Accord de sous-traitance

ACCORD DE SOUS-TRAITANCE (mai 2018)

LES PARTIES À L’ACCORD :

  • 1. L’institution de soin ou l’utilisateur qui utilise les services de Familienet B.V. (ci-après : « responsable du traitement ») ; et
  • 2. Familienet B.V., dont le siège se trouve à l’adresse suivante : Verlengde Hereweg 174 à Groningue et inscrite au registre de la Chambre de commerce sous le numéro 04022404, représentée légalement aux fins des présentes par Maarten Bloemink Sr., directeur (ci-après « sous-traitant »).

Auxquelles il est conjointement fait référence ci-après sous le nom de : « parties » et individuellement sous le nom de « partie ».

ATTENDU QUE :

  • (a) Le sous-traitant met à exécution des services au bénéfice du responsable du traitement, tels que décrits dans les accords décrits dans l’annexe 1.
  • (b) Les services impliquent que des données à caractère personnel sont traitées, y compris des données relatives à la santé.
  • (c) Le sous-traitant traite les données en question exclusivement sous les ordres du responsable du traitement et pas à ses propres fins.
  • (d) Le règlement (EU) 2016/679 du Parlement et du Conseil européens du 27 avril 2016 (RGPD ou sa ratification néerlandaise, AVG) est applicable depuis le 25 mai 2018.
  • (e) Les parties souhaitent établir des accords en ce qui concerne le traitement des données personnelles dans le cadre des services de cet accord de sous-traitance.
  • (f) Cet accord de sous-traitance remplace le cas échéant tous les précédents accords de teneur équivalente.

DÉCLARENT AVOIR CONVENU DE CE QUI SUIT :

Article 1. Définitions

1.1. Dans cet accord de sous-traitance, les concepts ci-dessous ont le sens suivant :

  • a) « Algemene Verordening Gegevens » Bescherming’ (AVG) ou RGPD Règlement (EU) 2016/679 du Parlement et du Conseil européens du 27 Avril 2016 relatif à la protection des personnes physiques dans le cadre du traitement de données personnelles et en ce qui concerne la libre circulation de ces données, en remplacement de la directive 95/46/CE.
  • b) Personne concernée Une personne physique identifiée ou identifiable (article 4 point 1 AVG/RGPD).
  • c) Tiers un tiers au sens de l’article 4 point 10 de l’AVG/du RGPD.
  • d) Délégué à la protection des données Un fonctionnaire comme prévu dans l’article 37 ff. AVG/RGPD.
  • e) Incident
    • i Une réclamation ou demande (d’information) d’une personne concernée en ce qui concerne le traitement des données à caractère personnel par le sous-traitant.
    • ii Une recherche ou saisie par des fonctionnaires du gouvernement des données à caractère personnel ou une suspicion que cela se produira ;
    • iii Une violation en rapport avec des données à caractère personnel au sens de l’article 4 sous 12 de l’AVG/du RGPD.
    • iv Tout(e) accès, suppression, mutilation, perte ou autre forme de traitement illégitime des données à caractère personnel.
  • f) Collaborateur La personne physique engagée par les parties pour la mise en œuvre de cet accord de sous-traitance qui travaille chez ou pour l’une des parties.
  • g) Accord(s) l'(les) accord(s) indiqués dans l’annexe concernant la fourniture de produits et/ou services.
  • h) Partie toute information sur une personne physique identifiée ou identifiable au sens de l’article 4 sous 1 de l’AVG/du RGPD.
  • i) Parties responsable du traitement et sous-traitant.
  • j) Données à caractère personnel ou données personnelles toute information sur une personne physique identifiée ou identifiable au sens de l’article 4 sous 1 de l’AVG/du RGPD.
  • k) Sous-traitant de sous-traitant toute partie non subordonnée qui est impliquée par le sous-traitant dans le traitement de données personnelles dans le cadre de l’accord, n’étant pas un collaborateur.
  • l) Sous-traitant e sous-traitant au sens de l’article 4 point 8 de l’AVG/du RGPD
  • m) Accord de sous-traitance l’accord sous-jacent.
  • n) Responsable du traitement le responsable du traitement au sens de l’article 4 point 7 de l’AVG/du RGPD
  • o) « Wet bescherming Persoonsgegevens » (Wbp), législation néerlandaise portant sur la protection des données Loi du 6 juillet 2000, comprenant des règles relatives à la protection de données à caractère personnelles (Wbp), y compris les amendements ultérieurs.

