Privacy – Vertrouwelijkheid |
In het kader van het gebruik van privégegevens verbindt REDPHARMA zich er principieel en expliciet toe de bepalingen van de algemene verordening gegevensbescherming 2016/679 van het Europees Parlement en de Raad van 27 april 2016 na te leven, met inbegrip van, maar niet beperkt tot, de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens. Met het oog daarop zal REDPHARMA naast de algemene voorwaarden ook het addendum inzake de bescherming van persoonsgegevens in de bijlage goedkeuren.
Bijlage bij de privacyclausule:
ADDENDUM INZAKE DE VERWERKING VAN PERSOONSGEGEVENS
Dit addendum voor de bescherming van persoonsgegevens maakt integraal deel uit van de algemene voorwaarden van de aansluitingsovereenkomst bij de rapportagedienst Red-Data van REDPHARMA.
- Definities
‘Toepasselijke wetgeving’ duidt op de wetten, regels, richtlijnen, verordeningen die zijn uitgevaardigd of afgekondigd door een overheidsinstantie (met inbegrip van een nationale of buitenlandse, supranationale, staats-, provinciale, gemeentelijke, lokale, territoriale of andere overheid, met inbegrip van, indien van toepassing, richtlijn 95/46/EG, richtlijn 2002/58/EG, besluiten en richtsnoeren van de Europese Commissie), zoals omgezet in de nationale wetgeving van elke lidstaat of anderszins en zoals gewijzigd, vervangen of van tijd tot tijd vervangen, met inbegrip van of in aanvulling op de GDPR, en alle zelfreguleringsprincipes van de sector die van toepassing zijn op de plaats of regio waar de diensten worden verstrekt of ontvangen, met betrekking tot de verwerking van persoonsgegevens of de onderschepping, registratie of bewaking van communicatie.
‘GDPR’ duidt op de verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
Onder ‘gegevens’ wordt verstaan alle door REDPHARMA verzamelde of ontvangen persoonsgegevens, ongeacht of deze afkomstig zijn van apothekers, betrokkenen, derden, enz.
‘Verwerkingsverantwoordelijke’ van de persoonsgegevens duidt op de apotheker die de persoonsgegevens van zijn klanten verzamelt en beheert.
‘Verwerker’ duidt op elke derde partij die door REDPHARMA is aangewezen om namens de apotheker persoonsgegevens te verwerken in het kader van een akkoord.
‘Contract’ verwijst naar de aansluitingsovereenkomst bij de rapportagedienst Red-Data van REDPHARMA.
Met ‘partijen’ of ‘partij’ wordt verwezen naar REDPHARMA en de apotheker, samen of afzonderlijk.
De termen ‘commissie’, ‘controleur’, ‘betrokkene, ‘lidstaat’, ‘persoonsgegevens’, ‘verwerking’ en ‘toezichthoudende overheden’ hebben dezelfde betekenis als in de GDPR en de daarmee samenhangende termen moeten dienovereenkomstig worden geïnterpreteerd.
- Naleving van de wet
De partijen voldoen aan hun verplichtingen uit hoofde van alle toepasselijke wetgeving met betrekking tot de verwerking van persoonsgegevens in het kader van het contract.
- Back-up
De partijen bevestigen en kunnen aantonen dat zij passende beveiligingsmaatregelen hebben getroffen om de gegevens te beschermen, met inbegrip van passende technische en organisatorische maatregelen, tegen ongeoorloofde of onwettige verwerking en toevallig verlies, toevallige vernietiging of beschadiging, teneinde de integriteit en vertrouwelijkheid van de gegevens te waarborgen. Hierbij wordt rekening gehouden met de stand van de kennis, de kosten van de uitvoering en de aard, de omvang, de context en het doel van de verwerking, alsook met de risico’s.
- Behoorlijke en billijke behandeling
REDPHARMA bevestigt dat het de gegevens uitsluitend als vertrouwelijk zal behandelen in overeenstemming met de schriftelijke instructies van de apotheker. REDPHARMA zal de gegevens niet gebruiken of verwerken voor andere doeleinden dan het leveren van de schriftelijk overeengekomen diensten. Het doel en de details van de gegevens die worden verwerkt, moeten in het contract worden vastgelegd. Indien REDPHARMA fouten of onnauwkeurigheden in de gegevens vaststelt, zal het de apotheker hiervan zo spoedig mogelijk op de hoogte brengen.
