Verwerkersovereenkomst

De Praktijk is verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG voor de persoonsgegevens van haar patiënten en medewerkers. VoxiDent verwerkt deze gegevens uitsluitend in opdracht en op gedocumenteerde instructie van de Praktijk en geldt daarmee als verwerker in de zin van artikel 4 lid 8 AVG.

De verwerking heeft tot doel de Praktijk te ontlasten van inkomende telefonie door het beantwoorden van gesprekken, plannen of wijzigen van afspraken, beantwoorden van standaardvragen en het doorgeven van berichten en spoedsituaties aan de Praktijk.

De verwerking duurt voor zolang de Overeenkomst tussen partijen voortduurt. Na afloop worden persoonsgegevens binnen dertig (30) dagen verwijderd of, op verzoek van de Praktijk, geretourneerd in een gangbaar formaat, behoudens een wettelijke bewaarverplichting voor VoxiDent.

Verwerkt worden in beginsel:

• Patiënten: naam, telefoonnummer, geboortedatum (indien opgegeven), audio- en transcriptiegegevens van het gesprek, gespreksmetadata en de aanleiding van het contact (bijvoorbeeld controle, pijnklacht, afspraakwijziging).
• Medewerkers van de Praktijk: naam, e-mailadres, functie en inloggegevens voor het VoxiDent-portaal.

Bijzondere persoonsgegevens worden niet actief uitgevraagd. Indien een patiënt spontaan medische informatie verstrekt, wordt deze enkel verwerkt voor zover relevant voor de juiste afhandeling van het gesprek.

VoxiDent verwerkt persoonsgegevens uitsluitend op gedocumenteerde instructie van de Praktijk, zoals vastgelegd in de Overeenkomst en de configuratie van de Dienst. Medewerkers van VoxiDent die toegang hebben tot persoonsgegevens zijn contractueel gebonden aan geheimhouding.

VoxiDent treft passende technische en organisatorische maatregelen, waaronder:

• versleuteling van gegevens in transit (TLS) en at rest;
• toegangsbeheer op basis van het minste recht en multi-factor authenticatie;
• logging en monitoring van toegang en wijzigingen;
• periodieke security tests en patchmanagement;
• gescheiden omgevingen voor ontwikkeling, test en productie.

De Praktijk verleent VoxiDent algemene toestemming om sub-verwerkers in te schakelen voor onder andere hosting, telefonie, taalmodellen en e-mailbezorging. Een actuele lijst is op verzoek beschikbaar. Bij voorgenomen toevoeging of vervanging van een sub-verwerker informeert VoxiDent de Praktijk minimaal dertig (30) dagen vooraf, zodat de Praktijk gemotiveerd bezwaar kan maken.

VoxiDent legt aan iedere sub-verwerker dezelfde verplichtingen op als die uit deze verwerkersovereenkomst voortvloeien.

Verwerking vindt in beginsel plaats binnen de Europese Economische Ruimte. Indien doorgifte naar een derde land plaatsvindt, gebeurt dit uitsluitend op basis van een adequaatheidsbesluit of passende waarborgen zoals de standaardcontractbepalingen van de Europese Commissie.

VoxiDent meldt een inbreuk in verband met persoonsgegevens zonder onredelijke vertraging en in beginsel binnen tweeënzeventig (72) uur na ontdekking aan de Praktijk, inclusief de aard van de inbreuk, de getroffen categorieën gegevens en betrokkenen, de getroffen maatregelen en — voor zover bekend — de waarschijnlijke gevolgen.

VoxiDent ondersteunt de Praktijk redelijkerwijs bij het afhandelen van verzoeken van betrokkenen die hun rechten onder de AVG uitoefenen, en bij het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's) en voorafgaande raadpleging van de toezichthouder.

De Praktijk heeft het recht om eenmaal per jaar, op eigen kosten en met inachtneming van een redelijke aankondigingstermijn, de naleving van deze verwerkersovereenkomst te (laten) controleren door een onafhankelijke, gecertificeerde auditor. VoxiDent kan in plaats daarvan een actueel onafhankelijk auditrapport (bijvoorbeeld ISO 27001 of SOC 2) aanbieden.

Op de aansprakelijkheid voor schade voortvloeiend uit de verwerking van persoonsgegevens zijn de aansprakelijkheidsbepalingen uit de Overeenkomst van toepassing, met inachtneming van het bepaalde in artikel 82 AVG.

Deze verwerkersovereenkomst eindigt van rechtswege bij beëindiging van de Overeenkomst. Op verzoek van de Praktijk worden persoonsgegevens binnen dertig (30) dagen geretourneerd of vernietigd, behoudens een wettelijke bewaarverplichting.