal derden niets van het volgende verstrekken: (a) directe, indirecte, algehele of onbeperkte toegang tot Klantgegevens of Ondersteuningsgegevens; (b) de platformversleutelingscodes die zijn gebruikt voor het beveiligen van de Klantgegevens of Ondersteuningsgegevens of middelen om deze versleuteling te breken; of (c) toegang tot Klantgegevens indien NephroFlow ervan op de hoogte is dat deze gegevens zullen worden gebruikt voor andere doeleinden dan welke worden genoemd in het verzoek van de derde partij. Ter ondersteuning van het bovenstaande, kan NephroFlow de basis-contactgegevens van de Klant aan de derde partij verstrekken.

5.5        Patiëntgegevens. NephroFlow verbindt er zich toe de wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en het medische beroepsgeheim te respecteren met betrekking tot niet geanonimiseerde Patiëntgegevens waarvan NephroFlow toevallig kennis zou krijgen in het kader van de uitvoering van de Overeenkomst. Behoudens indien uitdrukkelijk schriftelijk anders bepaald, zal NephroFlow deze gegevens strikt geheim houden en voor geen enkel doeleinde gebruiken.


5.6         
Zwijgplicht Patiëntgegevens. NephroFlow garandeert dat al haar medewerkers evenals de door haar gevolmachtigde personen ertoe verplicht worden het strengste stilzwijgen te bewaren ten aanzien van alle Patiëntgegevens welke zij in het kader van het uitvoeren van de Overeenkomst onder zich krijgt. Deze zwijgplicht duurt na het beëindigen van de samenwerking tussen NephroFlow en de Klant verder en geldt ook nog na het overlijden van een patiënt. De zwijgplicht kan uitsluitend door de betrokken patiënt zelf of door een rechtbank ontbonden worden. NephroFlow zal zonder de uitdrukkelijke toestemming van de Klant geen dergelijke gegevens op papier of elektronische informatiedragers bewaren, noch als origineel, noch als kopie. Indien NephroFlow in het bezit van dergelijke data is, zal zij op eerste vraag van de Klant deze data teruggeven, onleesbaar maken of vernietigen.

 

Artikel 6: Beveiliging

6.1        Beschermingsmaatregelen. NephroFlow doet er alles aan om de Klantgegevens zoveel mogelijk te beschermen. NephroFlow heeft gepaste technische en organisatorische maatregelen geïmplementeerd en zal deze onderhouden en opvolgen met als doel het beschermen van Klantgegevens en Ondersteuningsgegevens tegen onvoorziene, ongeautoriseerde of onrechtmatige toegang, openbaarmaking, wijziging, verlies of vernietiging.

6.2        Gegevensbeveiligingsbeleid. Waar toepasselijk geldt voor de Diensten van NephroFlow een schriftelijk gegevensbeveiligingsbeleid (“Gegevensbeveiligingsbeleid”) dat is gealigneerd met de courante industrie- en overheidsnormen. NephroFlow kan op elk moment industrie- en overheidsnormen toevoegen.

 

Onder voorbehoud van geheimhoudingsverplichtingen, zal NephroFlow elk Gegevensbeveiligingsbeleid, samen met andere informatie betreffende de praktijken en het beleid van NephroFlow terzake beveiliging waar de Klant redelijkerwijs om vraagt, beschikbaar maken voor de Klant.

 

De Klant is geheel zelf verantwoordelijk voor het doornemen van het Gegevensbeveiligingsbeleid en dient zelf vast te stellen of dit voldoet aan de vereisten van de Klant.

6.3        Genomen maatregelen. NephroFlow heeft onder meer volgende maatregelen geïmplementeerd om de Klantgegevens en Ondersteuningsgegevens te beschermen:

Structuur van gegevensbeveiliging

Eigendom van beveiliging. NephroFlow heeft een of meer beveiligingsfunctionarissen aangewezen die verantwoordelijk zijn voor het coördineren en controleren van de beveiligingsregels en -procedures.

Beveiligingsrollen en -verantwoordelijkheden. Medewerkers van NephroFlow met toegang tot Klantgegevens zijn onderworpen aan verplichtingen met betrekking tot vertrouwelijkheid.

