VERWERKERSOVEREENKOMST ZORG VAN DE ZAAK ICT
[DATUM]
[WERKGEVER-ID]
Versie 1.0
Verwerkersovereenkomst Zorg van de Zaak ICT - Versie 1.0 2/14
INHOUDSOPGAVE
Artikel ..................................................................................................................................................Pagina
1. Definities .............................................................................................................................................. 4
2. Verwerking van Persoonsgegevens ................................................................................................. 6
3. Verplichtingen van Klant .................................................................................................................... 6
4. Verplichtingen van Zorg van de Zaak ICT ........................................................................................ 7
5. Subverwerkers .................................................................................................................................... 8
6. Geheimhouding ................................................................................................................................. 10
7. Beveiliging en Beveiligingsinbreuken ............................................................................................ 10
8. Naleving ............................................................................................................................................. 11
9. Doorgifte van Persoonsgegevens buiten de EER ......................................................................... 12
10. Inspectieverzoeken ......................................................................................................................... 12
11. Aansprakelijkheid ........................................................................................................................... 13
12. Looptijd en beëindiging .................................................................................................................. 14
13. Forum- en rechtskeuze ................................................................................................................... 14
Verwerkersovereenkomst Zorg van de Zaak ICT - Versie 1.0 3/14
ONDERGETEKENDEN:
(1) [Volledige naam en rechtsvorm van Klant die optreedt als Verwerkingsverantwoordelijke], statutair
gevestigd te [adresgegevens en land] , te dezer zake rechtsgeldig vertegenwoordigd door [naam
rechtsgeldig vertegenwoordiger] , hierna te noemen: "Klant"; en
(2) De besloten vennootschap Zorg van de Zaak ICT B.V., statutair gevestigd aan de Beneluxlaan
901 te Utrecht (3526 KK), Nederland, te dezer zake rechtsgeldig vertegenwoordigd door haar
bestuurder de besloten vennootschap Tinguely Netwerk B.V., statutair gevestigd aan de
Beneluxlaan 901 te Utrecht (3526 KK), Nederland, te dezer zake vertegenwoordigd door haar
bestuurder de besloten vennootschap Zorg van de Zaak Netwerk B.V., statutair gevestigd aan de
Beneluxlaan 901 te Utrecht (3526 KK), Nederland, te dezer zake rechtsgeldig vertegenwoordigd
door mevrouw A.T.A.J. van Dijk (algemeen directeur Bedrijfsgezondheidszorg en
Expertisebedrijven) , hierna te noemen: "Zorg van de Zaak ICT";
Klant en Zorg van de Zaak ICT hierna gezamenlijk te noemen: "Partijen", en afzonderlijk: "Partij";
OVERWEGENDE DAT:
(A) Klant en Zorg van de Zaak (“ZvdZ Arbodienst") een overeenkomst inzake arbodienstverlening
hebben gesloten ("Overeenkomst");
(B) De in de Overeenkomst beschreven dienstverlening gezamenlijk uitgevoerd zal worden door Zorg
van de Zaak ICT en de ZvdZ Arbodienst, waarbij Zorg van de Zaak ICT het ‘Zorg van de Zaak
Online portaal’ aanbiedt en daartoe de persoonsgegevens van de medewerkers van Klant ontvangt
en vervolgens, waar nodig voor het op grond van de Overeenkomst uitvoeren van de
arbodienstverlening, aan de ZvdZ Arbodienst toegang zal verlenen tot de persoonsgegevens van
ziekgemelde werknemers van Klant;
(C) Klant deze Verwerkersovereenkomst derhalve met Zorg van de Zaak ICT sluit en Zorg van de
Zaak ICT op haar beurt met de ZvdZ Arbodienst een subverwerkersovereenkomst heeft gesloten;
(D) In het kader van het uitvoeren van de in de Overeenkomst beschreven (arbo)dienstverlening de
ZvdZ Arbodienst mogelijk Persoonsgegevens van medewerkers van Klant zal verzamelen en
verwerken zonder tussenkomst van Klant, bijv. bij het aanleggen van een medisch dossier dat niet
gedeeld zal worden met Klant. Niet Klant, maar de ZvdZ Arbodienst is derhalve de
Verwerkingsverantwoordelijke voor deze Persoonsgegevens; en
(E) Deze Verwerkersovereenkomst de voorwaarden en de respectievelijke rechten en verplichtingen
van Partijen bevat ten aanzien van deze Verwerking van Persoonsgegevens.
Verwerkersovereenkomst Zorg van de Zaak ICT - Versie 1.0 4/14
KOMEN ALS VOLGT OVEREEN:
1. Definities en toepassing
1.1. In deze Verwerkersovereenkomst hebben de hierna vermelde, met een hoofdletter gespelde
begrippen de volgende betekenis: Betrokkene betekent een geïdentificeerde of identificeerbare natuurlijke
persoon.
Beveiligingsinbreuk heeft de betekenis die in artikel 7.4 van deze
Verwerkersovereenkomst aan dit begrip is toegekend.
Bevel heeft de betekenis die in artikel 10.1 van deze
Verwerkersovereenkomst aan dit begrip is toegekend.
Doorgifte of Doorgeven
heeft de betekenis die in artikel 9.1 van deze
Verwerkersovereenkomst aan dit begrip is toegekend.
EER betekent de Europese Economische Ruimte.
EU Modelcontract betekent het Besluit van de Commissie van 5 februari 2010
betreffende modelcontractbepalingen voor de doorgifte van
persoonsgegevens aan in derde landen gevestigde verwerkers
krachtens Richtlijn 95/46/EG van het Europees Parlement en de
Raad (2010/87/EU).
Gevoelige Gegevens betekent Persoonsgegevens waaruit ras of etnische afkomst,
politieke opvattingen, religieuze of levensbeschouwelijke
overtuigingen, of het lidmaatschap van een vakbond blijkt;
genetische gegevens en biometrische gegevens die worden
Verwerkt met het oog op de unieke identificatie van een persoon;
gegevens over gezondheid, of gegevens met betrekking tot
iemands seksueel gedrag of seksuele gerichtheid; of
Persoonsgegevens die op grond van de toepasselijke Wet- en
regelgeving als zodanig kunnen worden aangemerkt.
Overeenkomst heeft de betekenis die in de considerans van deze
Verwerkersovereenkomst aan dit begrip is toegekend.
Persoonsgegevens betekent alle informatie over een Betrokkene.
Subverwerker betekent een door Zorg van de Zaak ICT ingeschakelde
onderaannemer of gelieerde partij die (mogelijk) toegang tot
Verwerkersovereenkomst Zorg van de Zaak ICT - Versie 1.0 5/14
Persoonsgegevens heeft, waaronder de ZvdZ Arbodienst.
Third Party Memorandum of TPM
Toezichthoudende Autoriteit
heeft de betekenis die in artikel 8.2 van deze
Verwerkersovereenkomst aan dit begrip is toegekend.
betekent een onafhankelijke overheidsinstantie, waaronder, maar
niet beperkt tot, de Autoriteit Persoonsgegevens en de Autoriteit
Consument & Markt.
