GEGEVENSVERWERKINGSOVEREENKOMST Deze Gegevensverwerkingsovereenkomst (hierna de "Overeenkomst" of het Addendum genoemd), op datum van de digitale handtekening, maakt deel uit van de recentste overeenkomst inzake contractuele diensten (hierna de "AV" genoemd) Tussen de GEBRUIKER en de LEVERANCIER. De in deze Overeenkomst gebruikte termen hebben de betekenis die verwoord zijn in deze Overeenkomst. Termen die niet anders worden gedefinieerd in dit document, hebben de betekenis die er in de AV aan wordt gegeven. Tenzij ze hieronder worden gewijzigd, blijven de voorwaarden van de AV volledig geldig en van kracht. De Partijen komen hierbij overeen dat de hieronder omschreven voorwaarden als Addendum worden toegevoegd aan de AV. 1. Gegevensverwerking 1.1. Bepalingen van de Gegevensbeschermingswetgeving In het kader van hun contractuele relaties verbinden de Partijen zich tot de naleving van de toepasselijke regelgeving betreffende de verwerking van persoonsgegevens en met name Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016, de Algemene Verordening Gegevensbescherming, die geldt vanaf 25 mei 2018 (hierna AVG genoemd). 1.2. Definities In deze Overeenkomst hebben de volgende termen de hieronder omschreven betekenis en worden verwante termen dienovereenkomstig uitgelegd: DENTASOFT "EU" betekent Europese Unie "EER" betekent Europese Economische Ruimte "Derde Land" betekent ieder land buiten de EU/EER, tenzij voor dat land een adequaatheidsbesluit van de Europese Commissie bestaat inzake de bescherming van Persoonsgegevens in Derde Landen. "Diensten" betekent de diensten die door de Verwerker aan de Verwerkingsverantwoordelijke zullen worden verstrekt ingevolge de AV. De volgende bepalingen die in dit artikel over gegevensbescherming worden gebruikt, hebben dezelfde betekenis die daaraan wordt gegeven in de Gegevensbeschermingswetgeving: a) persoonsgegevens; Pagina 1 van 5
b) verwerkingsverantwoordelijke; c) gegevensverwerker; d) verwerking; e) toezichthoudende autoriteit. 1.3. Verhouding en taken van de partijen In verband met de verwerking van persoonsgegevens uit hoofde van deze overeenkomst, erkennen en gaan de partijen akkoord dat: a) de Klant de verwerkingsverantwoordelijke is; b) Dentasoft de gegevensverwerker is op vraag van de Klant. Dentasoft stemt ermee in enkel persoonsgegevens te verwerken overeenkomstig de bepalingen van deze Overeenkomst. 1.4. Duur van de Overeenkomst Deze Overeenkomst wordt van kracht bij de digitale ondertekening van dit document (hierna de "Ingangsdatum van de Overeenkomst"). 1.5. Achtergrond Uit hoofde van deze Overeenkomst kan Dentasoft Diensten verschaffen met betrekking tot een of meer van SAAS- ( software as a service ), Applicatie-, back-up- en hostingdiensten zoals overeengekomen tussen Dentasoft en de Klant. Dit kan gepaard gaan met de verwerking van persoonsgegevens door Dentasoft ten behoeve van de Klant als onderdeel van het verschaffen van de desbetreffende Diensten, met inbegrip van persoonsgegevens met betrekking tot patiënten of personeel van de Klant. 1.6. Omschrijving van de verwerking De verwerking die door Dentasoft moet worden verricht is als volgt: a) het onderwerp van de verwerking is als omschreven in artikel 1.5 hierboven en de duur van de verwerking is de periode waarin de Leverancier de Diensten verleent uit hoofde van deze Overeenkomst; b) de aard van de verwerking is als omschreven in artikel 1.5 hierboven en het doeleinde van de verwerking is om de Leverancier in staat te stellen de Diensten uit hoofde van deze Overeenkomst te verlenen; Pagina 2 van 5
c) de persoonsgegevens die moeten worden verwerkt, zijn alle persoonsgegevens die door de Klant worden gevraag om de verschaffing van de Diensten door Dentasoft op grond van deze Overeenkomst mogelijk te maken of te vergemakkelijken als omschreven in artikel 1.5 hierboven, en de categorieën van betrokkenen zijn als omschreven in artikel 1.5 hierboven; d) de verplichtingen en rechten van de verwerkingsverantwoordelijken zijn hierboven uiteengezet. 1.7. Naleving van de Gegevensbeschermingswetgeving Dentasoft en de Klant erkennen dat zij op de hoogte zijn van de Gegevensbeschermingswetgeving en deze zullen naleven (en zullen verzekeren dat hun personeel en/of onderaannemers deze naleven). 1.8. Verantwoordelijke personen en vragen Dentasoft en de Klant zullen elkaar in kennis brengen van de persoon die binnen hun bedrijf bevoegd is om op vragen inzake de persoonsgegevens en de verwerking die het voorwerp van DENTASOFT deze Overeenkomst uitmaakt te beantwoorden. Dentasoft en de Klant zullen alle dergelijke verzoeken snel en redelijk behandelen. 