- Personeel dat met persoonsgegevens omgaat
De partijen nemen redelijke maatregelen om de betrouwbaarheid te waarborgen van elke werknemer, aangeslotene, onderaannemer of agent (‘personeel’) die betrokken is bij de gegevensverwerking. Zij bevestigen dat alle gegevens waartoe zij toegang hebben, alleen toegankelijk zijn voor hun personeel dat: (i) toegang moet hebben; (ii) een opleiding heeft genoten met betrekking tot de passende verwerking van gegevens; en (iii) onderworpen is aan contractuele verplichtingen inzake vertrouwelijkheid, veiligheid en geheimhouding met betrekking tot deze gegevens.
- Overdrachten
De partijen bevestigen dat zij de gegevens niet zullen overdragen en dat geen enkele subverwerker de gegevens zal overdragen buiten het land waarin deze aan hen zijn verstrekt, behalve (a) tussen lidstaten van de Europese Economische Ruimte (‘EER’); of (b) op schriftelijke instructie van een apotheker. Indien gegevens buiten de EER worden doorgegeven, zal de betrokken partij snel een overeenkomst met de betrokken partijen over ‘EU-modelbepalingen’ of gelijkwaardige bepalingen sluiten (of, in het geval van een doorgifte door of aan een verwerker, eisen dat de verwerker snel een dergelijke overeenkomst sluit).
- DPO en aanvragen van derden
De partijen bevestigen dat zij zullen beschikken over een functionaris voor de bescherming van persoonsgegevens (of een aangewezen werknemer), die verantwoordelijk zal zijn voor het rechtmatige beheer van de gegevens en alle daarmee verband houdende kwesties en die beschikbaar zal zijn om REDPHARMA of de apotheker op het gepaste moment bij te staan, indien er vragen om inlichtingen zijn binnengekomen van betrokkenen of van een bevoegde autoriteit op het vlak van gegevensbescherming of vertrouwelijkheid, met betrekking tot de gegevens die zij verwerken. De partijen bevestigen dat zij alle bijstand en informatie die zij redelijkerwijs aan elkaar kunnen vragen, tijdig aan elkaar zullen verstrekken om elkaar bij te staan bij het nakomen van hun verplichtingen uit hoofde van de GDPR met betrekking tot persoonsgegevens.
- Verwerking door verwerkers
Om een verwerker aan te werven, moet REDPHARMA in het bezit zijn van een voorafgaande schriftelijke toelating van de apotheker in overeenstemming met dit onderdeel en artikel 28 van de GDPR.
REDPHARMA kan een beroep blijven doen op de verwerkers die zij reeds heeft ingezet op de datum van dit addendum, met inachtneming van de verplichtingen die in dit onderdeel en in artikel 28 van de GDPR zijn vastgelegd.
REDPHARMA zal de apotheker schriftelijk op de hoogte brengen van de aanstelling van een nieuwe verwerker, met inbegrip van alle details van de door de verwerker uit te voeren verwerking. Met betrekking tot elke verwerker moet REDPHARMA: (i) voordat de verwerker persoonsgegevens verwerkt, een passende duediligenceprocedure uitvoeren om zich ervan te vergewissen dat de verwerker in staat is om het beschermingsniveau te bieden dat vereist is voor persoonsgegevens krachtens de toepasselijke wetgeving en het contract; (ii) zich ervan vergewissen dat de verwerker een schriftelijk contract uitvoert met voorwaarden die ten minste hetzelfde beschermingsniveau voor persoonsgegevens bieden als de voorwaarden in dit addendum en die voldoen aan de vereisten van de toepasselijke wetgeving; (iii) op redelijk verzoek aan de apotheker kopieën verstrekken van overeenkomsten met verwerkers (zonder vermelding van vertrouwelijke commerciële informatie die niet relevant is voor de vereisten van dit addendum) die de apotheker redelijkerwijs van tijd tot tijd kan vragen; en (iv) verantwoordelijkheid dragen voor het handelen en nalaten van zijn verwerkers.
