Déclaration de Confidentialité

download
1. Introduction

Ceci est la déclaration de confidentialité de Familienet B.V., dont le siège se trouve à Groningue à l’adresse suivante : Verlengde Hereweg 174 et inscrite au registre du commerce sous le numéro 04022404. Vous pouvez nous contacter de la manière décrite sur notre site Web (https://www.lienfamille.fr/contact.html.).

Nous expliquons dans cette déclaration de confidentialité de quelle manière Familienet B.V. traite les données à caractère personnel de personnes concernées selon les diverses activités de traitement.

Nous attachons beaucoup d’importance à la vie privée de quiconque et traitons donc les données à caractère personnel conformément aux réglementations relatives à la vie privée en vigueur aux Pays-Bas et en Union européenne. Nous conservons également des dossiers de vie privée et dans le cadre de cela, nous enregistrons nos activités de traitement dans un registre des activités de traitement.

2. Cookies

Lorsque vous visitez notre site Web (https://www.lienfamille.fr) un certain nombre de cookies sont utilisés.

Pour la partie protégée du site Web, cela concerne les cookies de session et les cookies de sécurité (les deux types étant ce que l’on appelle des cookies fonctionnels), qui sont nécessaires pour que notre service fonctionne comme il se doit et de manière sécurisée.

Nous utilisons en outre quelques cookies à des fins de statistiques Web sur la partie publique de notre site Web. Nous utilisons pour cela Google Analytics, par lequel des cookies sont placés afin de suivre les visiteurs. Nous avons sélectionné des paramètres de Google Analytics si respectueux de la vie privée qu’aucune permission préalable n’est requise de la part des visiteurs. Le dernier octet de l’adresse IP est par exemple masqué et nous ne partageons aucune donnée avec Google et nous ne combinons pas les cookies de Google Analytics avec d’autres services de Google. Nous avons conclu un accord de traitement adéquat avec Google pour ce service. En savoir plus sur la déclaration de confidentialité de Google sur leur site Web (https://policies.google.com/privacy?hl=nl).

Le fondement juridique de notre utilisation de cookies est notre nécessité de conduire lesdites actions dans notre intérêt légitime. Nous ne demandons pas le consentement du visiteur pour cela.

En principe, nous ne fournissons pas de données à caractère personnel à des tiers, à moins que cela ne soit nécessaire pour se conformer à une demande officielle ou à une obligation légale, par exemple dans le contexte d’une enquête criminelle.

3. Newsletter

Lorsque vous recevez une newsletter de notre part, nous traitons uniquement votre nom et votre adresse e-mail pour cela. Nous avons signé l’accord de traitement adéquat avec notre prestataire de newsletter.

Le fondement juridique de notre utilisation de la newsletter est la nécessité d’informer les destinataires d’actualités relatives à notre prestation de services. Les destinataires ont toujours la possibilité de se désabonner facilement de la newsletter.

4. Utilisation de notre service

Nous traitons les informations suivantes des utilisateurs de notre service en ligne « Family net » :

  • nom ;
  • adresse e-mail ;
  • adresse IP ;
  • relation avec les autres utilisateurs ;
  • préférences liées à la langue et aux notifications ;
  • information qui est partagée par ou sur l’utilisateur, telle que des photos et du texte.

En principe, partage d’informations médicales ou de santé par le biais de notre service.

Pour les institutions ou organisations de soin à titre de contrôleur de données, nous utilisons également des données pour garder contact avec leurs collaborateurs pour l’exécution de nos services, par exemple :

  • nom ;
  • fonction ;
  • adresse e-mail ;
  • adresse IP ;
  • relation avec les autres utilisateurs ;
  • préférences liées à la langue et aux notifications ;
  • information qui est partagée par ou sur le collaborateur par le biais du service, comme des photos et du texte.

De plus, nous établissons expressément avec tous les utilisateurs qu’ils agiront également avec diligence et qu’ils prendront les mesures de sécurité adéquates, à la fois techniques et organisationnelles, afin de prévenir un traitement non nécessaire ou excessif de (certaines catégories de) données personnelles et de garantir la confidentialité.

Les données à caractère personnel des utilisateurs sont éliminées dès que possible une fois que le service est résilié par l’institution de soin agissant en tant que contrôleur de données, ou à tout moment par l’utilisateur lui-même ou par la personne qui gère la page de l’utilisateur pour lui. Cela signifie en pratique 30 jours après la résiliation, car nous utilisons également un système de sauvegarde dans lequel des données à caractère personnel peuvent toutefois apparaître après la résiliation du service.

Les contrôleurs de données et utilisateurs sont en outre eux-mêmes autorisés à consulter, corriger et supprimer des données à caractère personnel qui ne sont plus nécessaires.

Le fondement juridique du traitement susmentionné de données à caractère personnel est leur nécessité pour la mise en place de l’accord avec les utilisateurs qui sont les personnes concernées ou autrement notre intérêt légitime de mener lesdites actions dans le cas où l’utilisateur est autorisé par l’institution de soin agissant en tant que contrôleur de données.

5. Droits des personnes concernées

Les personnes concernées ont le droit, lorsque nous sommes responsables du traitement en question, de nous demander à consulter, corriger ou supprimer des données à caractère personnel ou à la limitation de leur traitement. Les personnes concernées ont également le droit de refuser le traitement et le droit au transfert de données personnelles. Ces droits ne peuvent toutefois pas toujours être concédés en tant que tel, car les réglementations de vie privée imposent également des limites à cela.

6. Plus d’informations

Pour d’autres questions à propos de notre déclaration de confidentialité, vous pouvez nous contacter de la manière décrite sur notre site Web (https://www.lienfamille.fr/contact.html). L’agence néerlandaise de protection des données, « Autoriteit Persoonsgegevens » est l’autorité compétente auprès de laquelle toute éventuelle réclamation peut être déposée concernant le traitement de données à caractère personnel (https://autoriteitpersoonsgegevens.nl).

Conditions générales d’utilisation

download
Conditions générales de Familienet (mai 2018)

Ce sont les conditions générales de Familienet B.V., enregistrée à la Chambre de commerce des Pays-Bas sous le numéro 04022404, appelée ici « fournisseur ».

1. Conditions générales de Familienet

1.1 « Familienet » est le service offrant la plateforme en ligne sécurisée pour la communication et la collaboration entre le détenteur de la page, la famille, les connaissances et éventuellement des professionnels.

1.2 « détenteur de la page » est la personne concernée par une page sur Familienet.

1.3 L' «administrateur de la page » est le détenteur de la page ou un tiers autorisé qui obtient l'accès à la page du détenteur de la page et qui a le pouvoir d'inviter des utilisateurs sur la page du détenteur de la page et d'attribuer des rôles à ces utilisateurs.

1.4 Une page en ligne est ouverte pour le détenteur de la page sur Familienet par le détenteur de la page lui-même ou par quelqu'un d'autre avec le consentement du détenteur de la page. Cette page en ligne sécurisée offre au détenteur de la page, à l'administrateur de la page et aux utilisateurs ayant accès à la page concernée la possibilité de rester en contact les uns avec les autres en postant des messages, des photos et d'autres contenus, en partageant un agenda, et d'autres questions. La famille, les connaissances et éventuellement des professionnels peuvent être invités sur cette page.

