[datum] [werkgever-id] versie 1 - zorg van de zaak...het is klant toegestaan om aanvullende...

VERWERKERSOVEREENKOMST ZORG VAN DE ZAAK ICT

[DATUM]

[WERKGEVER-ID]

Versie 1.0

Verwerkersovereenkomst Zorg van de Zaak ICT - Versie 1.0 2/14

INHOUDSOPGAVE

Artikel ..................................................................................................................................................Pagina

1. Definities .............................................................................................................................................. 4

2. Verwerking van Persoonsgegevens ................................................................................................. 6

3. Verplichtingen van Klant .................................................................................................................... 6

4. Verplichtingen van Zorg van de Zaak ICT ........................................................................................ 7

5. Subverwerkers .................................................................................................................................... 8

6. Geheimhouding ................................................................................................................................. 10

7. Beveiliging en Beveiligingsinbreuken ............................................................................................ 10

8. Naleving ............................................................................................................................................. 11

9. Doorgifte van Persoonsgegevens buiten de EER ......................................................................... 12

10. Inspectieverzoeken ......................................................................................................................... 12

11. Aansprakelijkheid ........................................................................................................................... 13

12. Looptijd en beëindiging .................................................................................................................. 14

13. Forum- en rechtskeuze ................................................................................................................... 14


ONDERGETEKENDEN:

(1) [Volledige naam en rechtsvorm van Klant die optreedt als Verwerkingsverantwoordelijke], statutair

gevestigd te [adresgegevens en land] , te dezer zake rechtsgeldig vertegenwoordigd door [naam

rechtsgeldig vertegenwoordiger] , hierna te noemen: "Klant"; en

(2) De besloten vennootschap Zorg van de Zaak ICT B.V., statutair gevestigd aan de Beneluxlaan

901 te Utrecht (3526 KK), Nederland, te dezer zake rechtsgeldig vertegenwoordigd door haar

bestuurder de besloten vennootschap Tinguely Netwerk B.V., statutair gevestigd aan de

Beneluxlaan 901 te Utrecht (3526 KK), Nederland, te dezer zake vertegenwoordigd door haar

bestuurder de besloten vennootschap Zorg van de Zaak Netwerk B.V., statutair gevestigd aan de

Beneluxlaan 901 te Utrecht (3526 KK), Nederland, te dezer zake rechtsgeldig vertegenwoordigd

door mevrouw A.T.A.J. van Dijk (algemeen directeur Bedrijfsgezondheidszorg en

Expertisebedrijven) , hierna te noemen: "Zorg van de Zaak ICT";

Klant en Zorg van de Zaak ICT hierna gezamenlijk te noemen: "Partijen", en afzonderlijk: "Partij";

OVERWEGENDE DAT:

(A) Klant en Zorg van de Zaak (“ZvdZ Arbodienst") een overeenkomst inzake arbodienstverlening

hebben gesloten ("Overeenkomst");

(B) De in de Overeenkomst beschreven dienstverlening gezamenlijk uitgevoerd zal worden door Zorg

van de Zaak ICT en de ZvdZ Arbodienst, waarbij Zorg van de Zaak ICT het ‘Zorg van de Zaak

Online portaal’ aanbiedt en daartoe de persoonsgegevens van de medewerkers van Klant ontvangt

en vervolgens, waar nodig voor het op grond van de Overeenkomst uitvoeren van de

arbodienstverlening, aan de ZvdZ Arbodienst toegang zal verlenen tot de persoonsgegevens van

ziekgemelde werknemers van Klant;

(C) Klant deze Verwerkersovereenkomst derhalve met Zorg van de Zaak ICT sluit en Zorg van de

Zaak ICT op haar beurt met de ZvdZ Arbodienst een subverwerkersovereenkomst heeft gesloten;

(D) In het kader van het uitvoeren van de in de Overeenkomst beschreven (arbo)dienstverlening de

ZvdZ Arbodienst mogelijk Persoonsgegevens van medewerkers van Klant zal verzamelen en

verwerken zonder tussenkomst van Klant, bijv. bij het aanleggen van een medisch dossier dat niet

gedeeld zal worden met Klant. Niet Klant, maar de ZvdZ Arbodienst is derhalve de

Verwerkingsverantwoordelijke voor deze Persoonsgegevens; en

(E) Deze Verwerkersovereenkomst de voorwaarden en de respectievelijke rechten en verplichtingen

van Partijen bevat ten aanzien van deze Verwerking van Persoonsgegevens.


KOMEN ALS VOLGT OVEREEN:

1. Definities en toepassing

1.1. In deze Verwerkersovereenkomst hebben de hierna vermelde, met een hoofdletter gespelde

begrippen de volgende betekenis: Betrokkene betekent een geïdentificeerde of identificeerbare natuurlijke

persoon.

Beveiligingsinbreuk heeft de betekenis die in artikel 7.4 van deze

Verwerkersovereenkomst aan dit begrip is toegekend.

Bevel heeft de betekenis die in artikel 10.1 van deze


Doorgifte of Doorgeven

heeft de betekenis die in artikel 9.1 van deze


EER betekent de Europese Economische Ruimte.

EU Modelcontract betekent het Besluit van de Commissie van 5 februari 2010

betreffende modelcontractbepalingen voor de doorgifte van

persoonsgegevens aan in derde landen gevestigde verwerkers

krachtens Richtlijn 95/46/EG van het Europees Parlement en de

Raad (2010/87/EU).

Gevoelige Gegevens betekent Persoonsgegevens waaruit ras of etnische afkomst,

politieke opvattingen, religieuze of levensbeschouwelijke

overtuigingen, of het lidmaatschap van een vakbond blijkt;

genetische gegevens en biometrische gegevens die worden

Verwerkt met het oog op de unieke identificatie van een persoon;

gegevens over gezondheid, of gegevens met betrekking tot

iemands seksueel gedrag of seksuele gerichtheid; of

Persoonsgegevens die op grond van de toepasselijke Wet- en

regelgeving als zodanig kunnen worden aangemerkt.

Overeenkomst heeft de betekenis die in de considerans van deze


Persoonsgegevens betekent alle informatie over een Betrokkene.

Subverwerker betekent een door Zorg van de Zaak ICT ingeschakelde

onderaannemer of gelieerde partij die (mogelijk) toegang tot


Persoonsgegevens heeft, waaronder de ZvdZ Arbodienst.

Third Party Memorandum of TPM

Toezichthoudende Autoriteit

heeft de betekenis die in artikel 8.2 van deze


betekent een onafhankelijke overheidsinstantie, waaronder, maar

niet beperkt tot, de Autoriteit Persoonsgegevens en de Autoriteit

Consument & Markt.