- Inbreuk op de beveiliging en schending van persoonsgegevens
De partijen bevestigen dat zij in het geval van een inbreuk op de beveiliging, een aantasting van de integriteit van de persoonsgegevens of een schending van die gegevens: (i) onmiddellijk alle noodzakelijke en passende corrigerende maatregelen zullen nemen om de onderliggende oorzaken van de schending van de persoonsgegevens weg te nemen en redelijke commerciële inspanningen zullen leveren om ervoor te zorgen dat deze gegevensschending zich niet herhaalt; (ii) de andere partij onmiddellijk en in elk geval binnen vierentwintig (24) uur op de hoogte zullen brengen en daarbij redelijke gegevens zullen verstrekken over de inbreuk op de bescherming van persoonsgegevens en de waarschijnlijke gevolgen voor de betrokkenen, zoals bedoeld in artikel 33, § 3 van de GDPR; en (iii) alle maatregelen zullen nemen die door de toepasselijke wetgeving en/of op redelijk verzoek van de andere partij zijn vereist. Na voorafgaand overleg met REDPHARMA zal de apotheker de eindbeslissing nemen om de betrokken personen en/of het ruime publiek al dan niet op de hoogte te brengen, afhankelijk van de ernst van de inbreuk.
- Bewaren
REDPHARMA zorgt ervoor dat alle persoonsgegevens in zijn bezit aan de apotheker worden teruggegeven of worden vernietigd, naar keuze van de apotheker, wanneer ze niet langer nodig zijn voor de uitvoering van de overeengekomen diensten, binnen een redelijke termijn van maximaal één jaar, rekening houdend met het type persoonsgegevens.
- Verwerking van persoonsgegevens
De partijen verwerken persoonsgegevens alleen binnen de strikte grenzen van de uitvoering van het contract, in overeenstemming met de instructies van de apotheker (de verwerkingsverantwoordelijke).
- Rechten van de betrokkenen
REDPHARMA bevestigt dat het over de middelen beschikt en alle redelijke (technische en organisatorische) maatregelen neemt die aan de aard van de verwerking zijn aangepast om de apotheker in staat te stellen en bij te staan bij het beantwoorden van redelijke verzoeken van betrokkenen met betrekking tot hun rechten uit hoofde van artikel 12-22 van de GDPR, en dus om zijn verplichting die erin bestaat te antwoorden op verzoeken van betrokkenen, na te komen.
- Gevoelige/bijzondere persoonsgegevens
De partijen bevestigen dat zij geen gevoelige/bijzondere categorieën van persoonsgegevens, zoals gedefinieerd in de artikelen 9 en 10 van de GDPR, zullen delen, tenzij de betrokkenen daar hun uitdrukkelijke schriftelijke toestemming voor hebben gegeven.
- Audit
De partijen bevestigen dat zij volledig zullen meewerken aan het beantwoorden van elk redelijk verzoek om informatie van de apotheker en/of zijn klanten met betrekking tot de verwerking van persoonsgegevens. Voor zover dit nodig is om alle partijen in staat te stellen hun verplichtingen uit hoofde van de toepasselijke wetgeving na te komen, machtigt REDPHARMA de apotheker of elke andere door hem gemandateerde persoon om een controle uit te voeren op de naleving door REDPHARMA van dit addendum en de toepasselijke wetgeving.
- Effectbeoordeling van de gegevensbescherming
REDPHARMA verleent de apotheker redelijke bijstand bij elke effectbeoordeling inzake de gegevensbescherming en bij voorafgaande raadplegingen van de toezichthoudende of andere autoriteiten die bevoegd zijn op het vlak van de vertrouwelijkheid van de gegevens die volgens de apotheker vereist zijn op grond van artikel 35 en/of 36 van de GDPR of gelijkwaardige bepalingen van enige andere toepasselijke wetgeving, in elk geval alleen met betrekking tot de verwerking van persoonsgegevens door REDPHARMA en rekening houdend met de aard van de verwerking en de informatie die aan de leverancier ter beschikking wordt gesteld.
- Randorde
De partijen erkennen en komen overeen dat de voorwaarden van dit addendum een aanvulling vormen op de privacy- en vertrouwelijkheidsclausule van de algemene voorwaarden. Niets in dit addendum beperkt de verplichtingen van de partijen uit hoofde van het contract met betrekking tot de gegevensbescherming of staat hen toe om persoonsgegevens te verwerken (of te laten verwerken) op een wijze die door het contract verboden is. In geval van strijdigheid of onverenigbaarheid tussen het addendum, de GDPR en een overeenkomst wordt de volgende rangorde gehanteerd: (1) de GDPR (2) het addendum (3) een overeenkomst.
- Naleving van de verplichtingen
In het algemeen zal REDPHARMA de apotheker (de verwerkingsverantwoordelijke) helpen om de naleving van zijn verplichtingen inzake de verwerking van persoonsgegevens te verzekeren en aan te tonen.
AANVAARDING DOOR DE PARTIJEN
REDPHARMA en de apotheker komen overeen dat dit addendum inzake de verwerking van persoonsgegevens ingaat op 1 maart 2020.