Partijen:

Recept Locatie B.V. gevestigd aan de Burgemeester Stramanweg 105 te (1101 AA) Amsterdam, ingeschreven bij de Kamer van Koophandel onder KvK-nummer 77612787 en ten deze rechtsgeldig vertegenwoordigd door S. ter Buurkes de Vries – Ariaans, in de functie van directeur, hierna te noemen “Verwerker”,

en

De klant (zoals gedefinieerd in de algemene voorwaarden en zoals omschreven in de offerte, opdrachtbevestiging of vergelijkbare overeenkomst zijnde de (rechts)persoon of organisatie die digitaal dan wel schriftelijk opdracht heeft verstrekt aan Verwerker voor het leveren van softwarepakketten, diensten of overige zaken, hierna te noemen “Verwerkingsverantwoordelijke”;

tezamen genoemd “partijen”,

In aanmerking nemende dat:

  • Verwerker aan Verwerkingsverantwoordelijke de licentie heeft verleend tot het gebruik van een of meerdere softwarepakketten waarvan de afspraken separaat zijn overeengekomen in de licentieovereenkomst;
  • in het kader van de uitvoering van de licentieovereenkomst tussen Verwerker en Verwerkersverantwoordelijke er Persoonsgegevens zullen worden verwerkt door Verwerker;
  • de Persoonsgegevens afkomstig van Verwerkingsverantwoordelijke vertrouwelijk is en vertrouwelijk behandeld dient te worden;
  • Verwerkingsverantwoordelijke aangemerkt kan worden als verwerkingsverantwoordelijke in de zin van artikel 4.7 van de Algemene Verordening Gegevensbescherming (AVG);
  • Verwerker aangemerkt kan worden als verwerker in de zin van artikel 4.8 AVG;
  • Verwerker en Verwerkingsverantwoordelijke in het kader van de beveiliging van de persoonsgegevens en de verplichting opgenomen in artikel 28 lid 3 AVG de onderhavige verwerkersovereenkomst met elkaar wensen aan te gaan.

Verklaren het volgende te zijn overeengekomen:

Artikel 1: Definities

  1. In deze overeenkomst hebben de volgende met een beginhoofdletter geschreven begrippen de volgende betekenis:
    1. Betrokkene: degene op wie de Persoonsgegevens betrekking heeft;
    2. Software: de software die Verwerker overeenkomstig de Licentieovereenkomst aan Verwerkingsverantwoordelijke ter beschikking stelt;
    3. Licentieovereenkomst: de licentieovereenkomst waarbij aan Verwerkingsverantwoordelijke het recht wordt verleend gebruik te maken van de Software;
    4. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon dat Verwerker op grond van de Licentieovereenkomst verwerkt of dient te verwerken.

Artikel 2: toepasselijkheid

  1. Tenzij partijen anders schriftelijk zijn overeengekomen, zijn de bepalingen van deze verwerkersovereenkomst van toepassing op iedere verwerking van Persoonsgegevens door Verwerker op grond van de Licentieovereenkomst.

