Verwerkersovereenkomst
0. Waarom een verwerkersovereenkomst?
Diaweb verwerkt in opdracht van jou persoonsgegevens van jou en je cliënten. De Algemene Verordening Gegevensbescherming schrijft voor dat we dan een verwerkersovereenkomst moeten afsluiten. Deze verwerkersovereenkomst is gebaseerd op het standaard model verwerkersovereenkomst voor de zorgsector.
1. Wat betekenen al die juridische termen?
Persoonsgegevens zijn gegevens die direct over een persoon gaan of naar een persoon te herleiden zijn, zoals een e-mailadres, geboortedatum en genoten opleiding.
Betrokkenen zijn personen waarvan persoonsgegevens verwerkt worden; in deze overeenkomst zijn jij en je cliënten dat.
Verwerken is alles wat er met persoonsgegevens gedaan kan worden, zoals verzamelen, vastleggen, wijzigen, raadplegen, openbaar maken, wissen en verwijderen.
De verwerkingsverantwoordelijke bepaalt welke persoonsgegevens de verwerker met welk doel mag verwerken; in deze overeenkomst ben jij dat.
De verwerker verwerkt persoonsgegevens voor de verwerkingsverantwoordelijke; in deze overeenkomst is dat diaweb.
Subverwerkers verwerken persoonsgegevens voor de verwerker; diaweb maakt zo min mogelijk gebruik van subverwerkers.
Incidenten zijn ongeautoriseerde verwerkingen van persoonsgegevens, zoals datalekken en gegevensverlies.
De verwerkersovereenkomst bevat de afspraken tussen de verwerker en de verwerkingsverantwoordelijke over het verwerken van persoonsgegevens.
2. Waar gaat deze verwerkersovereenkomst over?
Diaweb verwerkt de volgende persoonsgegevens in opdracht van jou om psychodiagnostische testen uit te werken.
- Het e-mailadres van je werk of opleiding.
- De organisatie waar je werkzaam bent en waar je cliënten een behandelrelatie mee hebben.
- De geboortedatum, het geslacht en het (opleidings)niveau van je cliënten.
- De ruwe en geschaalde scores van je cliënten.
3. Wat doet diaweb met persoonsgegevens?
Diaweb verwerkt persoonsgegevens alleen om psychodiagnostische testen voor jou uit te werken. Persoonsgegevens worden niet doorgegeven aan andere partijen. Diaweb houdt zich daarbij aan de geldende wet- en regelgeving. Medewerkers van diaweb hebben een geheimhoudingsplicht.
Diaweb neemt niet zelfstandig beslissingen over persoonsgegevens. Jij bent verantwoordelijk voor de persoonsgegevens en jij stelt vast dat ze op de juiste manier verwerkt zijn, dus dat de uitwerkingen correct zijn. Als een uitwerking niet correct is, dan stel je diaweb daarvan op de hoogte. Diaweb is niet aansprakelijk voor de gevolgen van incorrecte uitwerkingen, maar corrigeert incorrecte uitwerkingen snel en communiceert daar transparant over.
Jij kunt de verwerking van persoonsgegevens laten controleren door een onafhankelijke auditor. De kosten van dat onderzoek zijn voor jouw rekening.
4. Hoe beveiligt diaweb persoonsgegevens?
Diaweb heeft passende en doeltreffende technische en organisatorische beveiligingsmaatregelen getroffen om persoonsgegevens te beveiligen tegen onrechtmatige verwerking.
- Op naam gestelde cryptografische certificaten voor toegang tot servers
- Monitoring van netwerkactiviteit
- SSL-certificaten ter beveiliging van netwerkverbindingen
- Sterke wachtwoorden
- Toegangsbeveiliging met IP-restricties
- Regelmatige versleutelde backups
- Twee-factor authenticatie voor toegang tot kritische systemen
- Ingebouwde beveiligingsmaatregelen waaronder adequaat toegangsbeheer
Diaweb evalueert de beveiligingsmaatregelen regelmatig en verbetert ze waar mogelijk.
