Accord de traitement
Des soirées:
1. La société privée à responsabilité limitée Skully Care BV, ayant son siège social à Driebergen (3971 PA) et son établissement principal à Diederichslaan 17, dûment représentée par Monsieur FR Noz, administrateur, ci-après dénommée « Sous- traitant » ;
et
2. Le thérapeute, ci-après dénommé « client » ou « contrôleur ».
ci-après conjointement dénommées : « Parties »,
Considérer ce qui suit:
Le sous-traitant fournira des services pour le compte du responsable du traitement, consistant, entre autres, à mettre à disposition l'application Skully Care, comme décrit dans les conditions générales.
b. Cela signifie que le Sous-traitant traite des données personnelles pour le compte du Responsable du traitement (ci-après : « Données personnelles » ou le « Traitement » ou « Traitement des (des) Données personnelles »), au sens des lois et réglementations applicables en matière de protection de la vie privée, y compris le Règlement général sur la protection des données (« RGPD »).
c. En partie compte tenu des dispositions des lois et réglementations applicables en matière de confidentialité, telles que l'article 28 du RGPD, les parties souhaitent enregistrer leurs droits et obligations mutuels pour le traitement des données personnelles dans le présent accord de traitement.
Acceptez ce qui suit :
Article 1 : Objet et cession Accord du sous-traitant
Le présent accord de sous-traitance s'applique au traitement des données personnelles dans le cadre de la mise en œuvre de l'accord de produits et services.
Le responsable du traitement demande au sous-traitant de traiter les données personnelles pour l'exécution des services.
Le sous-traitant traitera les données personnelles de manière appropriée et prudente et conformément aux lois et réglementations applicables concernant le traitement des données personnelles, y compris le RGPD.
Article 2 : Répartition des rôles
En ce qui concerne le traitement des données personnelles à effectuer en son nom, le responsable du traitement est le responsable du traitement au sens des lois et réglementations applicables en matière de confidentialité, telles que l'AVG. Le sous-traitant est un sous-traitant au sens des lois et réglementations applicables en matière de confidentialité, telles que l'AVG. Manette a et conserve un contrôle indépendant sur la finalité et les moyens du traitement des données personnelles, contrairement au sous-traitant. Le sous-traitant suivra toutes les instructions du responsable du traitement à cet égard (sous réserve d'obligations légales divergentes) et ne prendra aucune décision concernant le traitement des données personnelles.
Le sous-traitant s'assure que le responsable du traitement est correctement informé avant de conclure le présent accord de sous-traitant concernant le(s) service(s) fourni(s) par le sous-traitant et le traitement à effectuer. Les informations données doivent leur permettre de faire un choix quant aux services offerts.
Les services visés au paragraphe 2 doivent être décrits dans un langage compréhensible à l' annexe 1 du présent accord de sous-traitance, après quoi le contrôleur consentement éclairé à l'achat de ce(s) service(s). Le responsable du traitement et le sous-traitant se fournissent mutuellement toutes les informations nécessaires afin de permettre le respect des lois et réglementations applicables en matière de confidentialité.
Article 3 : Utilisation des données personnelles
Le Sous-traitant s'engage à ne pas utiliser les Données personnelles obtenues auprès du Responsable du traitement à d'autres fins ou d'une manière différente de celles pour lesquelles les données ont été fournies ou ont été portées à sa connaissance. Le sous-traitant n'est donc pas autorisé à effectuer un traitement de données autre que ceux qui lui sont confiés par le responsable du traitement (oralement, par écrit ou par voie électronique). Cette obligation s'applique à la fois pendant la durée du contrat de sous-traitance et/ou du contrat de produit et de service et après son expiration.
Un aperçu des données personnelles auxquelles le traitement des données personnelles se rapporte est inclus dans l' annexe 2 du présent accord de traitement.