Artikel 3: verwerking

  1. Verwerker verwerkt de Persoonsgegevens voor de doeleinden die volgen uit de Licentieovereenkomst.
  2. Verwerker verwerkt het soort Persoonsgegevens van de categorieën van Betrokkenen zoals omschreven in Bijlage 1 “Soort Persoonsgegevens en categorieën Betrokkenen” van deze verwerkersovereenkomst. Verwerkingsverantwoordelijke staat ervoor in dat de in deze bijlage ingevulde gegevens volledig en correct zijn en vrijwaart Verwerker voor aanspraken die voortvloeien uit de onvolledigheid en/of incorrectheid van de ingevulde gegevens.
  3. Verwerker verwerkt de Persoonsgegevens in opdracht van Verwerkingsverantwoordelijke. De verwerking vindt enkel plaats in het kader van het uitvoeren van de Licentieovereenkomst.
  4. Indien het soort Persoonsgegevens, de categorieën van Betrokkenen en/of de verwerkingsdoeleinden wijzigen, dan zal Verwerkingsverantwoordelijke Verwerker daarvan schriftelijk of via de e-mail op de hoogte te stellen. Verwerker is niet verantwoordelijk voor verwerkingsdoeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn kenbaar gemaakt.
  5. Verwerker zal de Persoonsgegevens niet voor een ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Het is Verwerker niet toegestaan de Persoonsgegevens voor eigen doeleinden en/of voor commerciële doeleinden te verwerken. Voor zover de doeleinden van de verwerking niet in deze overeenkomst genoemd zijn, zal Verwerkingsverantwoordelijke Verwerker schriftelijk op de hoogte stellen van deze doeleinden.
  6. Verwerker verwerkt Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke, overeenkomstig diens schriftelijke instructies en onder de verantwoordelijkheid van Verwerkingsverantwoordelijke. Verwerker is niet verantwoordelijk voor de verzameling van de Persoonsgegevens door Verwerkingsverantwoordelijke.
  7. De Persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke dan wel van de Betrokkenen.
  8. Verwerker zal de Persoonsgegevens gedurende de Licentieovereenkomst verwerken.
  9. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van de Persoonsgegevens en neemt geen beslissingen over het gebruik van de Persoonsgegevens. De zeggenschap over de Persoonsgegevens komt nimmer bij Verwerker te berusten. Verwerkingsverantwoordelijke is de verantwoordelijke voor de verwerking van de Persoonsgegevens. Verwerkingsverantwoordelijke heeft en houdt volledige zeggenschap over de Persoonsgegevens.
  10. Verwerkingsverantwoordelijke is gerechtigd nadere aanwijzingen betreffende de verwerking van Persoonsgegevens te geven. Deze aanwijzingen kunnen een uitbreiding, verbijzondering of wijziging van de overeenkomst tot gevolg hebben. Eventuele mondelinge aanwijzingen dienen schriftelijk te worden bevestigd.
  11. In het geval dat een Betrokkene een verzoek omtrent inzage, correctie of verwijdering van Persoonsgegevens richt aan Verwerker, of enig ander recht wenst uit te oefenen, dan stelt Verwerker Verwerkingsverantwoordelijke daarvan op de hoogte. Verwerkingsverantwoordelijke dient het verzoek van de Betrokkene zelf in behandeling te nemen.
  12. Er wordt periodiek een back-up gemaakt van de door Verwerkingsverantwoordelijke via de Software ingevoerde gegevens. Deze back-ups zijn gekoppeld aan de Licentieovereenkomst en zijn niet overdraagbaar.

Artikel 4: wet- en regelgeving

  1. Partijen verplichten zich over en weer conform de AVG te handelen. Dit betekent o.a. dat Verwerkingsverantwoordelijke ervoor instaat dat:
    • Verwerkingsverantwoordelijke een wettelijke grondslag heeft voor de verwerking van de Persoonsgegevens;
    • ten aanzien van de Betrokkenen de verwerking behoorlijk en transparant is;
    • de inhoud, het gebruik en de opdracht tot verwerkingen van de Persoonsgegevens, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden;
    • Verwerkingsverantwoordelijke de Betrokkenen alle wettelijke verplichte informatie verstrekt omtrent het verwerken van Persoonsgegevens, bijvoorbeeld middels een helder en volledig omschreven privacy beleid;
    • Verwerkingsverantwoordelijke, indien Verwerkingsverantwoordelijke daartoe ingevolge de AVG verplicht is, een register bijhoudt met de verwerkingsactiviteiten.
  2. Handelt Verwerkingsverantwoordelijke in strijd met de AVG, dan is Verwerkingsverantwoordelijke aansprakelijk voor alle schade die Verwerker daardoor lijdt. Onder schade dient o.a. te worden verstaan opgelegde boetes en de schadevergoeding die Verwerker aan een Betrokkene dient te betalen.
  3. Verwerkingsverantwoordelijke garandeert dat hij de Persoonsgegevens verkregen heeft in overeenstemming met de relevante wetgeving, althans, dat er geen wettelijk beletsel voor de verkrijging van de Persoonsgegevens bestaat.
  4. Indien Verwerker in opdracht van Verwerkingsverantwoordelijke bijzondere Persoonsgegevens verwerkt, dan garandeert Verwerkingsverantwoordelijke dat hij van de Betrokkene van wie hij de bijzondere Persoonsgegevens verwerkt uitdrukkelijk toestemming heeft verkregen voor de verwerking van zijn bijzondere persoonsgegevens voor een of meer welbepaalde doeleinden of dat er sprake is van een wettelijke uitzondering waarbij het verwerken van bijzondere Persoonsgegevens is toegestaan.

Artikel 5: verplichtingen van verwerker

  1. Verwerker zal de Persoonsgegevens alleen verwerken in overeenstemming met het bepaalde in deze verwerkersovereenkomst, de Licentieovereenkomst en eventuele andere schriftelijke instructies van Verwerkingsverantwoordelijke met betrekking tot de verwerking van de Persoonsgegevens.
  2. Verwerker verleent Verwerkingsverantwoordelijke volledige medewerking om te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder met betrekking tot de rechten van Betrokkenen, zoals, maar niet beperkt tot, een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens. Indien een verzoek van Betrokkene de normale uitoefening van zijn recht overstijgt waardoor Verwerker genoodzaakt is daarvoor extra tijd en kosten te maken, dan is Verwerker gerechtigd daarvoor bij Verwerkingsverantwoordelijke administratieve kosten in rekening brengen.