Veiligheidsmaatregelen
Verwerken, Verwerking of Verwerkingsactiviteiten
betekent de in Bijlage 2 opgenomen veiligheidsmaatregelen.
betekent een verwerking of een geheel van verwerkingen met
betrekking tot Persoonsgegevens of een geheel van
Persoonsgegevens, al dan niet uitgevoerd via geheel of gedeeltelijk
geautomatiseerde procedés, zoals het verzamelen, vastleggen,
ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen,
raadplegen, gebruiken, verstrekken door middel van doorzending,
verspreiden of op andere wijze ter beschikking stellen, aligneren of
combineren, afschermen, wissen of vernietigen van gegevens.
Verwerker betekent de partij die ten behoeve van de
Verwerkingsverantwoordelijke Persoonsgegevens Verwerkt.
Verwerkers-overeenkomst
betekent deze gegevensverwerkingsovereenkomst tussen Klant en
Zorg van de Zaak ICT.
Verwerkingsinstructies
Verwerkings-verantwoordelijke
betekent de in Bijlage 1 opgenomen verwerkingsinstructies.
betekent de partij die, alleen of samen met anderen, het doel van en
de middelen voor de Verwerking van Persoonsgegevens vaststelt.
Werknemer van Zorg van de Zaak ICT
betekent een persoon in dienst van of ingehuurd door Zorg van de
Zaak ICT of een aan haar gelieerde vennootschap die betrokken is
bij de uitvoering van deze Verwerkersovereenkomst.
Wet- en regelgeving
ZvdZ Arbodienst
betekent alle op de Verwerking van Persoonsgegevens
toepasselijke wet- en regelgeving, waaronder maar niet beperkt tot
de Algemene Verordening Gegevensbescherming ("AVG"), de
Uitvoeringswet AVG en de Telecommunicatiewet.
heeft de betekenis die in de considerans van deze
Verwerkersovereenkomst aan dit begrip is toegekend.
Verwerkersovereenkomst Zorg van de Zaak ICT - Versie 1.0 6/14
1.2. Voor zover niet tegenstrijdig met de bepalingen uit deze Verwerkersovereenkomst, zijn op deze
Verwerkersovereenkomst de voorwaarden van de Overeenkomst, inclusief de daarbij behorende
bijlagen, van toepassing alsof Zorg van de Zaak ICT daarbij partij zou zijn.
2. Verwerking van Persoonsgegevens
2.1. Zorg van de Zaak ICT verricht zijn activiteiten op grond van de Overeenkomst, waarbij hij ten
behoeve van Klant als Verwerker optreedt. Klant blijft de Verwerkingsverantwoordelijke ten
aanzien van alle Persoonsgegevens die op grond van de Overeenkomst worden Verwerkt, met
uitzondering van de in artikel 2.2 van deze Verwerkersovereenkomst genoemde Verwerking van
Persoonsgegevens. De soorten Persoonsgegevens, categorieën van Betrokkenen en het doel van
de Verwerking door Zorg van de Zaak ICT zijn omschreven in Bijlage 1 (Persoonsgegevens en
Verwerkingsactiviteiten) en kunnen nader uitgewerkt zijn in de Overeenkomst.
2.2. In het kader van de uitvoering van de Overeenkomst zal de ZvdZ Arbodienst, zonder tussenkomst
van Klant, en met inachtneming van Wet- en regelgeving, Persoonsgegevens verwerken van
medewerkers van Klant. Een voorbeeld hiervan is het door een bedrijfsarts aangelegde medisch
dossier van een ziekgemelde medewerker van Klant. Dit medisch dossier zal niet gedeeld worden
met Klant. Ten aanzien van deze zonder tussenkomst van Klant verzamelde Persoonsgegevens
stellen Partijen vast dat niet Klant, maar de ZvdZ Arbodienst de Verwerkingsverantwoordelijke is.
Op deze verwerking van Persoonsgegevens is enkel artikel 11 van deze Verwerkersovereenkomst
van toepassing.
3. Verplichtingen van Klant
3.1. Als Verwerkingsverantwoordelijke dient Klant te voldoen aan zijn verplichtingen op grond van Wet-
en regelgeving en deze Verwerkersovereenkomst. Klant zal Zorg van de Zaak ICT en aan haar
gelieerde partijen vrijwaren en gevrijwaard houden tegen alle acties, (rechts)vorderingen,
procedures en van alle schade en andere aansprakelijkheden (waaronder kosten van juridische
bijstand, griffierechten en door een Toezichthoudende Autoriteit opgelegde geldboetes)
toegewezen, geleden of opgelopen ten gevolge van of in verband met een schending van dit artikel
door Klant.
3.2. Klant geeft Zorg van de Zaak ICT opdracht om de Persoonsgegevens ten behoeve van Klant en
conform toepasselijke Wet- en regelgeving te Verwerken. De Verwerkingsinstructies voor Klant zijn
vastgelegd in Bijlage 1 (Persoonsgegevens en Verwerkingsactiviteiten) en kunnen nader
uitgewerkt zijn in de Overeenkomst.
3.3. Het is Klant toegestaan om aanvullende instructies met betrekking tot de Verwerkingsactiviteiten
van Zorg van de Zaak ICT te geven of die instructies aan te passen, mits dergelijke instructies
aansluiten op de voorwaarden van de Overeenkomst en deze Verwerkersovereenkomst, redelijk
zijn en in overeenstemming met de toepasselijke Wet- en regelgeving. Klant dient dergelijke
aanvullende of aangepaste instructies schriftelijk of per e-mail (met ontvangstbevestiging) aan Zorg
van de Zaak ICT door te geven. Klant dient: (a) Zorg van de Zaak ICT een redelijke termijn te
verlenen voor de implementatie of naleving van eventuele aanvullende of aangepaste instructies;
Verwerkersovereenkomst Zorg van de Zaak ICT - Versie 1.0 7/14
en (b) zowel proactief als op verzoek met Zorg van de Zaak ICT samen te werken en te assisteren
bij de implementatie of naleving van dergelijke aanvullende of aangepaste instructies. Zorg van de
Zaak ICT is niet aansprakelijk voor schadevergoeding en vorderingen voor zover die voortvloeien
uit de Verwerkingsinstructies en/of aanvullende instructies van Klant aan Zorg van de Zaak ICT of
diens Subverwerker(s).
3.4. Klant dient Zorg van de Zaak ICT onverwijld op de hoogte te stellen van een overtreding van
toepasselijke Wet- en regelgeving die voortvloeit uit de met deze Verwerkersovereenkomst
beoogde activiteiten, onjuistheden met betrekking tot de Persoonsgegevens van een Betrokkene,
tekortkomingen in de uitvoering van de opgedragen Verwerking van Persoonsgegevens, dan wel
andere onregelmatigheden met betrekking tot de naleving van toepasselijke Wet- en regelgeving.