Veiligheidsmaatregelen

Verwerken, Verwerking of Verwerkingsactiviteiten

betekent de in Bijlage 2 opgenomen veiligheidsmaatregelen.

betekent een verwerking of een geheel van verwerkingen met

betrekking tot Persoonsgegevens of een geheel van

Persoonsgegevens, al dan niet uitgevoerd via geheel of gedeeltelijk

geautomatiseerde procedés, zoals het verzamelen, vastleggen,

ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen,

raadplegen, gebruiken, verstrekken door middel van doorzending,

verspreiden of op andere wijze ter beschikking stellen, aligneren of

combineren, afschermen, wissen of vernietigen van gegevens.

Verwerker betekent de partij die ten behoeve van de

Verwerkingsverantwoordelijke Persoonsgegevens Verwerkt.

Verwerkers-overeenkomst

betekent deze gegevensverwerkingsovereenkomst tussen Klant en

Zorg van de Zaak ICT.

Verwerkingsinstructies

Verwerkings-verantwoordelijke

betekent de in Bijlage 1 opgenomen verwerkingsinstructies.

betekent de partij die, alleen of samen met anderen, het doel van en

de middelen voor de Verwerking van Persoonsgegevens vaststelt.

Werknemer van Zorg van de Zaak ICT

betekent een persoon in dienst van of ingehuurd door Zorg van de

Zaak ICT of een aan haar gelieerde vennootschap die betrokken is

bij de uitvoering van deze Verwerkersovereenkomst.

Wet- en regelgeving

ZvdZ Arbodienst

betekent alle op de Verwerking van Persoonsgegevens

toepasselijke wet- en regelgeving, waaronder maar niet beperkt tot

de Algemene Verordening Gegevensbescherming ("AVG"), de

Uitvoeringswet AVG en de Telecommunicatiewet.

heeft de betekenis die in de considerans van deze



1.2. Voor zover niet tegenstrijdig met de bepalingen uit deze Verwerkersovereenkomst, zijn op deze

Verwerkersovereenkomst de voorwaarden van de Overeenkomst, inclusief de daarbij behorende

bijlagen, van toepassing alsof Zorg van de Zaak ICT daarbij partij zou zijn.

2. Verwerking van Persoonsgegevens

2.1. Zorg van de Zaak ICT verricht zijn activiteiten op grond van de Overeenkomst, waarbij hij ten

behoeve van Klant als Verwerker optreedt. Klant blijft de Verwerkingsverantwoordelijke ten

aanzien van alle Persoonsgegevens die op grond van de Overeenkomst worden Verwerkt, met

uitzondering van de in artikel 2.2 van deze Verwerkersovereenkomst genoemde Verwerking van

Persoonsgegevens. De soorten Persoonsgegevens, categorieën van Betrokkenen en het doel van

de Verwerking door Zorg van de Zaak ICT zijn omschreven in Bijlage 1 (Persoonsgegevens en

Verwerkingsactiviteiten) en kunnen nader uitgewerkt zijn in de Overeenkomst.

2.2. In het kader van de uitvoering van de Overeenkomst zal de ZvdZ Arbodienst, zonder tussenkomst

van Klant, en met inachtneming van Wet- en regelgeving, Persoonsgegevens verwerken van

medewerkers van Klant. Een voorbeeld hiervan is het door een bedrijfsarts aangelegde medisch

dossier van een ziekgemelde medewerker van Klant. Dit medisch dossier zal niet gedeeld worden

met Klant. Ten aanzien van deze zonder tussenkomst van Klant verzamelde Persoonsgegevens

stellen Partijen vast dat niet Klant, maar de ZvdZ Arbodienst de Verwerkingsverantwoordelijke is.

Op deze verwerking van Persoonsgegevens is enkel artikel 11 van deze Verwerkersovereenkomst

van toepassing.

3. Verplichtingen van Klant

3.1. Als Verwerkingsverantwoordelijke dient Klant te voldoen aan zijn verplichtingen op grond van Wet-

en regelgeving en deze Verwerkersovereenkomst. Klant zal Zorg van de Zaak ICT en aan haar

gelieerde partijen vrijwaren en gevrijwaard houden tegen alle acties, (rechts)vorderingen,

procedures en van alle schade en andere aansprakelijkheden (waaronder kosten van juridische

bijstand, griffierechten en door een Toezichthoudende Autoriteit opgelegde geldboetes)

toegewezen, geleden of opgelopen ten gevolge van of in verband met een schending van dit artikel

door Klant.

3.2. Klant geeft Zorg van de Zaak ICT opdracht om de Persoonsgegevens ten behoeve van Klant en

conform toepasselijke Wet- en regelgeving te Verwerken. De Verwerkingsinstructies voor Klant zijn

vastgelegd in Bijlage 1 (Persoonsgegevens en Verwerkingsactiviteiten) en kunnen nader

uitgewerkt zijn in de Overeenkomst.

3.3. Het is Klant toegestaan om aanvullende instructies met betrekking tot de Verwerkingsactiviteiten

van Zorg van de Zaak ICT te geven of die instructies aan te passen, mits dergelijke instructies

aansluiten op de voorwaarden van de Overeenkomst en deze Verwerkersovereenkomst, redelijk

zijn en in overeenstemming met de toepasselijke Wet- en regelgeving. Klant dient dergelijke

aanvullende of aangepaste instructies schriftelijk of per e-mail (met ontvangstbevestiging) aan Zorg

van de Zaak ICT door te geven. Klant dient: (a) Zorg van de Zaak ICT een redelijke termijn te

verlenen voor de implementatie of naleving van eventuele aanvullende of aangepaste instructies;


en (b) zowel proactief als op verzoek met Zorg van de Zaak ICT samen te werken en te assisteren

bij de implementatie of naleving van dergelijke aanvullende of aangepaste instructies. Zorg van de

Zaak ICT is niet aansprakelijk voor schadevergoeding en vorderingen voor zover die voortvloeien

uit de Verwerkingsinstructies en/of aanvullende instructies van Klant aan Zorg van de Zaak ICT of

diens Subverwerker(s).

3.4. Klant dient Zorg van de Zaak ICT onverwijld op de hoogte te stellen van een overtreding van

toepasselijke Wet- en regelgeving die voortvloeit uit de met deze Verwerkersovereenkomst

beoogde activiteiten, onjuistheden met betrekking tot de Persoonsgegevens van een Betrokkene,

tekortkomingen in de uitvoering van de opgedragen Verwerking van Persoonsgegevens, dan wel

andere onregelmatigheden met betrekking tot de naleving van toepasselijke Wet- en regelgeving.

3.5. In de hierboven onder artikel 3.4 van deze Verwerkersovereenkomst genoemde omstandigheden

dient Klant onverwijld alle (rechts)maatregelen te treffen die redelijkerwijs van haar verwacht

kunnen worden om mogelijke nadelige gevolgen en schade voor zichzelf, Betrokkenen, Zorg van

de Zaak ICT en Subverwerkers te voorkomen dan wel zoveel mogelijk te beperken.

