Accord de traitement

Des soirées:

1. La société privée à responsabilité limitée Skully Care BV, ayant son siège social à Driebergen (3971 PA) et son siège social à Diederichslaan 17, dûment représentée par M. FR Noz, administrateur, ci-après dénommé « Sous-traitant » ;

 

et

2. Le thérapeute, ci-après dénommé « Client » ou « Contrôleur ».

 

ci-après dénommés conjointement : « Parties »,

Considérer ce qui suit:

 

a. Le sous-traitant fournira des services au nom du contrôleur, consistant, entre autres, à mettre à disposition l'application Skully Care, tout cela comme décrit dans les conditions générales.

 

b. Cela signifie que le processeur traite les données personnelles au nom du contrôleur (ci - après: « Données personnelles » ou le « traitement » ou « traitement de (la) Données personnelles »), au sens des lois et règlements de confidentialité applicables , y compris la. Règlement général sur la protection des données (« RGPD »).  

 

c. En partie compte tenu des dispositions des lois et réglementations applicables en matière de confidentialité, telles que l'article 28 du RGPD, les parties souhaitent enregistrer leurs droits et obligations mutuels pour le traitement des données personnelles dans le présent accord de sous-traitant.

 

Acceptez ce qui suit :

 

Article 1 : Objet et cession du Contrat de Traitement

  1. Le présent contrat de sous-traitance s'applique au traitement des données personnelles dans le cadre de la mise en œuvre du contrat de produits et services.
     

  2. Le responsable du traitement demande au sous-traitant de traiter les données personnelles pour l'exécution des services.
     

  3. Le sous-traitant traitera les données personnelles de manière appropriée et prudente et conformément aux lois et réglementations applicables concernant le traitement des données personnelles, y compris le RGPD.

 

Article 2 : Répartition des rôles

  1. En ce qui concerne le traitement des données personnelles à effectuer en son nom, le responsable du traitement est le responsable du traitement au sens des lois et réglementations applicables en matière de confidentialité, telles que l'AVG. Le sous-traitant est sous-traitant au sens des lois et réglementations applicables en matière de confidentialité, telles que l'AVG. Manette  a et conserve un contrôle indépendant sur la finalité et les moyens du traitement des données personnelles, contrairement au sous-traitant. Le sous-traitant suivra toutes les instructions du responsable du traitement à cet égard (sous réserve d'obligations légales divergentes) et ne prendra aucune décision concernant le traitement des données personnelles.
     

  2. Le sous-traitant veille à ce que le responsable du traitement soit correctement informé du ou des services fournis par le sous-traitant et du traitement à effectuer avant de conclure le présent contrat de sous-traitant. Les informations données doivent  leur permettre de faire un choix en ce qui concerne les services offerts.
     

  3. Les services visés au paragraphe 2 doivent être décrits dans un langage compréhensible à l'annexe 1 du présent contrat de sous-traitant, après quoi le responsable du traitement  consentement éclairé à l'achat de ces services. Le responsable du traitement et le sous-traitant se fournissent mutuellement toutes les informations nécessaires afin de permettre une bonne conformité aux lois et réglementations pertinentes en matière de confidentialité.

 

Article 3 : Utilisation des Données Personnelles

  1. Le sous-traitant s'engage à ne pas utiliser les données personnelles obtenues auprès du responsable du traitement à d'autres fins ou d'une manière différente de la finalité et de la manière dont les données ont été fournies ou sont devenues connues de lui. Le Sous-traitant n'est donc pas autorisé à effectuer des traitements de données autres que ceux qui lui ont été confiés par le Responsable du traitement (oralement, par écrit ou par voie électronique). Cette obligation s'applique à la fois pendant la durée du contrat de sous-traitance et/ou du contrat de produit et de service et après son expiration.
     

  2. Un aperçu des données personnelles auxquelles le traitement des données personnelles se rapporte est inclus dans l' annexe 2 du présent contrat de sous-traitant.
     