Programma voor risicobeheer. NephroFlow heeft een risicoanalyse uitgevoerd voorafgaande aan het verwerken van Klantgegevens of het uitvoeren van de Diensten. NephroFlow bewaart de beveiligingsdocumenten nadat deze niet langer geldig zijn conform haar bewaartermijnvereisten.

Beheer van bedrijfsmiddelen

Inventaris van bedrijfsmiddelen. NephroFlow houdt een inventaris bij van alle media waarop Klantgegevens zijn opgeslagen. Toegang tot de inventarissen van die media is beperkt tot medewerkers van NephroFlow die daar schriftelijke toestemming voor hebben.

Behandeling van bedrijfsmiddelen

  • NephroFlow classificeert Klantgegevens om deze herkenbaar te maken en om toegang daartoe in gepaste mate te beperken.
  • NephroFlow legt beperkingen op met betrekking tot het afdrukken van Klantgegevens en beschikt over procedures voor het vernietigen van afgedrukt materiaal dat Klantgegevens bevat.

  • Medewerkers van NephroFlow moeten toestemming van NephroFlow verkrijgen voorafgaande aan het opslaan van Klantgegevens op draagbare apparaten, het op afstand raadplegen van Klantgegevens of het verwerken van Klantgegevens buiten de faciliteiten van NephroFlow.

Beveiliging personeelszaken

Beveiligingstraining. NephroFlow stelt haar medewerkers op de hoogte van relevante beveiligingsprocedures en hun rol daarbij. NephroFlow stelt haar medewerkers ook op de hoogte van de mogelijke gevolgen van het schenden van de beveiligingsregels en -procedures. NephroFlow gebruikt alleen anonieme gegevens bij de training.

Fysieke en omgevingsbeveiliging

Fysieke toegang tot faciliteiten. NephroFlow beperkt de toegang tot faciliteiten waar informatiesystemen zijn geplaatst waarmee Klantgegevens worden verwerkt, tot geïdentificeerde, geautoriseerde personen.

Fysieke toegang tot componenten. NephroFlow houdt een bestand bij van binnenkomende en uitgaande media die Klantgegevens bevatten, waaronder het type media, de geautoriseerde afzender/ontvangers, de datum en het tijdstip, het aantal media en de typen Klantgegevens die deze bevatten.

Bescherming tegen verstoringen. NephroFlow gebruikt verschillende systemen die voldoen aan industrienormen om te beschermen tegen gegevensverlies vanwege stroom- of lijnstoringen.

Verwijdering van onderdelen. NephroFlow maakt gebruik van procedures die aan industrienormen voldoen, om Klantgegevens te verwijderen wanneer deze niet langer nodig zijn.

Beheer van communicatie en operationele activiteiten

Operationeel beleid. NephroFlow houdt beveiligingsdocumenten bij met beschrijvingen van de beveiligingsmaatregelen en de relevante procedures en verantwoordelijkheden van haar medewerkers die toegang hebben tot Klantgegevens.

Procedures voor gegevensherstel

  • NephroFlow beheert voortdurend, maar in ieder geval niet minder vaak dan eens per week (tenzij er tijdens die periode geen Klantgegevens zijn bijgewerkt) meerdere exemplaren van de Klantgegevens waarmee de Klantgegevens kunnen worden hersteld.
  • NephroFlow slaat exemplaren van de Klantgegevens en herstelprocedures op een andere locatie op dan de locatie van de primaire computerapparatuur waarmee de Klantgegevens worden verwerkt.
  • NephroFlow heeft specifieke procedures geïmplementeerd waarmee de toegang tot Klantgegevens wordt beheerd.
  • NephroFlow evalueert de procedures voor gegevensherstel ten minste eenmaal per zes maanden.
  • NephroFlow houdt een logboek bij van de pogingen tot gegevensherstel, waaronder de verantwoordelijke persoon, de beschrijving van de herstelde gegevens en indien van toepassing, de persoon die daarvoor verantwoordelijk is, en welke gegevens eventueel handmatig moesten worden ingevoerd tijdens het gegevensherstel.

Schadelijke software. NephroFlow beschikt over programma’s die voorkomen dat met behulp van schadelijke software ongeoorloofde toegang wordt verschaft tot Klantgegevens, waaronder schadelijke software afkomstig uit openbare netwerken.