3.5. In de hierboven onder artikel 3.4 van deze Verwerkersovereenkomst genoemde omstandigheden
dient Klant onverwijld alle (rechts)maatregelen te treffen die redelijkerwijs van haar verwacht
kunnen worden om mogelijke nadelige gevolgen en schade voor zichzelf, Betrokkenen, Zorg van
de Zaak ICT en Subverwerkers te voorkomen dan wel zoveel mogelijk te beperken.
3.6. Klant dient die assistentie te verlenen waar Zorg van de Zaak ICT redelijkerwijs om kan vragen,
teneinde Zorg van de Zaak ICT en/of een Subverwerker in staat te stellen om te reageren op of
zich te verdedigen tegen vragen, verzoeken of onderzoeken van een Toezichthoudende Autoriteit.
4. Verplichtingen van Zorg van de Zaak ICT
4.1. Als Verwerker dient Zorg van de Zaak ICT te voldoen aan zijn verplichtingen op grond van
toepasselijke Wet- en regelgeving en deze Verwerkersovereenkomst. Zorg van de Zaak ICT zal
Klant vrijwaren en gevrijwaard houden tegen alle acties, (rechts)vorderingen, procedures en van
alle schade en andere aansprakelijkheden (waaronder kosten van juridische bijstand, griffierechten
en door een Toezichthoudende Autoriteit opgelegde geldboetes) toegewezen, geleden of
opgelopen ten gevolge van of in verband met een schending van dit artikel door Zorg van de Zaak
ICT, tenzij deze acties, (rechts)vorderingen, procedures, schade of andere aansprakelijkheden
worden veroorzaakt door de instructies van Klant.
4.2. Indien Zorg van de Zaak ICT tijdens de looptijd van deze Verwerkersovereenkomst een verzoek
van een Betrokkene met betrekking tot zijn/haar Persoonsgegevens ontvangt, dan dient hij
Betrokkene naar Klant te verwijzen voor indiening van zijn/haar verzoek(en). Klant is
verantwoordelijk voor het beantwoorden van een dergelijk verzoek. Zorg van de Zaak ICT dient die
assistentie te verlenen waar Klant redelijkerwijs om kan vragen, teneinde Klant in staat te stellen
om aan zijn verplichtingen te voldoen inzake het reageren op verzoeken van Betrokkenen tot
uitoefening van hun rechten krachtens toepasselijke Wet- en regelgeving, waaronder maar niet
beperkt tot verzoeken van Betrokkenen tot toegang, correctie dan wel verwijdering van hun
Persoonsgegevens, met dien verstande dat Klant de kosten van dergelijke assistentie draagt.
4.3. Zorg van de Zaak ICT dient die assistentie te verlenen waar Klant redelijkerwijs om kan vragen,
teneinde Klant in staat te stellen om: (a) een gegevensbeschermingeffectbeoordeling (data
protection impact assessment) uit te voeren en een mogelijk daaropvolgende voorafgaande
Verwerkersovereenkomst Zorg van de Zaak ICT - Versie 1.0 8/14
raadpleging (prior consultation) van een Toezichthoudende Autoriteit voor te bereiden; en (b) te
reageren op of zich te verdedigen tegen vragen, verzoeken of onderzoeken van een
Toezichthoudende Autoriteit, met dien verstande dat Klant de kosten van dergelijke assistentie
draagt.
4.4. Zorg van de Zaak ICT zal Klant in de volgende gevallen informeren:
i. Zorg van de Zaak ICT heeft reden om aan te nemen dat hij niet aan deze
Verwerkersovereenkomst kan voldoen;
ii. een op Zorg van de Zaak ICT van toepassing zijnde Europese of lidstaatrechtelijke bepaling
weerhoudt Zorg van de Zaak ICT ervan om de van Klant ontvangen instructies in acht te
nemen, tenzij die wetgeving Zorg van de Zaak ICT verbiedt om dergelijke informatie te
verstrekken op dwingende gronden van algemeen belang; of
iii. Zorg van de Zaak ICT heeft een waarschuwing of berisping van een Toezichthoudende
Autoriteit ontvangen dat de Verwerkingsactiviteiten waarschijnlijk inbreuk maken, of al inbreuk
hebben gemaakt, op toepasselijke Wet- en regelgeving.
4.5. Bij beëindiging van de Overeenkomst of, indien eerder, na het einde van de verrichting van
Verwerkingsactiviteiten dienen Zorg van de Zaak ICT en zijn Subverwerker(s) op aanwijzing en
kosten van Klant alle Persoonsgegevens aan Klant terug te geven en/of alle kopieën van dergelijke
Persoonsgegevens te verwijderen, alsmede Klant te informeren dat zij dit hebben gedaan, tenzij
een op Zorg van de Zaak ICT van toepassing zijnde Europese of lidstaatrechtelijke bepaling hem
verbiedt om alle of een deel van de Persoonsgegevens terug te bezorgen dan wel te verwijderen,
bijvoorbeeld, doch niet uitsluitend, in het geval opslag van deze Persoonsgegevens gedurende een
bepaalde bewaartermijn verplicht is. Zorg van de Zaak ICT dient Persoonsgegevens die hij - na
beëindiging van de Overeenkomst of, indien eerder, na het einde van de verrichting van
Verwerkingsactiviteiten - niet kan teruggeven of vernietigen, te blijven beschermen, in
overeenstemming met toepasselijke Wet- en regelgeving.
5. Subverwerkers
5.1. Het is Zorg van de Zaak ICT toegestaan om zijn verplichtingen op grond van de Overeenkomst
aan een Subverwerker uit te besteden. Zorg van de Zaak ICT zal (i) op verzoek van Klant een lijst
overleggen van door Zorg van de Zaak ICT ingeschakelde Subverwerkers, en (ii) Klant minstens
10 (tien) kalenderdagen van tevoren informeren wanneer een Subverwerker toegevoegd of
verwijderd wordt. Klant kan binnen 10 (tien) kalenderdagen nadat Zorg van de Zaak ICT haar
geïnformeerd heeft bezwaar maken tegen de door Zorg van de Zaak ICT voorgenomen wijziging,
mits dit bezwaar gebaseerd is op redelijke gronden gerelateerd aan databeveiliging of Wet- en
regelgeving. In dat geval zullen Partijen in goed vertrouwen in overleg treden om tot een oplossing
te komen. Indien Partijen niet binnen 30 (dertig) kalenderdagen na het bezwaar van Klant tot een
oplossing komen en Zorg van de Zaak ICT besluit om de voorgenomen wijziging door te zetten,
heeft Klant het recht de Overeenkomst schriftelijk op te zeggen met inachtneming van een termijn
van 3 (drie) maanden.