  3. Le Sous-traitant s'interdit de fournir des Données personnelles à un tiers, sauf si cet échange a lieu pour le compte du Responsable du traitement ou lorsque cela est nécessaire pour se conformer à une obligation légale incombant au Sous-traitant. En cas d'obligation légale, le Sous-traitant vérifie le fondement de la demande et l'identité du demandeur préalablement à la fourniture. En outre, le sous-traitant informe le responsable du traitement - si la loi le permet - immédiatement, si possible avant la mise à disposition.

 

Article 4 : Confidentialité

  1. Le sous-traitant garantit que toute personne, y compris ses employés, représentants et/ou sous-traitants, qui sont impliqués dans le traitement des données personnelles, traite ces données de manière confidentielle. Un sous-traitant est entendu comme la partie engagée par le Sous-traitant en tant que Sous- traitant pour le Traitement des Données à caractère personnel dans le cadre du présent Accord de traitement (« Sous-traitant »). Le Sous-traitant garantit qu'un accord ou une clause de confidentialité a été conclu pour toute personne impliquée dans le Traitement des Données personnelles.
     

  2. L'obligation de confidentialité visée au présent article ne s'applique pas dans la mesure où le Responsable du traitement a donné son autorisation explicite de fournir les Données Personnelles à un tiers, si la fourniture des Données Personnelles à un tiers est nécessaire compte tenu de la nature des les services devant être fournis par le sous-traitant au responsable du traitement, ou s'il existe une obligation légale de fournir les données personnelles à un tiers.

 

Article 5 : Sécurité et contrôle

  1. Le sous-traitant veillera à prendre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la perte ou toute forme de traitement illégal. Compte tenu de l'état de l'art et des coûts impliqués dans la mise en œuvre et l'exécution des mesures, ces mesures assureront un niveau de protection approprié, en tenant compte des risques associés au traitement des Données Personnelles et de la nature de celui-ci.
     

  2. Les mesures visées à l'article 5, paragraphe 1, comprennent en tout état de cause :

    1. des mesures pour garantir que seul le personnel autorisé a accès aux données personnelles traitées dans le cadre du contrat de sous-traitance ;

    2. des mesures pour protéger les Données Personnelles contre, notamment, la destruction accidentelle ou illicite, la perte, l'altération accidentelle, le stockage, l'accès ou la divulgation non autorisés ou illicites ;

    3. des mesures pour identifier les vulnérabilités en ce qui concerne le traitement des données personnelles dans les systèmes utilisés pour fournir des services au contrôleur ; et

    4. une politique de sécurité de l'information appropriée pour le Traitement des Données Personnelles.
       

  3. Le sous-traitant évaluera et renforcera, complétera ou améliorera les mesures de sécurité des informations qu'il a prises dans la mesure où les exigences ou les développements (technologiques) le justifient.
     

  4. En annexe 3 ,  les mesures de sécurité techniques et organisationnelles sont décrites.
     

  5. Le sous-traitant permet au contrôleur de se conformer à ses  obligation légale de contrôler le respect par le Sous-traitant des mesures de sécurité techniques et organisationnelles ainsi que le respect des obligations visées à l'article 6 en ce qui concerne les fuites de données (c'est-à-dire une violation de données personnelles telle que visée dans les lois et réglementations applicables en matière de confidentialité telles que article 33 paragraphe 1 GDPR (« Data Leak »). Le Sous-traitant peut le signaler sur la base d'une certification valide ou d'un moyen équivalent de vérification ou de preuve.
     

  6. Outre l'article 5 paragraphe 5, le Responsable du traitement a le droit à tout moment, en concertation avec le Sous-traitant et dans le respect d'un délai raisonnable, à ses frais, de faire vérifier les mesures de sécurité techniques et organisationnelles prises par le Sous-traitant par un auditeur indépendant du Registre EDP. Les parties peuvent convenir mutuellement que l'audit sera effectué par un auditeur certifié et indépendant qui sera engagé par le Sous-traitant et qui émettra une déclaration de tiers (TPM). Le responsable du traitement est informé des résultats de l'audit.
     