Le sous-traitant s'abstient de fournir des données personnelles à un tiers, sauf si cet échange a lieu pour le compte du responsable du traitement ou lorsque cela est nécessaire pour se conformer à une obligation légale incombant au sous-traitant. En cas d'obligation légale, le Sous-traitant vérifie le fondement de la demande et l'identité du demandeur préalablement à la fourniture. En outre, le sous-traitant informera le responsable du traitement - si la loi l'autorise - immédiatement, si possible avant la fourniture.
Article 4 : Confidentialité
Le sous-traitant garantit que toute personne, y compris ses employés, représentants et/ou sous-traitants, qui est impliquée dans le traitement des données personnelles, traite ces données de manière confidentielle. Un sous-traitant ultérieur s'entend de la partie engagée par le sous-traitant en tant que sous-traitant pour le traitement des données personnelles dans le cadre du présent accord de traitement (« sous-traitant ultérieur »). Le sous-traitant garantit qu'un accord ou une clause de confidentialité a été conclu pour toutes les personnes impliquées dans le traitement des données personnelles.
L'obligation de confidentialité visée au présent article ne s'applique pas dans la mesure où le responsable du traitement a donné l'autorisation expresse de fournir les données personnelles à un tiers, si la fourniture des données personnelles à un tiers est nécessaire compte tenu de la nature de les services à fournir par le sous-traitant au responsable du traitement, ou s'il existe une obligation légale de fournir les données personnelles à un tiers.
Article 5 : Sécurité et contrôle
Le sous-traitant prendra les mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la perte ou toute forme de traitement illégal. Compte tenu de l'état de l'art et des coûts liés à la mise en œuvre et à l'exécution des mesures, ces mesures assureront un niveau de protection approprié, compte tenu des risques liés au traitement des Données Personnelles et de la nature de celui-ci.
Les mesures visées à l'article 5, paragraphe 1, comprennent en tout état de cause :
des mesures garantissant que seul le personnel autorisé a accès aux données personnelles traitées dans le cadre de l'accord de sous-traitance ;
des mesures de protection des Données Personnelles contre, notamment, la destruction accidentelle ou illicite, la perte, l'altération accidentelle, le stockage, l'accès ou la divulgation non autorisés ou illicites ;
des mesures pour identifier les vulnérabilités concernant le traitement des données personnelles dans les systèmes utilisés pour fournir des services au responsable du traitement ; et
une politique de sécurité de l'information appropriée pour le traitement des données personnelles.
Le sous-traitant évaluera et renforcera, complétera ou améliorera les mesures de sécurité de l'information qu'il a prises dans la mesure où les exigences ou les développements (technologiques) le justifient.
En annexe 3 , les mesures de sécurité techniques et organisationnelles sont décrites.
Le sous-traitant permet au responsable du traitement de se conformer à ses obligation légale de contrôler le respect par le sous-traitant des mesures de sécurité techniques et organisationnelles ainsi que le respect des obligations visées à l'article 6 en ce qui concerne les fuites de données (c'est-à-dire une violation de données à caractère personnel au sens des lois et réglementations applicables en matière de protection de la vie privée telles que Article 33, paragraphe 1, du RGPD (« fuite de données »), que le sous-traitant peut signaler sur la base d'une certification valide ou d'une vérification ou preuve équivalente.
Outre l'article 5, paragraphe 5, le responsable du traitement a le droit, à tout moment, en concertation avec le sous-traitant et dans le respect d'un délai raisonnable, de faire vérifier à ses propres frais les mesures de sécurité techniques et organisationnelles prises par le sous-traitant par un auditeur indépendant du Registre informatique. . Les parties peuvent convenir d'un commun accord que l'audit sera effectué par un auditeur certifié et indépendant qui sera engagé par le sous-traitant et qui émettra une déclaration de tiers (TPM). Le contrôleur est informé des résultats de l'audit.
Article 6 : Fuites de données
Le sous-traitant a une politique appropriée pour traiter les fuites de données.