5.2. Het is Zorg van de Zaak ICT uitsluitend toegestaan om een Subverwerker in te schakelen op basis
van een schriftelijke overeenkomst met de betreffende Subverwerker, waarin ten minste dezelfde
Verwerkersovereenkomst Zorg van de Zaak ICT - Versie 1.0 9/14
verplichtingen aan de Subverwerker worden opgelegd als op grond van deze
Verwerkersovereenkomst aan Zorg van de Zaak ICT worden opgelegd. Onverminderd het
voorgaande dient de schriftelijke overeenkomst tussen Zorg van de Zaak ICT en Subverwerker in
ieder geval het volgende te bevatten:
a. een verplichting van de Subverwerker om te voeldoen aan Wet- en regelgeving;
b. een beschrijving van de Verwerkingsactiviteiten die Zorg van de Zaak ICT aan de
Subverwerker opdraagt;
c. een verplichting van de Subverwerker om Persoonsgegevens uitsluitend in opdracht van Zorg
van de Zaak ICT te Verwerken;
d. een recht van Zorg van de Zaak ICT om aanvullende instructies aangaande de
Verwerkingsactiviteiten van de Subverwerker te geven dan wel om dergelijke instructies aan te
passen;
e. een toezegging van de Subverwerker om zelf alleen met voorafgaande schriftelijke
toestemming van Zorg van de Zaak ICT een subverwerker in te schakelen;
f. relevante contractuele geheimhoudingsplichten;
g. een verplichting van de Subverwerker om Zorg van de Zaak ICT, en daarmee Klant, in staat te
stellen om in geval van een vermoedelijke of daadwerkelijke Beveiligingsinbreuk aan zijn
verplichtingen te voldoen;
h. indien wettelijk vereist; een verplichting van de Subverwerker om een EU Modelcontract aan te
gaan, teneinde de naleving van de regels op het gebied van de doorgifte van gegevens zeker
te stellen;
i. een verplichting van de Subverwerker om beveiligingsmaatregelen te implementeren die niet
minder beschermend zijn dan de in deze Verwerkersovereenkomst beschreven maatregelen;
j. een verplichting van de Subverwerker om Zorg van de Zaak ICT, en daarmee Klant, toe te
staan om toezicht te houden op de naleving van de verplichtingen van Subverwerker op grond
van de schriftelijke overeenkomst tussen Zorg van de Zaak ICT en Subverwerker, met dien
verstande dat aan dit toezicht kan worden voldaan door de aanlevering van auditrapporten van
onafhankelijke derden.
5.3. Zorg van de Zaak ICT dient de toegang tot Persoonsgegevens door de Subverwerker te beperken
tot hetgeen voor de Subverwerker strikt noodzakelijk is om de aan hem op grond van de
desbetreffende subovereenkomst opgedragen activiteiten te verrichten.
5.4. Zorg van de Zaak ICT zal de Subverwerker verbieden om toegang te hebben tot of gebruik te
maken van Persoonsgegevens voor enig doel dat geen verband houdt met de verrichting van de
aan hem op grond van de desbetreffende subovereenkomst opgedragen activiteiten.
5.5. Zorg van de Zaak ICT blijft zelf verantwoordelijk voor naleving van zijn verplichtingen op grond van
deze Verwerkersovereenkomst, alsmede voor enig handelen of nalaten aan de zijde van de
Subverwerker waardoor Zorg van de Zaak ICT zijn verplichtingen op grond van deze
Verwerkersovereenkomst schendt.
Verwerkersovereenkomst Zorg van de Zaak ICT - Versie 1.0 10/14
6. Geheimhouding
6.1. Zorg van de Zaak ICT dient geheimhouding te betrachten ten aanzien van de Persoonsgegevens.
Het is Zorg van de Zaak ICT niet toegestaan om de Persoonsgegevens aan derden te verstrekken,
behoudens: (a) wanneer Persoonsgegevens in het kader van de uitvoering van de Overeenkomst
worden verstrekt aan de ZvdZ Arbodienst; (b) wanneer dit op grond van de Overeenkomst
geoorloofd is; (c) met de specifieke voorafgaande schriftelijke toestemming van Klant, echter altijd
conform artikel 5 van deze Verwerkersovereenkomst; of (d) conform artikel 10 van deze
Verwerkersvereenkomst.
6.2. Zorg van de Zaak ICT dient de verspreiding van de Persoonsgegevens te beperken tot die
gemachtigde Werknemers van Zorg van de Zaak ICT waaraan op grond van de Overeenkomst de
Verwerking van Persoonsgegevens is opgedragen, en uitsluitend voor zover het noodzakelijk is
voor de uitvoering van de Overeenkomst dat zij van deze Persoonsgegevens kennis hebben en/of
nemen ("need to know").
6.3. Zorg van de Zaak ICT verklaart en garandeert dat iedere Werknemer van Zorg van de Zaak ICT
gebonden is aan geheimhoudingsplichten (bijvoorbeeld op basis van een geheimhoudingsbepaling
in de arbeidsovereenkomst) die in lijn zijn met de in deze Verwerkersovereenkomst neergelegde
geheimhoudingsplichten en die na beëindiging of afloop van de arbeidsovereenkomst van de
betreffende Werknemer van Zorg van de Zaak ICT van kracht blijven.
7. Beveiliging en Beveiligingsinbreuken
7.1. Zorg van de Zaak ICT zal passende technische en organisatorische maatregelen implementeren
ter bescherming van de vertrouwelijkheid, integriteit en beschikbaarheid van de Persoonsgegevens
die in lijn zijn met toepasselijke Wet- en regelgeving, onder andere ter bescherming van de
Persoonsgegevens tegen vernietiging, verlies, ongeoorloofde verstrekking of toegang dan wel
enige andere vorm van onrechtmatige verwerking. Zorg van de Zaak ICT zal bij het afwegen van
de gepastheid van dergelijke technische en organisatorische maatregelen de “state of the art” en
de betreffende implementatiekosten in overweging te nemen, alsmede erop toezien dat dergelijke
maatregelen, gezien de aan Verwerking verbonden risico’s en de aard van de te beschermen
Persoonsgegevens, een gepast beveiligingsniveau bieden.
7.2. In Bijlage 2 (Veiligheidsmaatregelen) worden de maatregelen omschreven die Partijen op het
moment van totstandkoming van deze Verwerkersovereenkomst als passend in de zin van artikel
7.1 van deze Verwerkersovereenkomst beschouwen. Zorg van de Zaak ICT zal deze
Veiligheidsmaatregelen implementeren en in stand houden. Het is Zorg van de Zaak ICT
toegestaan om de in Bijlage 2 vermelde Veiligheidsmaatregelen van tijd tot tijd te actualiseren of
aan te passen, mits dergelijke actualiseringen en/of aanpassingen niet tot een verlaging van het
beveiligingsniveau leiden.
7.3. Onverminderd het bovenstaande is Klant verantwoordelijk voor het veilige gebruik van de diensten
en/of producten genoemd in de Overeenkomst, waaronder doch niet uitsluitend het afdoende
Verwerkersovereenkomst Zorg van de Zaak ICT - Versie 1.0 11/14
beveiligen van inloggevens, het beveiligen van de Persoonsgegevens wanneer deze overgedragen
worden van en naar Zorg van de Zaak ICT, en het treffen van encryptie en backup maatregelen.