Artikel 6: sub-verwerker

  1. Middels het ondertekenen van deze overeenkomst gaat Verwerkingsverantwoordelijke ermee akkoord dat Verwerker een derde partij inschakelt bij het uitvoeren van de Licentieovereenkomst, deze derde partij in opdracht van Verwerker persoonsgegevens verwerkt en deze derde partij derhalve dient te worden aangemerkt als sub-verwerker.
  2. Verwerker zal met zijn sub-verwerker een verwerkersovereenkomst aangaan waarin de sub-verwerker wordt gebonden aan minimaal dezelfde verplichtingen die Verwerker overeenkomstig deze overeenkomst jegens Verwerkingsverantwoordelijke heeft, of sub-verwerkers hebben middels een overige rechtshandeling, zoals in algemene voorwaarden, hun verplichtingen i.v.m. de verwerking van persoonsgegevens vastgelegd.
  3. Zowel Verwerker als zijn sub-verwerker zal de Persoonsgegevens uitsluitend opslaan en verwerken binnen de Europese Economische Ruimte (EER). Verwerker draagt er zorg voor dat de Persoonsgegevens op geen enkele wijze buiten de EER worden verwerkt, niet via opslag in de cloud, noch door verwerking door ingeschakelde derden vanuit een locatie buiten de Europese Unie, tenzij Partijen anders schriftelijk zijn overeengekomen.
  4. In het geval van verwerking van Persoonsgegevens buiten de EER, zullen deze slechts worden verwerkt in landen met een adequaat beschermingsregime die passende waarborgen bieden en waar Betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.

Artikel 7: beveiliging en controle

  1. Er zijn passende technische en organisatorische maatregelen genomen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen Persoonsgegevens met zich meebrengen.
  2. Verwerker neemt de volgende beveiligingsmaatregelen:
    • het datacenter waar de server staat is streng beveiligd;
    • het gebruiken van systemen met sterke wachtwoorden om toegang door onbevoegden tot informatiesystemen te voorkomen;
    • de Persoonsgegevens worden opgeslagen op beveiligde (externe) servers;
    • het gebruiken van beveiligde netwerkverbindingen;
    • het versleuteld opslaan van Persoonsgegevens;
    • het uitvoeren van tijdige software updates;
    • NEN7510 certificering;
    • voor medewerkers is overlegging van een VOG vereist;
    • bij de ontwikkeling van de Software is Security en Privacy by design toegepast;
    • Fysieke bescherming van IT-voorzieningen en apparatuur tegen toegang door onbevoegden en tegen schade en storingen.
  3. Periodiek wordt de beveiliging van de systemen getest.
  4. Indien beveiligingsmaatregelen wijzigingen ondergaan, dan stelt Verwerker Verwerkingsverantwoordelijke in kennis van deze wijzigingen.
  5. Verwerker verschaft Verwerkingsverantwoordelijke alle informatie die voor Verwerkingsverantwoordelijke nodig is om vast te stellen dat Verwerker zijn verplichtingen die volgen uit deze overeenkomst nakomt.
  6. Verwerkingsverantwoordelijke is gerechtigd gedurende de uitvoering van de Licentieovereenkomst maximaal eenmaal per jaar de hiervoor genoemde beveiligingsmaatregelen door een onafhankelijke IT-deskundige te laten controleren door middel van een audit. Verwerkingsverantwoordelijke stelt Apotheek Partners schriftelijk of via de e-mail minimaal 4 weken voorafgaand aan de controle ervan op de hoogte dat een controle uitgevoerd gaat worden en van de partij die de controle uitvoert. De onafhankelijke IT-deskundige dient door Verwerkingsverantwoordelijke middels een geheimhoudingsverklaring worden verplicht vertrouwelijke informatie en Persoonsgegevens waarvan hij tijdens de controle toegang tot krijgt geheim te houden.
  7. De kosten voor deze controle zijn voor rekening van Verwerkingsverantwoordelijke.
  8. Verwerker garandeert haar medewerking te verlenen aan de controle. De uitkomst van de controle wordt door partijen gezamenlijk besproken om te komen tot een eventueel verbeterplan als daar aanleiding toe zou zijn. Indien de IT-deskundige een lek constateert en/of constateert dat de door Verwerker genomen beveiligingsmaatregelen niet afdoende zijn, dan geeft dat Verwerkingsverantwoordelijke niet het recht de Licentieovereenkomst tussentijds te ontbinden, tenzij Verwerker zich niet maximaal inspant om het lek te verhelpen dan wel om de beveiligingsmaatregelen te verbeteren.

