Verwerkersovereenkomst (AVG)

Inleiding

Deze verwerkersovereenkomst is opgesteld conform artikel 28 van de Algemene Verordening Gegevensbescherming (AVG) en regelt de verwerking van persoonsgegevens door Slimme Receptie namens u als verwerkingsverantwoordelijke.

Deze overeenkomst maakt integraal deel uit van de hoofdovereenkomst tussen Slimme Receptie en de Klant.

Artikel 1 - Definities

• AVG: Algemene Verordening Gegevensbescherming (EU 2016/679)
• Verwerkingsverantwoordelijke: De Klant (tandartspraktijk)
• Verwerker: Slimme Receptie (handelsnaam van ShowUpWorks, KvK: 98659030)
• Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (patiënt)
• Verwerking: Elke bewerking met betrekking tot persoonsgegevens
• Datalek: Een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeautoriseerde toegang tot persoonsgegevens

Artikel 2 - Toepasselijkheid en duur

2.1 Deze verwerkersovereenkomst is van toepassing op alle verwerkingen van persoonsgegevens die Slimme Receptie uitvoert in het kader van de dienstverlening.

2.2 Deze overeenkomst treedt in werking op de datum van aanvang van de dienstverlening en eindigt bij beëindiging van de hoofdovereenkomst.

2.3 De verplichtingen uit deze overeenkomst blijven van kracht na beëindiging voor zover dat noodzakelijk is voor de naleving van de AVG.

Artikel 3 - Aard en doel van de verwerking

3.1 Doel van de verwerking:

• Versturen van automatische afspraakbevestigingen via WhatsApp en e-mail
• Versturen van herinneringen bij geen reactie
• Registreren van bevestigingen en reacties
• Genereren van statistieken en rapportages

3.2 Aard van de verwerking:

• Verzamelen van afspraakgegevens uit de agenda van de Klant
• Opslaan van contactgegevens en afspraakdetails
• Versturen van berichten via WhatsApp en e-mail
• Registreren van reacties en bevestigingen
• Verwijderen van gegevens na afloop van de bewaartermijn

Artikel 4 - Categorieën van betrokkenen en persoonsgegevens

4.1 Categorieën van betrokkenen:

• Patiënten van de tandartspraktijk
• Contactpersonen van de praktijk

4.2 Categorieën van persoonsgegevens:

• Naam (voor- en achternaam)
• Telefoonnummer
• E-mailadres
• Afspraakgegevens (datum, tijd, type behandeling)
• Reacties op bevestigingsberichten

4.3 Er worden geen bijzondere categorieën van persoonsgegevens (zoals medische gegevens) verwerkt, tenzij de Klant deze expliciet in de afspraakbeschrijving opneemt (wat wordt afgeraden).

Artikel 5 - Verplichtingen van de Verwerker

5.1 Slimme Receptie verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke.

5.2 Slimme Receptie zorgt ervoor dat personen die toegang hebben tot persoonsgegevens zich tot geheimhouding hebben verplicht.

5.3 Slimme Receptie neemt passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen (zie Artikel 7).

5.4 Slimme Receptie schakelt geen sub-verwerkers in zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke (zie Artikel 6).

5.5 Slimme Receptie helpt de Verwerkingsverantwoordelijke bij het nakomen van verzoeken van betrokkenen (inzage, rectificatie, verwijdering, etc.).

5.6 Slimme Receptie helpt de Verwerkingsverantwoordelijke bij het voldoen aan de verplichtingen uit de AVG.

5.7 Slimme Receptie verwijdert of retourneert alle persoonsgegevens na beëindiging van de dienstverlening, tenzij bewaring wettelijk verplicht is.

5.8 Slimme Receptie stelt alle informatie beschikbaar die nodig is om naleving van de AVG aan te tonen en staat audits toe.

Artikel 6 - Sub-verwerkers

6.1 Slimme Receptie maakt gebruik van de volgende sub-verwerkers:

• Twilio Inc. - Voor het versturen van WhatsApp en SMS berichten (VS, EU-VS Data Privacy Framework)
• Google LLC - Voor e-mail en agenda-integratie (VS, EU-VS Data Privacy Framework)
• Vercel Inc. - Voor hosting van de applicatie (VS, EU-VS Data Privacy Framework)
• Amazon Web Services - Voor database hosting (EU regio)

6.2 Met alle sub-verwerkers zijn verwerkersovereenkomsten gesloten die voldoen aan artikel 28 AVG.

6.3 Slimme Receptie blijft volledig aansprakelijk jegens de Verwerkingsverantwoordelijke voor de nakoming van de verplichtingen van sub-verwerkers.

6.4 Wijzigingen in sub-verwerkers worden minimaal 30 dagen van tevoren aangekondigd. De Verwerkingsverantwoordelijke kan bezwaar maken binnen 14 dagen.

6.5 Bij gegrond bezwaar heeft de Verwerkingsverantwoordelijke het recht de overeenkomst te beëindigen zonder kosten.

Artikel 7 - Beveiligingsmaatregelen

7.1 Slimme Receptie heeft de volgende technische en organisatorische maatregelen getroffen:

Technische maatregelen:

• SSL/TLS encryptie (HTTPS) voor alle communicatie
• Encryptie van persoonsgegevens in de database (AES-256)
• Encryptie van back-ups
• Sterke wachtwoordvereisten en multi-factor authenticatie
• Automatische uitlogfunctie na inactiviteit
• Firewall en intrusion detection systemen
• Regelmatige security updates en patches
• Logging van toegang tot persoonsgegevens

Organisatorische maatregelen:

• Toegangscontrole op basis van "need to know" principe
• Geheimhoudingsverklaringen voor alle medewerkers
• AVG-training voor medewerkers
• Incident response plan voor datalekken
• Regelmatige security audits
• Back-up en disaster recovery procedures
• Verwerkersovereenkomsten met alle sub-verwerkers

7.2 Slimme Receptie evalueert en actualiseert deze maatregelen regelmatig om een passend beveiligingsniveau te waarborgen.

