Verwerkersovereenkomst

1.1 AVG: de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679);

1.2 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4 lid 1 AVG;

1.3 Verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés;

1.4 Verwerkingsverantwoordelijke: de Klant die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt;

1.5 Verwerker: Doktercommerce (handelsnaam van Ecommerce Manager), die ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt;

1.6 Subverwerker: een derde partij die door de Verwerker wordt ingeschakeld voor het verwerken van persoonsgegevens;

1.7 Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

1.8 Diensten: de door Doktercommerce aangeboden Commerce Module, PMS Module en/of Samen Sterker bundel.

2.1 Deze Verwerkersovereenkomst regelt de verwerking van persoonsgegevens door Doktercommerce ten behoeve van de Klant in het kader van de levering van de Diensten.

2.2 Deze overeenkomst vangt aan op het moment dat de Klant gebruik maakt van de Diensten en eindigt van rechtswege bij beëindiging van de hoofdovereenkomst.

2.3 De Klant is en blijft Verwerkingsverantwoordelijke voor de persoonsgegevens die worden verwerkt via de Diensten van Doktercommerce.

3.1 Doktercommerce verwerkt persoonsgegevens uitsluitend ten behoeve van de volgende doeleinden:

• Het leveren van de overeengekomen Diensten (Commerce Module, PMS Module en/of Samen Sterker);
• Het faciliteren van de webshop en e-commerce functionaliteit;
• Het beheren van praktijkmanagement functies (agenda, patiëntdossiers, facturatie);
• Het verwerken van bestellingen en reserveringen via BBP;
• Het ondersteunen van NVWA-compliance en SDa-rapportages;
• Het bieden van technische ondersteuning en onderhoud.

3.2 Doktercommerce zal de persoonsgegevens niet voor andere doeleinden verwerken dan zoals beschreven in deze overeenkomst, tenzij de Klant hier voorafgaand schriftelijk toestemming voor heeft gegeven.

4.1 Categorieën van persoonsgegevens

De volgende categorieën persoonsgegevens kunnen worden verwerkt:

• Contactgegevens: naam, adres, e-mailadres, telefoonnummer;
• Bedrijfsgegevens: praktijknaam, KvK-nummer, BTW-nummer, UBN-nummers;
• Accountgegevens: gebruikersnaam, wachtwoord (versleuteld), gebruikersvoorkeuren;
• Transactiegegevens: bestelhistorie, facturen, betalingsgegevens;
• Diergegevens: patiëntgegevens, behandelhistorie, medicatiegegevens (gekoppeld aan dierhouders);
• Agendagegevens: afspraken, planning, behandelnotities;
• Communicatiegegevens: correspondentie, notities, klantinteracties.

4.2 Categorieën van betrokkenen

• Klanten van de veterinaire praktijk (dierhouders/eigenaren);
• Medewerkers van de veterinaire praktijk;
• Contactpersonen van leveranciers en samenwerkingspartners;
• Veehouders en agrarische bedrijven (bij veeartspraktijken).

5.1 Doktercommerce verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Klant, tenzij Doktercommerce op grond van Unierecht of lidstaatrecht verplicht is anders te handelen.

5.2 Doktercommerce zorgt ervoor dat de personen die gemachtigd zijn om persoonsgegevens te verwerken zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

5.3 Doktercommerce neemt alle passende technische en organisatorische maatregelen die nodig zijn om een op het risico afgestemd beveiligingsniveau te waarborgen, zoals beschreven in Artikel 7.

5.4 Doktercommerce stelt de Klant onverwijld in kennis van elk verzoek van een betrokkene om uitoefening van diens rechten onder de AVG (inzage, rectificatie, verwijdering, etc.) en verleent medewerking aan de afhandeling daarvan.

5.5 Doktercommerce staat de Klant bij om te voldoen aan de verplichtingen uit hoofde van de artikelen 32 tot en met 36 AVG, rekening houdend met de aard van de verwerking en de informatie waarover Doktercommerce beschikt.

6.1 De Klant verleent Doktercommerce algemene schriftelijke toestemming voor het inschakelen van subverwerkers.

6.2 Doktercommerce maakt op het moment van deze overeenkomst gebruik van de volgende subverwerkers:

• Supabase Inc. - Database hosting en authenticatie (VS, EU Standard Contractual Clauses);
• Vercel Inc. - Hosting en CDN (VS, EU Standard Contractual Clauses);
• Resend - E-maildiensten (VS, EU Standard Contractual Clauses);
• Stripe - Betalingsverwerking (EU/VS, PCI-DSS gecertificeerd);
• Mollie - Betalingsverwerking (Nederland);

6.3 Doktercommerce informeert de Klant vooraf over voorgenomen wijzigingen inzake de toevoeging of vervanging van subverwerkers, waarbij de Klant de mogelijkheid heeft bezwaar te maken.