1.5 Le fournisseur propose uniquement Familienet au détenteur de la page directement ou indirectement par le biais d'une organisation (dans ce cas « l'acheteur ») qui désigne un ou plusieurs administrateurs de page, et un accès est ainsi accordé à Familienet au détenteur de la page et aux administrateurs afin d'améliorer l'implication des êtres chers avec le détenteur de la page. Le fournisseur n'est pas responsable de ce que les utilisateurs partagent les uns avec les autres sur la page du détenteur de la page.

1.6 Le fournisseur se réserve le droit de modifier ou de compléter ces conditions générales. La poursuite de l'utilisation après modification ou complément des conditions générales est considérée comme constituant une acceptation des nouvelles conditions générales.

2. Abonnement

2.1 Le fournisseur propose ses services sous la forme d'un abonnement. Une distinction est faite entre les abonnements souscrits par des particuliers eux-mêmes ou par des organisations pour leurs clients. La liste de prix actuelle pour les abonnements, à la fois pour les particuliers et pour les organisations, peut être consultée sur le site Web du fournisseur.

2.2 Un particulier peut souscrire un abonnement sur Familienet au moyen duquel il peut créer une page pour lui-même en tant que détenteur de la page ou, s'il est légalement autorisé à le faire, pour un autre détenteur de page.

2.3 Une organisation peut souscrire un abonnement pour un lot de pages pour ses clients. L'organisation distribue les pages grâce à l'environnement administrateur de Familienet par le biais des administrateurs de page qu'elle doit désigner, et à ses clients par e-mail ou sous une autre forme électronique. Le client en question se crée ensuite lui-même, ou avec l'aide d'un administrateur de page, la page et sera son détenteur de page.

2.4 L'abonnement commence au moment de la création de la page ou autrement lorsqu'un lot de pages est mis à disposition pour affectation, selon la première éventualité, et est tacitement prolongé jusqu'à la fin de l'abonnement. En cas d'obligation de paiement périodique, le fournisseur est autorisé à modifier les prix et taux applicables selon la modalité indiquée dans l'accord. Si l'accord ne donne pas clairement la possibilité au fournisseur de modifier les prix ou les taux, le fournisseur est toujours autorisé à modifier les prix et taux applicables. Dans ce dernier cas, si l'acheteur ne souhaite pas accepter la modification, sous trente jours après notification de la modification, l'accord peut être annulé par écrit, à partir de la date à laquelle les nouveaux prix et/ou taux entrent en vigueur.

2.5 L'abonnement et par conséquent également les frais d'abonnement, selon les taux appliqués par le fournisseur, peuvent être prolongés par l'administrateur de la page conformément à l'article 3.4.

2.6 Le fournisseur est autorisé à rendre inaccessible et/ou à supprimer l'information stockée et traitée immédiatement après la résiliation de l'accord.

3. Pages et administration

3.1 Avant qu'une page ne puisse être créée par quelqu'un d'autre que le détenteur de la page lui-même, l'administrateur de la page doit s'assurer que le détenteur de la page a donné son autorisation à cela.

3.2 Tous les utilisateurs postant du contenu de quelque nature que ce soit sur une page doivent s'assurer que le détenteur de la page a donné sa permission à cela. Le détenteur de la page a toujours la possibilité de supprimer ses propres données.

3.3 Lorsqu'une organisation a souscrit un abonnement pour fournir des pages à plusieurs détenteurs de page, l'organisation désigne des collaborateurs en son sein pour attribuer des rôles aux clients, à leurs êtres chers, et aux collaborateurs de l'organisation en ce qui concerne l'accès aux pages des détenteurs de page concernés. Le fournisseur propose uniquement la possibilité aux organisations, conformément à l'abonnement sélectionné, d'attribuer des rôles par le biais de l'environnement d'administration et de distribuer (un accès aux) des pages aux détenteurs de page et aux administrateurs de page et à leurs propres collaborateurs et à les gérer ensuite avec les détenteurs de page et les administrateurs, mais le fournisseur lui-même n'agira pas en tant qu'administrateur pour une organisation, ni en tant qu'éditeur des pages.

3.4 Le fournisseur propose un prolongement de l'abonnement sous la forme d'applications ou de fonctionnalités additionnelles qui peuvent être ajoutées sur la page d'un détenteur de page. L'abonnement peut être amélioré à tout moment avec des applications ou des fonctionnalités additionnelles. Les taux applicables aux extensions susmentionnées peuvent être consultés sur le site Web du fournisseur. Les prolongements peuvent uniquement être résiliés à la fin de la durée effective de l'abonnement.

4. Paiement

4.1 Tous les prix sont dans les devises précisées et hors TVA et autres taxes imposées par le gouvernement, à moins qu'il n'en soit explicitement précisé autrement. Le fournisseur n'accepte aucun paiement dans une autre devise qu'indiquée. En cas d'omission d'indication de devise, tous les prix sont en Euros. Toutes les offres ou devis concernant Familienet sont sans engagement et révocables jusqu'au moment où le fournisseur confirme par voie électronique que l'accord avec le détenteur de page est adopté, ou lorsque le fournisseur a débuté la mise en œuvre de l'accord entre les parties.

4.2 Les montants dus sont facturés et encaissés chaque mois de la part d'un particulier par prélèvement. Pour les organisations, une facture est envoyée qui doit être réglée sous trente jours. Le particulier autorise le fournisseur à encaisser automatiquement la somme, à moins qu'il n'en soit établi autrement par écrit.

4.3 La compensation est également due dans le cas où aucune utilisation n'est faite de Familienet. La compensation est payée avant terme. Le fournisseur n'est pas tenu de rembourser des frais d'abonnement si aucune utilisation n'est faite de Familienet.

4.4 Le fournisseur peut immédiatement suspendre ses services si les obligations de paiement ne sont pas respectées. Dans le cas où au cours des trois mois suivants les paiements ne sont pas réglés, le fournisseur sera alors autorisé à supprimer la(les) page(s) et son(leur) contenu. Le blocage est levé au moment où tous les paiements ont été effectués.

4.5 En ce qui concerne les exécutions conduites par le fournisseur, et les montants dus pour cela par le payeur, l'information des dossiers du fournisseur constitue une pleine preuve, sans préjudice du droit de l'acheteur à présenter une preuve du contraire.

5. Durée et annulation

5.1 L'abonnement est tacitement prolongé après expiration du terme pour la même durée que celle établie lors de l'adoption de l'abonnement. Après l'extension tacite, l'abonnement peut être annulé à tout moment à la fin de la période en cours, en respectant une période de préavis de 10 jours.

5.2 Il est possible d'annuler une page en ligne par le biais de la page du détenteur de la page, par le détenteur de la page ou l'administrateur de la page.

5.3 La page qui est distribuée et/ou administrée par une organisation à/pour un détenteur de page doit être annulée par l'organisation concernée.

5.4 Un détenteur de page ou un administrateur de page ne peut pas refuser de supprimer une page, à moins que cela ne soit nécessaire conformément à une obligation légale ou à une ordonnance de tribunal.

5.5 L'annulation d'un accord d'abonnement entre le fournisseur et une organisation est uniquement possible par écrit en respectant dûment une période de préavis de 30 jours avant la fin de la durée de l'abonnement.