7.4. Zorg van de Zaak ICT zal Klant zonder onredelijke vertraging en, indien mogelijk, uiterlijk
zesendertig (36) uur na ontdekking door Zorg van de Zaak ICT, op de hoogte stellen van een
inbreuk op de beveiligingsmaatregelen zoals bedoeld in dit artikel 7 of zoals getroffen door de
Subverwerker op grond van de subverwerkerovereenkomst die leidt tot onbedoelde of
onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde verstrekking van, of toegang tot,
doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens ("Beveiligingsinbreuk").
7.5. De bedoelde melding bevat ten minste een omschrijving van:
a. de aard van de Beveiligingsinbreuk, waar mogelijk onder vermelding van de categorieën en het
geschatte aantal Betrokkenen en Persoonsgegevens in kwestie;
b. of de Persoonsgegevens versleuteld, geanonimiseerd of anderszins onbegrijpelijk zijn
gemaakt;
c. de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander
contactpunt waar meer informatie kan worden verkregen;
d. de waarschijnlijke gevolgen van de Beveiligingsinbreuk; en
e. de maatregelen die Zorg van de Zaak ICT heeft genomen of voorstelt te nemen om de
Beveiligingsinbreuk aan te pakken, waaronder, in voorkomend geval, maatregelen ter
beperking van de eventuele nadelige gevolgen daarvan.
7.6. Op verzoek van Klant dient Zorg van de Zaak ICT alle redelijke medewerking te verlenen bij het
oplossen van de Beveiligingsinbreuk, zoals het verlenen van assistentie en verstrekken van
informatie om Klant in staat te stellen een melding te doen aan Toezichthoudende Autoriteiten en
Betrokkenen (indien vereist), met dien verstande dat Klant de kosten van dergelijke medewerking
en meldingen draagt.
7.7. De verplichting van Zorg van de Zaak ICT om een Beveiligingsinbreuk te melden of daarop te
reageren, zoals omschreven in dit artikel 7, doet niet af aan de verantwoordelijkheid en
aansprakelijkheid van Klant met betrekking tot Beveiligingsinbreuken op grond van Wet- en
regelgeving en mag niet worden uitgelegd als erkenning door Zorg van de Zaak ICT of
Subverwerkers van enige schuld of aansprakelijkheid ten aanzien van een Beveiligingsinbreuk.
8. Naleving
8.1. Op verzoek van Klant zal Zorg van de Zaak ICT Klant van alle verzochte informatie voorzien over
de Verwerkingsactiviteiten van Zorg van de Zaak ICT op grond van de Overeenkomst die
noodzakelijk is om Klant in staat te stellen naleving door Zorg van de Zaak ICT van het in deze
Verwerkersovereenkomst bepaalde te verifiëren.
8.2. Indien Zorg van de Zaak ICT een onafhankelijke derde de naleving door Zorg van de Zaak ICT van
deze Verwerkersovereenkomst laat inspecteren, zal Zorg van de Zaak ICT de conclusies van het
daaruit voortkomende inspectierapport (“Third Party Memorandum” of “TPM”) ter beschikking
stellen aan Klant. Indien Klant redelijkerwijze meer informatie nodig heeft om naleving van deze
Verwerkersovereenkomst Zorg van de Zaak ICT - Versie 1.0 12/14
Verwerkersovereenkomst te verifiëren, kan Klant conform artikel 8.1 van deze
Verwerkersovereenkomst aanvullende informatie opvragen.
8.3. Indien in een TPM is vastgesteld dat Zorg van de Zaak ICT deze Verwerkersovereenkomst niet
(geheel) naleeft, zal Zorg van de Zaak ICT, en waar nodig met behulp van Klant, binnen 3 (drie)
maanden nadat zij dit TPM heeft ontvangen maatregelen treffen om naleving van deze
Verwerkersovereenkomst te waarborgen. Na deze periode van 3 (drie) maanden, of indien Zorg
van de Zaak ICT gedurende 2 (twee) kalenderjaren nalaat een TPM aan Klant te verstrekken, zal
Zorg van de Zaak ICT Klant of een onafhankelijk controleur toestaan om een audit uit te voeren
met betrekking tot de organisatie van Zorg van de Zaak ICT, teneinde vast te stellen of Zorg van
de Zaak ICT aan zijn verplichtingen op grond van deze Verwerkersovereenkomst voldoet. De
kosten van een dergelijke audit komen voor rekening van Klant, tenzij uit de audit blijkt dat Zorg
van de Zaak ICT in materieel opzicht niet aan deze Verwerkersovereenkomst heeft voldaan, in
welk geval de redelijke kosten van de audit voor rekening van Zorg van de Zaak ICT komen.
9. Doorgifte van Persoonsgegevens buiten de EER
9.1. Partijen erkennen dat de Wet- en regelgeving beperkingen bevat ten aanzien van de doorgifte van
Persoonsgegevens vanuit Nederland of een andere EU-lidstaat aan landen dan wel organisaties
buiten de EER die geen passend beschermingsniveau waarborgen, daaronder mede begrepen het
toegankelijk maken van die Persoonsgegevens vanuit een dergelijk land dan wel een dergelijke
organisatie ("Doorgifte of Doorgeven").
9.2. Zorg van de Zaak ICT mag geen Persoonsgegevens Doorgeven, behoudens: (a) voor zover dit
expliciet geoorloofd is op grond van de Overeenkomst; of (b) met de specifieke voorafgaande
schriftelijke goedkeuring van Klant; tenzij Zorg van de Zaak ICT zulks verplicht is op grond van een
op hem van toepassing zijnde Europese of lidstaatrechtelijke bepaling en hij Klant daarvan
onverwijld op de hoogte stelt conform artikel 4.4.ii van deze Verwerkersovereenkomst.
9.3. Behoudens artikel 9.1 van deze Verwerkersovereenkomst dient Zorg van de Zaak ICT erop toe te
zien dat een eventuele Doorgifte uitsluitend zal plaatsvinden op basis van een wettelijk erkend
doorgiftemechanisme, zoals een EU Modelcontract of een bindend bedrijfsreglement (binding
corporate rules).
10. Inspectieverzoeken
10.1. Indien Zorg van de Zaak ICT of een Subverwerker van een Nederlandse of buitenlandse
Toezichthoudende Autoriteit een verzoek of bevel ontvangt tot het verschaffen van toegang tot
Persoonsgegevens ("Bevel"), dan zal Zorg van de Zaak ICT Klant daar onverwijld over informeren.
