Algemene wet inzake gegevensbescherming (GDPR, General Data Protection Regulation)

Verklaring gegevensverwerking tussen CareFlow Medicines Management Ltd (CMM) en zorgcliënten

Deel 1: Definities

Clientsystemen: alle systemen die door CMM worden geleverd of die nodig zijn voor het leveren van de door CMM geleverde Ondersteuningsdiensten

Gegevenslek: Een inbreuk op de beveiliging die leidt tot accidentele of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot de persoonsgegevens

Gegevensbeheerder: De zorgcliënt; de partij die de middelen en doeleinden van de verwerking van de persoonsgegevens bepaalt.

Gegevensverwerker: CMM de partij die de Persoonsgegevens verwerkt in opdracht van de Zorgcliënt.

GDPR: De Algemene verordening gegevensbescherming (General Data Protection Regulation) (EU)(2016/479).

Zorgcliënt: De opdrachtgever van CMM in de zin van deze Verklaring.

Persoonsgegevens: alle persoonsgegevens die door CMM namens de Zorgcliënt worden verwerkt zoals gedefinieerd in artikel 3 van deze Verklaring.

Gespecificeerd doel: een lijst van doeleinden waarvoor Persoonsgegevens door CMM kunnen worden verwerkt, zoals gedefinieerd in sectie 2 van deze Verklaring.

Ondersteunende Diensten: De tussen partijen overeengekomen dienstverlening door CMM.

Deel 2: Principes voor het delen van gegevens

1. Voor het delen van gegevens tussen zorgcliënten en CMM is CMM de gegevensverwerker en is de zorgcliënt de gegevensbeheerder. CMM zal ook een gegevensverwerker zijn voor alle gegevens van zorgcliënten die zij namens haar zorgcliënten ontvangt.
2. CMM zal Persoonsgegevens uitsluitend verwerken in strikte opdracht van de Zorgcliënt en voor zover noodzakelijk voor een Specifiek Doel, zoals overeengekomen met de Zorgcliënt.
3. Toegang tot Persoonsgegevens op de systemen van zorgcliënten wordt alleen aan CMM verleend indien vereist zoals gevraagd door de zorgcliënt voor een gespecificeerd doel, zoals overeengekomen met de zorgcliënt.
4. Specifieke doeleinden omvatten het onderhoud van zorgsystemen die door CMM aan de zorgcliënt worden geleverd,
5. De beperkingen van deze doeleinden worden vooraf gespecificeerd zoals overeengekomen met de Zorgcliënt. CMM zal persoonsgegevens ontvangen van Zorgcliënten niet verwerken voor andere doeleinden dan die welke zijn gespecificeerd tussen CMM en de Zorgcliënt. CMM is niet verantwoordelijk voor andere Persoonsgegevens dan die gespecificeerd in deze sectie 2 die door de Zorgcliënt aan CMM worden bekendgemaakt.
   

   Deel 3: Gegevensverwerking

6. CMM heeft toegang tot Clientsystemen via een externe desktopverbinding, die toegang zal geven tot persoonlijke gegevens die zijn opgeslagen op de Clientsystemen, alleen op verzoek van de Zorgcliënt.
7. Verzoeken om Ondersteuningsdiensten van de Zorgcliënt worden alleen door CMM in behandeling genomen indien deze zijn ontvangen van bevoegd personeel bij de Zorgcliënt.
8. CMM zal nooit vragen om specifieke persoonsgegevens van Zorgcliënten te ontvangen. Alle persoonlijke gegevens, inclusief de persoonlijke gegevens van patiënten, die CMM van haar zorgcliënten ontvangt, worden alleen ontvangen zoals verstrekt door de zorgcliënt.
9. CMM zal alleen de volgende Persoonsgegevens verwerken zoals ontvangen van de Zorgcliënt:
   1. Patiëntgegevens - Beperkt tot ziekenhuis-ID-nummers, namen van patiënten, geboortedatum van patiënt, geslacht van patiënt;
   2. Gevoelige patiëntgegevens - Beperkt tot medische aandoeningen van patiënten, geneesmiddelen voorgeschreven aan patiënten
10. De Zorgcliënt zal CMM alleen gegevens verstrekken die nodig zijn voor de gespecificeerde doeleinden zoals beschreven in sectie 2 hierboven. CMM en de Zorgcliënt zullen doorlopend afspraken maken over de gegevens die voor deze doeleinden moeten worden verstrekt.
11. CMM zal de Zorgcliënt op verzoek informeren over alle Persoonsgegevens die zij namens de Zorgcliënt bewaart, bewaart en anderszins verwerkt.
    

    Deel 4: Maatregelen gegevensveiligheid

12. CMM zal alle redelijke organisatorische en technische maatregelen nemen om te zorgen voor naleving van de verplichtingen onder de AVG om de veiligheid van alle gegevens die het ontvangt van zorgcliënten te waarborgen.
13. Het is de verantwoordelijkheid van de Zorgcliënt om Persoonsgegevens te anonimiseren voordat deze gegevens aan CMM worden verstrekt ten behoeve van IT-ondersteuning.
14. Wanneer CMM Persoonsgegevens van de Zorgcliënt ontvangt, zal CMM de gegevens weigeren en niet accepteren totdat deze in geanonimiseerd formaat zijn geretourneerd.
15. CMM zal alleen toegang verlenen tot het minimum aantal medewerkers dat nodig is voor het uitvoeren van het verzoek van de opdrachtgever.
16. CMM zal zorgcliënten binnen een redelijke termijn op de hoogte stellen als een datalek wordt ontdekt of vermoed wordt met betrekking tot persoonsgegevens die door CMM worden verwerkt.
    

    Deel 5: Gegevensverwijdering

17. Persoonsgegevens die CMM van Zorgcliënten ontvangt, worden alleen bewaard voor de duur van de taak die voor de Zorgcliënt wordt uitgevoerd. Hierna wordt het verwijderd uit alle elektronische databases en alle fysieke opslaglocaties die door CMM worden beheerd.
18. CMM zal alle redelijke maatregelen nemen om te zorgen voor de tijdige vernietiging van alle ontvangen Persoonsgegevens die voor haar functies onnodig worden geacht, zoals bepaald in sectie 2 hierboven en zoals overeengekomen met de zorgcliënt.
19. De gegevensverwijdering houdt in:
    1. Gedrukte documenten die persoonlijke gegevens bevatten, worden correct versnipperd en weggegooid of teruggestuurd naar de zorgcliënt voor vernietiging.
    2. Elektronische bestanden en e-mail met gevoelige persoonlijke gegevens worden verwijderd uit e-mail inboxen, computer harde schijven, USB/Flash-schijven en externe harde schijven zodra deze niet langer nodig zijn voor de relevante ondersteuningsservices.
20. Persoonsgegevens worden door CMM alleen voor langere tijd bewaard als de Zorgcliënt hier specifiek om vraagt.