6. Suspension et/ou résiliation de la fourniture de services

6.1 Le fournisseur se réserve le droit d'envoyer immédiatement un avertissement aux utilisateurs, de bloquer leur page, ou de suspendre encore leur accès à Familienet et/ou de le résilier, si un utilisateur :

  • a. Ne respecte pas les règles et conditions applicables sur Familienet, ou les documents constituant une partie intégrante de celui-ci.
  • b. Poste des catégories particulières de données personnelles, y compris des informations relatives à la santé, sur la page du détenteur de la page, sans que les parties n’aient avec insistance conclu un accord écrit à cet effet prescrivant des mesures appropriées et sans prendre ces mesures.
  • c. Traite des informations qui ne correspondent pas aux fins de Familienet. Ceci à la discrétion du fournisseur.
  • d. Nuit à l'image de Familienet, illégitimement ou inutilement.
  • e. A créé, fait usage de ou a modifié un profil sous un faux nom, ou en utilisant de fausses données.
  • f. A une page pour laquelle les paiements ne sont plus effectués au fournisseur, par exemple parce que l'organisation concernée a résilié son abonnement avec le fournisseur.
  • g. Est décédé.

6.2 Le fournisseur se réserve le droit de supprimer (des parties de) l'information ajoutée sur Familienet, si elle est illégitime ou inappropriée ou si elle viole des droits de tiers, que ce soit après des réclamations de tiers ou non.

6.3 Le fournisseur n'a clairement pas l'obligation de faire appliquer proactivement les règles conformément à la loi ou à cet accord et n'effectuera en principe aucun contrôle ou aucune intervention, autrement qu'après la réception de réclamations de tiers.

7. Responsabilité et force majeure

7.1 Le fournisseur n'est pas responsable des actions ou de l'absence d'actions des utilisateurs, même en ce qui concerne le partage et le contenu de fichiers, informations et/ou de matériel qui sont mis à disposition par le biais de Familienet.

7.2 Le fournisseur ne peut pas être tenu pour responsable d'un dommage résultant d'une force majeure, y compris de dysfonctionnements techniques ou d'une pénurie d'utilisateur attribuable, ou des actions illégitimes d'utilisateurs.

7.3 Le fournisseur ne pourra en aucun cas être tenu pour responsable de tout dommage consécutif, y compris de pertes purement financières, de perte de chiffre d'affaire et de bénéfice, de perte de données et de tout dommage non immatériel, qui est lié à ou découle des services que le fournisseur met en œuvre et/ou de l'utilisation de Familienet.

7.4 Les utilisateurs préservent le fournisseur de réclamation de tiers concernant l'information ajoutée. L'information qui est ajoutée et partagée dépend de la responsabilité des utilisateurs. L'acheteur du fournisseur préserve le fournisseur contre toute réclamation de tiers concernant l'utilisation de Familienet par les collaborateurs de l'acheteur.

7.5 Toutes les exceptions et limitations de responsabilité qui sont stipulées dans ces conditions générales s'appliquent également au bénéfice de toutes les personnes (morales) dont le fournisseur utilise les services pour la mise en œuvre de l'accord arrivant à échéance et dans la mesure où le dommage est intentionnel ou résulte d'une négligence grâce de la part de la direction du fournisseur.

8. Données et sécurité personnelles

8.1 Le fournisseur protège les données à caractère personnel conformément à la législation applicable au sein des Pays-Bas et de l'Union européenne, plus spécifiquement conformément à sa propre déclaration de confidentialité et au Règlement général sur la protection des données ou sa version néerlandaise « Algemene Verordening Gegevensbescherming » (AVG). Le fournisseur utilise uniquement les données dans le cadre de la fourniture de services concernant Familienet. Les données à caractère personnel ne sont pas fournies à des tiers, à l'exception des données à caractère personnel requises pour la conclusion et la mise en œuvre de l'accord entre le fournisseur et le détenteur de la page ou l'organisation.

8.2 Le fournisseur est uniquement le « sous-traitant » au sens de la législation applicable au sein des Pays-Bas et de l'Union européenne. Le fournisseur traite les données sur ordre et aux frais du détenteur de la page ou de l'organisation. Le détenteur de page indépendant et/ou l'organisation dont le détenteur de la page est client sont les « responsables du traitement » qui déterminent la fin de et les moyens pour l'utilisation de Familienet. L'accord de sous-traitance s'applique entre les parties, tel qu'il est publié sur le site Web du fournisseur.

8.3 Tous les utilisateurs de Familienet doivent prendre des mesures de sécurité adéquates, à la fois techniques et organisationnelles, afin de prévenir le traitement non nécessaire ou excessif (de catégories particulières de) des données à caractère personnel et pour garantir la confidentialité. Les données de connexion doivent être traitées avec diligence raisonnable par tous les utilisateurs. Tous les utilisateurs doivent également prendre en compte les souhaits des personnes impliquées lorsqu'ils postent des photos et d'autres données personnelles.

8.4 L'administrateur de la page doit s'assurer que le détenteur de la page a clairement donné sa permission pour le traitement de ses données sur Familienet. L'administrateur de la page s'assure que le détenteur de la page soit pleinement impliqué dans le traitement des données et qu'il soit complètement informé des fins de Familienet et du traitement de ses données. En cas d'incapacité légale, cette permission claire devra être obtenue de la part du représentant légal.

8.5 En principe les utilisateurs de Familienet, tels que les administrateurs de page et les détenteurs de page et tout éventuel collaborateur de l'acheteur, accordent la permission aux autres utilisateurs d'utiliser leurs données à caractère personnel dans le cadre de Familienet. Dans le cas où ils retirent leur permission pour certains types de traitement de leurs données personnelles, les utilisateurs peuvent (faire) supprimer des pages entières eux-mêmes, ou (flaire) établir des limitations pour les données de celles-ci. Les administrateurs de page et les collaborateurs de l'acheteur prennent toujours en compte les souhaits des détenteurs de page.

8.6 En principe il n'est pas autorisé d'utiliser Familienet pour le traitement de catégories spéciales de données personnelles, telles que les données relatives à la santé. C'est uniquement différent dans le cas où avant le traitement des données particulières les parties ont expressément conclu un accord écrit à cet effet prescrivant des mesures adéquates et où les parties prennent effectivement ces mesures.

8.7 De plus, les utilisateurs peuvent uniquement traiter des catégories particulières de données avec Familienet, si le détenteur de page concerné a accordé son consentement express pour cela et à des fins bien définies.

9. Propriété intellectuelle

9.1 L'utilisateur qui poste ou a posté du texte et/ou des photos et/ou un autre contenu sur la page du détenteur de la page, garantit au fournisseur qu'il est le détenteur des droits d'auteur du texte et/ou des photos et/ou de tout autre contenu. S'il n'est pas le détenteur des droits d'auteur, il garantit qu'il a la permission du détenteur des droits de poster le texte et/ou les photos et/ou tout autre contenu. La personne postant un texte et/ou des photos préserve entièrement le fournisseur à l'avance de toute réclamation de tiers résultant d'une manière ou d'une autre du ou liée au matériel posté.

9.2 L'utilisateur qui en qualité de détenteur des droits poste du texte et/ou des photos et/ou tout autre contenu, donne sa permission aux autres utilisateurs sur la page du détenteur de la page d'utiliser ce matériel à des fins personnelles. L'utilisateur qui est le détenteur des droits du matériel donne également sa permission au fournisseur de traiter l'information dans le cadre de Familienet.