6.4 Doktercommerce legt aan elke subverwerker dezelfde verplichtingen inzake gegevensbescherming op als opgenomen in deze Verwerkersovereenkomst.

7.1 Doktercommerce neemt de volgende technische en organisatorische maatregelen om de persoonsgegevens te beschermen:

• Versleuteling van data in transit (TLS 1.3) en at rest (AES-256);
• Toegangscontrole met sterke authenticatie en rolgebaseerde autorisatie;
• Regelmatige back-ups met versleutelde opslag;
• Logging en monitoring van alle toegang tot persoonsgegevens;
• Firewall en DDoS-bescherming;
• Regelmatige beveiligingsupdates en patches;
• Periodieke penetratietests en vulnerability assessments;
• Training van personeel op het gebied van gegevensbescherming.

7.2 Doktercommerce evalueert en actualiseert de beveiligingsmaatregelen regelmatig, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en verwerkingsdoeleinden.

8.1 Doktercommerce stelt de Klant zonder onredelijke vertraging, en indien mogelijk binnen 24 uur, op de hoogte van elk datalek dat betrekking heeft op de persoonsgegevens die voor de Klant worden verwerkt.

8.2 De melding bevat ten minste:

• De aard van het datalek, inclusief de categorieën en het aantal betrokkenen en persoonsgegevensrecords;
• De naam en contactgegevens van de functionaris voor gegevensbescherming of ander contactpunt;
• De waarschijnlijke gevolgen van het datalek;
• De maatregelen die zijn genomen of worden voorgesteld om het datalek aan te pakken.

8.3 Doktercommerce verleent alle redelijke bijstand aan de Klant bij het voldoen aan diens meldplicht aan de Autoriteit Persoonsgegevens en/of betrokkenen.

9.1 Doktercommerce verwerkt persoonsgegevens primair binnen de Europese Economische Ruimte (EER).

9.2 Indien doorgifte naar een land buiten de EER noodzakelijk is (bijvoorbeeld door het gebruik van bepaalde subverwerkers), geschiedt dit uitsluitend op basis van:

• Een adequaatheidsbesluit van de Europese Commissie; of
• Standaard contractuele clausules (Standard Contractual Clauses); of
• Bindende bedrijfsvoorschriften (Binding Corporate Rules); of
• Een andere wettelijk toegestane doorgifte-mechanisme.

10.1 Doktercommerce stelt de Klant alle informatie ter beschikking die nodig is om de naleving van de in dit artikel neergelegde verplichtingen aan te tonen, en maakt audits mogelijk.

10.2 De Klant kan maximaal één keer per jaar een audit uitvoeren of laten uitvoeren, mits:

• De audit minimaal 4 weken van tevoren schriftelijk wordt aangekondigd;
• De audit plaatsvindt tijdens normale kantooruren;
• De auditor gebonden is aan een geheimhoudingsplicht.

10.3 De kosten van een audit komen voor rekening van de Klant, tenzij uit de audit blijkt dat Doktercommerce tekortschiet in de nakoming van deze overeenkomst.

11.1 Bij beëindiging van de hoofdovereenkomst staakt Doktercommerce de verwerking van persoonsgegevens.

11.2 Op verzoek van de Klant retourneert Doktercommerce alle persoonsgegevens in een gangbaar, machineleesbaar formaat binnen 30 dagen na beëindiging.

11.3 Na retournering of op verzoek van de Klant verwijdert Doktercommerce alle persoonsgegevens, tenzij opslag verplicht is op grond van wet- of regelgeving.

11.4 Doktercommerce bewaart back-ups maximaal 90 dagen na beëindiging, waarna deze definitief worden verwijderd.

12.1 Doktercommerce is aansprakelijk voor schade die voortvloeit uit verwerking in strijd met de AVG of deze Verwerkersovereenkomst, voor zover deze schade aan Doktercommerce kan worden toegerekend.

12.2 De totale aansprakelijkheid van Doktercommerce uit hoofde van deze Verwerkersovereenkomst is beperkt tot het bedrag dat de Klant heeft betaald voor de Diensten in de 12 maanden voorafgaand aan de schadeveroorzakende gebeurtenis.

12.3 De Klant vrijwaart Doktercommerce tegen claims van derden (waaronder betrokkenen) die voortvloeien uit het niet-naleven door de Klant van diens verplichtingen als Verwerkingsverantwoordelijke.

13.1 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.

13.2 Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam.

13.3 Wijzigingen in deze Verwerkersovereenkomst zijn slechts geldig indien schriftelijk overeengekomen.

13.4 Indien enige bepaling van deze Verwerkersovereenkomst nietig of vernietigbaar blijkt, tast dit de geldigheid van de overige bepalingen niet aan.