1.2. Les concepts susmentionnés et autres sont interprétés conformément à l’AVG/au RGPD. Jusqu’au 25 mai 2018, les concepts sont interprétés conformément à la disposition comparable de Wbp

1.3. Lorsqu’une référence est faite à cet accord de sous-traitance selon certaines normes (telles que NEN7510) l’on entend toujours sa version la plus récente. Dans la mesure où la norme appropriée n’est plus maintenue, elle doit à la place être entendue comme la plus récente version de la successeuse logique de la norme en question.

1.4. Toute éventuelle différence par rapport au texte n’est effective que dans la mesure où elle a été précisée dans l’annexe 4. Ce qui est stipulé dans l’annexe 4 prévaut sur ce qui est autrement stipulé dans cet accord de sous-traitance.

Article 2. Objet de cet accord de sous-traitance

2.1.Cet accord de sous-traitance concerne le traitement de données à caractère personnel par le sous-traitant ordonné par le responsable du traitement dans le cadre de la mise en œuvre de l’ (des) accord(s).

2.2.Le parties concluent l'(les) accord(s) pour utiliser l’expertise qu’a le sous-traitant en matière de traitement et de protection de données à caractère personnel, aux fins découlant de l’ (des) accord(s) qui sont plus amplement décrites dans cet accord de sous-traitance. Le sous-traitant garantit qu’il est qualifié pour cela.

2.3.Cet accord de sous-traitance forme une partie intégrante de l'(des) accord(s). Dans la mesure où ce qui est stipulé dans cet accord de sous-traitance est contraire aux dispositions de l'(des) accord(s), ce qui est stipulé dans l’accord de sous-traitance prévaut.

Article 3. Traitement de la mise en œuvre

3.1.Le sous-traitant garantit qu’il traitera exclusivement des données à caractère personnel pour le responsable du traitement dans la mesure où :

  • a.)c’est nécessaire pour la mise en œuvre de l’accord (dans le contexte précisé dans l’annexe 1) ; ou
  • b.)le responsable a donné de plus amples instructions à cet effet ;

3.2.Dans le contexte de ce qui est stipulé dans la première section de l’article 3 sous a) Le sous-traitant traitera exclusivement les données spécifiées dans l’annexe 1 dans le cadre de la nature et des fins du traitement décrits dans cette annexe.

3.3.Le sous-traitant respectera toutes les instructions raisonnables du responsable du traitement en rapport avec le traitement de données à caractère personnel. Le sous-traitant informera immédiatement le responsable du traitement si de son avis les instructions enfreignent la législation applicable concernant le traitement de données à caractère personnel.

3.4.Sans préjudice de ce qui est stipulé dans la première section de cet article 3, le sous-traitant est autorisé à traiter des données à caractère personnel si une exigence légale (y compris également des ordonnances de tribunal ou administratives basées sur celle-ci) l’oblige à les traiter. Dans ce cas, le sous-traitant informe le responsable du traitement avant l’exécution du traitement et de l’exigence légale prévus, à moins que la législation n’interdise cette notification pour cause d’intérêt public important. Le sous-traitant permettra lorsque c’est possible au responsable du traitement de se défendre contre ce traitement légal et limitera également autrement le traitement obligatoire à ce qui est strictement nécessaire.

3.5.Le sous-traitant traitera visiblement les données à caractère personnel de manière adéquate et diligente, et conformément aux obligations auxquelles il est soumis en tant que sous-traitant conformément à l’AVG/au RGPD, dans la mesure encore applicable de Wbp, et d’autres législations et réglementations. Dans ce contexte, le sous-traitant tiendra au moins un registre des activités de traitement au sens de l’article 30 de l’AVG/du RGPD et fournira une copie de ce registre au responsable du traitement à sa première demande.

3.6.la prestation de services par le sous-traitant implique le traitement de données liées à la santé ou d’autres données à caractère personnel particulières, le sous-traitant garantit qu’il n’agira pas en infraction de la législation liée à la santé.

3.7.À moins qu’il n’en ait obtenu au préalable l’autorisation écrite claire du responsable du traitement, le sous-traitant ne traitera pas des données à caractère personnel ni ne les fera traiter par lui-même ou par des tiers situés en dehors de l’Espace économique européen (« EEE »).