3.6. Klant dient die assistentie te verlenen waar Zorg van de Zaak ICT redelijkerwijs om kan vragen,

teneinde Zorg van de Zaak ICT en/of een Subverwerker in staat te stellen om te reageren op of

zich te verdedigen tegen vragen, verzoeken of onderzoeken van een Toezichthoudende Autoriteit.

4. Verplichtingen van Zorg van de Zaak ICT

4.1. Als Verwerker dient Zorg van de Zaak ICT te voldoen aan zijn verplichtingen op grond van

toepasselijke Wet- en regelgeving en deze Verwerkersovereenkomst. Zorg van de Zaak ICT zal

Klant vrijwaren en gevrijwaard houden tegen alle acties, (rechts)vorderingen, procedures en van

alle schade en andere aansprakelijkheden (waaronder kosten van juridische bijstand, griffierechten

en door een Toezichthoudende Autoriteit opgelegde geldboetes) toegewezen, geleden of

opgelopen ten gevolge van of in verband met een schending van dit artikel door Zorg van de Zaak

ICT, tenzij deze acties, (rechts)vorderingen, procedures, schade of andere aansprakelijkheden

worden veroorzaakt door de instructies van Klant.

4.2. Indien Zorg van de Zaak ICT tijdens de looptijd van deze Verwerkersovereenkomst een verzoek

van een Betrokkene met betrekking tot zijn/haar Persoonsgegevens ontvangt, dan dient hij

Betrokkene naar Klant te verwijzen voor indiening van zijn/haar verzoek(en). Klant is

verantwoordelijk voor het beantwoorden van een dergelijk verzoek. Zorg van de Zaak ICT dient die

assistentie te verlenen waar Klant redelijkerwijs om kan vragen, teneinde Klant in staat te stellen

om aan zijn verplichtingen te voldoen inzake het reageren op verzoeken van Betrokkenen tot

uitoefening van hun rechten krachtens toepasselijke Wet- en regelgeving, waaronder maar niet

beperkt tot verzoeken van Betrokkenen tot toegang, correctie dan wel verwijdering van hun

Persoonsgegevens, met dien verstande dat Klant de kosten van dergelijke assistentie draagt.

4.3. Zorg van de Zaak ICT dient die assistentie te verlenen waar Klant redelijkerwijs om kan vragen,

teneinde Klant in staat te stellen om: (a) een gegevensbeschermingeffectbeoordeling (data

protection impact assessment) uit te voeren en een mogelijk daaropvolgende voorafgaande


raadpleging (prior consultation) van een Toezichthoudende Autoriteit voor te bereiden; en (b) te

reageren op of zich te verdedigen tegen vragen, verzoeken of onderzoeken van een

Toezichthoudende Autoriteit, met dien verstande dat Klant de kosten van dergelijke assistentie

draagt.

4.4. Zorg van de Zaak ICT zal Klant in de volgende gevallen informeren:

i. Zorg van de Zaak ICT heeft reden om aan te nemen dat hij niet aan deze

Verwerkersovereenkomst kan voldoen;

ii. een op Zorg van de Zaak ICT van toepassing zijnde Europese of lidstaatrechtelijke bepaling

weerhoudt Zorg van de Zaak ICT ervan om de van Klant ontvangen instructies in acht te

nemen, tenzij die wetgeving Zorg van de Zaak ICT verbiedt om dergelijke informatie te

verstrekken op dwingende gronden van algemeen belang; of

iii. Zorg van de Zaak ICT heeft een waarschuwing of berisping van een Toezichthoudende

Autoriteit ontvangen dat de Verwerkingsactiviteiten waarschijnlijk inbreuk maken, of al inbreuk

hebben gemaakt, op toepasselijke Wet- en regelgeving.

4.5. Bij beëindiging van de Overeenkomst of, indien eerder, na het einde van de verrichting van

Verwerkingsactiviteiten dienen Zorg van de Zaak ICT en zijn Subverwerker(s) op aanwijzing en

kosten van Klant alle Persoonsgegevens aan Klant terug te geven en/of alle kopieën van dergelijke

Persoonsgegevens te verwijderen, alsmede Klant te informeren dat zij dit hebben gedaan, tenzij

een op Zorg van de Zaak ICT van toepassing zijnde Europese of lidstaatrechtelijke bepaling hem

verbiedt om alle of een deel van de Persoonsgegevens terug te bezorgen dan wel te verwijderen,

bijvoorbeeld, doch niet uitsluitend, in het geval opslag van deze Persoonsgegevens gedurende een

bepaalde bewaartermijn verplicht is. Zorg van de Zaak ICT dient Persoonsgegevens die hij - na

beëindiging van de Overeenkomst of, indien eerder, na het einde van de verrichting van

Verwerkingsactiviteiten - niet kan teruggeven of vernietigen, te blijven beschermen, in

overeenstemming met toepasselijke Wet- en regelgeving.

5. Subverwerkers

5.1. Het is Zorg van de Zaak ICT toegestaan om zijn verplichtingen op grond van de Overeenkomst

aan een Subverwerker uit te besteden. Zorg van de Zaak ICT zal (i) op verzoek van Klant een lijst

overleggen van door Zorg van de Zaak ICT ingeschakelde Subverwerkers, en (ii) Klant minstens

10 (tien) kalenderdagen van tevoren informeren wanneer een Subverwerker toegevoegd of

verwijderd wordt. Klant kan binnen 10 (tien) kalenderdagen nadat Zorg van de Zaak ICT haar

geïnformeerd heeft bezwaar maken tegen de door Zorg van de Zaak ICT voorgenomen wijziging,

mits dit bezwaar gebaseerd is op redelijke gronden gerelateerd aan databeveiliging of Wet- en

regelgeving. In dat geval zullen Partijen in goed vertrouwen in overleg treden om tot een oplossing

te komen. Indien Partijen niet binnen 30 (dertig) kalenderdagen na het bezwaar van Klant tot een

oplossing komen en Zorg van de Zaak ICT besluit om de voorgenomen wijziging door te zetten,

heeft Klant het recht de Overeenkomst schriftelijk op te zeggen met inachtneming van een termijn

van 3 (drie) maanden.