Article 6 : Fuites de données

  1. Le processeur a une politique appropriée pour traiter les fuites de données.
     

  2. Si le sous-traitant découvre une fuite de données ou un autre incident concernant la sécurité des données personnelles, il en informera immédiatement le responsable du traitement. Processeur  fournit toutes les informations pertinentes au responsable du traitement concernant la fuite de données, y compris des informations sur tout développement entourant la fuite de données ou tout autre incident, et les mesures prises par le sous-traitant pour limiter autant que possible les conséquences de la fuite de données et pour empêcher un récurrence. En outre, le Sous-traitant informera le Responsable du traitement sans délai s'il apparaît que la violation des données personnelles est susceptible de présenter un risque élevé pour les droits et libertés de la ou des Personnes concernées, tel que visé dans les lois et réglementations applicables en matière de confidentialité, tels que l'article 34, paragraphe 1 du RGPD.
     

  3. En cas de violation de données ou de tout autre incident lié à la sécurité des données personnelles, le sous-traitant prendra toutes les mesures raisonnablement nécessaires pour mettre fin, prévenir et limiter cette violation de données et d'autres incidents liés à la sécurité des données personnelles. Le sous-traitant permet également au responsable du traitement de prendre les mesures de suivi appropriées, si souhaité, en ce qui concerne la fuite de données ou tout autre incident de sécurité.
     

  4. Le sous-traitant coopérera pleinement avec le responsable du traitement pour se conformer à l'obligation de déclaration des lois et réglementations applicables en matière de confidentialité, y compris les articles 33 et 34 AVG, à l'autorité néerlandaise de protection des données et à la ou aux personnes concernées.
     

  5. Tous les frais liés aux articles 6, paragraphes 1 à 3, sont à la charge du responsable du traitement. Les coûts impliqués dans l'article 6, paragraphe 4, sont à la charge du Sous-traitant, dans la mesure où la Fuite de données ou autre incident de sécurité résulte d'un manquement du Sous-traitant à l'exécution de ses obligations découlant du présent Contrat de sous-traitance.

 

Article 7 : Procédure pour les droits des Personnes Concernées

  1. Une plainte ou demande d'une personne concernée ( à savoir la personne à qui un concerne des données personnelles ( « données Objet »)) en ce qui concerne le traitement des données personnelles seront transmises par le processeur sans retard excessif à la responsable de la gestion de la demande du contrôleur.
     

  2. Le sous-traitant fournit au responsable du traitement - dans la mesure du possible - une pleine coopération pour se conformer aux obligations en vertu des lois et règlements applicables dans le domaine de la vie privée, y compris l'AVG, dans les délais légaux, plus particulièrement les droits des personnes concernées telles que une demande d'accès, de rectification, de suppression, de restriction du traitement, de transfert ou d'opposition au traitement des Données personnelles.
     

Article 8 : Traitement en dehors de l'Espace Economique Européen

  1. Le sous-traitant garantit que, dans la mesure où les données personnelles sont traitées en dehors de l'Espace économique européen (ci-après : EEE), cela n'a lieu que conformément aux réglementations légales et aux obligations qui incombent au responsable du traitement à cet égard. Si les données sont traitées en dehors de l'EEE, cela est indiqué dans l'annexe 1 , y compris une déclaration des pays où les données personnelles sont traitées.

 

 

Article 9 : Engagement du sous-traitant ultérieur

  1. Le sous-traitant peut engager un sous-traitant ultérieur, dont les détails d'identité et de localisation seront inclus dans l' annexe 1 . Le Sous-traitant n'est pas autorisé à engager des Sous-traitants ultérieurs autres que ceux énumérés à l' Annexe 1 sans le consentement du Responsable du traitement.
     

  2. Le Sous-traitant oblige contractuellement chaque Sous-traitant secondaire à se conformer aux obligations de confidentialité, aux obligations de notification et aux mesures de sécurité en ce qui concerne le Traitement des Données personnelles, lesquelles obligations et mesures doivent au moins être conformes aux dispositions du présent Contrat de sous-traitant.
     

  3. Le sous-traitant oblige contractuellement chaque sous-traitant secondaire à ne pas traiter les données personnelles plus loin que dans le cadre du présent accord de sous-traitant  fait un accord.