Gegevens buiten grenzen

  • NephroFlow versleutelt Klantgegevens die worden overgedragen via openbare netwerken, of stelt de Klant in staat dat te doen.

  • NephroFlow beperkt de toegang tot Klantgegevens op media die buiten de faciliteiten worden overgebracht.

Registratie van gebeurtenissen. NephroFlow registreert toegang tot en gebruik van informatiesystemen die Klantgegevens bevatten, of stelt de Klant in staat dit te doen. Hierbij wordt de toegangs-id, tijd, verleende of geweigerde autorisatie en relevante activiteit vastgelegd.

Toegangsbeheer

Toegangsbeleid. NephroFlow houdt een bestand bij met beveiligingsmachtigingen van personen die toegang hebben tot Klantgegevens.

Machtiging tot toegang

  • NephroFlow houdt een bestand bij met medewerkers die zijn gemachtigd tot toegang tot NephroFlow-systemen die Klantgegevens bevatten.
  • NephroFlow schakelt authenticatiereferenties die gedurende een periode van niet langer dan zes maanden niet zijn gebruikt, uit.
  • NephroFlow identificeert de medewerkers die geoorloofde toegang tot gegevens en resources verlenen, wijzigen of intrekken.
  • NephroFlow zorgt ervoor dat, waar meer dan één persoon toegang heeft tot systemen met Klantgegevens, elke persoon een eigen identifier/aanmeldingsnaam heeft.

Minimale rechten

  • Technisch ondersteunend personeel heeft alleen toegang tot Klantgegevens indien nodig.
  • NephroFlow beperkt toegang tot Klantgegevens tot die personen voor wie toegang tot Klantgegevens nodig is om hun werk te kunnen uitvoeren.

Integriteit en vertrouwelijkheid

  • NephroFlow draagt medewerkers van NephroFlow op beheersessies af te sluiten bij het verlaten van locaties die in het beheer van NephroFlow zijn, of wanneer computers anderszins onbeheerd zijn.
  • NephroFlow slaat wachtwoorden zodanig op dat ze onbegrijpelijk zijn wanneer ze in gebruik zijn.

Authenticatie

  • NephroFlow gebruikt praktijken die voldoen aan branchenormen om gebruikers die proberen zich toegang te verschaffen tot gegevenssystemen, te identificeren en authenticeren.
  • Waar authenticatiemechanismen gebaseerd zijn op wachtwoorden, vereist NephroFlow dat de wachtwoorden regelmatig worden vernieuwd.
  • Waar authenticatiemechanismen gebaseerd zijn op wachtwoorden, vereist NephroFlow dat de wachtwoorden ten minste acht tekens lang zijn.
  • NephroFlow zorgt ervoor dat uitgeschakelde of verlopen id’s niet aan andere personen worden verleend.
  • NephroFlow houdt toezicht op herhaalde pogingen tot het openen van de gegevenssystemen met een ongeldig wachtwoord, of stelt de Klant in staat hierop toezicht te houden.
  • NephroFlow maakt gebruik van procedures die voldoen aan industrienormen, om wachtwoorden die zijn beschadigd of per ongeluk onthuld, uit te schakelen.

  • NephroFlow gebruikt voor het beschermen van wachtwoorden procedures die voldoen aan industrienormen, waaronder procedures voor het behouden van de vertrouwelijkheid en integriteit van wachtwoorden, bij het toewijzen, verspreiden en opslaan van wachtwoorden.

Netwerkontwerp. NephroFlow beschikt over middelen om te voorkomen dat personen die veronderstellen dat zij beschikken over toegangsrechten die niet aan hen zijn toegewezen, toegang krijgen tot Klantgegevens.

Beheer van incidenten gegevensbeveiliging

Antwoordprocedure incidenten

  • NephroFlow houdt een bestand bij met schendingen van de beveiliging, met een beschrijving van de schending, de periode en de gevolgen van de schending, de naam van degene die de schending meldt, de naam van degene aan wie de schending wordt gemeld, en de procedure voor het herstellen van gegevens.
  • Voor elke schending van de beveiliging die een Beveiligingsincident is, wordt door NephroFlow zonder onredelijke vertraging, en in elk geval binnen 5 werkdagen, een kennisgeving verstrekt zoals verder beschreven in artikel 10 van deze Voorwaarden.
  • NephroFlow houdt de openbaarmaking van Klantgegevens bij, met inbegrip van welke gegevens openbaar zijn gemaakt, aan wie en op welke tijdstippen, of stelt de Klant in staat dat te doen.