3.8.Le sous-traitant garantit que les collaborateurs impliqués ont signé un accord de non-divulgation et laisse sur demande le responsable du traitement lire attentivement cet accord de non-divulgation.

Article 4. Protection des données à caractère personnel et contrôle

4.1.Le sous-traitant prendra manifestement les mesures de sécurité technique et organisationnelles adéquates et efficaces qui, au regard de l’état de la technique actuel et des coûts associés, correspondent à la nature (comme précisé dans l’annexe 1) des données à caractère personnel à traiter, afin de protéger les données caractère personnel de toute perte, prise de connaissance non autorisée, mutilation ou autre forme de traitement illégitime, ainsi que pour garantir la disponibilité (temporaire) des données. Les mesures telles qu’elles sont stipulées dans l’accord font partie de ces mesures de sécurité. Les mesures incluent dans tous les cas :

  • a.)des mesures pour s’assurer que seuls les collaborateurs autorisés aient accès aux données à caractère personnel aux fins que nous avons expliquées ;
  • b.)des mesures par lesquelles le sous-traitant accorde exclusivement à ses collaborateurs et propres sous-traitants (sous-traitant de sous-traitant) un accès à des données à caractère personnel par le biais de comptes créés avec le nom, par lesquelles l’utilisation de ces comptes est journalisée comme il se doit et par lesquelles les comptes pertinents donnent uniquement accès aux données à caractère personnel dont l’accès est nécessaire pour les personnes (légales) concernées ;
  • c.)mesures pour protéger les données à caractère personnel d’une destruction, perte ou modification commise par inadvertance ou illégitime, d’un stockage, d’un traitement, d’un accès ou d’une divulgation non autorisée ou illégitime ;
  • d.)des mesures pour identifier les points faibles en ce qui concerne le traitement des données dans les systèmes qui sont déployés pour la prestation de services au responsable du traitement.
  • e.)des mesures pour garantir la disponibilité en temps et en heure des données à caractère personnel ;
  • f.)des mesures pour s’assurer que les données à caractère personnel soient traitées de manière logique distincte des données à caractère personnel qu’il traite pour son propre compte ou pour le compte de tiers ;
  • g.)les autres mesures sur lesquelles les parties se sont mises d’accord comme établi dans l’annexe 2.

4.2.Le sous-traitant travaille visiblement conformément à ISO27001 et/ou NEN 7510 et a mis en place une politique de sécurité écrite adéquate pour le traitement de données à caractère personnel dans laquelle les mesures mentionnées dans la première section de cet article 4 ont au moins été stipulées.

4.3.Le sous-traitant respecte visiblement les mesures de sécurité pour les connexions réseau comme décrit dans NEN7512.

4.4.Le sous-traitant respecte manifestement les exigences concernant la journalisation comme décrit dans NEN7513.

4.5.Le sous-traitant respecte manifestement les exigences d’autres normes NEN, dans la mesure où elles ont été déclarées applicables aux soins de santé.

4.6.À la première demande du responsable du traitement, le sous-traitant présentera un certificat valide délivré par un tiers indépendant ayant une expertise en la matière, s’il a celui-ci à sa disposition, qui montre que le sous-traitant respecte les obligations de cet article.

4.7.Le responsable du traitement a le droit de (faire) contrôler la conformité aux mesures précisées dans ce qui précède sous l’article 4.1 jusqu’à 4.4. Si le responsable du traitement le demande, le sous-traitant permet au précédent au moins une fois par an de (faire) contrôler des questions à un moment à établir par les parties d’un commun accord, et également dans le cas où le responsable du traitement voit des raisons de le faire en rapport avec (une suspicion de) une information – ou des incidents portant sur la confidentialité. Le sous-traitant apportera toute son assistance raisonnable pour une telle investigation. Le sous-traitant suivra toutes les éventuelles instructions raisonnablement émises par le responsable du traitement en rapport avec une telle investigation, concernant la modification de la politique de sécurité, dans un délai raisonnable.

4.8.Les parties reconnaissent que les exigences de sécurité changent en permanence et qu’une sécurité efficace requiert une évaluation fréquente et une amélioration régulière des mesures de sécurité obsolètes. Le sous-traitant évaluera par conséquent périodiquement les mesures telles qu’elles ont été mises en place conformément à cet article 4 et, lorsque c’est nécessaire, améliorera les mesures afin de rester conforme aux obligations de cet article 4. Ce qui précède n’affecte pas l’autorisation d’instruction du responsable du traitement de (faire) prendre des mesures additionnelles lorsque c’est nécessaire.