9.3 Le fournisseur peut supprimer ou faire supprimer des messages dans lesquels il est mentionné par un utilisateur à tout moment.

9.4 Suite à une réclamation à propos d'une violation (présumée) de la propriété intellectuelle d'un tiers, ou en cas de doute raisonnable concernant le contenu d'un message d'un utilisateur, le fournisseur peut bloquer et/ou supprimer le message.

10. Réclamations

10.1 Les réclamations concernant Familienet doivent être communiquées au fournisseur par écrit, par le biais du site Web du fournisseur ou par e-mail.

10.2 Le fournisseur s'efforce de répondre sous 14 jours après la réception de la réclamation écrite. Si la réclamation est légitime, le fournisseur fait tout ce qui est raisonnablement en son pouvoir pour corriger la situation.

10.3 Des réclamations ne confèrent pas le droit de suspendre l'obligation de paiement pour les frais d'abonnement encore dus et/ou le remboursement de paiements déjà effectués.

10.4 Le détenteur de la page ou l'administrateur de la page peut demander à l'organisation de corriger ou de compléter l'information. Le fournisseur s'efforcera de traiter cette demande dès que possible. En raison de limitations techniques, cette demande peut prendre quelques jours.

11. Autres dispositions

11.1 Le fournisseur n'est pas partie à l'accord qui est conclu entre une organisation et le détenteur de la page et/ou l'administrateur de la page. En cas de litige, ils doivent résoudre les problèmes d'un commun accord.

11.2 La législation néerlandaise s'applique à cet accord.

11.3 Les litiges qui surviennent en rapport avec l'accord conclu entre les parties et/ou en rapport avec d'autres accords qui en résultent, sont réglés par le tribunal compétent de la circonscription dans laquelle le fournisseur est établi.

11.4 Par l'adoption de l'accord, le fournisseur obtient le consentement express des acheteurs, dans le cas où ce sont des organisations, de promouvoir les noms et les logos de leurs entreprises dans les communications que le fournisseur poste sur son site Web et les réseaux sociaux.

11.5 Ces conditions générales s'appliquent à tous les devis, accords et contrats entre les parties, de quelque nature que ce soit Les conditions générales (d'achat) du fournisseur ou des utilisateurs de Familienet ne sont pas applicables.

Accord de sous-traitance

download
ACCORD DE SOUS-TRAITANCE (mai 2018)

LES PARTIES À L'ACCORD :

  • 1. L'institution de soin ou l'utilisateur qui utilise les services de Familienet B.V. (ci-après : « responsable du traitement ») ; et
  • 2. Familienet B.V., dont le siège se trouve à l'adresse suivante : Verlengde Hereweg 174 à Groningue et inscrite au registre de la Chambre de commerce sous le numéro 04022404, représentée légalement aux fins des présentes par Maarten Bloemink Sr., directeur (ci-après « sous-traitant »).

Auxquelles il est conjointement fait référence ci-après sous le nom de : « parties » et individuellement sous le nom de « partie ».

ATTENDU QUE :

  • (a) Le sous-traitant met à exécution des services au bénéfice du responsable du traitement, tels que décrits dans les accords décrits dans l'annexe 1.
  • (b) Les services impliquent que des données à caractère personnel sont traitées, y compris des données relatives à la santé.
  • (c) Le sous-traitant traite les données en question exclusivement sous les ordres du responsable du traitement et pas à ses propres fins.
  • (d) Le règlement (EU) 2016/679 du Parlement et du Conseil européens du 27 avril 2016 (RGPD ou sa ratification néerlandaise, AVG) est applicable depuis le 25 mai 2018.
  • (e) Les parties souhaitent établir des accords en ce qui concerne le traitement des données personnelles dans le cadre des services de cet accord de sous-traitance.
  • (f) Cet accord de sous-traitance remplace le cas échéant tous les précédents accords de teneur équivalente.

DÉCLARENT AVOIR CONVENU DE CE QUI SUIT :

Article 1. Définitions

1.1. Dans cet accord de sous-traitance, les concepts ci-dessous ont le sens suivant :

  • a) « Algemene Verordening Gegevens » Bescherming’ (AVG) ou RGPD

    Règlement (EU) 2016/679 du Parlement et du Conseil européens du 27 Avril 2016 relatif à la protection des personnes physiques dans le cadre du traitement de données personnelles et en ce qui concerne la libre circulation de ces données, en remplacement de la directive 95/46/CE.
  • b) Personne concernée

    Une personne physique identifiée ou identifiable (article 4 point 1 AVG/RGPD).
  • c)Tiers

    un tiers au sens de l'article 4 point 10 de l'AVG/du RGPD.
  • d) Délégué à la protection des données

    Un fonctionnaire comme prévu dans l'article 37 ff. AVG/RGPD.
  • e) Incident

    • i Une réclamation ou demande (d'information) d'une personne concernée en ce qui concerne le traitement des données à caractère personnel par le sous-traitant.
    • ii Une recherche ou saisie par des fonctionnaires du gouvernement des données à caractère personnel ou une suspicion que cela se produira ;
    • iii Une violation en rapport avec des données à caractère personnel au sens de l'article 4 sous 12 de l'AVG/du RGPD.
    • iv Tout(e) accès, suppression, mutilation, perte ou autre forme de traitement illégitime des données à caractère personnel.
  • f) Collaborateur

    La personne physique engagée par les parties pour la mise en œuvre de cet accord de sous-traitance qui travaille chez ou pour l'une des parties.
  • g) Accord(s)

    l'(les) accord(s) indiqués dans l'annexe concernant la fourniture de produits et/ou services.
  • h) Partie

    toute information sur une personne physique identifiée ou identifiable au sens de l'article 4 sous 1 de l'AVG/du RGPD.
  • i) Parties

    responsable du traitement et sous-traitant.
  • j) Données à caractère personnel ou données personnelles

    toute information sur une personne physique identifiée ou identifiable au sens de l'article 4 sous 1 de l'AVG/du RGPD.
  • k) Sous-traitant de sous-traitant

    toute partie non subordonnée qui est impliquée par le sous-traitant dans le traitement de données personnelles dans le cadre de l'accord, n'étant pas un collaborateur.
  • l) Sous-traitant

    e sous-traitant au sens de l'article 4 point 8 de l'AVG/du RGPD
  • m) Accord de sous-traitance

    l'accord sous-jacent.
  • n) Responsable du traitement

    le responsable du traitement au sens de l'article 4 point 7 de l'AVG/du RGPD
  • o) « Wet bescherming Persoonsgegevens » (Wbp), législation néerlandaise portant sur la protection des données

    Loi du 6 juillet 2000, comprenant des règles relatives à la protection de données à caractère personnelles (Wbp), y compris les amendements ultérieurs.

1.2. Les concepts susmentionnés et autres sont interprétés conformément à l'AVG/au RGPD. Jusqu'au 25 mai 2018, les concepts sont interprétés conformément à la disposition comparable de Wbp

  • 1.3. Lorsqu'une référence est faite à cet accord de sous-traitance selon certaines normes (telles que NEN7510) l'on entend toujours sa version la plus récente. Dans la mesure où la norme appropriée n'est plus maintenue, elle doit à la place être entendue comme la plus récente version de la successeuse logique de la norme en question.