Bij het reageren op, of het anderszins in behandeling nemen van, het Bevel, zal Zorg van de Zaak
ICT de redelijke instructies van Klant in acht nemen en alle redelijkerwijs vereiste medewerking
verlenen, met dien verstande dat Klant de kosten van dergelijke medewerking draagt
Verwerkersovereenkomst Zorg van de Zaak ICT - Versie 1.0 13/14
10.2. Indien in het Bevel aan Zorg van de Zaak ICT een verbod wordt opgelegd om aan de hierboven
onder artikel 10.1 van deze Verwerkersovereenkomst genoemde verplichtingen te voldoen, zal
Zorg van de Zaak ICT waar redelijkerwijs mogelijk de redelijke belangen van Klant behartigen.
11. Aansprakelijkheid
11.1. Iedere aansprakelijkheid van Zorg van de Zaak ICT en aan haar gelieerde vennootschappen in
verband met een toerekenbare tekortkoming van Zorg van de Zaak ICT en/of aan haar gelieerde
vennootschappen in de nakoming van deze Verwerkersovereenkomst (met inbegrip van schending
van eventuele vrijwaringen) of een onrechtmatige daad, is beperkt tot vergoeding van directe
schade tot maximaal het bedrag dat onder de door Zorg van de Zaak ICT afgesloten
aansprakelijkheidsverzekering in dat geval wordt uitgekeerd, te vermeerderen met het
toepasselijke eigen risico.
11.2. Indien bovengenoemde verzekering geen aanspraak geeft op enig bedrag, dan is iedere
aansprakelijkheid van Zorg van de Zaak ICT en aan haar gelieerde vennootschappen beperkt tot
het totaal van alle door Klant voor de werkzaamheden in verband waarmee de schade is ontstaan
aan ZvdZ Arbodienst betaalde bedragen, met een maximum van EUR 100.000 (honderd duizend
Euro).
11.3. De aansprakelijkheid van Zorg van de Zaak ICT voor schade door dood, lichamelijk letsel of
wegens materiële beschadiging van zaken bedraagt totaal nooit meer dan EUR 1.250.000 (één
miljoen tweehonderdvijftig duizend Euro).
11.4. De aansprakelijkheid van Zorg van de Zaak ICT voor indirecte schade, gevolgschade, gederfde
winst, gemiste besparingen, verminderde goodwill, reputatieschade, en schade door
bedrijfsstagnatie is uitgesloten. Eveneens is uitgesloten de aansprakelijkheid van Zorg van de
Zaak ICT wegens verminking, vernietiging of verlies van gegevens of documenten.
11.5. De in artikel 11.1 tot en met 11.4 van deze Verwerkersovereenkomst bedoelde uitsluitingen en
beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of
bewuste roekeloosheid van de bedrijfsleiding van Zorg van de Zaak ICT.
11.6. Naast Zorg van de Zaak ICT kunnen ook (i) alle personen die zijn betrokken of betrokken zijn
geweest bij de uitvoering van de Verwerkersovereenkomst of op wie in verband daarmee enige
aansprakelijkheid rust of zou kunnen rusten en (ii) Subverwerkers een beroep doen op dit artikel
11.
11.7. Door Zorg van de Zaak ICT op grond van deze Verwerkersovereenkomst verschuldigde
schadevergoeding zal gezien worden als een schadevergoeding onder de Overeenkomst en
derhalve meetellen in een eventuele aansprakelijkheidsbeperking in de Overeenkomst alsof het
aansprakelijkheid onder de Overeenkomst betreft. Dit betekent ook dat, eventueel in uitzondering
op dit artikel 11, de onder deze Verwerkersovereenkomst verschuldigde schadevergoeding nooit
hoger kan zijn dan een eventuele aansprakelijkheidsbeperking in de Overeenkomst.
Verwerkersovereenkomst Zorg van de Zaak ICT - Versie 1.0 14/14
12. Looptijd en beëindiging
12.1. Deze Verwerkersovereenkomst vormt een integraal onderdeel van de Overeenkomst en eindigt
van rechtswege bij beëindiging of na afloop van de Overeenkomst.
13. Forum- en rechtskeuze
13.1. Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
13.2. Uitsluitend de Rechtbank Midden-Nederland is bevoegd kennis te nemen van eventuele geschillen
voortkomend uit of verband houdend met (de uitvoering van) deze Verwerkersovereenkomst.
ALDUS OVEREENGEKOMEN EN IN TWEE ORIGINELEN ONDERTEKEND:
[Naam Klant] Zorg van de Zaak ICT B.V.
vanwege geautomatiseerde verzending
______________________
Naam:
Functie:
Datum:
is dit document niet ondertekend
Dit is een conceptversie.
Naam: Directie
Functie: Directeur
Bedrijfsgezondheidszorg en
Expertisebedrijven
Datum:
BIJLAGE 1 – PERSOONSGEGEVENS EN VERWERKINGSACTIVITEITEN
De Verwerkingsinstructies in deze Bijlage 1 gelden in aanvulling op de Verwerkingsinstructies
vastgelegd in de Verwerkersovereenkomst en kunnen nader uitgewerkt zijn in de Overeenkomst.
Doel
De Verwerkingsactiviteiten vinden plaats voor de doeleinden zoals omschreven in de
Verwerkersovereenkomst en de Overeenkomst, namelijk:
- het ter beschikking stellen aan Klant van het Zorg van de Zaak Online portaal voor:
o het voeren door Klant van een deugdelijke verzuimadministratie en (het deugdelijk
administreren van) het uitvoeren door Klant van de wettelijke taken van Klant op het
gebied van verzuim, zoals opgenomen in het Burgerlijk Wetboek, de
Arbeidsomstandighedenwet, de Wet WIA en de Regeling procesgang eerste en
tweede ziektejaar;
o het voeren door Klant van een deugdelijk verlof en verzuimbeleid;
o het ziekmelden van werknemers bij de arbodienst.
Categorieën van Betrokkenen
Werknemer
Leidingegevende van werknemer
Categorieën van Persoonsgegevens
Zie tabel hieronder.
Verwerkingsactiviteiten
Het vastleggen, structureren, opslaan, verstrekken door middel van doorzending, ter beschikking
stellen, afschermen, wissen of vernietigen van de gegevens overeenkomstig de
Verwerkingsinstructies van Klant.