Article 5. Contrôle, obligations d’information et gestion d’incident

5.1.Le sous-traitant contrôlera activement toute infraction aux mesures de sécurité et établira un rapport des résultats du contrôle conformément à cet article 5 au responsable du traitement.

5.2.Dès qu’un incident se produit, s’est produit ou peut se produire, le sous-traitant est tenu d’en informer immédiatement le responsable du traitement comme il se doit et de fournir ainsi toutes les informations pertinentes concernant :

  • 1)la nature de l’incident ;
  • 2)les données à caractère personnel qui sont (peuvent avoir été) affectées ;
  • 3)les conséquences identifiées et probables de l’incident ; et
  • 4)les mesures qui ont été ou seront prises pour résoudre l’incident ou alternativement pour limiter autant que possible les conséquences/dommages.

5.3.Le sous-traitant est tenu, sans préjudice aux autres obligations de cet article, des prendre les mesures qui peuvent raisonnablement être attendues de sa part pour résoudre l’incident dès que possible ou pour limiter autrement autant que possible les conséquences. Le sous-traitant consulte dans les plus brefs délais le responsable du traitement afin de prendre de prendre de plus amples dispositions adéquates.

5.4.Le sous-traitant apportera à tout moment son aide au responsable du traitement et suivra les instructions du responsable du traitement et permettra au responsable du traitement de mener une investigation adéquate sur l’incident, de formuler une réponse adéquate et de prendre des mesures de suivi adéquates concernant l’incident, incluant également l’information de l’autorité de contrôle, « Autoriteit Persoonsgegevens » (AP) et/ou de la personne concernée, tel que stipulé dans l’article 5.8.

5.5.Le sous-traitant aura à tout moment à disposition des procédures écrites lui permettant de fournir au responsable du traitement une réponse immédiate en ce qui concerne un incident, et de coopérer efficacement avec le responsable du traitement pour régler l’incident. Le sous-traitant fournira au responsable du traitement une copie de ces procédures si le responsable du traitement le lui demande.

5.6.Les rapports établis conformément à l’article 5.2. sont immédiatement dirigés vers le responsable du traitement ou, le cas échéant, vers les collaborateurs du responsable du traitement indiqué par ce dernier remédiant à la durée effective de cet accord de sous-traitance par écrit. Si le responsable du traitement a désigné un délégué à la protection des données (DPD), les rapports sont dirigés vers ce DPD.

5.7.Le sous-traitant n’est pas autorisé à fournir des informations à propos de personnes concernées à d’autres tiers, à moins que le sous-traitant ne soit légalement tenu de le faire ou si les parties en ont établi autrement.

5.8. Si et dans la mesure où les parties ont établi que le sous-traitant conserve un contact direct avec les autorités ou d’autres parties concernant un incident, le sous-traitant tiendra alors constamment le responsable du traitement au courant.

Artikel 6. Article 6. Obligations d’assistance

6.1.L’AVG/le RGPD et d’autres législations (régissant la vie privée) donnent certains droits à la personne concernée. Le sous-traitant apportera son entière assistance et dans les temps opportuns au responsable du traitement pour le respect des obligations dont fait l’objet le responsable du traitement conformément à ces droits.

6.2.Une réclamation reçue de la part d’un sous-traitant ou une demande d’une personne concernée relative au traitement de données à caractère personnel est transmise par le sous-traitant dans les plus brefs délais au responsable du traitement.

6.3.À la première demande à cet effet de la part du responsable du traitement, le sous-traitant fournira au responsable du traitement toutes les informations pertinentes relatives aux aspects du traitement de données à caractère personnel qu’il effectue, de manière à ce que le responsable du traitement puisse également prouver grâce à cette information qu’il respecte la législation applicable (portant sur la vie privée).

6.4.Le sous-traitant apportera en outre, à la première demande du responsable du traitement, toute l’assistance raisonnable pour la conformité aux obligations légales auxquelles est soumis le responsable du traitement conformément à la législation applicable sur la vie privée (tout comme en conduisant une évaluation de l’impact sur la confidentialité).