  • 1.4. Toute éventuelle différence par rapport au texte n'est effective que dans la mesure où elle a été précisée dans l'annexe 4. Ce qui est stipulé dans l'annexe 4 prévaut sur ce qui est autrement stipulé dans cet accord de sous-traitance.

    Article 2. Objet de cet accord de sous-traitance

    2.1.Cet accord de sous-traitance concerne le traitement de données à caractère personnel par le sous-traitant ordonné par le responsable du traitement dans le cadre de la mise en œuvre de l' (des) accord(s).

    2.2.Le parties concluent l'(les) accord(s) pour utiliser l'expertise qu'a le sous-traitant en matière de traitement et de protection de données à caractère personnel, aux fins découlant de l' (des) accord(s) qui sont plus amplement décrites dans cet accord de sous-traitance. Le sous-traitant garantit qu'il est qualifié pour cela.

    2.3.Cet accord de sous-traitance forme une partie intégrante de l'(des) accord(s). Dans la mesure où ce qui est stipulé dans cet accord de sous-traitance est contraire aux dispositions de l'(des) accord(s), ce qui est stipulé dans l'accord de sous-traitance prévaut.

    Article 3. Traitement de la mise en œuvre

    3.1.Le sous-traitant garantit qu'il traitera exclusivement des données à caractère personnel pour le responsable du traitement dans la mesure où :

    • a.)c'est nécessaire pour la mise en œuvre de l'accord (dans le contexte précisé dans l'annexe 1) ; ou
    • b.)le responsable a donné de plus amples instructions à cet effet ;

    3.2.Dans le contexte de ce qui est stipulé dans la première section de l'article 3 sous a) Le sous-traitant traitera exclusivement les données spécifiées dans l'annexe 1 dans le cadre de la nature et des fins du traitement décrits dans cette annexe.

    3.3.Le sous-traitant respectera toutes les instructions raisonnables du responsable du traitement en rapport avec le traitement de données à caractère personnel. Le sous-traitant informera immédiatement le responsable du traitement si de son avis les instructions enfreignent la législation applicable concernant le traitement de données à caractère personnel.

    3.4.Sans préjudice de ce qui est stipulé dans la première section de cet article 3, le sous-traitant est autorisé à traiter des données à caractère personnel si une exigence légale (y compris également des ordonnances de tribunal ou administratives basées sur celle-ci) l'oblige à les traiter. Dans ce cas, le sous-traitant informe le responsable du traitement avant l'exécution du traitement et de l'exigence légale prévus, à moins que la législation n'interdise cette notification pour cause d'intérêt public important. Le sous-traitant permettra lorsque c'est possible au responsable du traitement de se défendre contre ce traitement légal et limitera également autrement le traitement obligatoire à ce qui est strictement nécessaire.

    3.5.Le sous-traitant traitera visiblement les données à caractère personnel de manière adéquate et diligente, et conformément aux obligations auxquelles il est soumis en tant que sous-traitant conformément à l'AVG/au RGPD, dans la mesure encore applicable de Wbp, et d'autres législations et réglementations. Dans ce contexte, le sous-traitant tiendra au moins un registre des activités de traitement au sens de l'article 30 de l'AVG/du RGPD et fournira une copie de ce registre au responsable du traitement à sa première demande.

    3.6.la prestation de services par le sous-traitant implique le traitement de données liées à la santé ou d'autres données à caractère personnel particulières, le sous-traitant garantit qu'il n'agira pas en infraction de la législation liée à la santé.

    3.7.À moins qu'il n'en ait obtenu au préalable l'autorisation écrite claire du responsable du traitement, le sous-traitant ne traitera pas des données à caractère personnel ni ne les fera traiter par lui-même ou par des tiers situés en dehors de l'Espace économique européen (« EEE »).

    3.8.Le sous-traitant garantit que les collaborateurs impliqués ont signé un accord de non-divulgation et laisse sur demande le responsable du traitement lire attentivement cet accord de non-divulgation.

    Article 4. Protection des données à caractère personnel et contrôle

    4.1.Le sous-traitant prendra manifestement les mesures de sécurité technique et organisationnelles adéquates et efficaces qui, au regard de l'état de la technique actuel et des coûts associés, correspondent à la nature (comme précisé dans l'annexe 1) des données à caractère personnel à traiter, afin de protéger les données caractère personnel de toute perte, prise de connaissance non autorisée, mutilation ou autre forme de traitement illégitime, ainsi que pour garantir la disponibilité (temporaire) des données. Les mesures telles qu'elles sont stipulées dans l'accord font partie de ces mesures de sécurité. Les mesures incluent dans tous les cas :

    • a.)des mesures pour s'assurer que seuls les collaborateurs autorisés aient accès aux données à caractère personnel aux fins que nous avons expliquées ;
    • b.)des mesures par lesquelles le sous-traitant accorde exclusivement à ses collaborateurs et propres sous-traitants (sous-traitant de sous-traitant) un accès à des données à caractère personnel par le biais de comptes créés avec le nom, par lesquelles l'utilisation de ces comptes est journalisée comme il se doit et par lesquelles les comptes pertinents donnent uniquement accès aux données à caractère personnel dont l'accès est nécessaire pour les personnes (légales) concernées ;
    • c.)mesures pour protéger les données à caractère personnel d'une destruction, perte ou modification commise par inadvertance ou illégitime, d'un stockage, d'un traitement, d'un accès ou d'une divulgation non autorisée ou illégitime ;
    • d.)des mesures pour identifier les points faibles en ce qui concerne le traitement des données dans les systèmes qui sont déployés pour la prestation de services au responsable du traitement.
    • e.)des mesures pour garantir la disponibilité en temps et en heure des données à caractère personnel ;
    • f.)des mesures pour s'assurer que les données à caractère personnel soient traitées de manière logique distincte des données à caractère personnel qu'il traite pour son propre compte ou pour le compte de tiers ;
    • g.)les autres mesures sur lesquelles les parties se sont mises d'accord comme établi dans l'annexe 2.

    4.2.Le sous-traitant travaille visiblement conformément à ISO27001 et/ou NEN 7510 et a mis en place une politique de sécurité écrite adéquate pour le traitement de données à caractère personnel dans laquelle les mesures mentionnées dans la première section de cet article 4 ont au moins été stipulées.

    4.3.Le sous-traitant respecte visiblement les mesures de sécurité pour les connexions réseau comme décrit dans NEN7512.

    4.4.Le sous-traitant respecte manifestement les exigences concernant la journalisation comme décrit dans NEN7513.

    4.5.Le sous-traitant respecte manifestement les exigences d'autres normes NEN, dans la mesure où elles ont été déclarées applicables aux soins de santé.

    4.6.À la première demande du responsable du traitement, le sous-traitant présentera un certificat valide délivré par un tiers indépendant ayant une expertise en la matière, s'il a celui-ci à sa disposition, qui montre que le sous-traitant respecte les obligations de cet article.

    4.7.Le responsable du traitement a le droit de (faire) contrôler la conformité aux mesures précisées dans ce qui précède sous l'article 4.1 jusqu'à 4.4. Si le responsable du traitement le demande, le sous-traitant permet au précédent au moins une fois par an de (faire) contrôler des questions à un moment à établir par les parties d'un commun accord, et également dans le cas où le responsable du traitement voit des raisons de le faire en rapport avec (une suspicion de) une information - ou des incidents portant sur la confidentialité. Le sous-traitant apportera toute son assistance raisonnable pour une telle investigation. Le sous-traitant suivra toutes les éventuelles instructions raisonnablement émises par le responsable du traitement en rapport avec une telle investigation, concernant la modification de la politique de sécurité, dans un délai raisonnable.