WERKNEMER
Unieke Identificatie nummer werknemer
Geboortedatum
Overlijdensdatum
Achternaam geboorte
Voorletters
Voorvoegsels
Naamvoorkeur
Geslachtsaanduiding
PARTNER
De achternaam partner
Voorvoegsels partner
STRAATADRES
Land
Postcode
Woonplaatsnaam
Huisnummer
Straatnaam
Huisnummertoevoeging
COMMUNICATIE
email adres
Telefoonnummer
DIENSTVERBAND
Ingangsdatum in dienst
Einddatum dienstverband
Personeelsnummer
Naam functie
Organisatie-eenheid
Contractueel aantal uren per week
VERZUIM
Datum eerste verzuimdag
Percentage verzuim
Oorzaak verzuim
Vangnet
Reden einde verzuim
WAZO
Deelherstel datum
Datum hersteld
CONTACTPERSOON
Naam leidinggevende
Personeelsnummer leidinggevende
Unieke Identificatie nummer leidinggevende
Voorletters leidinggevende
Geslachtsaanduiding leidinggevende
COMMUNICATIE (contactpersoon)
email adres leidinggevende
telefoonnummer leidinggevende
Informatiebeveiliging Zorg van de Zaak Netwerk | Januari 2018
Informatiebeveiliging bij Zorg van de Zaak
Zorg van de Zaak staat voor hoogstaande dienstverlening. Bescherming van de privacy uw ge-
gevens en die van uw werknemer vinden wij uiterst belangrijk. Daarom besteden wij veel aan-
dacht aan kwaliteitsmanagement. Zorg van de Zaak is in het bezit van het Wettelijk Certificaat
Arbodiensten (WCA, nummer RQA656042) en is gecertificeerd voor kwaliteitsmanagement con-
form de norm ISO 9001:2015. Daarnaast zijn wij lid van brancheorganisatie OVAL, waarvan ons
ook een keurmerk is verstrekt. Onze (bedrijfs)artsen zijn geregistreerd bij de KNMG Sociaal Ge-
neeskundigen Registratie Commissie.
Verder voldoet Zorg van de Zaak voldoet aan de eisen die vanuit de nieuwe Privacywetgeving
(AVG) worden gesteld. Deze vereist meer transparantie en aantoonbaarheid. Wij werken er
momenteel dan ook aan om aan deze aspecten invulling te geven. Ook stellen wij een Functio-
naris Gegevensbescherming aan die toezicht houdt op de naleving van de Privacywetgeving.
Zorg van de Zaak beschikt over een privacyreglement waarin uitleg wordt gegeven over de wij-
ze waarop Zorg van de Zaak omgaat met persoonsgegevens en de rechten die betrokkenen ten
aanzien daarvan hebben.
Onze beveiligingsmaatregelen
Bij het uitvoeren van de dienstverlening worden privacygevoelige persoonsgegevens verwerkt.
Om de beveiliging hiervan te borgen heeft Zorg van de zaak een breed palet van beveiligings-
maatregelen getroffen. Samen met onze leveranciers werken wij continu aan het verder opti-
maliseren. De ISO 27001 en NEN 7510 normeringen voor informatiebeveiliging geven richting
aan onze periodieke risico-analyse, het doen van onderzoeken naar kwetsbaarheden, en bij het
treffen van beveiligingsmaatregelen. Daarnaast werken wij voor het onderdeel Health Services
aan aantoonbaarheid middels certificering conform ISO 27001 normering.
Algemeen
Wij hanteren een strikt autorisatiebeleid voor toegang tot gegevens. De positie van onze
(bedrijfs)artsen staat hierin centraal. Dit beleid is de basis voor een strikt en formeel proces
voor het toekennen, wijzigen, en beëindigen van netwerk en systeemautorisaties. Externe
partijen hebben geen toegang tot ons bedrijfsnetwerk.
Periodiek wordt onze processen in eigen beheer geaudit. Daarnaast voert ons externe bu-
reau voor certificering Lloyd’s audits uit op onze arbodienst in het kader van het Certificaat
Richtlijn Arbodiensten en het Certificaat ISO 9001:2015.
In ons privacyreglement zetten we uiteen welke persoonsgegevens wij verwerken, hoe onze
medewerkers omgaan met privacygevoelige informatie en welke wijze een persoon een
Informatiebeveiliging Zorg van de Zaak Netwerk | Januari 2018
recht op inzage, correctie of verzet kan indienen. Verder staat de klachtenprocedure ver-
meld.
Verstrekt u in het kader van de dienstverlening persoonsgegevens aan ons? Wij sluiten dan
graag met u een bewerkersovereenkomst. Hierin borgt u ook in juridische zin dat Zorg van
de Zaak correct met persoonsgegevens omgaat en passende beveiligingsmaatregelen
neemt.
Wij zorgen voor gemotiveerde medewerkers die actueel geïnstrueerd zijn. Instrumenten
hierbij zijn:
- Een persoonlijk ontwikkelingsplan per medewerker.
- Vastlegging van processen en werkinstructies.
- Een interactief intranet voor het onderling delen van nieuws en het opbouwen van kennis
- Een gedragscode gericht op informatiebeveiliging, conform ons informatiebeveiligingsbe-
leid.
- Een clean desk- & clean screen policy.
- Een sleutel- en deurbeleid.
- Een strikt wachtwoordbeleid.
- Een ondertekende geheimhoudingsverklaring voor al onze medewerkers.
- Een procedure voor het melden van informatiebeveiligingsincidenten, datalekken en/of
kwetsbaarheden. Kwartaallijks vindt rapportage plaats over datalekken en de status van
verbetermaatregelen.
- Een continue campagne om de awareness ten aanzien van informatiebeveiliging te ver-
hogen. Deze campagne bestaat uit nieuwsberichten en op maat gesneden workshops
voor teams.
Van onze leveranciers vereisen wij het voldoen aan onze informatiebeveiligingseisen. De af-
spraken hierover worden middels een bewerkersovereenkomst geborgd.
IT infrastructuur en informatiesystemen in eigen beheer
Het sterk beveiligde datacenter vormt het fundament van onze informatiehuishouding. Hier
staan de servers van de informatiesystemen die in ons eigen beheer zijn, zoals het verzuimin-
formatiesysteem d’Arbois en ons werkgeverportaal Zorg van de Zaak online en ons werknemer-
portaal Mijn Zorg van de Zaak. Het datacenter is in Nederland gevestigd en beschikt over rele-
vante certificeringen:
- Kwaliteitsbeleid: ISO 9001 gecertificeerd.
- Informatiebeveiliging: ISO 27001 gecertificeerd.
- Gezondheid & veiligheid: OHSAS18001 gecertificeerd.
- Milieu en energiemanagement: ISO 14001 en 50001.
Fysieke beveiligingsmaatregelen van het datacenter:
Informatiebeveiliging Zorg van de Zaak Netwerk | Januari 2018
- Servers van de informatiesystemen van Zorg van de Zaak Netwerk staan in eigen bevei-
ligde ruimten.
- Alle apparatuur en verbindingen zijn redundant uitgevoerd. Verder is alle apparatuur ge-
spiegeld opgesteld.
- Het datacenter kent volledige ‘no-break’ voorzieningen (noodstroomvoorziening, brand-
preventie, brandweerfaciliteiten).
- Zeer scherpe toegangscontrole (24x7x365 ‘on site’ bemensing, bezoekersaanmelding, en
camerabewaking).
Maatregelen ter beveiliging van ons serverpark:
- Firewalls: hiermee worden de ingangen op ons serverpark beperkt en bewaakt;
- Gescheiden netwerken: database servers kunnen alleen door de webservers benaderd
worden en niet rechtstreeks.
- Beheer op de servers is alleen mogelijk via een separaat ingericht (en gescheiden) net-
werk. Dit netwerk is alleen via een VPN toegang te benaderen.