 

Article 10 : Durées de conservation et destruction des Données Personnelles

  1. Les données personnelles et les images du Responsable du traitement sont conservées aussi longtemps que le Responsable du traitement achète les services du Sous-traitant. Après cette relation, le traitement anonymisera les données personnelles et les images du responsable du traitement. Cela s'applique à moins que le responsable du traitement ne demande déjà la suppression des données personnelles et du matériel visuel.
     

  2. Sauf convention contraire des Parties, le Sous-traitant n'est pas tenu de faire une sauvegarde des Données Personnelles et des images.

 

Article 11 : Responsabilité

  1. Le sous-traitant est responsable des dommages résultant de ou liés au non-respect du présent contrat de sous-traitant ou agissant en violation des lois et réglementations applicables dans le domaine de la confidentialité, y compris le RGPD.
     

  2. Le sous-traitant n'est responsable que des dommages directs qui  Le responsable du traitement souffre d'un manquement imputable à l'exécution du contrat de sous-traitance. La responsabilité du Sous-traitant sera à tout moment limitée au montant que l'assureur (professionnel) en responsabilité civile du Sous-traitant paie à cet égard. Si l'assureur ne paie pas pour quelque raison que ce soit, la responsabilité du Sous-traitant sera à tout moment limitée au maximum du montant (hors TVA) que le Sous-traitant a facturé au Client dans l'année précédant le fait dommageable ( s) et que par le Client a été payé. En cas de survenance de plusieurs événements dommageables, l'indemnisation totale pour l'ensemble des événements sera limitée au montant tel que décrit dans la phrase précédente.
     

  3. Le sous-traitant n'est en aucun cas responsable des dommages indirects et/ou consécutifs, y compris, mais sans s'y limiter, la perte de profit, les dommages dus au retard et les dommages résultant des réclamations des clients/patients du client. La responsabilité du Sous-traitant en cas de perte de Données personnelles est également exclue.
     

  4. Une condition pour l'existence d'un droit à indemnisation est en outre que le Responsable du traitement signale le dommage par écrit au Sous-traitant dès que possible après sa survenance. Toute demande d'indemnisation contre le Sous-traitant sur la base du présent Contrat de sous-traitant expire par le simple délai de deux mois après la survenance du dommage.

Article 12 : Durée et résiliation

  1. La durée du présent Contrat de sous-traitance est égale à la durée du Contrat de produit et de service conclu entre les Parties, y compris toute prolongation de celui-ci.
     

  2. Le présent contrat de sous-traitant prend fin de plein droit à la résiliation du contrat de produits et services, c'est-à-dire à l'achèvement de la livraison de produits et de services convenue par le sous-traitant. La résiliation du présent Contrat de sous-traitance ne libérera pas les Parties de leurs obligations découlant du présent Contrat de sous-traitance, qui, de par leur nature, sont réputées se poursuivre après la résiliation.

 

Article 14 : Droit applicable

  1. Cet accord de sous-traitance est exclusivement régi par le droit néerlandais.
     

  2. Tous les litiges découlant de ou liés à cet accord de processeur seront soumis exclusivement au tribunal compétent.




     

 

 

 

 

ANNEXE 1 : PRODUIT ET/OU SERVICE

 

Des renseignements généraux

Nom du produit et/ou du service : Application Skully Care.

Brève explication et fonctionnement du produit et service : méthode de mesure pour déterminer la déformation du crâne par photodétection.

Lien vers la page fournisseur et/ou produit : https://www.skullycare.com

Sous-traitants

Le processeur utilise le(s) sous-processeur(s) suivant(s) :

 

Yukon Software Ltd en Ukraine.

Tâche/service : développement et mise à jour de l'application ; développer, améliorer le modèle d'IA à des fins de mesure automatique et étendre les fonctionnalités.

 

ANNEXE 2 : DONNÉES PERSONNELLES

Description Données personnelles, nature du traitement et, etc.

Cet accord de sous-traitant concerne le traitement suivant des données personnelles. Voir l'horaire page suivante.

ANNEXE 3 : MESURES DE SÉCURITÉ TECHNIQUES ET ORGANISATIONNELLES

 

Description des mesures visées à l'article 5, paragraphe 2, Accord de traitement

  1. Description des mesures visant à garantir que seul le personnel autorisé a accès au traitement des données personnelles.