    4.8.Les parties reconnaissent que les exigences de sécurité changent en permanence et qu'une sécurité efficace requiert une évaluation fréquente et une amélioration régulière des mesures de sécurité obsolètes. Le sous-traitant évaluera par conséquent périodiquement les mesures telles qu'elles ont été mises en place conformément à cet article 4 et, lorsque c'est nécessaire, améliorera les mesures afin de rester conforme aux obligations de cet article 4. Ce qui précède n'affecte pas l'autorisation d'instruction du responsable du traitement de (faire) prendre des mesures additionnelles lorsque c'est nécessaire.

    Article 5. Contrôle, obligations d'information et gestion d'incident

    5.1.Le sous-traitant contrôlera activement toute infraction aux mesures de sécurité et établira un rapport des résultats du contrôle conformément à cet article 5 au responsable du traitement.

    5.2.Dès qu'un incident se produit, s'est produit ou peut se produire, le sous-traitant est tenu d'en informer immédiatement le responsable du traitement comme il se doit et de fournir ainsi toutes les informations pertinentes concernant :

    • 1)la nature de l'incident ;
    • 2)les données à caractère personnel qui sont (peuvent avoir été) affectées ;
    • 3)les conséquences identifiées et probables de l'incident ; et
    • 4)les mesures qui ont été ou seront prises pour résoudre l'incident ou alternativement pour limiter autant que possible les conséquences/dommages.

    5.3.Le sous-traitant est tenu, sans préjudice aux autres obligations de cet article, des prendre les mesures qui peuvent raisonnablement être attendues de sa part pour résoudre l'incident dès que possible ou pour limiter autrement autant que possible les conséquences. Le sous-traitant consulte dans les plus brefs délais le responsable du traitement afin de prendre de prendre de plus amples dispositions adéquates.

    5.4.Le sous-traitant apportera à tout moment son aide au responsable du traitement et suivra les instructions du responsable du traitement et permettra au responsable du traitement de mener une investigation adéquate sur l'incident, de formuler une réponse adéquate et de prendre des mesures de suivi adéquates concernant l'incident, incluant également l'information de l'autorité de contrôle, « Autoriteit Persoonsgegevens » (AP) et/ou de la personne concernée, tel que stipulé dans l'article 5.8.

    5.5.Le sous-traitant aura à tout moment à disposition des procédures écrites lui permettant de fournir au responsable du traitement une réponse immédiate en ce qui concerne un incident, et de coopérer efficacement avec le responsable du traitement pour régler l'incident. Le sous-traitant fournira au responsable du traitement une copie de ces procédures si le responsable du traitement le lui demande.

    5.6.Les rapports établis conformément à l'article 5.2. sont immédiatement dirigés vers le responsable du traitement ou, le cas échéant, vers les collaborateurs du responsable du traitement indiqué par ce dernier remédiant à la durée effective de cet accord de sous-traitance par écrit. Si le responsable du traitement a désigné un délégué à la protection des données (DPD), les rapports sont dirigés vers ce DPD.

    5.7.Le sous-traitant n'est pas autorisé à fournir des informations à propos de personnes concernées à d'autres tiers, à moins que le sous-traitant ne soit légalement tenu de le faire ou si les parties en ont établi autrement.

    5.8.Si et dans la mesure où les parties ont établi que le sous-traitant conserve un contact direct avec les autorités ou d'autres parties concernant un incident, le sous-traitant tiendra alors constamment le responsable du traitement au courant.

    Article 6. Obligations d'assistance

    6.1.L'AVG/le RGPD et d'autres législations (régissant la vie privée) donnent certains droits à la personne concernée. Le sous-traitant apportera son entière assistance et dans les temps opportuns au responsable du traitement pour le respect des obligations dont fait l'objet le responsable du traitement conformément à ces droits.

    6.2.Une réclamation reçue de la part d'un sous-traitant ou une demande d'une personne concernée relative au traitement de données à caractère personnel est transmise par le sous-traitant dans les plus brefs délais au responsable du traitement.

    6.3.À la première demande à cet effet de la part du responsable du traitement, le sous-traitant fournira au responsable du traitement toutes les informations pertinentes relatives aux aspects du traitement de données à caractère personnel qu'il effectue, de manière à ce que le responsable du traitement puisse également prouver grâce à cette information qu'il respecte la législation applicable (portant sur la vie privée).

    6.4.Le sous-traitant apportera en outre, à la première demande du responsable du traitement, toute l'assistance raisonnable pour la conformité aux obligations légales auxquelles est soumis le responsable du traitement conformément à la législation applicable sur la vie privée (tout comme en conduisant une évaluation de l'impact sur la confidentialité).

    Article 6. Utilisation de sous-traitants de sous-traitant

    7.1.Le sous-traitant ne sous-traitera pas ses activités consistant au traitement de données personnelles ou en la demande de traitement de données à caractère personnel à un autre sous-traitant (sous-traitant de sous-traitant) sans l'accord préalable écrit du responsable du traitement. Ce qui précède ne s'applique pas aux sous-traitants de sous-traitant indiqués dans l'annexe 1.

    7.2.Dans la mesure où le responsable du traitement accepte l'utilisation d'un sous-traitant de sous-traitant, le sous-traitant imposera à son propre sous-traitant (sous-traitant de sous-traitant) les mêmes obligations ou des obligations plus strictes que celles découlant pour lui de cet accord de sous-traitance et de la législation. Le sous-traitant enregistrera ces dispositions par écrit et contrôler la conformité avec celles-ci de son propre sous-traitant (sous-traitant de sous-traitant). Le sous-traitant fournira sur demande au responsable du traitement une copie de l' (des) accord(s) conclus avec son propre sous-traitant (sous-traitant de sous-traitant).

    7.3.En dépit de la permission du responsable du traitement pour le déploiement d'un sous-traitant de sous-traitant traitant (partiellement) des données sur ordre du sous-traitant, le sous-traitant reste entièrement responsable des conséquences de la sous-traitance des activités à un sous traitant de sous-traitant envers le responsable du traitement. Le consentement du responsable du traitement pour la sous-traitance d'activités à un sous-traitant de sous-traitant n'a aucune incidence sur le fait que pour l'utilisation de sous-traitants de sous-traitant dans un pays extérieur à l'Espace économique européen une autorisation est requise conformément à article 3.7 de cet accord de sous-traitance.

    Article 8. Responsabilité

    8.1.Les parties sont toutes deux responsables de leurs propres actions.