- Scheiding van applicatieservers, webservers, mailservers en proxy-servers
- Alle servers zijn voorzien van complexe inlogcombinaties die periodiek worden gewijzigd;
- Security patches: hardware en software worden volgens een vastomlijnd schema voor-
zien van beveiligingsupdates. In de aanpak is geborgd dat we bij dit soort wijzigingen
aandacht besteden aan beheersbaarheid en betrouwbaarheid (testen).
- Internetverkeer verloopt alleen via HTTPS (beveiligd internet).
- Zorg van de Zaak Netwerk maakt gebruik van diverse veiligheidscertificaten van ver-
schillende uitgevers. Daarbij is gekozen voor de zogenaamde A-labels. Alle certificaten
hebben een geldigheidsduur van een jaar. Ieder jaar wordt beoordeeld/herijkt of het cer-
tificaat gehandhaafd blijft en welke uitgever bij welke site/toepassing past.
Wij bieden onze medewerkers informatiesystemen zoveel mogelijk aan via een remote desk-
top oplossing. Hierbij vindt de verwerking van gegevens centraal plaats. In de gevallen waar
geen gebruik wordt gemaakt van een remote desktop, wordt data-encryptie op het werksta-
tion toegepast.
Wij gebruiken alleen werkstations die door onze eigen IT-organisatie worden beheerd. Op
deze wijze kunnen wij het veiligheidsniveau het beste borgen.
Gegevensdragers (harde schijven, geheugenmodules, papierafval) worden volgens een vas-
te procedure en gecertificeerd vernietigd.
Beveiligingsaspecten klantportalen
Bij voorkeur werken wij in ons werkgeversportaal, werknemersportaal of vitaliteitsportaal
met u en uw werknemers samen. De portalen vervangen kwetsbare vormen van gegevens-
uitwisseling (zoals email en bestandsuitwisseling). Werkt u bij voorkeur met een eigen (ver-
zuim)systeem, dan kan ook daarmee een koppeling worden gerealiseerd.
Informatiebeveiliging Zorg van de Zaak Netwerk | Januari 2018
Ons emailverkeer kent een beveiliging volgens het TLS protocol. In geen geval zullen wij
medische gegevens per standaard e-mail uitwisselen.
Autorisaties. Eenmaal ingelogd kan de gebruiker, afhankelijk van zijn/haar rol en bijbeho-
rende autorisaties, informatie inzien en/of bewerken. In het klantportaal zijn autorisaties in-
gericht die onder andere borgen dat een gebruiker alleen die privacygevoelige gegevens kan
raadplegen, waarvoor specifieke autorisatie bestaat. Er is nooit toegang tot medische gege-
vens.
Beheer gebruikersaccounts. Gebruikersaccounts worden via het gebruikersbeheer in het
klantportaal aangemaakt. Dit kunt u zelf doen of door ons laten verzorgen. Per gebruiker
wordt daarbij een rol toegekend, waarmee een bijbehorende set functionaliteiten beschik-
baar komt. Per gebruiker is ook geregeld voor welke organisaties, organisatieonderdelen,
werknemer en/of dossiers hij/zij is geautoriseerd.
Beveiligde internetverbinding. Onze klantportalen zijn alleen via een beveiligde internetver-
binding beschikbaar.
Er is een strikte scheiding tussen de klantportalen die onze klanten gebruiken en de infor-
matiesystemen waarmee de bedrijfsartsen werken. Zorg van de Zaak online is technisch
volledig ontkoppeld van de database waarin de bedrijfsartsen medische gegevens vastleg-
gen en waarvoor een specifieke autorisatie is vereist.
Wijzigingen in ons cliëntvolgsysteem d’ Arbois en onze portalen brengen wij aan volgens een
vastomlijnde wijzigingsprocedure. Het borgen van de veiligheid, integriteit en beschikbaar-
heid van informatie is in deze procedure te allen tijde een belangrijk aandachtspunt. Toe-
voeging van nieuwe functionaliteiten loopt via een separate test- en acceptatieomgeving
voordat de wijziging beschikbaar wordt gesteld.
Wij hanteren een uitgebreid schema voor het maken van back-ups, zodat bij een calamiteit
geen dataverlies optreedt. Back-ups worden bewaard in een sterk beveiligde derde locatie.
Om beveiligingslekken te voorkomen volgt Zorg van de Zaak Netwerk de OWASP-10 richtlij-
nen voor de ontwikkeling van webapplicaties. Deze richtlijnen worden continu aangepast
aan de actuele ontwikkelingen en inzichten.
Onze klantportalen zijn periodiek onderdeel van een uitgebreide penetratietest door gere-
nommeerde partijen. Zorg van de Zaak online en Mijn Zorg van de Zaak worden ieder kwar-
taal getest door Deloitte’s Hacking as a Service (HAAS). Meer informatie over Hacking as a
Service en de werkzaamheden is te vinden op: www.deloitte.nl/haasbeschrijving. Naast het
uitvoeren van penetratietests en kwetsbaarheidsanalyses kunnen we actuele adviezen over
de optimale implementatie van ontwikkelrichtlijnen direct toepassen.
Informatiebeveiliging Zorg van de Zaak Netwerk | Januari 2018
Informatiesystemen in beheer van andere partijen
Op dit moment gebruiken we op beperkte schaal informatiesystemen die in beheer zijn bij
andere partijen. Hiervan worden persoonsgegevens buiten ons domein opgeslagen. Een
voorbeeld van een zo’n systeem is ons Vitaliteitsportaal.
Wij verzorgen altijd een adequate leveranciers- en systeemselectie. Een beveiligingsonder-
zoek maakt hier onderdeel van uit.
Met iedere leverancier is een bewerkersovereenkomst gesloten. Middels audits controleren
wij de naleving hiervan.
Volgens planning is de leverancier van Vitaliteitsportaal uiterlijk 1 januari 2019 gecertifi-
ceerd voor informatiebeveiliging conform de ISO 27001 normering.
Tot slot
Dit document geeft u een beeld van de maatregelen die Zorg van de Zaak Netwerk treft om uw
persoonsgegevens te beveiligen. Dit is een momentopname. Wij zien privacybescherming en
informatiebeveiliging als een continu factor om bij te blijven in de ontwikkelingen in bedreigin-
gen, wet- en regelgevingen, opvattingen, en technische mogelijkheden.
Mochten onze beveiligingsmaatregelen desondanks gecompromitteerd worden, met een datalek
als gevolg, dan zullen wij dat na constatering melden aan de opdrachtgever of rechtstreeks aan
betrokken personen en de Autoriteit Persoonsgegevens. Ieder datalek is onderwerp van oor-
zaakanalyse, waarbij we bekijken op welke wijze we herhaling kunnen voorkomen.
Heeft u naar aanleiding van bovenstaande informatie een vraag of wilt u melding maken van
een datalek of beveiligingsincident? Meldt het direct aan uw klantverantwoordelijke of stuur
rechtstreeks een email naar: [email protected].