5. Wat doet diaweb bij een incident?
Jij bent verplicht incidenten (datalekken) te melden bij de Autoriteit Persoonsgegevens. Diaweb informeert je juist, tijdig en zo volledig mogelijk over incidenten en houdt je op de hoogte van de voortgang. Die informatie bevat in ieder geval een omschrijving van het incident, de gevolgen ervan en de maatregelen om de gevolgen te beperken.
6. Hoe gaat diaweb om met verzoeken van betrokkenen?
Diaweb stuurt vragen van betrokkenen aan jou door.
Als een cliënt vraagt welke persoonsgegevens diaweb van hen verwerkt en opslaat, dan ben je verplicht deze informatie te verstrekken.
Als een cliënt vraagt om persoonsgegevens te corrigeren of te verwijderen, dan hangt het van de omstandigheden af of je daartoe verplicht bent.
7. Van welke subverwerkers maakt diaweb gebruik?
Diaweb maakt gebruik van diensten van Qweb als subverwerker voor de hosting. Die subverwerker heeft een verwerkersovereenkomst met minimaal het beveiligingsniveau van diaweb. Alle opslag en gegevensverwerking vindt plaats in Nederland op een goed beveiligde webserver. Als Diaweb in de toekomst gebruik gaat maken van een andere subverwerker, dan zal dat in een nieuwe versie van deze verwerkersovereenkomst worden opgenomen.
8. Waar is diaweb voor aansprakelijk?
Diaweb is alleen aansprakelijk voor schade als Diaweb onvoldoende technische en organisatorische beveiligingsmaatregelen heeft genomen. De aansprakelijkheid van diaweb is in alle gevallen beperkt tot vergoeding van directe schade, tot het maximum van de abonnementsprijs per jaar. Diaweb is niet aansprakelijk voor schade die ontstaat doordat jij een zwak wachtwoord gebruikt voor je e-mailaccount of als je geen twee-factor-authenticatie gebruikt.
9. Wat zijn de kosten?
De kosten voor het uitwerken van psychodiagnostische testen zijn verwerkt in de abonnementsprijs. Werkzaamheden die voortkomen uit tekortkomingen van diaweb worden kosteloos verricht. Alle andere dienstverlening, zoals extra ondersteuning van jou en verzoeken tot aanvullende informatie, wordt in rekening gebracht tegen het tarief van honderdtwintig euro per uur.
10. Hoe beëindig je deze verwerkersovereenkomst?
Deze verwerkersovereenkomst geldt zolang je gebruik maakt van diaweb. Als je je gegevens wist, dan beëindig je deze verwerkersovereenkomst automatisch.
11. Hoe lang bewaart diaweb persoonsgegevens?
Diaweb bewaart zo min mogelijk persoonsgegevens en niet langer dan noodzakelijk. Uitwerkingen worden automatisch verwijderd na verloop van tijd; na hoeveel tijd hangt af van het abonnement. Je kunt op elk moment je gegevens exporteren of wissen.
12. Hoe zit het met rechten op de persoonsgegevens?
Jij garandeert dat de persoonsgegevens die diaweb voor jou verwerkt rechtmatig zijn verkregen.
- Je bent een geschoolde en bevoegde psychodiagnosticus, zoals een psycholoog of orthopedagoog, of in opleiding daartoe.
- Je bent werkzaam bij een organisatie die zich bezighoudt met psychodiagnostiek of je volgt een opleiding daarvoor.
- Je hebt een e-mailadres bij die organisatie of opleiding dat je gebruikt om in te loggen bij diaweb.
- Je cliënten hebben een behandelrelatie met die organisatie of opleiding.
13. Wat doen we als er een geschil is?
We bespreken een geschil en proberen eerst er samen uit te komen. Als dat niet lukt, dan leggen we het geschil voor aan de Nederlandse rechter, want op deze verwerkersovereenkomst is Nederlands recht van toepassing.
Als je vragen of opmerkingen hebt over deze verwerkingsovereenkomst, stuur dan een e-mail aan dirk@diaweb.nl.