Verwerkersovereenkomst (DPA)
Laatst bijgewerkt: 26 februari 2026
Deze Verwerkersovereenkomst ("Overeenkomst") maakt integraal deel uit van de Algemene Voorwaarden van Medinext. Deze overeenkomst wordt gesloten tussen:
- De Klant (hierna: "Verwerkingsverantwoordelijke"), en
- Medinext (hierna: "Verwerker").
1. Onderwerp van de overeenkomst
1.1. De Verwerker verbindt zich ertoe om persoonsgegevens te verwerken in opdracht van de Verwerkingsverantwoordelijke in het kader van de levering van de software.
1.2. De aard van de verwerking omvat het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, raadplegen en wissen van patiëntgegevens en administratieve gegevens.
1.3. De details van de verwerking (zoals de categorieën betrokkenen en het soort persoonsgegevens) zijn nader gespecificeerd in Bijlage 1, die integraal onderdeel uitmaakt van deze Overeenkomst.
2. Instructies
2.1. De Verwerker verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke. De instructies worden geacht te zijn gegeven door het gebruik van de functionaliteiten in de applicatie (bijv. het opslaan van een dossier).
2.2. Als de Verwerker van mening is dat een instructie inbreuk maakt op de AVG/GDPR, zal hij de Verwerkingsverantwoordelijke daar onmiddellijk over informeren.
3. Geheimhouding
3.1. De Verwerker garandeert dat de personen die gemachtigd zijn om de persoonsgegevens te verwerken (bv. personeel, freelancers), zich ertoe hebben verbonden de vertrouwelijkheid in acht te nemen of door een wettelijke verplichting van vertrouwelijkheid zijn gebonden.
4. Beveiliging (Artikel 32 AVG)
4.1. De Verwerker neemt passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Deze maatregelen omvatten onder meer:
- Encryptie: Versleuteling van data in transit (HTTPS) en at rest (Database encryptie).
- Single Tenant: Fysieke scheiding van data door gebruik van individuele servers per klant.
- Back-ups: Dagelijkse back-ups om de beschikbaarheid en toegang te herstellen bij incidenten (tot 7 dagen terug).
- Toegangscontrole: Strikte beperking van toegang tot de servers.
5. Subverwerkers
5.1. De Verwerkingsverantwoordelijke geeft hierbij een algemene toestemming aan de Verwerker om andere verwerkers ("Subverwerkers") in dienst te nemen.
5.2. De huidige subverwerkers zijn opgenomen in het Privacybeleid.
5.3. De Verwerker blijft volledig aansprakelijk ten aanzien van de Verwerkingsverantwoordelijke voor de nakoming van de verplichtingen van de subverwerker.
6. Rechten van betrokkenen
6.1. De Verwerker zal, voor zover mogelijk, bijstand verlenen aan de Verwerkingsverantwoordelijke bij het vervullen van diens plicht om verzoeken van patiënten (zoals inzage, correctie, verwijdering) te beantwoorden.
6.2. Veel van deze acties (bv. verwijdering van een patiënt) kan de Verwerkingsverantwoordelijke zelfstandig uitvoeren via de interface van de software.
7. Meldplicht Datalekken
7.1. Indien de Verwerker kennisneemt van een inbreuk in verband met persoonsgegevens (een "datalek"), stelt hij de Verwerkingsverantwoordelijke daarvan zonder onredelijke vertraging in kennis (streeftijd: binnen 24-48 uur).
7.2. De kennisgeving bevat ten minste de aard van de inbreuk, de waarschijnlijke gevolgen en de genomen maatregelen.
8. Audit
8.1. De Verwerkingsverantwoordelijke heeft het wettelijke recht om de naleving van deze overeenkomst te controleren. Echter, om de beveiliging van andere klanten en de bedrijfsvoering van Medinext niet in gevaar te brengen, geldt de volgende procedure.
8.2. Rapportage gaat voor: De Verwerker kan aan zijn auditplicht voldoen door het overleggen van recente beveiligingsrapporten, certificeringen of auditrapporten van een onafhankelijke derde partij. De Verwerkingsverantwoordelijke accepteert deze rapporten als voldoende bewijs, tenzij hij zwaarwegende redenen heeft om aan de juistheid te twijfelen.
8.3. Fysieke Audit: Alleen indien de rapporten uit 8.2 niet toereikend zijn, mag de Verwerkingsverantwoordelijke een fysieke audit uitvoeren. Hiervoor gelden strikte voorwaarden:
- De audit moet minstens 30 dagen vooraf schriftelijk worden aangekondigd.
- De audit wordt uitgevoerd door een onafhankelijke, gecertificeerde auditor die geheimhouding heeft getekend.
- De audit vindt plaats tijdens kantooruren en mag de dienstverlening aan andere klanten niet verstoren.
- Kosten: Alle kosten van de audit (inclusief de kosten van de auditor en de uren die Medinext-personeel hieraan moet besteden tegen een uurtarief van €125 exclusief BTW) zijn volledig voor rekening van de Verwerkingsverantwoordelijke.
9. Duur en Beëindiging
9.1. Deze overeenkomst loopt voor de duur van het abonnement.
9.2. Bij beëindiging van het abonnement zal de Verwerker alle persoonsgegevens (incl. backups) wissen na een quarantaineperiode van 30 dagen, zoals beschreven in de Algemene Voorwaarden, tenzij de wet opslag verplicht stelt.
Bijlage 1: Specificatie van de verwerking
Deze bijlage bevat de details van de persoonsgegevens die de Verwerker ten behoeve van de Verwerkingsverantwoordelijke verwerkt.
| Onderdeel | Beschrijving |
|---|---|
| Onderwerp & Doel | Het leveren van een Software-as-a-Service (SaaS) oplossing voor een Elektronisch Medisch Dossier (EMR) ten behoeve van psychologische praktijkvoering. |
| Duur van de verwerking | De duur van de onderliggende Overeenkomst (abonnement), inclusief een vaste quarantaineperiode van 30 dagen na beëindiging. Na deze 30 dagen worden alle gegevens, inclusief alle back-ups, definitief en onherroepelijk verwijderd. |
| Categorieën betrokkenen | Patiënten/cliënten van de psychologische praktijk, medewerkers van de praktijk en contactpersonen van de Verwerkingsverantwoordelijke. |
| Soorten persoonsgegevens |
|