Artikel 8 - Datalekken

8.1 Slimme Receptie meldt een datalek zonder onredelijke vertraging, en indien mogelijk binnen 24 uur na ontdekking, aan de Verwerkingsverantwoordelijke.

8.2 De melding bevat minimaal:

• De aard van het datalek
• De categorieën en het geschatte aantal betrokkenen
• De categorieën en het geschatte aantal gegevens
• De waarschijnlijke gevolgen van het datalek
• De genomen of voorgestelde maatregelen
• Contactgegevens voor meer informatie

8.3 Slimme Receptie werkt mee aan het beperken van de gevolgen van het datalek.

8.4 De Verwerkingsverantwoordelijke is zelf verantwoordelijk voor het melden van het datalek aan de Autoriteit Persoonsgegevens en betrokkenen, indien vereist.

Artikel 9 - Rechten van betrokkenen

9.1 Slimme Receptie helpt de Verwerkingsverantwoordelijke bij het nakomen van verzoeken van betrokkenen, waaronder:

• Recht op inzage (artikel 15 AVG)
• Recht op rectificatie (artikel 16 AVG)
• Recht op verwijdering / recht op vergetelheid (artikel 17 AVG)
• Recht op beperking van de verwerking (artikel 18 AVG)
• Recht op dataportabiliteit (artikel 20 AVG)
• Recht van bezwaar (artikel 21 AVG)

9.2 Verzoeken van betrokkenen die rechtstreeks bij Slimme Receptie binnenkomen, worden binnen 48 uur doorgestuurd naar de Verwerkingsverantwoordelijke.

9.3 Slimme Receptie brengt redelijke kosten in rekening voor het verlenen van bijstand bij complexe verzoeken.

Artikel 10 - Gegevensdoorgifte buiten de EU

10.1 Sommige sub-verwerkers (Twilio, Google, Vercel) kunnen gegevens verwerken buiten de Europese Economische Ruimte (EER).

10.2 Voor deze doorgiften zijn de volgende waarborgen getroffen:

• Deelname aan het EU-VS Data Privacy Framework
• Standaard Contractuele Clausules (SCC's) goedgekeurd door de Europese Commissie
• Aanvullende technische maatregelen (encryptie)

10.3 Documentatie van deze waarborgen is op verzoek beschikbaar.

Artikel 11 - Bewaartermijnen

11.1 Slimme Receptie bewaart persoonsgegevens niet langer dan noodzakelijk:

• Afspraakgegevens: Maximaal 30 dagen na de afspraak
• Bevestigingsberichten: Maximaal 30 dagen na verzending
• Statistieken: Geanonimiseerd, onbeperkt
• Logbestanden: Maximaal 90 dagen

11.2 Na afloop van de bewaartermijn worden persoonsgegevens automatisch en definitief verwijderd.

Artikel 12 - Audit en controle

12.1 Slimme Receptie stelt alle informatie beschikbaar die nodig is om naleving van de AVG aan te tonen.

12.2 De Verwerkingsverantwoordelijke heeft het recht om audits uit te voeren of te laten uitvoeren, mits:

• Minimaal 30 dagen van tevoren schriftelijk aangekondigd
• Maximaal 1x per jaar (tenzij er een datalek is geweest)
• Tijdens kantooruren
• Zonder verstoring van de bedrijfsvoering
• Onder geheimhouding

12.3 Kosten van de audit zijn voor rekening van de Verwerkingsverantwoordelijke, tenzij de audit ernstige tekortkomingen aantoont.

12.4 Slimme Receptie verstrekt jaarlijks een rapportage over de getroffen beveiligingsmaatregelen.

Artikel 13 - Beëindiging

13.1 Bij beëindiging van de overeenkomst:

• Verwijdert Slimme Receptie alle persoonsgegevens binnen 30 dagen
• Of retourneert deze op verzoek in een gangbaar formaat
• Tenzij bewaring wettelijk verplicht is (bijv. facturatiegegevens)

13.2 Slimme Receptie verstrekt schriftelijke bevestiging van verwijdering.

13.3 Back-ups worden binnen 90 dagen na beëindiging verwijderd.

Artikel 14 - Aansprakelijkheid

14.1 Slimme Receptie is aansprakelijk voor schade veroorzaakt door niet-naleving van de AVG, conform artikel 82 AVG.

14.2 Slimme Receptie is niet aansprakelijk indien kan worden aangetoond dat zij op geen enkele wijze verantwoordelijk is voor de gebeurtenis die tot schade heeft geleid.

14.3 Voor het overige is de aansprakelijkheidsbeperking uit de Algemene Voorwaarden van toepassing.

Artikel 15 - Wijzigingen

15.1 Wijzigingen in deze verwerkersovereenkomst worden minimaal 60 dagen van tevoren aangekondigd.

15.2 Indien de Verwerkingsverantwoordelijke niet akkoord gaat met de wijzigingen, kan de overeenkomst worden opgezegd per de ingangsdatum van de wijzigingen.

Artikel 16 - Toepasselijk recht

16.1 Op deze verwerkersovereenkomst is Nederlands recht van toepassing.

16.2 Geschillen worden voorgelegd aan de bevoegde rechter in Nederland.

Contact

Voor vragen over deze verwerkersovereenkomst kunt u contact opnemen met:

ShowUpWorks (handelsnaam: Slimme Receptie)
KvK-nummer: 98659030
Email: info@slimmereceptie.nl
Telefoon: +31 6 18445394