5.2. Het is Zorg van de Zaak ICT uitsluitend toegestaan om een Subverwerker in te schakelen op basis

van een schriftelijke overeenkomst met de betreffende Subverwerker, waarin ten minste dezelfde


verplichtingen aan de Subverwerker worden opgelegd als op grond van deze

Verwerkersovereenkomst aan Zorg van de Zaak ICT worden opgelegd. Onverminderd het

voorgaande dient de schriftelijke overeenkomst tussen Zorg van de Zaak ICT en Subverwerker in

ieder geval het volgende te bevatten:

a. een verplichting van de Subverwerker om te voeldoen aan Wet- en regelgeving;

b. een beschrijving van de Verwerkingsactiviteiten die Zorg van de Zaak ICT aan de

Subverwerker opdraagt;

c. een verplichting van de Subverwerker om Persoonsgegevens uitsluitend in opdracht van Zorg

van de Zaak ICT te Verwerken;

d. een recht van Zorg van de Zaak ICT om aanvullende instructies aangaande de

Verwerkingsactiviteiten van de Subverwerker te geven dan wel om dergelijke instructies aan te

passen;

e. een toezegging van de Subverwerker om zelf alleen met voorafgaande schriftelijke

toestemming van Zorg van de Zaak ICT een subverwerker in te schakelen;

f. relevante contractuele geheimhoudingsplichten;

g. een verplichting van de Subverwerker om Zorg van de Zaak ICT, en daarmee Klant, in staat te

stellen om in geval van een vermoedelijke of daadwerkelijke Beveiligingsinbreuk aan zijn

verplichtingen te voldoen;

h. indien wettelijk vereist; een verplichting van de Subverwerker om een EU Modelcontract aan te

gaan, teneinde de naleving van de regels op het gebied van de doorgifte van gegevens zeker

te stellen;

i. een verplichting van de Subverwerker om beveiligingsmaatregelen te implementeren die niet

minder beschermend zijn dan de in deze Verwerkersovereenkomst beschreven maatregelen;

j. een verplichting van de Subverwerker om Zorg van de Zaak ICT, en daarmee Klant, toe te

staan om toezicht te houden op de naleving van de verplichtingen van Subverwerker op grond

van de schriftelijke overeenkomst tussen Zorg van de Zaak ICT en Subverwerker, met dien

verstande dat aan dit toezicht kan worden voldaan door de aanlevering van auditrapporten van

onafhankelijke derden.

5.3. Zorg van de Zaak ICT dient de toegang tot Persoonsgegevens door de Subverwerker te beperken

tot hetgeen voor de Subverwerker strikt noodzakelijk is om de aan hem op grond van de

desbetreffende subovereenkomst opgedragen activiteiten te verrichten.

5.4. Zorg van de Zaak ICT zal de Subverwerker verbieden om toegang te hebben tot of gebruik te

maken van Persoonsgegevens voor enig doel dat geen verband houdt met de verrichting van de

aan hem op grond van de desbetreffende subovereenkomst opgedragen activiteiten.

5.5. Zorg van de Zaak ICT blijft zelf verantwoordelijk voor naleving van zijn verplichtingen op grond van

deze Verwerkersovereenkomst, alsmede voor enig handelen of nalaten aan de zijde van de

Subverwerker waardoor Zorg van de Zaak ICT zijn verplichtingen op grond van deze

Verwerkersovereenkomst schendt.


6. Geheimhouding

6.1. Zorg van de Zaak ICT dient geheimhouding te betrachten ten aanzien van de Persoonsgegevens.

Het is Zorg van de Zaak ICT niet toegestaan om de Persoonsgegevens aan derden te verstrekken,

behoudens: (a) wanneer Persoonsgegevens in het kader van de uitvoering van de Overeenkomst

worden verstrekt aan de ZvdZ Arbodienst; (b) wanneer dit op grond van de Overeenkomst

geoorloofd is; (c) met de specifieke voorafgaande schriftelijke toestemming van Klant, echter altijd

conform artikel 5 van deze Verwerkersovereenkomst; of (d) conform artikel 10 van deze

Verwerkersvereenkomst.

6.2. Zorg van de Zaak ICT dient de verspreiding van de Persoonsgegevens te beperken tot die

gemachtigde Werknemers van Zorg van de Zaak ICT waaraan op grond van de Overeenkomst de

Verwerking van Persoonsgegevens is opgedragen, en uitsluitend voor zover het noodzakelijk is

voor de uitvoering van de Overeenkomst dat zij van deze Persoonsgegevens kennis hebben en/of

nemen ("need to know").

6.3. Zorg van de Zaak ICT verklaart en garandeert dat iedere Werknemer van Zorg van de Zaak ICT

gebonden is aan geheimhoudingsplichten (bijvoorbeeld op basis van een geheimhoudingsbepaling

in de arbeidsovereenkomst) die in lijn zijn met de in deze Verwerkersovereenkomst neergelegde

geheimhoudingsplichten en die na beëindiging of afloop van de arbeidsovereenkomst van de

betreffende Werknemer van Zorg van de Zaak ICT van kracht blijven.

7. Beveiliging en Beveiligingsinbreuken

7.1. Zorg van de Zaak ICT zal passende technische en organisatorische maatregelen implementeren

ter bescherming van de vertrouwelijkheid, integriteit en beschikbaarheid van de Persoonsgegevens

die in lijn zijn met toepasselijke Wet- en regelgeving, onder andere ter bescherming van de

Persoonsgegevens tegen vernietiging, verlies, ongeoorloofde verstrekking of toegang dan wel

enige andere vorm van onrechtmatige verwerking. Zorg van de Zaak ICT zal bij het afwegen van

de gepastheid van dergelijke technische en organisatorische maatregelen de “state of the art” en

de betreffende implementatiekosten in overweging te nemen, alsmede erop toezien dat dergelijke

maatregelen, gezien de aan Verwerking verbonden risico’s en de aard van de te beschermen

Persoonsgegevens, een gepast beveiligingsniveau bieden.

7.2. In Bijlage 2 (Veiligheidsmaatregelen) worden de maatregelen omschreven die Partijen op het

moment van totstandkoming van deze Verwerkersovereenkomst als passend in de zin van artikel

7.1 van deze Verwerkersovereenkomst beschouwen. Zorg van de Zaak ICT zal deze

Veiligheidsmaatregelen implementeren en in stand houden. Het is Zorg van de Zaak ICT

toegestaan om de in Bijlage 2 vermelde Veiligheidsmaatregelen van tijd tot tijd te actualiseren of

aan te passen, mits dergelijke actualiseringen en/of aanpassingen niet tot een verlaging van het

beveiligingsniveau leiden.

7.3. Onverminderd het bovenstaande is Klant verantwoordelijk voor het veilige gebruik van de diensten

en/of producten genoemd in de Overeenkomst, waaronder doch niet uitsluitend het afdoende


beveiligen van inloggevens, het beveiligen van de Persoonsgegevens wanneer deze overgedragen

worden van en naar Zorg van de Zaak ICT, en het treffen van encryptie en backup maatregelen.