Service Monitoring. Beveiligingsmedewerkers van NephroFlow controleren logboeken ten minste elke zes maanden om indien noodzakelijk herstelprocedures voor te stellen.

Beheer bedrijfscontinuïteit

  • NephroFlow beschikt over nood- en calamiteitenplannen voor de faciliteiten waar de informatiesystemen van NephroFlow zijn geplaatst waarmee Klantgegevens worden verwerkt.
  • De redundante opslag en de procedures voor gegevensherstel van NephroFlow zijn ontworpen om de Klantgegevens te kunnen herstellen in de originele of laatst gerepliceerde staat voordat de gegevens verloren raakten of vernietigd werden.


Artikel 9: Periodieke audits

9.1        Controles. Voor elk van haar Diensten voert NephroFlow controles uit van de beveiliging van de computers, de computeromgeving en de fysieke datacenters die worden gebruikt voor het verwerken van Klantgegevens (met inbegrip van persoonlijke gegevens), en wel als volgt:

  • Waar een norm of raamwerk voor controles van kracht is, wordt ten minste eenmaal per jaar een controle volgens deze norm of dit raamwerk uitgevoerd.
  • Elke controle wordt uitgevoerd volgens de normen en regels van de regulatieve of goedkeurende instantie voor de betreffende controlenorm of het controleraamwerk.
  • Elke controle wordt uitgevoerd door gekwalificeerde, onafhankelijke externe beveiligingscontroleurs die door NephroFlow worden geselecteerd en betaald.

 

9.2        Controlerapport. Elke controle resulteert in de opstelling van een controlerapport (“NephroFlow-controlerapport”). Dit rapport is Vertrouwelijke Informatie van NephroFlow. Het NephroFlow-controlerapport geeft een duidelijke indicatie van eventuele wezenlijke bevindingen van de controleur. NephroFlow zal kwesties die in het NephroFlow-controlerapport worden vermeld direct verhelpen om te voldoen aan de eisen van de controleur.

 

Als de Klant hierom vraagt, verstrekt NephroFlow elk NephroFlow-controlerapport aan de Klant zodat de Klant de naleving door NephroFlow van de veiligheidsverplichtingen in het kader van de Overeenkomst kan controleren. Voor het NephroFlow-controlerapport gelden de geheimhoudings- en verspreidingsbeperkingen van NephroFlow en de controleur.

Artikel 10: Kennisgeving van beveiligingsincidenten.

10.1        Beveiligingsincident procedure. Indien NephroFlow kennis heeft van enige onrechtmatige toegang tot Klantgegevens of Ondersteuningsgegevens die zijn opgeslagen op apparatuur of faciliteiten van NephroFlow, of van ongeautoriseerde toegang tot dergelijke apparatuur of faciliteiten, hetgeen leidt tot verlies, openbaarmaking of wijziging van Klantgegevens of Ondersteuningsgegevens (elk een “Beveiligingsincident”), zal NephroFlow onmiddellijk: (1) de Klant op de hoogte stellen van het Beveiligingsincident; (2) het Beveiligingsincident onderzoeken en de Klant voorzien van gedetailleerde informatie over het Beveiligingsincident; en (3) redelijke stappen nemen om de gevolgen te beperken en de schade die voortkomt uit het Beveiligingsincident te beperken.

10.2        Meldingsplicht door NephroFlow. Kennisgeving(en) van Beveiligingsincidenten worden verzonden naar een of meer beheerders van de Klant langs een door NephroFlow gekozen weg, waaronder via e-mail. Het is de volledige verantwoordelijkheid van de Klant erop toe te zien dat de beheerders van de Klant hun accurate contactgegevens aan NephroFlow bekend maken. De verplichting van NephroFlow om Beveiligingsincidenten te melden en stappen te ondernemen op grond van deze bepaling is geen erkenning van NephroFlow van enig gebrek of aansprakelijkheid met betrekking tot het Beveiligingsincident.

10.3        Meldingsplicht door Klant. De Klant dient NephroFlow onmiddellijk op de hoogte te stellen van mogelijk misbruik van de accounts of verificatiegegevens van de Klant of beveiligingsincidenten in verband met een van haar Diensten.