Article 7. Utilisation de sous-traitants de sous-traitant

7.1.Le sous-traitant ne sous-traitera pas ses activités consistant au traitement de données personnelles ou en la demande de traitement de données à caractère personnel à un autre sous-traitant (sous-traitant de sous-traitant) sans l’accord préalable écrit du responsable du traitement. Ce qui précède ne s’applique pas aux sous-traitants de sous-traitant indiqués dans l’annexe 1.

7.2.Dans la mesure où le responsable du traitement accepte l’utilisation d’un sous-traitant de sous-traitant, le sous-traitant imposera à son propre sous-traitant (sous-traitant de sous-traitant) les mêmes obligations ou des obligations plus strictes que celles découlant pour lui de cet accord de sous-traitance et de la législation. Le sous-traitant enregistrera ces dispositions par écrit et contrôler la conformité avec celles-ci de son propre sous-traitant (sous-traitant de sous-traitant). Le sous-traitant fournira sur demande au responsable du traitement une copie de l’ (des) accord(s) conclus avec son propre sous-traitant (sous-traitant de sous-traitant).

7.3.En dépit de la permission du responsable du traitement pour le déploiement d’un sous-traitant de sous-traitant traitant (partiellement) des données sur ordre du sous-traitant, le sous-traitant reste entièrement responsable des conséquences de la sous-traitance des activités à un sous traitant de sous-traitant envers le responsable du traitement. Le consentement du responsable du traitement pour la sous-traitance d’activités à un sous-traitant de sous-traitant n’a aucune incidence sur le fait que pour l’utilisation de sous-traitants de sous-traitant dans un pays extérieur à l’Espace économique européen une autorisation est requise conformément à article 3.7 de cet accord de sous-traitance.

Article 8. Responsabilité

8.1.Les parties sont toutes deux responsables de leurs propres actions.

8.2.Toute limitation de responsabilité dans l’accord, mutatis mutandis, est également applicable à cet accord de sous-traitance, à condition que :

  • a.)toute exclusion éventuelle de garantie (implicite ou explicite) pour perte ou mutilation de données à caractère personnel soit exclue ;
  • b.)toute exclusion éventuelle de garantie (implicite) pour des amendes imposées par l’AP ou une autre agence de contrôle qui est directement liée à une défectuosité du sous-traitant, ou à une action ou à l’absence d’action de celui-ci attribuable au sous-traitant, soit exclue ;

8.3.Le sous-traitant préserve le responsable du traitement et indemnise celui-ci pour toute réclamation, action, réclamation de tiers, ainsi que de/pour toute amende de l’AP, qui découle directement d’une défectuosité attribuable au sous-traitant et/ou à ses propres sous-traitants (sous-traitants de sous-traitant) en se conformant à ses obligations dans le cadre de cet accord de sous-traitance et/ou de toute infraction à la législation applicable dans le domaine du traitement de données à caractère personnel du sous-traitant et/ou de ses propres sous-traitants (sous-traitants de sous-traitant).

8.4.Dans la mesure où les parties sont individuellement et conjointement responsables envers des tiers, incluant également la personne concernée, ou si une amende leur est conjointement imposée par l’AP elles sont redevables l’une envers l’autre, chacune pour la partie de la dette qui les concerne dans leur relation mutuelle, conformément à ce qui est stipulé dans le volume 6, titre 1, section 2 du Code civil néerlandais, « Burgerlijk Wetboek », afin de contribuer à la dette et aux coûts, à moins que l’AVG/le RGPD ne stipule le contraire, auquel cas l’AVG/le RGPD prévaut.

8.5.Dans la mesure où aucune limitation de responsabilité pour le responsable du traitement n’est stipulée dans l’accord, la limitation incluse dans la section 2 pour le sous-traitant s’applique également au responsable du traitement.

8.6.Toute limitation de garantie devient en outre caduque pour la partie concernée en cas d’intention ou de négligence grave de la part de la partie concernée.

8.7.Les parties se chargent d’une couverture suffisante pour la responsabilité.

Article 9. Coûts

9.1.Les coûts pour le traitement des données qui sont inhérents à l’exécution normale de l’accord sont censés être compris dans les rémunérations déjà dues conformément à l’accord.