7.4. Zorg van de Zaak ICT zal Klant zonder onredelijke vertraging en, indien mogelijk, uiterlijk

zesendertig (36) uur na ontdekking door Zorg van de Zaak ICT, op de hoogte stellen van een

inbreuk op de beveiligingsmaatregelen zoals bedoeld in dit artikel 7 of zoals getroffen door de

Subverwerker op grond van de subverwerkerovereenkomst die leidt tot onbedoelde of

onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde verstrekking van, of toegang tot,

doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens ("Beveiligingsinbreuk").

7.5. De bedoelde melding bevat ten minste een omschrijving van:

a. de aard van de Beveiligingsinbreuk, waar mogelijk onder vermelding van de categorieën en het

geschatte aantal Betrokkenen en Persoonsgegevens in kwestie;

b. of de Persoonsgegevens versleuteld, geanonimiseerd of anderszins onbegrijpelijk zijn

gemaakt;

c. de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander

contactpunt waar meer informatie kan worden verkregen;

d. de waarschijnlijke gevolgen van de Beveiligingsinbreuk; en

e. de maatregelen die Zorg van de Zaak ICT heeft genomen of voorstelt te nemen om de

Beveiligingsinbreuk aan te pakken, waaronder, in voorkomend geval, maatregelen ter

beperking van de eventuele nadelige gevolgen daarvan.

7.6. Op verzoek van Klant dient Zorg van de Zaak ICT alle redelijke medewerking te verlenen bij het

oplossen van de Beveiligingsinbreuk, zoals het verlenen van assistentie en verstrekken van

informatie om Klant in staat te stellen een melding te doen aan Toezichthoudende Autoriteiten en

Betrokkenen (indien vereist), met dien verstande dat Klant de kosten van dergelijke medewerking

en meldingen draagt.

7.7. De verplichting van Zorg van de Zaak ICT om een Beveiligingsinbreuk te melden of daarop te

reageren, zoals omschreven in dit artikel 7, doet niet af aan de verantwoordelijkheid en

aansprakelijkheid van Klant met betrekking tot Beveiligingsinbreuken op grond van Wet- en

regelgeving en mag niet worden uitgelegd als erkenning door Zorg van de Zaak ICT of

Subverwerkers van enige schuld of aansprakelijkheid ten aanzien van een Beveiligingsinbreuk.

8. Naleving

8.1. Op verzoek van Klant zal Zorg van de Zaak ICT Klant van alle verzochte informatie voorzien over

de Verwerkingsactiviteiten van Zorg van de Zaak ICT op grond van de Overeenkomst die

noodzakelijk is om Klant in staat te stellen naleving door Zorg van de Zaak ICT van het in deze

Verwerkersovereenkomst bepaalde te verifiëren.

8.2. Indien Zorg van de Zaak ICT een onafhankelijke derde de naleving door Zorg van de Zaak ICT van

deze Verwerkersovereenkomst laat inspecteren, zal Zorg van de Zaak ICT de conclusies van het

daaruit voortkomende inspectierapport (“Third Party Memorandum” of “TPM”) ter beschikking

stellen aan Klant. Indien Klant redelijkerwijze meer informatie nodig heeft om naleving van deze


Verwerkersovereenkomst te verifiëren, kan Klant conform artikel 8.1 van deze

Verwerkersovereenkomst aanvullende informatie opvragen.

8.3. Indien in een TPM is vastgesteld dat Zorg van de Zaak ICT deze Verwerkersovereenkomst niet

(geheel) naleeft, zal Zorg van de Zaak ICT, en waar nodig met behulp van Klant, binnen 3 (drie)

maanden nadat zij dit TPM heeft ontvangen maatregelen treffen om naleving van deze

Verwerkersovereenkomst te waarborgen. Na deze periode van 3 (drie) maanden, of indien Zorg

van de Zaak ICT gedurende 2 (twee) kalenderjaren nalaat een TPM aan Klant te verstrekken, zal

Zorg van de Zaak ICT Klant of een onafhankelijk controleur toestaan om een audit uit te voeren

met betrekking tot de organisatie van Zorg van de Zaak ICT, teneinde vast te stellen of Zorg van

de Zaak ICT aan zijn verplichtingen op grond van deze Verwerkersovereenkomst voldoet. De

kosten van een dergelijke audit komen voor rekening van Klant, tenzij uit de audit blijkt dat Zorg

van de Zaak ICT in materieel opzicht niet aan deze Verwerkersovereenkomst heeft voldaan, in

welk geval de redelijke kosten van de audit voor rekening van Zorg van de Zaak ICT komen.

9. Doorgifte van Persoonsgegevens buiten de EER

9.1. Partijen erkennen dat de Wet- en regelgeving beperkingen bevat ten aanzien van de doorgifte van

Persoonsgegevens vanuit Nederland of een andere EU-lidstaat aan landen dan wel organisaties

buiten de EER die geen passend beschermingsniveau waarborgen, daaronder mede begrepen het

toegankelijk maken van die Persoonsgegevens vanuit een dergelijk land dan wel een dergelijke

organisatie ("Doorgifte of Doorgeven").

9.2. Zorg van de Zaak ICT mag geen Persoonsgegevens Doorgeven, behoudens: (a) voor zover dit

expliciet geoorloofd is op grond van de Overeenkomst; of (b) met de specifieke voorafgaande

schriftelijke goedkeuring van Klant; tenzij Zorg van de Zaak ICT zulks verplicht is op grond van een

op hem van toepassing zijnde Europese of lidstaatrechtelijke bepaling en hij Klant daarvan

onverwijld op de hoogte stelt conform artikel 4.4.ii van deze Verwerkersovereenkomst.

9.3. Behoudens artikel 9.1 van deze Verwerkersovereenkomst dient Zorg van de Zaak ICT erop toe te

zien dat een eventuele Doorgifte uitsluitend zal plaatsvinden op basis van een wettelijk erkend

doorgiftemechanisme, zoals een EU Modelcontract of een bindend bedrijfsreglement (binding

corporate rules).

10. Inspectieverzoeken

10.1. Indien Zorg van de Zaak ICT of een Subverwerker van een Nederlandse of buitenlandse

Toezichthoudende Autoriteit een verzoek of bevel ontvangt tot het verschaffen van toegang tot

Persoonsgegevens ("Bevel"), dan zal Zorg van de Zaak ICT Klant daar onverwijld over informeren.

Bij het reageren op, of het anderszins in behandeling nemen van, het Bevel, zal Zorg van de Zaak

ICT de redelijke instructies van Klant in acht nemen en alle redelijkerwijs vereiste medewerking

verlenen, met dien verstande dat Klant de kosten van dergelijke medewerking draagt


10.2. Indien in het Bevel aan Zorg van de Zaak ICT een verbod wordt opgelegd om aan de hierboven

onder artikel 10.1 van deze Verwerkersovereenkomst genoemde verplichtingen te voldoen, zal

Zorg van de Zaak ICT waar redelijkerwijs mogelijk de redelijke belangen van Klant behartigen.