1.9. Verwerking van persoonsgegevens door de Leverancier In verband met de verwerking van persoonsgegevens uit hoofde van deze Overeenkomst, zal het bedrijf: a) de persoonsgegevens alleen verwerken voor zover noodzakelijk om de Diensten te verschaffen en alleen in overeenstemming met (inclusief het doorgeven van persoonsgegevens aan andere internationale personen, bedrijven of instellingen): i. de bepalingen van deze Overeenkomst; de schriftelijke voorschriften die de Klant geeft; tenzij anders door de wet vereist. Indien Dentasoft wettelijk verplicht is om de persoonsgegevens te verwerken op een andere manier dan is voorzien in deze Overeenkomst, zal hij de Klant hiervan in kennis stellen voordat het de betrokken verwerking verricht tenzij de wet Dentasoft verhindert dit te doen om redenen van algemeen belang; b) de passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen tegen de risico s die zich voordoen bij de verwerking, in het bijzonder bescherming tegen onbedoelde of onrechtmatige Pagina 3 van 5
vernietiging, verlies, wijziging, ongeoorloofde verstrekking van, of, toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens op grond van deze Overeenkomst; c) alle redelijke maatregelen nemen om ervoor te zorgen dat: i. enkel gemachtigde personeelsleden toegang hebben tot de persoonsgegevens; i dergelijke toegang beperkt is voor wat noodzakelijk is voor de doeleinden van de verwerking beschreven onder artikel 1.5; alle personen aan wie toestemming wordt verleend tot inzage tot de persoonsgegevens de nodige vertrouwelijkheid in verband met de persoonsgegevens zullen respecteren en handhaven (onder meer door middel van een passende contractuele geheimhoudingsplicht); DENTASOFT d) nooit sub-verwerkers in dienst nemen voor het verlenen van de Diensten zonder de voorafgaande schriftelijke toestemming van de Klant en anders dan in overeenstemming met artikel 1.10; e) niets doen of nalaten te doen, waardoor de Klant zijn verplichtingen op grond van de Gegevensbeschermingswetgeving zou schenden; f) de Klant onmiddellijk in kennis stellen wanneer naar de mening van de Leverancier: i. een instructie gegeven aan de Leverancier die de Gegevensbeschermingswetgeving schendt; de verwerkte persoonsgegevens onjuist, onvolledig of niet relevant zijn. g) Indien van toepassing met betrekking tot persoonsgegevens die worden verwerkt op grond van deze Overeenkomst, samenwerken met en bijstand verlenen aan de Klant om de naleving te verzekeren van: i. De verplichtingen van de Klant om te reageren op verzoeken van betrokkene(n) die hun recht uit hoofde van Hoofdstuk III van de AVG wensen uit te oefenen, met in begrip van de verplichtingen om het Bedrijf in kennis te stellen van alle schriftelijke verzoeken tot inzage die de Leverancier ontvangt met betrekking tot de verplichtingen van de Klant uit hoofde van de Gegevensbeschermingswetgeving; De verplichtingen van de Klant op grond van Artikelen 32-36 van de AVG: de veiligheid van de verwerking verzekeren; Pagina 4 van 5
1.10. Sub-verwerkers de betrokken toezichthoudende autoriteit en de betrokkene(n) in kennis stellen, indien van toepassing, van inbreuken in verband met persoonsgegevens; het uitvoeren van Gegevensbeschermingseffectbeoordeling (GEB of DPIA). Deze procedure analyseert de privacyrisico s van de gegevensverwerking, brengt deze in kaart om vervolgens maatregelen te kunnen nemen deze risico s te verkleinen; wanneer uit een GEB/DPIA blijkt dat de verwerking een hoog risico zou opleveren indien de Klant geen risico beperkende maatregelen neemt, de betrokken toezichthoudende autoriteit vooraf te raadplegen. DENTASOFT Dentasoft besteedt geen informatie, gegevens of diensten uit. 1.11. Toezicht op de uitvoering door de Leverancier De Klant heeft het recht om de naleving door Dentasoft van de Gegevensbeschermingswetgeving en zijn verplichtingen met betrekking tot gegevensverwerking uit hoofde van deze Overeenkomst tijdens kantooruren te toetsen en te controleren. Dentasoft gaat ermee akkoord de Klant alle toegang, bijstand en informatie te geven die redelijkerwijze noodzakelijk is om de toetsing en de desbetreffende audits mogelijk te maken. Als de Klant van mening is dat een audit ter plaatse nodig is, stemt Dentasoft ermee in om de Klant redelijke toegang te verlenen tot zijn gebouwen (onder voorbehoud van redelijke vertrouwelijkheid en veiligheidsmaatregelen) en tot alle opgeslagen persoonsgegevens en gegevensverwerking programma s die ter plaatse zijn. De Klant heeft het recht om de audit te laten verrichten door een derde. De kosten van deze audit zijn volledig ten laste van de Klant. 1.12. Doorgiften buiten de EER en aan derden Dentasoft draagt de persoonsgegevens die hij heeft ontvangen van of ten behoeve van de Klant niet over aan derden. 1.13. Voltooiing van de Diensten Bij voltooiing van de Diensten, moet Dentasoft naar keuze van de Klant alle persoonsgegevens (inclusief kopieën) verwerkt uit hoofde van deze Overeenkomst wissen, tenzij en voor zover Dentasoft wettelijk gehouden is om kopieën van de persoonsgegevens te bewaren. Pagina 5 van 5