9.2.Toute assistance ou autre service additionnel que le sous-traitant doit fournir dans le cadre de cet accord de sous-traitance, ou qui est requis(e) par le responsable du traitement, y compris toutes les demandes d’informations supplémentaire, sera facturé(e) au responsable du traitement conformément aux tarifs précisés dans l’annexe 3.

9.3.La disposition précédente n’est pas applicable si les activités sont liées à une défectuosité d’un sous-traitant dans le cadre de cet accord de sous-traitance. Les activités seront dans ce cas exécutées gratuitement (sans préjudice au droit du responsable du traitement de déposer une réclamation pour le dommage effectivement induit par le sous-traitant).

Article 10. Durée et résiliation

10.1.Cet accord de sous-traitance entre en vigueur à la date de la signature et la durée de cet accord de sous-traitance est égale à la durée de l’ (des) accord(s) mentionné(e) dans l’annexe 1, y compris tout éventuel prolongement de celui-ci.

10.2.Après sa signature par les deux parties, l’accord de sous-traitance forme une partie intégrante et inextricable de l'(des) accord(s). La résiliation de l’ (des) accord(s) pour quelque motif que ce soit (annulation/rescision), engendre la résiliation de l’accord de sous-traitance pour les mêmes motifs (et vice-versa), à moins que les parties en établissent un autre.

10.3.Les obligations qui par leur nature sont destinées à se poursuivre également après la résiliation de cet accord de sous-traitance restent effectives après la résiliation de l’accord de sous-traitance. Celles qui découlent des clauses concernant la non-divulgation, la responsabilité, le règlement de litiges et la législation applicable sont par exemple incluses dans ces dispositions.

10.4.Chaque partie à le droit, sans préjudice à ce qui est stipulé en ce qui concerne l’accord, de suspendre la mise en œuvre de cet accord de sous-traitance et l’accord associé, ou de le rescinder sans intervention judiciaire avec effet immédiat, si :

  • a.)l’autre partie est liquidée ou cesse autrement d’exister ;
  • b.)l’autre partie n’est visiblement (gravement) pas à la hauteur de l’exécution de ses exécutions découlant de cet accord de sous-traitance et cette défectuosité attribuable n’a pas été corrigée sous 30 jours après un préavis de défectuosité écrit à cet effet ;
  • c.)une partie a été déclarée en faillite ou demande un sursis de paiement.

10.5.Étant donné la grande dépendance du responsable du traitement envers le sous-traitant, ainsi que du risque de continuité en cas d’incidents et de calamités (tels que la faillite), le sous-traitant se déclare maintenant prêt dans un tel cas, à la première demande du responsable du traitement, de prendre des dispositions additionnelles avec le responsable du traitement pour diminuer les risques susmentionnés. Ces dispositions additionnelles peuvent par exemple consister en :

  • a.)la réalisation d’arrangements pour le retour périodique de prestation ou à un tiers des données traitée par le sous-traitant ; et/ou
  • b.)la conclusion avec un tiers d’un accord servant pour le tiers concerné individuellement et l’engagement commun pour ou l’hébergement de la sécurité pour la conformité avec l’accord ; et/ou
  • c.)la conclusion avec un tiers d’un accord (tripartite) qui prévoit pour le tiers concerné (constamment) l’acquisition de toutes les informations requises afin de, comme cela peut se produire, (démarrer) conduire (une partie de) l’exécution à mettre en œuvre conformément à l’accord – que ce soit ou pas sur la base d’un nouvel accord – à la place du ou parallèlement au sous-traitant.

10.6.Le sous-traitant a un plan de secours pour toutes les obligations de cet accord de sous-traitance, au cas où l’accord ou l’accord de sous-traitance venait à être résilié (prématurément). À la première demande du responsable du traitement, le sous-traitant remet une copie de ce plan.

10.7.Le responsable du traitement a le droit de rescinder cet accord de sous-traitance et l’accord avec effet immédiat si le sous-traitant indique qu’il ne peut (plus) respecter les exigences de fiabilité qui sont établies pour le traitement de données à caractère personnel suite aux développements de la législation et/ou de la jurisprudence.

10.8.Le sous-traitant doit informer le responsable du traitement au préalable et en temps opportun concernant une reprise ou d’un transfert de propriété prévu(e).

10.9.Le sous-traitant n’est pas autorisé sans la permission écrite et catégorique du responsable du traitement à transférer cet accord de sous-traitance et les droits et obligations qui sont associés à cet accord de sous-traitance à un tiers.