11. Aansprakelijkheid

11.1. Iedere aansprakelijkheid van Zorg van de Zaak ICT en aan haar gelieerde vennootschappen in

verband met een toerekenbare tekortkoming van Zorg van de Zaak ICT en/of aan haar gelieerde

vennootschappen in de nakoming van deze Verwerkersovereenkomst (met inbegrip van schending

van eventuele vrijwaringen) of een onrechtmatige daad, is beperkt tot vergoeding van directe

schade tot maximaal het bedrag dat onder de door Zorg van de Zaak ICT afgesloten

aansprakelijkheidsverzekering in dat geval wordt uitgekeerd, te vermeerderen met het

toepasselijke eigen risico.

11.2. Indien bovengenoemde verzekering geen aanspraak geeft op enig bedrag, dan is iedere

aansprakelijkheid van Zorg van de Zaak ICT en aan haar gelieerde vennootschappen beperkt tot

het totaal van alle door Klant voor de werkzaamheden in verband waarmee de schade is ontstaan

aan ZvdZ Arbodienst betaalde bedragen, met een maximum van EUR 100.000 (honderd duizend

Euro).

11.3. De aansprakelijkheid van Zorg van de Zaak ICT voor schade door dood, lichamelijk letsel of

wegens materiële beschadiging van zaken bedraagt totaal nooit meer dan EUR 1.250.000 (één

miljoen tweehonderdvijftig duizend Euro).

11.4. De aansprakelijkheid van Zorg van de Zaak ICT voor indirecte schade, gevolgschade, gederfde

winst, gemiste besparingen, verminderde goodwill, reputatieschade, en schade door

bedrijfsstagnatie is uitgesloten. Eveneens is uitgesloten de aansprakelijkheid van Zorg van de

Zaak ICT wegens verminking, vernietiging of verlies van gegevens of documenten.

11.5. De in artikel 11.1 tot en met 11.4 van deze Verwerkersovereenkomst bedoelde uitsluitingen en

beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of

bewuste roekeloosheid van de bedrijfsleiding van Zorg van de Zaak ICT.

11.6. Naast Zorg van de Zaak ICT kunnen ook (i) alle personen die zijn betrokken of betrokken zijn

geweest bij de uitvoering van de Verwerkersovereenkomst of op wie in verband daarmee enige

aansprakelijkheid rust of zou kunnen rusten en (ii) Subverwerkers een beroep doen op dit artikel

11.

11.7. Door Zorg van de Zaak ICT op grond van deze Verwerkersovereenkomst verschuldigde

schadevergoeding zal gezien worden als een schadevergoeding onder de Overeenkomst en

derhalve meetellen in een eventuele aansprakelijkheidsbeperking in de Overeenkomst alsof het

aansprakelijkheid onder de Overeenkomst betreft. Dit betekent ook dat, eventueel in uitzondering

op dit artikel 11, de onder deze Verwerkersovereenkomst verschuldigde schadevergoeding nooit

hoger kan zijn dan een eventuele aansprakelijkheidsbeperking in de Overeenkomst.


12. Looptijd en beëindiging

12.1. Deze Verwerkersovereenkomst vormt een integraal onderdeel van de Overeenkomst en eindigt

van rechtswege bij beëindiging of na afloop van de Overeenkomst.

13. Forum- en rechtskeuze

13.1. Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.

13.2. Uitsluitend de Rechtbank Midden-Nederland is bevoegd kennis te nemen van eventuele geschillen

voortkomend uit of verband houdend met (de uitvoering van) deze Verwerkersovereenkomst.

ALDUS OVEREENGEKOMEN EN IN TWEE ORIGINELEN ONDERTEKEND:

[Naam Klant] Zorg van de Zaak ICT B.V.

vanwege geautomatiseerde verzending

______________________

Naam:

Functie:

Datum:

is dit document niet ondertekend

Dit is een conceptversie.

Naam: Directie

Functie: Directeur

Bedrijfsgezondheidszorg en

Expertisebedrijven

Datum:

laylavandaalen

Markering

laylavandaalen

Markering

laylavandaalen

Markering

laylavandaalen

Markering

laylavandaalen

Markering

BIJLAGE 1 – PERSOONSGEGEVENS EN VERWERKINGSACTIVITEITEN

De Verwerkingsinstructies in deze Bijlage 1 gelden in aanvulling op de Verwerkingsinstructies

vastgelegd in de Verwerkersovereenkomst en kunnen nader uitgewerkt zijn in de Overeenkomst.

Doel

De Verwerkingsactiviteiten vinden plaats voor de doeleinden zoals omschreven in de

Verwerkersovereenkomst en de Overeenkomst, namelijk:

- het ter beschikking stellen aan Klant van het Zorg van de Zaak Online portaal voor:

o het voeren door Klant van een deugdelijke verzuimadministratie en (het deugdelijk

administreren van) het uitvoeren door Klant van de wettelijke taken van Klant op het

gebied van verzuim, zoals opgenomen in het Burgerlijk Wetboek, de

Arbeidsomstandighedenwet, de Wet WIA en de Regeling procesgang eerste en

tweede ziektejaar;

o het voeren door Klant van een deugdelijk verlof en verzuimbeleid;

o het ziekmelden van werknemers bij de arbodienst.

Categorieën van Betrokkenen

Werknemer

Leidingegevende van werknemer

Categorieën van Persoonsgegevens

Zie tabel hieronder.

Verwerkingsactiviteiten

Het vastleggen, structureren, opslaan, verstrekken door middel van doorzending, ter beschikking

stellen, afschermen, wissen of vernietigen van de gegevens overeenkomstig de

Verwerkingsinstructies van Klant.

WERKNEMER

Unieke Identificatie nummer werknemer

Geboortedatum

Overlijdensdatum

Achternaam geboorte

Voorletters

Voorvoegsels

Naamvoorkeur

Geslachtsaanduiding

PARTNER

De achternaam partner

Voorvoegsels partner

STRAATADRES

Land

Postcode

Woonplaatsnaam

Huisnummer

Straatnaam

Huisnummertoevoeging

COMMUNICATIE

email adres

Telefoonnummer

DIENSTVERBAND

Ingangsdatum in dienst

Einddatum dienstverband

Personeelsnummer

Naam functie

Organisatie-eenheid

Contractueel aantal uren per week

VERZUIM

Datum eerste verzuimdag

Percentage verzuim

Oorzaak verzuim

Vangnet

Reden einde verzuim

WAZO

Deelherstel datum

Datum hersteld

CONTACTPERSOON

Naam leidinggevende

Personeelsnummer leidinggevende

Unieke Identificatie nummer leidinggevende

Voorletters leidinggevende

Geslachtsaanduiding leidinggevende

COMMUNICATIE (contactpersoon)

email adres leidinggevende

telefoonnummer leidinggevende

Informatiebeveiliging Zorg van de Zaak Netwerk | Januari 2018

Informatiebeveiliging bij Zorg van de Zaak

Zorg van de Zaak staat voor hoogstaande dienstverlening. Bescherming van de privacy uw ge-

gevens en die van uw werknemer vinden wij uiterst belangrijk. Daarom besteden wij veel aan-

dacht aan kwaliteitsmanagement. Zorg van de Zaak is in het bezit van het Wettelijk Certificaat

Arbodiensten (WCA, nummer RQA656042) en is gecertificeerd voor kwaliteitsmanagement con-

form de norm ISO 9001:2015. Daarnaast zijn wij lid van brancheorganisatie OVAL, waarvan ons

ook een keurmerk is verstrekt. Onze (bedrijfs)artsen zijn geregistreerd bij de KNMG Sociaal Ge-

neeskundigen Registratie Commissie.