Si le sous-traitant découvre une fuite de données ou un autre incident concernant la sécurité des données personnelles, il en informera immédiatement le responsable du traitement. Processeur fournit toutes les informations pertinentes au responsable du traitement concernant la fuite de données, y compris des informations sur tout développement entourant la fuite de données ou un autre incident, et les mesures prises par le sous-traitant pour limiter autant que possible les conséquences de la fuite de données et pour empêcher une récurrence. En outre, le sous-traitant informera sans délai le responsable du traitement s'il apparaît que la violation de données à caractère personnel est susceptible de présenter un risque élevé pour les droits et libertés de la ou des personnes concernées, tels que visés dans les lois et réglementations applicables en matière de protection de la vie privée, comme l'article 34, paragraphe 1, du RGPD.
En cas de violation de données ou d'un autre incident lié à la sécurité des données personnelles, le sous-traitant prendra toutes les mesures raisonnablement nécessaires pour mettre fin, prévenir et limiter cette violation de données et d'autres incidents liés à la sécurité des données personnelles. Le sous-traitant permet également au responsable du traitement de prendre les mesures de suivi appropriées, s'il le souhaite, en ce qui concerne la fuite de données ou tout autre incident de sécurité.
Le sous-traitant coopérera pleinement avec le responsable du traitement pour se conformer à l'obligation de déclaration des lois et réglementations applicables en matière de confidentialité, y compris les articles 33 et 34 AVG, à l'autorité néerlandaise de protection des données et à la ou aux personnes concernées.
Tous les frais liés aux articles 6, paragraphes 1 à 3, sont à la charge du responsable du traitement. Les coûts impliqués dans l'article 6, paragraphe 4, sont à la charge du sous-traitant, dans la mesure où la fuite de données ou tout autre incident de sécurité résulte d'un manquement du sous-traitant à l'exécution de ses obligations découlant du présent accord de sous-traitant.
Article 7 : Procédure relative aux droits des Personnes Concernées
Une plainte ou une demande d'une personne concernée (c'est-à-dire la personne à laquelle se rapportent des données personnelles (« personne concernée ») concernant le traitement des données personnelles sera transmise par le sous-traitant sans retard injustifié au contrôleur responsable du traitement de la demande.
Le sous-traitant accorde au responsable du traitement - dans la mesure du possible - une pleine coopération pour se conformer aux obligations découlant des lois et règlements applicables dans le domaine de la vie privée, y compris l'AVG, dans les délais légaux, plus particulièrement les droits des personnes concernées telles qu'un demander d'accéder, de rectifier, de supprimer, de restreindre le traitement, de transférer ou de s'opposer au traitement des données personnelles.
Article 8 : Traitement en dehors de l'Espace Economique Européen
Le sous-traitant garantit que, dans la mesure où les données personnelles sont traitées en dehors de l'Espace économique européen (ci-après : EEE), cela n'a lieu que conformément aux réglementations légales et à toutes les obligations qui incombent au responsable du traitement à cet égard. Si les données sont traitées en dehors de l'EEE, cela est indiqué à l'annexe 1 , y compris une déclaration des pays où les données personnelles sont traitées.
Article 9 : Engagement du sous-traitant ultérieur
Le sous-traitant peut engager un sous-traitant ultérieur, dont l'identité et les détails de localisation seront inclus dans l' annexe 1 . Le sous-traitant n'est pas autorisé à engager des sous-traitants autres que ceux énumérés à l' annexe 1 sans le consentement du responsable du traitement.
Le sous-traitant oblige contractuellement chaque sous-traitant ultérieur à se conformer aux obligations de confidentialité, aux obligations de notification et aux mesures de sécurité concernant le traitement des données personnelles, lesquelles obligations et mesures doivent au moins être conformes aux dispositions du présent accord de sous-traitant.