Article 11. Périodes de conservation, retour et destruction de données à caractère personnel

11.1.Le sous-traitant ne conserve pas les données à caractère personnel plus longtemps que strictement nécessaire, en incluant les périodes de conservation réglementaire ou tout accord relatif aux conditions de conservation pouvant avoir été conclu entre les parties, comme établi dans l’annexe 1. Le sous-traitant ne conserve en aucun cas les données après la fin de cet accord de sous-traitance. Le responsable du traitement décide si et si c’est le cas combien de temps les données doivent être conservées.

11.2.Lors de la résiliation de l’accord de sous-traitance, ou le cas échéant à la fin des périodes de conservation établies, ou sur demande écrite du responsable du traitement, le sous-traitant va, pour un coût raisonnable, à la discrétion du responsable du traitement, (faire) détruire ou retourner définitivement au responsable du traitement les données à caractère personnel. Le sous-traitant fournira sur demande du responsable du traitement la preuve du fait que les données ont été définitivement détruites ou supprimées. Le renvoi des données comme cela peur se produire se produira généralement au format de données généralement habituel, structuré et documenté, par voie électronique. Si le renvoi, la suppression ou la destruction définitive n’est pas possible, le sous-traitant en informera immédiatement le responsable du traitement. Dans ce cas, le sous-traitant garantit qu’il traitera les données à caractère personnel de manière confidentielle et qu’il ne les traitera plus.

Article 12. Droits de la propriété intellectuelle

12.1. Dans la mesure où (la collecte de) les données à caractère personnel ne sont pas protégées par tout droit de la propriété intellectuelle, le responsable du traitement donne sa permission au sous-traitant d’utiliser les données à caractère personnel dans le cadre de l’exécution de cet accord de sous-traitance.

Article 13. Dispositions finale

13.1.Les considérations font partie de cet accord de sous-traitance.

13.2.En cas d’invalidité et/ou d’annulabilité d’une ou de plusieurs dispositions de cet accord de sous-traitance, les autres dispositions restent pleinement en vigueur.

13.3.Dans tous les cas non prévus par cet accord de sous-traitance, les parties décident par accord mutuel.

13.4.La législation néerlandaise s’applique à cet accord de sous-traitance.

13.5.Les parties s’efforcent de résoudre les conflits par accord mutuel. La possibilité de mettre fin au litige par médiation ou arbitration établie d’un commun accord est incluse ici.

13.6.Les litiges à propos du ou en rapport avec cet accord de sous-traitance sont exclusivement soumis à la juridiction ou à l’ (aux) arbitre(s) indiqué(e)(s) aux fins de cet accord.

Annexe 1 : Accords, description des données à caractère personnel, nature du traitement, etc.

Cet accord de sous-traitance est une annexe aux accords ultérieurs et concerne les types de traitement de données à caractère personnel suivants.

  • Date d’entrée en vigueur du contrat Voir l’accord
  • Référence / numéro / titre du contrat Voir l’accord
  • Courte description des services Livraison d’une plateforme en ligne « Familienet » pour les communications avec et à propos des clients.
  • Nature du traitement Tous les clients de l’institution de soin ont une page personnelle sécurisée. Les collaborateurs et la famille y partagent des messages, des photos, des vidéos et un agenda, ainsi qu’un carnet de vie. Tout le monde est ainsi bien informé et la coopération est améliorée.
  • Type de données à caractère personnel Noms, photos, vidéos, textes, documents et autres messages de et à propos de personnes concernées, mais en principe pas d’informations liées à la santé.
  • Catégories de personnes concernées Clients, membres de la famille et collaborateurs.
  • Objectifs du traitement Permettre la communication entre l’institution de soin, le client et la famille.
  • Sous-traitants approuvés Voir annexe 4.
  • Dispositions périodes de conservation Tant que l’accord est en vigueur, plus une période d’un maximum de 30 jours ensuite, en relation avec systèmes de sauvegarde du sous-traitant.