Verder voldoet Zorg van de Zaak voldoet aan de eisen die vanuit de nieuwe Privacywetgeving

(AVG) worden gesteld. Deze vereist meer transparantie en aantoonbaarheid. Wij werken er

momenteel dan ook aan om aan deze aspecten invulling te geven. Ook stellen wij een Functio-

naris Gegevensbescherming aan die toezicht houdt op de naleving van de Privacywetgeving.

Zorg van de Zaak beschikt over een privacyreglement waarin uitleg wordt gegeven over de wij-

ze waarop Zorg van de Zaak omgaat met persoonsgegevens en de rechten die betrokkenen ten

aanzien daarvan hebben.

Onze beveiligingsmaatregelen

Bij het uitvoeren van de dienstverlening worden privacygevoelige persoonsgegevens verwerkt.

Om de beveiliging hiervan te borgen heeft Zorg van de zaak een breed palet van beveiligings-

maatregelen getroffen. Samen met onze leveranciers werken wij continu aan het verder opti-

maliseren. De ISO 27001 en NEN 7510 normeringen voor informatiebeveiliging geven richting

aan onze periodieke risico-analyse, het doen van onderzoeken naar kwetsbaarheden, en bij het

treffen van beveiligingsmaatregelen. Daarnaast werken wij voor het onderdeel Health Services

aan aantoonbaarheid middels certificering conform ISO 27001 normering.

Algemeen

Wij hanteren een strikt autorisatiebeleid voor toegang tot gegevens. De positie van onze

(bedrijfs)artsen staat hierin centraal. Dit beleid is de basis voor een strikt en formeel proces

voor het toekennen, wijzigen, en beëindigen van netwerk en systeemautorisaties. Externe

partijen hebben geen toegang tot ons bedrijfsnetwerk.

Periodiek wordt onze processen in eigen beheer geaudit. Daarnaast voert ons externe bu-

reau voor certificering Lloyd’s audits uit op onze arbodienst in het kader van het Certificaat

Richtlijn Arbodiensten en het Certificaat ISO 9001:2015.

In ons privacyreglement zetten we uiteen welke persoonsgegevens wij verwerken, hoe onze

medewerkers omgaan met privacygevoelige informatie en welke wijze een persoon een


recht op inzage, correctie of verzet kan indienen. Verder staat de klachtenprocedure ver-

meld.

Verstrekt u in het kader van de dienstverlening persoonsgegevens aan ons? Wij sluiten dan

graag met u een bewerkersovereenkomst. Hierin borgt u ook in juridische zin dat Zorg van

de Zaak correct met persoonsgegevens omgaat en passende beveiligingsmaatregelen

neemt.

Wij zorgen voor gemotiveerde medewerkers die actueel geïnstrueerd zijn. Instrumenten

hierbij zijn:

- Een persoonlijk ontwikkelingsplan per medewerker.

- Vastlegging van processen en werkinstructies.

- Een interactief intranet voor het onderling delen van nieuws en het opbouwen van kennis

- Een gedragscode gericht op informatiebeveiliging, conform ons informatiebeveiligingsbe-

leid.

- Een clean desk- & clean screen policy.

- Een sleutel- en deurbeleid.

- Een strikt wachtwoordbeleid.

- Een ondertekende geheimhoudingsverklaring voor al onze medewerkers.

- Een procedure voor het melden van informatiebeveiligingsincidenten, datalekken en/of

kwetsbaarheden. Kwartaallijks vindt rapportage plaats over datalekken en de status van

verbetermaatregelen.

- Een continue campagne om de awareness ten aanzien van informatiebeveiliging te ver-

hogen. Deze campagne bestaat uit nieuwsberichten en op maat gesneden workshops

voor teams.

Van onze leveranciers vereisen wij het voldoen aan onze informatiebeveiligingseisen. De af-

spraken hierover worden middels een bewerkersovereenkomst geborgd.

IT infrastructuur en informatiesystemen in eigen beheer

Het sterk beveiligde datacenter vormt het fundament van onze informatiehuishouding. Hier

staan de servers van de informatiesystemen die in ons eigen beheer zijn, zoals het verzuimin-

formatiesysteem d’Arbois en ons werkgeverportaal Zorg van de Zaak online en ons werknemer-

portaal Mijn Zorg van de Zaak. Het datacenter is in Nederland gevestigd en beschikt over rele-

vante certificeringen:

- Kwaliteitsbeleid: ISO 9001 gecertificeerd.

- Informatiebeveiliging: ISO 27001 gecertificeerd.

- Gezondheid & veiligheid: OHSAS18001 gecertificeerd.

- Milieu en energiemanagement: ISO 14001 en 50001.

Fysieke beveiligingsmaatregelen van het datacenter:


- Servers van de informatiesystemen van Zorg van de Zaak Netwerk staan in eigen bevei-

ligde ruimten.

- Alle apparatuur en verbindingen zijn redundant uitgevoerd. Verder is alle apparatuur ge-

spiegeld opgesteld.

- Het datacenter kent volledige ‘no-break’ voorzieningen (noodstroomvoorziening, brand-

preventie, brandweerfaciliteiten).

- Zeer scherpe toegangscontrole (24x7x365 ‘on site’ bemensing, bezoekersaanmelding, en

camerabewaking).

Maatregelen ter beveiliging van ons serverpark:

- Firewalls: hiermee worden de ingangen op ons serverpark beperkt en bewaakt;

- Gescheiden netwerken: database servers kunnen alleen door de webservers benaderd

worden en niet rechtstreeks.

- Beheer op de servers is alleen mogelijk via een separaat ingericht (en gescheiden) net-

werk. Dit netwerk is alleen via een VPN toegang te benaderen.