L'application mobile 'Skully Care' est un outil numérique développé pour assister le thérapeute dans le traitement des bébés présentant une déformation du crâne. Avec l'application Skully Care, le thérapeute peut facilement et rapidement prendre une mesure, suivre les progrès et partager des informations sur le traitement avec les parents ou les soignants du bébé. Ces informations partagées ne sont échangées qu'entre le thérapeute et les parents ou tuteurs. Le thérapeute peut inviter les parents ou tuteurs de l'enfant à consulter les données. L'application s'exécute sur un serveur, où les données sont également stockées. En photographiant le sommet de la tête, le thérapeute mesure le degré d'aplatissement. Le calcul de la déformation du crâne est effectué par un modèle d'IA exécuté sur le serveur. Les bébés ne sont pas reconnaissables sur les photos.

 

Le thérapeute (professionnel de soins) crée un profil avec ses coordonnées (par exemple, nom, organisation, adresse, numéro de téléphone et adresse e-mail). Les parents ou tuteurs (non professionnels de la santé) peuvent créer un profil avec des coordonnées (par exemple, nom et numéro de téléphone). Le thérapeute peut créer un profil pour son bébé traité (par exemple, prénom, prénom, nom de famille, date de naissance et sexe). En utilisant l'application Skully Care, le thérapeute peut ajouter des informations au profil du bébé, telles que des résultats de mesure, des conseils de traitement et des photos du haut de la tête. Skully Care conclut un accord de traitement avec les thérapeutes affiliés. Il est convenu que le traitement des données personnelles doit toujours être effectué conformément aux directives de la législation sur la confidentialité.

 

Lors de l'étude de fiabilité, seule la fonctionnalité de mesure de l'application Skully Care est utilisée. Un numéro est attribué à chaque mesure. En conséquence, aucune donnée personnelle du bébé ou du testeur n'est stockée. Ainsi, le suivi des progrès et le partage d'un plan de traitement ne sont pas utilisés.

 

Puisqu'il s'agit d'une version de base, tout développement ultérieur de l'application Skully Care conduira à une application prête pour le marché (disponible publiquement dans l'App Store) et les mesures formelles nécessaires seront prises en vue de la certification. Ceci est conforme à la procédure habituelle de développement de produits médicaux (conformément au règlement sur les dispositifs médicaux MDR), selon laquelle la validation et la certification sont effectuées avec le produit final - sous la forme où il est réellement commercialisé.

 

Sécurité des informations

Skully Care utilise deux serveurs. L'application s'exécute sur un serveur et les données sont stockées. Le deuxième serveur est entièrement dédié à l'entraînement du modèle d'IA.

 

Le serveur sur lequel l'application Skully Care s'exécute et sur lequel les données sont stockées s'exécute chez AWS amazon lightsail à Francfort, en Allemagne. AWS fournit des sauvegardes quotidiennes (récupération ponctuelle PITR) et est crypté SSL de bout en bout. La connexion entre le serveur et le client (téléphone mobile) est sécurisée en SSH.

 

La communication entre l'application et le serveur est protégée par HTTPS et est basée sur la « signature à chaque demande » Oauth. Il est possible d'accéder au serveur via le 'back office'. Le back office est mis en place comme un outil de contrôle et de gestion. Le back-office n'est accessible que par l'équipe de Skully Care. Ceci est sécurisé par les mesures ci-dessus et est protégé par nom d'utilisateur et mot de passe.

 

Un serveur est entièrement axé sur la formation du modèle d'IA. Ce serveur n'est pas connecté à Internet. Pour former ce serveur, une connexion physique est requise. Une seule personne y a accès.

 

 

Signaler

Outre la notification visée à l'article 6, paragraphe 2, le sous-traitant rapporte au responsable du traitement  sur les mesures prises par le Sous-traitant en ce qui concerne les mesures de sécurité techniques et organisationnelles prises, à condition que des modifications, des ajouts ou d'autres points d'attention y soient apportés.

Coordonnées : FR Noz, info@skullycare.com .