Artikel 8: datalek

  1. Verwerker tracht er alles aan te doen dat binnen haar macht ligt om datalekken te voorkomen. Ondanks alle genomen beveiligingsmaatregelen kan Verwerker niet garanderen dat er geen datalek ontstaat.
  2. Indien zich i.v.m. het verwerken van Persoonsgegevens een beveiligingsincident heeft voorgedaan waarbij Persoonsgegevens van gevoelige aard zijn gelekt of waardoor om een andere reden sprake is van een ernstig nadelig gevolg voor de bescherming van de verwerkte Persoonsgegevens, dan zal Verwerker Verwerkingsverantwoordelijke daarvan zo spoedig mogelijk en uiterlijk binnen 48 uur in kennis stellen. Verwerkingsverantwoordelijke dient zelf te beoordelen of er sprake is van een dermate ernstig datalek dat melding aan de Autoriteit Persoonsgegevens verplicht is en is zelf verantwoordelijk voor het tijdig melden van een ernstig datalek. Verwerker verstrekt op verzoek van Verwerkingsverantwoordelijke alle informatie die voor Verwerkingsverantwoordelijke benodigd is om de melding te maken bij de Autoriteit Persoonsgegevens.
  3. Indien er sprake is van een datalek dat ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de Betrokkenen, dan dienen de Betrokkenen daarvan op de hoogte te worden gesteld, tenzij er sprake is van een wettelijke uitzondering. Verwerkingsverantwoordelijke is verantwoordelijk voor het beoordelen of er sprake is van een datalek zoals hierboven omschreven en voor het melden van een dergelijk datalek aan de Betrokkenen. Indien Verwerker daartoe op basis van wet- en regelgeving verplicht is, zal zij haar medewerking verlenen aan het informeren van de Betrokkenen.
  4. Verwerker houdt een data- en incidentenregister bij.

Artikel 9: geheimhouding en personeel van verwerker

  1. De Persoonsgegevens zullen door Verwerker niet aan derden worden verstrekt. Een medewerker van Verwerker heeft enkel toegang tot die Persoonsgegevens die voor de betreffende medewerker strikt noodzakelijk zijn om de opgedragen werkzaamheden in de Licentieovereenkomst uit te kunnen voeren. Toegangsrechten van een medewerker van Verwerker worden direct geblokkeerd als toegang tot de Persoonsgegevens in het kader van de uitvoering van de Licentieovereenkomst niet meer noodzakelijk is dan wel als een medewerker niet meer werkzaam is bij/voor Verwerker.
  2. Verwerker is verplicht de van Verwerkingsverantwoordelijke toegankelijke Persoonsgegevens geheim te houden en van zijn medewerkers hetzelfde te bedingen. Deze verplichting geldt niet voor zover een wettelijk voorschrift of vonnis Verwerker tot enige bekendmaking verplicht. De medewerkers van Verwerker tekenen een geheimhoudingsverklaring of de plicht tot geheimhouding is verwerkt in de arbeidsovereenkomst, een personeelshandboek of beveiligingsprotocol waaraan de medewerkers gebonden zijn of in de (opdracht)overeenkomst die de medewerkers met Verwerker zijn aangegaan. Voor de medewerkers van Verwerker is bewustzijn Informatiebeveiliging onderdeel van het inwerkprogramma en een wederkerend onderwerp binnen de organisatie van Verwerker. De medewerkers van Verwerker hebben kennisgenomen van de inhoud van deze overeenkomst.

Artikel 10: informatieverstrekking

  1. Verwerker zal Verwerkingsverantwoordelijke onverwijld informeren indien een daartoe bevoegde (overheids-)instantie een op de wet gebaseerd verzoek tot verstrekking van de Persoonsgegevens heeft gedaan. Indien Verwerker op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, verifieert Verwerker de grondslag van het verzoek en de identiteit van de verzoeker en informeert zij onmiddellijk, zo mogelijk voorafgaand aan de verstrekking, Verwerkingsverantwoordelijke ter zake.