    8.2.Toute limitation de responsabilité dans l'accord, mutatis mutandis, est également applicable à cet accord de sous-traitance, à condition que :

    • a.)toute exclusion éventuelle de garantie (implicite ou explicite) pour perte ou mutilation de données à caractère personnel soit exclue ;
    • b.)toute exclusion éventuelle de garantie (implicite) pour des amendes imposées par l'AP ou une autre agence de contrôle qui est directement liée à une défectuosité du sous-traitant, ou à une action ou à l'absence d'action de celui-ci attribuable au sous-traitant, soit exclue ;

    8.3.Le sous-traitant préserve le responsable du traitement et indemnise celui-ci pour toute réclamation, action, réclamation de tiers, ainsi que de/pour toute amende de l'AP, qui découle directement d'une défectuosité attribuable au sous-traitant et/ou à ses propres sous-traitants (sous-traitants de sous-traitant) en se conformant à ses obligations dans le cadre de cet accord de sous-traitance et/ou de toute infraction à la législation applicable dans le domaine du traitement de données à caractère personnel du sous-traitant et/ou de ses propres sous-traitants (sous-traitants de sous-traitant).

    8.4.Dans la mesure où les parties sont individuellement et conjointement responsables envers des tiers, incluant également la personne concernée, ou si une amende leur est conjointement imposée par l'AP elles sont redevables l'une envers l'autre, chacune pour la partie de la dette qui les concerne dans leur relation mutuelle, conformément à ce qui est stipulé dans le volume 6, titre 1, section 2 du Code civil néerlandais, « Burgerlijk Wetboek », afin de contribuer à la dette et aux coûts, à moins que l'AVG/le RGPD ne stipule le contraire, auquel cas l'AVG/le RGPD prévaut.

    8.5.Dans la mesure où aucune limitation de responsabilité pour le responsable du traitement n'est stipulée dans l'accord, la limitation incluse dans la section 2 pour le sous-traitant s'applique également au responsable du traitement.

    8.6.Toute limitation de garantie devient en outre caduque pour la partie concernée en cas d'intention ou de négligence grave de la part de la partie concernée.

    8.7.Les parties se chargent d'une couverture suffisante pour la responsabilité.

    Article 9. Coûts

    9.1.Les coûts pour le traitement des données qui sont inhérents à l'exécution normale de l'accord sont censés être compris dans les rémunérations déjà dues conformément à l'accord.

    9.2.Toute assistance ou autre service additionnel que le sous-traitant doit fournir dans le cadre de cet accord de sous-traitance, ou qui est requis(e) par le responsable du traitement, y compris toutes les demandes d'informations supplémentaire, sera facturé(e) au responsable du traitement conformément aux tarifs précisés dans l'annexe 3.

    9.3.La disposition précédente n'est pas applicable si les activités sont liées à une défectuosité d'un sous-traitant dans le cadre de cet accord de sous-traitance. Les activités seront dans ce cas exécutées gratuitement (sans préjudice au droit du responsable du traitement de déposer une réclamation pour le dommage effectivement induit par le sous-traitant).

    Article 10. Durée et résiliation

    10.1.Cet accord de sous-traitance entre en vigueur à la date de la signature et la durée de cet accord de sous-traitance est égale à la durée de l' (des) accord(s) mentionné(e) dans l'annexe 1, y compris tout éventuel prolongement de celui-ci.

    10.2.Après sa signature par les deux parties, l'accord de sous-traitance forme une partie intégrante et inextricable de l'(des) accord(s). La résiliation de l' (des) accord(s) pour quelque motif que ce soit (annulation/rescision), engendre la résiliation de l'accord de sous-traitance pour les mêmes motifs (et vice-versa), à moins que les parties en établissent un autre.

    10.3.Les obligations qui par leur nature sont destinées à se poursuivre également après la résiliation de cet accord de sous-traitance restent effectives après la résiliation de l'accord de sous-traitance. Celles qui découlent des clauses concernant la non-divulgation, la responsabilité, le règlement de litiges et la législation applicable sont par exemple incluses dans ces dispositions.

    10.4.Chaque partie à le droit, sans préjudice à ce qui est stipulé en ce qui concerne l'accord, de suspendre la mise en œuvre de cet accord de sous-traitance et l'accord associé, ou de le rescinder sans intervention judiciaire avec effet immédiat, si :

    • a.)l'autre partie est liquidée ou cesse autrement d'exister ;
    • b.)l'autre partie n'est visiblement (gravement) pas à la hauteur de l'exécution de ses exécutions découlant de cet accord de sous-traitance et cette défectuosité attribuable n'a pas été corrigée sous 30 jours après un préavis de défectuosité écrit à cet effet ;
    • c.)une partie a été déclarée en faillite ou demande un sursis de paiement.

    10.5.Étant donné la grande dépendance du responsable du traitement envers le sous-traitant, ainsi que du risque de continuité en cas d'incidents et de calamités (tels que la faillite), le sous-traitant se déclare maintenant prêt dans un tel cas, à la première demande du responsable du traitement, de prendre des dispositions additionnelles avec le responsable du traitement pour diminuer les risques susmentionnés. Ces dispositions additionnelles peuvent par exemple consister en :

    • a.)la réalisation d'arrangements pour le retour périodique de prestation ou à un tiers des données traitée par le sous-traitant ; et/ou
    • b.)la conclusion avec un tiers d'un accord servant pour le tiers concerné individuellement et l'engagement commun pour ou l'hébergement de la sécurité pour la conformité avec l'accord ; et/ou
    • c.)la conclusion avec un tiers d'un accord (tripartite) qui prévoit pour le tiers concerné (constamment) l'acquisition de toutes les informations requises afin de, comme cela peut se produire, (démarrer) conduire (une partie de) l'exécution à mettre en œuvre conformément à l'accord - que ce soit ou pas sur la base d'un nouvel accord - à la place du ou parallèlement au sous-traitant.

    10.6.Le sous-traitant a un plan de secours pour toutes les obligations de cet accord de sous-traitance, au cas où l'accord ou l'accord de sous-traitance venait à être résilié (prématurément). À la première demande du responsable du traitement, le sous-traitant remet une copie de ce plan.

    10.7.Le responsable du traitement a le droit de rescinder cet accord de sous-traitance et l'accord avec effet immédiat si le sous-traitant indique qu'il ne peut (plus) respecter les exigences de fiabilité qui sont établies pour le traitement de données à caractère personnel suite aux développements de la législation et/ou de la jurisprudence.

    10.8.Le sous-traitant doit informer le responsable du traitement au préalable et en temps opportun concernant une reprise ou d'un transfert de propriété prévu(e).

    10.9.Le sous-traitant n'est pas autorisé sans la permission écrite et catégorique du responsable du traitement à transférer cet accord de sous-traitance et les droits et obligations qui sont associés à cet accord de sous-traitance à un tiers.

    Article 11. Périodes de conservation, retour et destruction de données à caractère personnel

    11.1.Le sous-traitant ne conserve pas les données à caractère personnel plus longtemps que strictement nécessaire, en incluant les périodes de conservation réglementaire ou tout accord relatif aux conditions de conservation pouvant avoir été conclu entre les parties, comme établi dans l'annexe 1. Le sous-traitant ne conserve en aucun cas les données après la fin de cet accord de sous-traitance. Le responsable du traitement décide si et si c'est le cas combien de temps les données doivent être conservées.

    11.2.Lors de la résiliation de l'accord de sous-traitance, ou le cas échéant à la fin des périodes de conservation établies, ou sur demande écrite du responsable du traitement, le sous-traitant va, pour un coût raisonnable, à la discrétion du responsable du traitement, (faire) détruire ou retourner définitivement au responsable du traitement les données à caractère personnel. Le sous-traitant fournira sur demande du responsable du traitement la preuve du fait que les données ont été définitivement détruites ou supprimées. Le renvoi des données comme cela peur se produire se produira généralement au format de données généralement habituel, structuré et documenté, par voie électronique. Si le renvoi, la suppression ou la destruction définitive n'est pas possible, le sous-traitant en informera immédiatement le responsable du traitement. Dans ce cas, le sous-traitant garantit qu'il traitera les données à caractère personnel de manière confidentielle et qu'il ne les traitera plus.