Annexe 2 : Plus amples descriptions des mesures de sécurité

Le sous-traitant applique plus spécifiquement les mesures de sécurité suivantes :

  • – L’utilisation de connexions cryptées (comprenant également la connexion HTTPS du site Web du sous-traitant) ;
  • – contrôle des 10 principales menaces de la sécurité de l’OWASP (www.owasp.org) au cours de la mission et lors du développement de nouveaux services ;
  • – accès aux données à caractère personnel par le personnel du sous-traitant seulement si c’est requis pour l’exécution de leurs tâches et conformément à l’obligation contractuelle de non-divulgation ;
  • – l’utilisation de systèmes d’autorisation pour l’accès au service et aux données à caractère personnel ;
  • – l’adoption des accords de sous-traitance appropriés avec les fournisseurs ;
  • – l’application de systèmes d’alarme, également en connexion avec des services de sécurité ou la police ;
  • – l’application de profils d’utilisateur dans l’attribution des droits de l’utilisateur ;
  • – l’utilisation de systèmes d’autorisation et d’authentification ;
  • – l’utilisation de connexions SSL-/TLS sécurisées pour les transmissions ;
  • – l’application d’un logiciel anti-virus ;
  • – une stricte sélection des prestataires d’hébergement, qui sont également conformes à NEN 7510 et ISO 27001, avec lesquels les accords de sous-(sous-)traitance sont conclus.

Annexe 3 : Tarifs spécifiques

Non applicable. Voir l’accord

Annexe 4 : Modifications du texte standard

Les parties établissent clairement les écarts suivants du texte standard de l’accord de sous-traitance :

  • Art. 4.2 à 4.7
    Caducité du texte Les sections d’article entières.Texte de substitution Le sous-traitant utilise uniquement des prestataires d’hébergement qui ont manifestement mis en œuvre une politique de sécurité écrite adéquate, conformément à ISO27001 et/ou à NEN 7510, pour le traitement des données à caractère personnel issues du sous-traitant.

    Raison Le sous-traitant utilise uniquement des prestataires d’hébergement qui ont manifestement mis en œuvre une politique de sécurité écrite adéquate, conformément à ISO27001 et/ou à NEN 7510, pour le traitement des données à caractère personnel issues du sous-traitant.

  • Art. 7.1
    Caducité du texte Le sous-traitant ne sous-traitera pas d’activités consistant au traitement de données personnelles à ni ne demandera à ce que des données à caractère personnel ne soient traitées par un autre sous-traitant (sous-traitant de sous-traitant) sans l’accord préalable écrit du responsable du traitement. Ce qui précède ne s’applique pas aux sous-traitants de sous-traitant indiqués dans l’annexe 1. Texte de substitution Le sous-traitant sous-traitera uniquement ses activités consistant au traitement de données à caractère personnel pour ou demandera à ce que des données à caractère personnel soient traitées par, un autre sous-traitant (sous-traitant de sous-traitant) si ce dernier est établi au sein de l’Union européenne et si ce dernier n’a pas signé un accord de sous-traitance adéquat avec le sous-traitant.

    Raison Les nouveaux rédacteurs apportent des assurances suffisantes et évitent que les parties, en cas de changement de services de communication et d’hébergement par exemple, aient à prévoir au préalable un accord écrit.

  • Art. 10.6
    Caducité du texte L’intégralité de la section de l’article. Texte de substitution Aucun.

    Raison Le service du sous-traitant permet a responsable du traitement de télécharger ses propres données. Cela rend tout plan de secours superflu.

  • Art. 11.2
    Caducité du texte Le sous-traitant fournira sur demande du responsable du traitement la preuve du fait que les données ont été définitivement détruites ou supprimées. L’éventuel renvoi des données comme se produira généralement au format de données généralement habituel, structuré et documenté, par voie électronique. Texte de substitution Aucun.

    Raison La preuve de destruction (prouvant que quelque chose n’est pas présent) est impossible à fournir. De plus, le service du sous-traitant permet au responsable du traitement de télécharger les données lui-même dans un format courant.

  • Art. 13.6
    Caducité du texte Aucun. Texte de substitution En outre : Si aucune juridiction compétente n’a été sélectionnée, la juridiction de la circonscription du sous-traitant sera exclusivement compétente.

    Raison Uniquement éclaircissement additionnel concernant la juridiction compétente.

Bulletin Lienfamille

Histoires inspirantes tirées de la pratique, messages sur les nouvelles fonctionnalités intéressantes, conseils utiles et bien plus encore. Vous souhaitez recevoir notre newsletter Lienfamille 6 fois par an ? Alors inscrivez-vous !

Bulletin

« * » indique les champs nécessaires