Le sous-traitant oblige contractuellement chaque sous-traitant ultérieur à ne pas traiter les données personnelles plus loin que dans le cadre du présent accord de sous-traitant conclu un accord.
Article 10 : Durées de conservation et destruction des Données Personnelles
Les données personnelles et les images du responsable du traitement sont conservées aussi longtemps que le responsable du traitement achète les services du sous-traitant. Après la fin de cette relation, le traitement anonymisera les données personnelles et les images du responsable du traitement. Cela s'applique à moins que le responsable du traitement ne demande déjà la suppression des données personnelles et du matériel visuel.
Sauf si les parties en ont convenu autrement, le sous-traitant n'est pas obligé de faire une sauvegarde des données personnelles et des images.
Article 11 : Responsabilité
Le sous-traitant est responsable des dommages résultant de ou liés au non-respect du présent accord de sous-traitant ou agissant en violation des lois et réglementations applicables dans le domaine de la confidentialité, y compris le RGPD.
Le sous-traitant n'est responsable que des dommages directs qui Le responsable du traitement souffre d'un manquement imputable à l'exécution de l'accord de sous-traitance. La responsabilité du sous-traitant sera à tout moment limitée au montant que l'assureur responsabilité (professionnelle) du sous-traitant verse à cet égard. Si l'assureur ne paie pas pour quelque raison que ce soit, la responsabilité du sous-traitant sera à tout moment limitée à un maximum du montant (hors TVA) que le sous-traitant a facturé au client dans l'année précédant le fait dommageable( s) et que le client a été payé. En cas de survenance de plusieurs événements dommageables, l'indemnisation totale concernant tous les événements en commun sera limitée au montant tel que décrit dans la phrase précédente.
Le sous-traitant n'est en aucun cas responsable des dommages indirects et/ou consécutifs, y compris, mais sans s'y limiter, le manque à gagner, les dommages dus à un retard et les dommages résultant de réclamations de clients/patients du Client. La responsabilité du sous-traitant en cas de perte de données personnelles est également exclue.
Une condition de l'existence de tout droit à indemnisation est en outre que le responsable du traitement signale le dommage par écrit au sous-traitant dès que possible après sa survenance. Toute demande d'indemnisation à l'encontre du sous-traitant sur la base du présent contrat de sous-traitant est caduque par simple expiration de deux mois après la survenance du dommage.
Article 12 : Durée et résiliation
La durée de cet accord de sous-traitance est égale à la durée de l'accord de produit et de service conclu entre les parties, y compris toute extension de celui-ci.
Le présent accord de sous-traitance prend fin de plein droit à la résiliation de l'accord de produits et de services, c'est-à-dire à l'achèvement du produit et de la livraison de services convenus par le sous-traitant. La résiliation du présent Contrat de sous-traitance ne libérera pas les Parties de leurs obligations découlant du présent Contrat de sous-traitance, qui, de par leur nature, sont réputées se poursuivre après la résiliation.
Article 14 : Droit applicable
Seule la loi néerlandaise s'applique au présent contrat de sous-traitance.
Tous les litiges découlant de ou liés au présent accord de sous-traitance seront soumis exclusivement au tribunal compétent.
ANNEXE 1 : PRODUIT ET/OU SERVICE
Des renseignements généraux
Nom du produit et/ou du service : Application Skully Care.
Brève explication et fonctionnement du produit et service : méthode de mesure pour déterminer la déformation du crâne par photodétection.
Lien vers la page fournisseur et/ou produit : https://www.skullycare.com
sous-traitants
Le sous-traitant utilise le(s) sous-traitant(s) suivant(s) :
Yukon Software Ltd en Ukraine.
Tâche/service : développer et mettre à jour l'application.
ANNEXE 2 : DONNEES PERSONNELLES
Description Données personnelles, nature du traitement et, etc.
Cet accord de traitement concerne le traitement suivant des données personnelles. Voir horaire page suivante.