    Article 12. Droits de la propriété intellectuelle

    12.1.Dans la mesure où (la collecte de) les données à caractère personnel ne sont pas protégées par tout droit de la propriété intellectuelle, le responsable du traitement donne sa permission au sous-traitant d'utiliser les données à caractère personnel dans le cadre de l'exécution de cet accord de sous-traitance.

    Article 13. Dispositions finale

    13.1.Les considérations font partie de cet accord de sous-traitance.

    13.2.En cas d'invalidité et/ou d'annulabilité d'une ou de plusieurs dispositions de cet accord de sous-traitance, les autres dispositions restent pleinement en vigueur.

    13.3.Dans tous les cas non prévus par cet accord de sous-traitance, les parties décident par accord mutuel.

    13.4.La législation néerlandaise s'applique à cet accord de sous-traitance.

    13.5.Les parties s'efforcent de résoudre les conflits par accord mutuel. La possibilité de mettre fin au litige par médiation ou arbitration établie d'un commun accord est incluse ici.

    13.6.Les litiges à propos du ou en rapport avec cet accord de sous-traitance sont exclusivement soumis à la juridiction ou à l' (aux) arbitre(s) indiqué(e)(s) aux fins de cet accord.

    Annexe 1 : Accords, description des données à caractère personnel, nature du traitement, etc.

    Cet accord de sous-traitance est une annexe aux accords ultérieurs et concerne les types de traitement de données à caractère personnel suivants.

    • Date d'entrée en vigueur du contrat

      Voir l'accord
    • Référence / numéro / titre du contrat

      Voir l'accord
    • Courte description des services

      Livraison d'une plateforme en ligne « Familienet » pour les communications avec et à propos des clients.
    • Nature du traitement

      Tous les clients de l'institution de soin ont une page personnelle sécurisée. Les collaborateurs et la famille y partagent des messages, des photos, des vidéos et un agenda, ainsi qu'un carnet de vie. Tout le monde est ainsi bien informé et la coopération est améliorée.
    • Type de données à caractère personnel

      Noms, photos, vidéos, textes, documents et autres messages de et à propos de personnes concernées, mais en principe pas d'informations liées à la santé.
    • Catégories de personnes concernées

      Clients, membres de la famille et collaborateurs.
    • Objectifs du traitement

      Permettre la communication entre l'institution de soin, le client et la famille.
    • Sous-traitants approuvés

      Voir annexe 4.
    • Dispositions périodes de conservation

      Tant que l'accord est en vigueur, plus une période d'un maximum de 30 jours ensuite, en relation avec systèmes de sauvegarde du sous-traitant.
    Annexe 2 : Plus amples descriptions des mesures de sécurité

    Le sous-traitant applique plus spécifiquement les mesures de sécurité suivantes :

    • - L'utilisation de connexions cryptées (comprenant également la connexion HTTPS du site Web du sous-traitant) ;
    • - contrôle des 10 principales menaces de la sécurité de l'OWASP (www.owasp.org) au cours de la mission et lors du développement de nouveaux services ;
    • - accès aux données à caractère personnel par le personnel du sous-traitant seulement si c'est requis pour l'exécution de leurs tâches et conformément à l'obligation contractuelle de non-divulgation ;
    • - l'utilisation de systèmes d'autorisation pour l'accès au service et aux données à caractère personnel ;
    • - l'adoption des accords de sous-traitance appropriés avec les fournisseurs ;
    • - l'application de systèmes d'alarme, également en connexion avec des services de sécurité ou la police ;
    • - l'application de profils d'utilisateur dans l'attribution des droits de l'utilisateur ;
    • - l'utilisation de systèmes d'autorisation et d'authentification ;
    • - l'utilisation de connexions SSL-/TLS sécurisées pour les transmissions ;
    • - l'application d'un logiciel anti-virus ;
    • - une stricte sélection des prestataires d'hébergement, qui sont également conformes à NEN 7510 et ISO 27001, avec lesquels les accords de sous-(sous-)traitance sont conclus.
    Annexe 3 : Tarifs spécifiques

    Non applicable. Voir l'accord

    Annexe 4 : Modifications du texte standard

    Les parties établissent clairement les écarts suivants du texte standard de l'accord de sous-traitance :

    • Art. 4.2 à 4.7
      Caducité du texte Les sections d'article entières.

      Texte de substitution Le sous-traitant utilise uniquement des prestataires d'hébergement qui ont manifestement mis en œuvre une politique de sécurité écrite adéquate, conformément à ISO27001 et/ou à NEN 7510, pour le traitement des données à caractère personnel issues du sous-traitant.

      Raison Le sous-traitant utilise uniquement des prestataires d'hébergement qui ont manifestement mis en œuvre une politique de sécurité écrite adéquate, conformément à ISO27001 et/ou à NEN 7510, pour le traitement des données à caractère personnel issues du sous-traitant.

    • Art. 7.1
      Caducité du texte Le sous-traitant ne sous-traitera pas d'activités consistant au traitement de données personnelles à ni ne demandera à ce que des données à caractère personnel ne soient traitées par un autre sous-traitant (sous-traitant de sous-traitant) sans l'accord préalable écrit du responsable du traitement. Ce qui précède ne s'applique pas aux sous-traitants de sous-traitant indiqués dans l'annexe 1.

      Texte de substitution Le sous-traitant sous-traitera uniquement ses activités consistant au traitement de données à caractère personnel pour ou demandera à ce que des données à caractère personnel soient traitées par, un autre sous-traitant (sous-traitant de sous-traitant) si ce dernier est établi au sein de l'Union européenne et si ce dernier n'a pas signé un accord de sous-traitance adéquat avec le sous-traitant.

      Raison Les nouveaux rédacteurs apportent des assurances suffisantes et évitent que les parties, en cas de changement de services de communication et d'hébergement par exemple, aient à prévoir au préalable un accord écrit.

    • Art. 10.6
      Caducité du texte L'intégralité de la section de l'article.

      Texte de substitution Aucun.

      Raison Le service du sous-traitant permet a responsable du traitement de télécharger ses propres données. Cela rend tout plan de secours superflu.

    • Art. 11.2
      Caducité du texte Le sous-traitant fournira sur demande du responsable du traitement la preuve du fait que les données ont été définitivement détruites ou supprimées. L'éventuel renvoi des données comme se produira généralement au format de données généralement habituel, structuré et documenté, par voie électronique.

      Texte de substitution Aucun.

      Raison La preuve de destruction (prouvant que quelque chose n'est pas présent) est impossible à fournir. De plus, le service du sous-traitant permet au responsable du traitement de télécharger les données lui-même dans un format courant.

    • Art. 13.6
      Caducité du texte Aucun.

      Texte de substitution En outre : Si aucune juridiction compétente n'a été sélectionnée, la juridiction de la circonscription du sous-traitant sera exclusivement compétente.

      Raison Uniquement éclaircissement additionnel concernant la juridiction compétente.