- Scheiding van applicatieservers, webservers, mailservers en proxy-servers

- Alle servers zijn voorzien van complexe inlogcombinaties die periodiek worden gewijzigd;

- Security patches: hardware en software worden volgens een vastomlijnd schema voor-

zien van beveiligingsupdates. In de aanpak is geborgd dat we bij dit soort wijzigingen

aandacht besteden aan beheersbaarheid en betrouwbaarheid (testen).

- Internetverkeer verloopt alleen via HTTPS (beveiligd internet).

- Zorg van de Zaak Netwerk maakt gebruik van diverse veiligheidscertificaten van ver-

schillende uitgevers. Daarbij is gekozen voor de zogenaamde A-labels. Alle certificaten

hebben een geldigheidsduur van een jaar. Ieder jaar wordt beoordeeld/herijkt of het cer-

tificaat gehandhaafd blijft en welke uitgever bij welke site/toepassing past.

Wij bieden onze medewerkers informatiesystemen zoveel mogelijk aan via een remote desk-

top oplossing. Hierbij vindt de verwerking van gegevens centraal plaats. In de gevallen waar

geen gebruik wordt gemaakt van een remote desktop, wordt data-encryptie op het werksta-

tion toegepast.

Wij gebruiken alleen werkstations die door onze eigen IT-organisatie worden beheerd. Op

deze wijze kunnen wij het veiligheidsniveau het beste borgen.

Gegevensdragers (harde schijven, geheugenmodules, papierafval) worden volgens een vas-

te procedure en gecertificeerd vernietigd.

Beveiligingsaspecten klantportalen

Bij voorkeur werken wij in ons werkgeversportaal, werknemersportaal of vitaliteitsportaal

met u en uw werknemers samen. De portalen vervangen kwetsbare vormen van gegevens-

uitwisseling (zoals email en bestandsuitwisseling). Werkt u bij voorkeur met een eigen (ver-

zuim)systeem, dan kan ook daarmee een koppeling worden gerealiseerd.


Ons emailverkeer kent een beveiliging volgens het TLS protocol. In geen geval zullen wij

medische gegevens per standaard e-mail uitwisselen.

Autorisaties. Eenmaal ingelogd kan de gebruiker, afhankelijk van zijn/haar rol en bijbeho-

rende autorisaties, informatie inzien en/of bewerken. In het klantportaal zijn autorisaties in-

gericht die onder andere borgen dat een gebruiker alleen die privacygevoelige gegevens kan

raadplegen, waarvoor specifieke autorisatie bestaat. Er is nooit toegang tot medische gege-

vens.

Beheer gebruikersaccounts. Gebruikersaccounts worden via het gebruikersbeheer in het

klantportaal aangemaakt. Dit kunt u zelf doen of door ons laten verzorgen. Per gebruiker

wordt daarbij een rol toegekend, waarmee een bijbehorende set functionaliteiten beschik-

baar komt. Per gebruiker is ook geregeld voor welke organisaties, organisatieonderdelen,

werknemer en/of dossiers hij/zij is geautoriseerd.

Beveiligde internetverbinding. Onze klantportalen zijn alleen via een beveiligde internetver-

binding beschikbaar.

Er is een strikte scheiding tussen de klantportalen die onze klanten gebruiken en de infor-

matiesystemen waarmee de bedrijfsartsen werken. Zorg van de Zaak online is technisch

volledig ontkoppeld van de database waarin de bedrijfsartsen medische gegevens vastleg-

gen en waarvoor een specifieke autorisatie is vereist.

Wijzigingen in ons cliëntvolgsysteem d’ Arbois en onze portalen brengen wij aan volgens een

vastomlijnde wijzigingsprocedure. Het borgen van de veiligheid, integriteit en beschikbaar-

heid van informatie is in deze procedure te allen tijde een belangrijk aandachtspunt. Toe-

voeging van nieuwe functionaliteiten loopt via een separate testen acceptatieomgeving

voordat de wijziging beschikbaar wordt gesteld.

Wij hanteren een uitgebreid schema voor het maken van back-ups, zodat bij een calamiteit

geen dataverlies optreedt. Back-ups worden bewaard in een sterk beveiligde derde locatie.

Om beveiligingslekken te voorkomen volgt Zorg van de Zaak Netwerk de OWASP-10 richtlij-

nen voor de ontwikkeling van webapplicaties. Deze richtlijnen worden continu aangepast

aan de actuele ontwikkelingen en inzichten.

Onze klantportalen zijn periodiek onderdeel van een uitgebreide penetratietest door gere-

nommeerde partijen. Zorg van de Zaak online en Mijn Zorg van de Zaak worden ieder kwar-

taal getest door Deloitte’s Hacking as a Service (HAAS). Meer informatie over Hacking as a

Service en de werkzaamheden is te vinden op: www.deloitte.nl/haasbeschrijving. Naast het

uitvoeren van penetratietests en kwetsbaarheidsanalyses kunnen we actuele adviezen over

de optimale implementatie van ontwikkelrichtlijnen direct toepassen.


Informatiesystemen in beheer van andere partijen

Op dit moment gebruiken we op beperkte schaal informatiesystemen die in beheer zijn bij

andere partijen. Hiervan worden persoonsgegevens buiten ons domein opgeslagen. Een

voorbeeld van een zo’n systeem is ons Vitaliteitsportaal.

Wij verzorgen altijd een adequate leveranciers- en systeemselectie. Een beveiligingsonder-

zoek maakt hier onderdeel van uit.

Met iedere leverancier is een bewerkersovereenkomst gesloten. Middels audits controleren

wij de naleving hiervan.

Volgens planning is de leverancier van Vitaliteitsportaal uiterlijk 1 januari 2019 gecertifi-

ceerd voor informatiebeveiliging conform de ISO 27001 normering.

Tot slot

Dit document geeft u een beeld van de maatregelen die Zorg van de Zaak Netwerk treft om uw

persoonsgegevens te beveiligen. Dit is een momentopname. Wij zien privacybescherming en

informatiebeveiliging als een continu factor om bij te blijven in de ontwikkelingen in bedreigin-

gen, wet- en regelgevingen, opvattingen, en technische mogelijkheden.

Mochten onze beveiligingsmaatregelen desondanks gecompromitteerd worden, met een datalek

als gevolg, dan zullen wij dat na constatering melden aan de opdrachtgever of rechtstreeks aan

betrokken personen en de Autoriteit Persoonsgegevens. Ieder datalek is onderwerp van oor-

zaakanalyse, waarbij we bekijken op welke wijze we herhaling kunnen voorkomen.

Heeft u naar aanleiding van bovenstaande informatie een vraag of wilt u melding maken van

een datalek of beveiligingsincident? Meldt het direct aan uw klantverantwoordelijke of stuur

rechtstreeks een email naar: [email protected].

[datum] [werkgever-id] versie 1 - zorg van de zaak...het is klant toegestaan om aanvullende...

Documents