Artikel 11: relatie tot de licentieovereenkomst

  1. Deze verwerkersovereenkomst maakt integraal onderdeel uit van de Licentieovereenkomst.
  2. Deze verwerkersovereenkomst treedt in werking gelijktijdig met de Licentieovereenkomst en eindigt op het moment dat de Licentieovereenkomst eindigt, zonder dat daartoe opzegging dan wel een andere handeling is vereist.
  3. Na beëindiging van de verwerkersovereenkomst of op eerste verzoek van Verwerkingsverantwoordelijke zal Verwerker de Persoonsgegevens aan Verwerkingsverantwoordelijke ter beschikking stellen en de Persoonsgegevens uit de systemen (laten) verwijderen. Op eerste verzoek van Verwerkingsverantwoordelijke toont Verwerker aan dat dit daadwerkelijk gebeurd is.
  4. Indien er voor Verwerkingsverantwoordelijke een wettelijk verplichting tot opslag van de Persoonsgegevens geldt, kan Verwerker daar ten gunste van Verwerkingsverantwoordelijke op de volgende wijzen in voorzien:
    1. Verwerker slaat de door Verwerkingsverantwoordelijke gewenste Persoonsgegevens op en stelt de Persoonsgegevens ter beschikking na afloop van elk licentie- of boekjaar middels een ‘datadump’ en tegen betaling van een door Partijen overeen te komen vergoeding;
    2. Verwerker slaat de door Verwerkingsverantwoordelijke gewenste Persoonsgegevens jaarlijks op tegen betaling van een door Partijen overeen te komen vergoeding;
    3. Verwerker voorziet gedurende de Licentieovereenkomst in opslag van de gewenste Persoonsgegevens, welke na afloop van de Licentieovereenkomst ter beschikking worden gesteld van Verwerkingsverantwoordelijke of op verzoek van Verwerkingsverantwoordelijke gewist tegen betaling van een door Partijen overeen te komen vergoeding.

Artikel 12: aansprakelijkheid

  1. Verwerker kan nimmer verantwoordelijk worden gesteld voor boetes die aan Verwerkingsverantwoordelijke worden opgelegd i.v.m. de verwerking van Persoonsgegevens.
  2. Indien Verwerker gehouden is een schadevergoeding aan een of meerdere Betrokkenen te betalen wegens inbreuk op de AVG, dan heeft Verwerker een verhaalsrecht op Verwerkingsverantwoordelijke en is Verwerkingsverantwoordelijke verplicht deze schade aan Verwerker te vergoeden, met uitzondering van de schade ontstaan doordat Verwerker niet heeft voldaan aan de specifiek tot verwerkers gerichte verplichtingen van de AVG of doordat Verwerker buiten of in strijd met de instructies van Verwerkingsverantwoordelijke heeft gehandeld, met dien verstande dat de aansprakelijkheid van Verwerker te allen tijde beperkt is tot het bedrag dat in de algemene voorwaarden van Verwerker is opgenomen.
  3. Aansprakelijkheid aan de zijde van Verwerker wegens een toerekenbare tekortkoming in de nakoming van deze overeenkomst ontstaat pas op het moment dat Verwerkingsverantwoordelijke Verwerker een schriftelijke ingebrekestelling heeft gestuurd waarin duidelijk de tekortkoming van Verwerker wordt omschreven en Verwerker een redelijke termijn wordt gegeven alsnog na te komen en Verwerker aan deze ingebrekestelling geen gehoor heeft gegeven. Een ingebrekestelling kan achterwege blijven indien nakoming blijvend onmogelijk is.

Artikel 13: nietigheid

  1. Indien de onderhavige verwerkersovereenkomst bepalingen bevat die ten gevolge van (gewijzigde) wettelijke bepalingen en/of een in kracht van gewijsde gegane rechterlijke uitspraak nietig blijken te zijn, dan wel onverbindend worden verklaard, verbinden partijen zich reeds nu voor alsdan om in onderling overleg een zodanige regeling overeen te komen, dat daardoor zoveel mogelijk recht wordt gedaan en tegemoet wordt gekomen aan de bedoeling welke partijen hebben gehad bij het aangaan van deze verwerkersovereenkomst.

Artikel 14: wijzigingen en bijlage

  1. Wijzigingen op deze verwerkersovereenkomst zullen alleen geldig zijn en alleen van kracht worden indien deze schriftelijk zijn overeengekomen en door beide partijen zijn ondertekend. Partijen zien erop toe dat wijzigingen op deze overeenkomst niet in strijd zijn met de AVG.
  2. De Bijlage 1 “Soort Persoonsgegevens en categorieën Betrokkenen” maakt integraal onderdeel uit van deze verwerkersovereenkomst.

Artikel 15: toepasselijk recht en bevoegde rechter

  1. Op deze verwerkersovereenkomst is Nederlands recht van toepassing.
  2. Geschillen met betrekking tot deze verwerkersovereenkomst zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Verwerker gevestigd is.