Artikel 11: Locatie van de gegevensverwerking

11.1        Locatie gegevensverwerking. NephroFlow zal zich houden aan de vereisten van de wetgeving inzake bescherming van Persoonsgegevens van de Europese Economische Ruimte en Zwitserland betreffende het verzamelen, gebruiken, overdragen, bewaren en op overige wijze verwerken van Persoonsgegevens uit de Europese Economische Ruimte en Zwitserland. Vanaf het moment waarop de AVG van kracht wordt, zal NephroFlow erop toezien dat overdrachten van Persoonsgegevens naar een land buiten de Europese Economische Ruimte en Zwitserland of een internationale organisatie onderworpen zijn aan passende veiligheidsmechanismen, zoals beschreven in artikel 46 van het AVG, en dat dergelijke overdrachten en veiligheidsmechanismen worden gedocumenteerd overeenkomstig artikel 30, lid 2 van de AVG.

 

Artikel 12: Opslag van data

12.1         Locatie van data. NephroFlow maakt uitsluitend gebruik van digitale dragers geïnstalleerd binnen de grenzen van de Europese Economische Ruimte om Klantgegevens “at-rest” bij te houden. NephroFlow verbindt zich er uitdrukkelijk toe om nooit Klantgegevens op digitale dragers te plaatsen die zich buiten de grenzen van de Europese Economische Ruimte bevinden.

12.2        Encryptie van data. NephroFlow zal Persoonsgegevens en Patiëntgegevens altijd geëncrypteerd bijhouden en waar mogelijk andere Klantgegevens geëncrypteerd bijhouden rekening houdend met de impact op de werking van haar Diensten.

Artikel 13: Verwijdering of teruggave van Klantgegevens

13.1        Teruggave Patiëntgegevens.  Binnen de 60 dagen na het beëindigen van de Overeenkomst ontvangt de Klant vanwege NephroFlow alle door de Klant in de Software geregistreerde Patiëntgegevens in een voor een doorsnee gebruiker leesbare en interpreteerbare indeling en opmaak. NephroFlow verbindt er zich tevens toe bij de beëindiging van de Overeenkomst en tot 6 maanden na het einde van de Overeenkomst ter goeder trouw met de Klant samen te werken om de Patiëntgegevens verzameld tijdens de Overeenkomst over te transfereren naar een derde partij, dit met de bedoeling continuïteit voor de Klant te verzekeren.

13.2        Verwijderen Klantgegevens. Niet meer dan 180 dagen na het aflopen of het beëindigen van het gebruik van de Diensten door de Klant, zal NephroFlow het account uitschakelen en de Klantgegevens van het account verwijderen.

Artikel 14:  Gebruik van onderaannemers

14.1        Inhuren van onderaannemers. NephroFlow kan autonoom en naar eigen goedkeuring onderaannemers inhuren voor de levering van bepaalde beperkte of aanvullende diensten in haar naam. Die onderaannemers mogen Klantgegevens en Ondersteuningsgegevens uitsluitend verzamelen voor het leveren van de diensten die NephroFlow hen gevraagd heeft te leveren, en zullen Klantgegevens en Ondersteuningsgegevens voor geen enkel ander doel mogen gebruiken.


14.2        
Voorwaarden voor onderaannemers. Onderaannemers aan wie NephroFlow Klantgegevens verstrekt, zelfs indien dit slechts voor opslagdoeleinden is, dienen een schriftelijke overeenkomst met NephroFlow te zijn aangegaan die ten minste dezelfde mate van bescherming biedt als de Overeenkomst.

14.3        Bekendmaking gebruikte onderaannemers. NephroFlow biedt een website waarop de onderaannemers worden vermeld die zijn gemachtigd om toegang te verkrijgen tot Klantgegevens in de Diensten en de beperkte of aanvullende diensten die ze leveren. Ten minste 1 maanden voordat NephroFlow een nieuwe onderaannemer machtigt om toegang te verkrijgen tot Klantgegevens, werkt NephroFlow de website bij en verschaft NephroFlow de Klant een mechanisme om op de hoogte te worden gebracht van de wijziging.