ANNEXE 3 : MESURES DE SÉCURITÉ TECHNIQUES ET ORGANISATIONNELLES
Description des mesures visées à l'article 5, paragraphe 2, accord de transformation
Description des mesures visant à garantir que seul le personnel autorisé ait accès au traitement des données personnelles.
L'application mobile 'Skully Care' est un outil numérique développé pour assister le thérapeute dans le traitement des bébés présentant une déformation du crâne. Avec l'application Skully Care, le thérapeute peut facilement et rapidement prendre une mesure, surveiller les progrès et partager des informations sur le traitement avec les parents ou les soignants du bébé. Ces informations partagées ne sont échangées qu'entre le thérapeute et les parents ou tuteurs. Le thérapeute peut inviter les parents ou les tuteurs de l'enfant à consulter les données. L'application s'exécute sur un serveur, où les données sont également stockées. En photographiant le dessus de la tête, le thérapeute mesure le degré d'aplatissement. Le calcul de la déformation du crâne est effectué par l'un de nos employés. Les bébés ne sont pas reconnaissables sur les photos.
Le thérapeute (professionnel de soins) crée un profil avec des coordonnées (par exemple nom, organisation, adresse, numéro de téléphone et adresse e-mail). Les parents ou tuteurs (non professionnels de la santé) peuvent créer un profil avec des coordonnées (par exemple, nom et numéro de téléphone). Le thérapeute peut créer un profil pour son bébé traité (par exemple, prénom, première lettre du nom de famille, date de naissance et sexe). En utilisant l'application Skully Care, le thérapeute peut ajouter des informations au profil du bébé, telles que des résultats de mesure, des conseils de traitement et des photos du sommet de la tête. Skully Care conclut un accord de traitement avec les thérapeutes affiliés. En cela, il est convenu que le traitement des données personnelles doit toujours être effectué conformément aux directives de la législation sur la protection de la vie privée.
Lors de l'étude de fiabilité, seule la fonctionnalité de mesure de l'application Skully Care est utilisée. Un numéro est attribué à chaque mesure. Par conséquent, aucune donnée personnelle du bébé ou du testeur n'est stockée. Ainsi, le suivi des progrès et le partage d'un plan de traitement ne sont pas utilisés.
Comme il s'agit d'une version de base, tout développement ultérieur de l'application Skully Care conduira à une application prête pour le marché (disponible publiquement dans l'App Store) et les étapes formelles nécessaires seront prises en vue de la certification. Ceci est conforme à la procédure habituelle de développement de produits médicaux (conformément au règlement sur les dispositifs médicaux MDR), selon laquelle la validation et la certification sont effectuées avec le produit final - sous la forme dans laquelle il est réellement commercialisé.
Sécurité des informations
Skully Care utilise un serveur. L'application s'exécute sur un serveur et les données sont stockées.
Le serveur sur lequel l'application Skully Care s'exécute et où les données sont stockées s'exécute chez AWS Amazon Lightsail à Francfort, en Allemagne. AWS fournit des sauvegardes quotidiennes (PITR de récupération ponctuelle) et est crypté SSL de bout en bout. La connexion entre le serveur et le client (téléphone portable) est sécurisée via SSH.
La communication entre l'application et le serveur est protégée par HTTPS et est basée sur la « signature à chaque demande » Oauth. Il est possible d'accéder au serveur via le 'back office'. Le back office est mis en place comme un outil de contrôle et de gestion. Le back office n'est accessible qu'à l'équipe Skully Care. Ceci est sécurisé par les mesures ci-dessus et est protégé par nom d'utilisateur et mot de passe.
Signaler
Outre la notification visée à l'article 6, paragraphe 2, le sous-traitant informe le responsable du traitement sur les mesures prises par le sous-traitant en ce qui concerne les mesures de sécurité techniques et organisationnelles prises, à condition que des modifications, des ajouts ou d'autres points d'attention se produisent.
Coordonnées : FR Noz, info@skullycare.com .