Artikel 15: Contact met NephroFlow opnemen

15.1        Contact opnemen. Als de Klant gelooft dat NephroFlow zich niet houdt aan haar beloften met betrekking tot privacy of beveiliging, kan de Klant contact opnemen met de verantwoordelijke voor gegevensbescherming van NephroFlow. Het postadres van NephroFlow is:

NephroFlow NV

T.av. Data Protection Officer

Baron Ruzettelaan 1 bus 1.1

8310 Brugge, België


Bijlage 1 – Voorwaarden van de Algemene Verordening Gegevensbescherming van de Europese Unie

A. Definities

 

Termen die in deze AVG-voorwaarden worden gebruikt, maar niet gedefinieerd, zoals “inbreuk in verband met persoonsgegevens”, “verwerking”, “verwerkingsverantwoordelijke”, “verwerker” en “betrokkene”, hebben dezelfde betekenis als beschreven in artikel 4 van de AVG.

 

Daarnaast wordt de volgende definitie gebruikt in deze AVG-voorwaarden:

 

“Subverwerkers” betekent de andere verwerkers die door NephroFlow worden gebruikt voor het verwerken van Persoonsgegevens.

 

B. Rollen en bereik

 

1. Deze AVG-voorwaarden zijn van toepassing op de verwerking van Persoonsgegevens namens de Klant door NephroFlow binnen de reikwijdte van de AVG.

2. In het kader van deze AVG-voorwaarden komen de Klant en NephroFlow overeen dat de Klant de verwerkingsverantwoordelijke en NephroFlow de verwerker is met betrekking tot de Persoonsgegevens, uitgezonderd in gevallen dat de Klant optreedt als verwerker van de Persoonsgegevens. In dat geval is NephroFlow een subverwerker.

3. Deze AVG-voorwaarden vormen geen beperking of vermindering van de verplichtingen met betrekking tot de bescherming van persoonsgegevens die NephroFlow op zich neemt in de Privacy en beveiligings Voorwaarden of een andere overeenkomst tussen NephroFlow en de Klant.

4. Deze AVG-voorwaarden zijn niet van toepassing wanneer NephroFlow de Verwerkingsverantwoordelijke is met betrekking tot Persoonsgegevens.

 

C. Relevante AVG-verplichtingen: artikel 28, 32 en 33

 

1. NephroFlow neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de Klant. In het geval van algemene schriftelijke toestemming licht NephroFlow de Klant in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de Klant de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken. (Artikel 28, lid 2)

2. De verwerking door NephroFlow wordt geregeld door deze AVG-voorwaarden krachtens het recht van de Europese Unie of de lidstaat (hierna “Unierecht of het lidstatelijk recht”) die de NephroFlow ten aanzien van de Klant bindt. Het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort Persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de Klant worden omschreven in de volumelicentieovereenkomst van de Klant, waarin deze AVG-voorwaarden zijn opgenomen. Hierin is met name bepaalt dat NephroFlow:

(a)                 de Persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de Klant, onder meer met betrekking tot doorgiften van Persoonsgegevens aan een derde land of een internationale organisatie, tenzij een op NephroFlow van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling NephroFlow tot verwerking verplicht; in dat geval stelt NephroFlow de Klant, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt;

(b)                 waarborgt dat de tot het verwerken van de Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;

(c)                 alle overeenkomstig artikel 32 van de AVG vereiste maatregelen neemt;

(d)                 aan de in de leden 2 en 3 bedoelde voorwaarden voor het in dienst nemen van een andere verwerker voldoet;

(e)                 rekening houdend met de aard van de verwerking, de Klant door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verleent bij het vervullen van de plicht van de Klant om verzoeken om uitoefening van de in hoofdstuk III van de AVG vastgestelde rechten van de betrokkene te beantwoorden;

(f)                  rekening houdend met de aard van de verwerking en de NephroFlow ter beschikking staande informatie de Klant bijstand verleent bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de AVG;

(g)                 na afloop van de verwerkingsdiensten, naargelang de keuze van de Klant, alle Persoonsgegevens wist of deze aan de Klant terugbezorgt, en bestaande kopieën verwijdert, tenzij opslag van de Persoonsgegevens Unierechtelijk of lidstaatrechtelijk is verplicht;

(h)                 de Klant alle informatie ter beschikking stelt die nodig is om de nakoming van de in artikel 28 van de AVG neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de Klant of een door de Klant gemachtigde controleur mogelijk maakt en eraan bijdraagt.

NephroFlow stelt de Klant onmiddellijk in kennis indien een instructie naar mening van NephroFlow inbreuk oplevert op de AVG of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake bescherming van persoonsgegevens. (Artikel 28, lid 3)

3. Wanneer NephroFlow een andere verwerker in dienst neemt om voor rekening van de Klant specifieke verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst of een andere rechtshandeling krachtens Unierecht of lidstatelijk recht dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze AVG-voorwaarden, met name de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden opdat de verwerking aan het bepaalde in de AVG voldoet. Wanneer de andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft NephroFlow ten aanzien van de Klant volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker. (Artikel 28, lid 4)

4. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de Klant en de NephroFlow passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:

(a)                 de pseudonimisering en versleuteling van Persoonsgegevens;

(b)                 het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;

(c)                 het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen; en

(d)                 een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. (Artikel 32, lid 1)

5. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens, hetzij per ongeluk hetzij onrechtmatig. (Artikel 32, lid 2)

6. De Klant en NephroFlow treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de Klant of van NephroFlow en toegang heeft tot Persoonsgegevens, deze slechts in opdracht van de Klant verwerkt, tenzij hij of zij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden. (Artikel 32, lid 4)

7. NephroFlow informeert de Klant zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. (Artikel 33, lid 2) In deze melding wordt ten minste het volgende omschreven of meegedeeld:

(a)                 de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en Persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en Persoonsgegevensregisters in kwestie;

(b)                 de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;

(c)                 de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; en

(d)                 de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan. (Artikel 33, lid 3)

 

Bijlage 1.1 – Aanvullende AVG-voorwaarden

A.  Subverwerkers

 

1. De Klant stemt ermee in dat NephroFlow Subverwerkers inschakelt voor de verwerking van Persoonsgegevens overeenkomstig deze AVG-voorwaarden.

2. NephroFlow zal erop toezien dat Subverwerkers zijn gebonden door schriftelijke overeenkomsten die hen vereisen ten minste dezelfde mate van bescherming van persoonsgegevens te bieden als welke van NephroFlow wordt verlangd op grond van deze AVG-voorwaarden.

 

B.  Hulp aan Klanten bij beantwoording van verzoeken van betrokkenen

 

1. NephroFlow stelt de Persoonsgegevens van de betrokkenen beschikbaar aan de Klant en maakt het mogelijk te voldoen aan verzoeken van betrokkenen om een of meer van hun rechten op grond van de AVG uit te oefenen op een wijze die in overeenstemming is met de functionaliteit van het Product en de rol van NephroFlow als verwerker. NephroFlow zal voldoen aan redelijke verzoeken van de Klant om te helpen bij het beantwoorden van dergelijke verzoeken van een betrokkene.

2. Indien NephroFlow een verzoek ontvangt van een betrokkene van de Klant om gebruik te maken van een of meer rechten op grond van de AVG, zal NephroFlow de betrokkene doorverwijzen om het verzoek rechtstreeks aan de Klant te richten.

 

C.  Verwerking van persoonsgegevens

 

1. De Abonnementsovereenkomst van de Klant (met inbegrip van deze AVG-voorwaarden), samen met het gebruik en de configuratie van de voorzieningen van het Product door de Klant, vormen de volledige en definitieve instructies aan NephroFlow voor de verwerking van Persoonsgegevens.

2. NephroFlow kan Persoonsgegevens ook overdragen indien vereist op grond van het toepasselijk recht.

3. NephroFlow zal erop toezien dat het personeel dat wordt ingezet voor de verwerking van Persoonsgegevens (i) de Persoonsgegevens uitsluitend zal verwerken op aanwijzing van de Klant, tenzij verplicht op grond van Unierecht, lidstaatrecht of ander toepasselijk recht en (ii) zich eraan heeft verbonden de vertrouwelijkheid van de Persoonsgegevens te bewaren, ook nadat de werkovereenkomst met hen is geëindigd.

4. Het onderwerp van de verwerking is beperkt tot Persoonsgegevens binnen de reikwijdte van de AVG, en de duur van de verwerking is voor de duur van het recht van de Klant tot het gebruik van het Product of de overeenkomst met de Klant voor de levering van Professionele Diensten. De aard en het doel van de verwerking dient de levering te zijn van het Product of de Professionele Diensten in het kader van de volumelicentieovereenkomst van de Klant. Tot de typen Persoonsgegevens die worden verwerkt door het Product of de Professionele Diensten behoren de typen die worden beschreven in artikel 4 van de AVG alsmede andere Persoonsgegevens die door de Klant worden verzonden naar het Product of in het kader van de overeenkomst voor de levering van Professionele Diensten. De categorieën van betrokkenen zijn vertegenwoordigers en eindgebruikers van de Klant, zoals werknemers, opdrachtnemers, medewerkers en klanten.

5. Na het aflopen of de beëindiging van het recht van de Klant om het Product te gebruiken of het einde van de overeenkomst voor de levering van Professionele Diensten aan de Klant, zal NephroFlow de Persoonsgegevens verwijderen of retourneren overeenkomstig de voorwaarden en tijdschema's voor elk van de Online Diensten zoals uiteengezet in de Voorwaarden voor Online Diensten, voor elk Product zoals beschreven in de documentatie van het Product, en voor Professionele Diensten zoals beschreven in de toepasselijke voorwaarden voor de werkopdracht, tenzij het Unierecht, lidstaatrecht of ander toepasselijk recht vereist dat de Persoonsgegevens worden bewaard.

 

D. Beveiliging

 

NephroFlow (i) hanteert beveiligingspraktijken en een beveiligingsbeleid voor de bescherming van Persoonsgegevens zoals beschreven in het schriftelijke beleid inzake de bescherming van persoonsgegevens (dat beleid, eens Gegevensbeschermingsbeleid”) voor elk Product en voor Professionele Diensten, en (ii) stelt de Klant in de gelegenheid, onderworpen aan een geheimhoudingsplicht, kennis te nemen van dit Gegevensbeschermingsbeleid, alsmede beschrijvingen van de beveiligingsmechanismen die zijn toegepast voor het Product of de Professionele Diensten en andere informatie betreffende de beveiligingspraktijken en het beveiligingsbeleid van NephroFlow die redelijkerwijs door de Klant wordt gevraagd.

 

E.  Inbreuk in verband met persoonsgegevens.

 

NephroFlow zal redelijke inspanningen verrichten om de Klant te helpen bij de nakoming van de verplichtingen van de Klant om de relevante toezichthoudende autoriteit en de betrokkenen op de hoogte te stellen van een inbreuk in verband met persoonsgegevens op grond van artikel 33 en 34 van de AVG.

 

F.  Register van verwerkingsactiviteiten

 

NephroFlow houdt alle registers bij die vereist zijn op grond van artikel 30, lid 2 van de AVG en stelt deze, voor zover ze van toepassing zijn op de verwerking van Persoonsgegevens namens de Klant, op verzoek beschikbaar aan de Klant.

 

G. Wijziging, aanvulling en looptijd

 

1. NephroFlow kan deze AVG-voorwaarden wijzigen of aanvullen, met voorafgaande kennisgeving aan de Klant, (i) indien dit wordt verplicht door een toezichthoudende autoriteit of een andere overheids- of regulatieve instantie, (ii) indien dit noodzakelijk is om te voldoen aan het toepasselijk recht, (iii) om standaard contractuele bepalingen te implementeren die worden voorgeschreven door de Europese Commissie, of (iv) om zich te houden aan een goedgekeurde gedragscode of een certificeringsmechanisme dat is goedgekeurd of gecertificeerd conform artikel 40, 42 en 43 van de AVG.

2. Zonder afbreuk te doen aan deze AVG-voorwaarden kan NephroFlow van tijd tot tijd aanvullende informatie en details verstrekken over de wijze waarop NephroFlow deze AVG-voorwaarden uitvoert in Productspecifieke technische, privacy- en beleidsdocumentatie.

3. Deze AVG-voorwaarden worden van kracht op (a) de datum waarop de AVG van kracht wordt, of (b) de datum waarop de Klant een Product in gebruik neemt of NephroFlow begint met de levering van Diensten waarbij NephroFlow de rol van verwerker of subverwerker vervult, indien dat later is.