Verwerkersovereenkomst TriageConnect

Deze Verwerkersovereenkomst (hierna: 'VWO') beschrijft de voorwaarden waaronder TriageConnect B.V. persoonsgegevens verwerkt in opdracht van haar Opdrachtgevers. De VWO is een onlosmakelijk onderdeel van elke overeenkomst voor de levering van diensten door TriageConnect, met inachtneming van de aanbevelingen van de Landelijke Huisartsenvereniging (LHV). Versie April 2026.

Artikel 1. Definities

In deze overeenkomst wordt verstaan onder:

• TriageConnect (Verwerker): TriageConnect B.V., statutair gevestigd te Spijkenisse, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 99036932.

• Opdrachtgever (Verwerkingsverantwoordelijke): De zorginstelling (zoals een huisartsenpraktijk) die de diensten van TriageConnect afneemt en de doeleinden en middelen voor de gegevensverwerking bepaalt.

• Diensten: De door TriageConnect geleverde diensten voor triage op afstand, zoals nader omschreven in de Hoofdovereenkomst, waaronder het voeren van telefoongesprekken, het plannen van afspraken en het afhandelen van e-consulten.

• Persoonsgegevens: Alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijke persoon, in het bijzonder medische (bijzondere) persoonsgegevens van patiënten van de Opdrachtgever.

• AVG: De Algemene Verordening Gegevensbescherming (EU) 2016/679.

• Hoofdovereenkomst: De dienstverleningsovereenkomst tussen TriageConnect en de Opdrachtgever.

• Datalek: Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

Artikel 2. Onderwerp en Doeleinden van de Verwerking

• TriageConnect verwerkt Persoonsgegevens uitsluitend in opdracht van de Opdrachtgever en ten behoeve van de uitvoering van de overeengekomen Diensten.

• De verwerking is beperkt tot de handelingen die noodzakelijk zijn voor het triëren van patiënten, het plannen van afspraken en het ondersteunen van de praktijkvoering van de Opdrachtgever. De specifieke categorieën persoonsgegevens en doeleinden zijn nader uitgewerkt in Bijlage 1 bij deze overeenkomst.

• TriageConnect zal de Persoonsgegevens niet voor eigen doeleinden of voor doeleinden van derden verwerken en handelt uitsluitend op basis van de gedocumenteerde schriftelijke instructies van de Opdrachtgever. Indien TriageConnect van mening is dat een instructie in strijd is met de AVG of andere toepasselijke wet- en regelgeving, stelt zij de Opdrachtgever hiervan onverwijld schriftelijk op de hoogte.

Artikel 3. Geheimhouding, Personeel en (Sub)verwerkers

• Alle medewerkers van TriageConnect die betrokken zijn bij de verwerking van Persoonsgegevens zijn contractueel gebonden aan een strikte en individuele geheimhoudingsplicht. TriageConnect ziet toe op de naleving hiervan

• Het personeel van TriageConnect handelt onder het directe gezag en de instructie van TriageConnect en wordt in de onderlinge verhouding tussen partijen niet aangemerkt als subverwerker in de zin van de AVG.

• TriageConnect schakelt geen externe subverwerkers in zonder voorafgaande schriftelijke toestemming van de Opdrachtgever. Een algemene schriftelijke toestemming voor categorieën van subverwerkers is voldoende, mits de Opdrachtgever specifieke subverwerkers kan bezwaren.

• TriageConnect legt aan door de Opdrachtgever toegestane subverwerkers dezelfde gegevensbeschermingsverplichtingen op als in deze VWO zijn vastgelegd, in het bijzonder de verplichtingen inzake passende technische en organisatorische beveiligingsmaatregelen. TriageConnect blijft ten aanzien van de Opdrachtgever volledig aansprakelijk voor de nakoming van de verplichtingen van ingeschakelde subverwerkers.

Artikel 4. Beveiliging van Persoonsgegevens

• TriageConnect treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, conform artikel 32 van de AVG. De getroffen maatregelen zijn nader omschreven in Bijlage 2 bij deze overeenkomst.

• De toegang tot de informatiesystemen van de Opdrachtgever (zoals het Huisarts Informatie Systeem (HIS) en het telefoniesysteem) vindt uitsluitend plaats via beveiligde verbindingen en met gebruikmaking van de door de Opdrachtgever verstrekte beveiligingsmiddelen en inloggegevens.

• Medewerkers van TriageConnect werken uitsluitend via Microsoft Business werkaccounts. Patiëntgegevens worden nooit lokaal opgeslagen op eigen apparaten van medewerkers; alle gegevens blijven te allen tijde binnen de informatiesystemen van de Opdrachtgever.

• TriageConnect beschikt over een gedocumenteerd Incident Response Plan (IRP), dat de procedures beschrijft voor het identificeren, melden, analyseren, inperken, herstellen en documenteren van beveiligingsincidenten. Het IRP is beschikbaar op verzoek van de Opdrachtgever en maakt onderdeel uit van de operationele beveiligingsinfrastructuur van TriageConnect.

• TriageConnect zal op verzoek van de Opdrachtgever alle informatie verstrekken die redelijkerwijs nodig is om aan te tonen dat de in deze overeenkomst neergelegde verplichtingen worden nagekomen, waaronder systeemlogs, toegangsregistraties en relevante beveiligingsdocumentatie

• TriageConnect is als verwerker niet zelfstandig NEN 7510-gecertificeerd. Dit is bewust en verantwoord. TriageConnect verwerkt patiëntgegevens uitsluitend via de informatiesystemen (HIS en telefonie) die door de Opdrachtgever ter beschikking worden gesteld. TriageConnect slaat geen patiëntgegevens op in eigen systemen, databases of servers.

• De softwareleveranciers van de door de Opdrachtgever gebruikte systemen (zoals ChipSoft, PharmaPartners, CGM, HealthConnected, Sanday etc.) zijn aantoonbaar NEN 7510-gecertificeerd. De NEN 7510-norm is primair van toepassing op organisaties die bijzondere persoonsgegevens (medische data) opslaan en beheren in eigen informatiesystemen. Omdat TriageConnect uitsluitend toegang heeft tot de systemen van de Opdrachtgever - en niet tot eigen systemen met patiëntdata - is een zelfstandige NEN 7510-certificering voor TriageConnect als organisatie niet vereist.

• TriageConnect garandeert dat haar medewerkers uitsluitend werken via door de Opdrachtgever gecertificeerde en beveiligde infrastructuur, en dat alle toegang plaatsvindt via beveiligde verbindingen. Hiermee voldoet de verwerkingsketen als geheel aan de NEN 7510-vereisten, waarbij de verantwoordelijkheid voor de certificering bij de systeemeigenaar (de Opdrachtgever en diens leveranciers) ligt.

Artikel 5. Meldplicht Datalekken

• Bij een (vermoeden van een) Datalek informeert TriageConnect de Opdrachtgever onverwijld, en uiterlijk binnen 36 uur na ontdekking, zodat de Opdrachtgever tijdig kan voldoen aan de wettelijke meldplicht van 72 uur jegens de Autoriteit Persoonsgegevens (AP). TriageConnect garandeert dat alle in de melding verstrekte informatie volledig, correct en accuraat is.

• TriageConnect volgt bij een Datalek de volgende interne procedure, conform het Incident Response Plan (IRP):

• Vaststelling: de IT-afdeling van TriageConnect stelt vast of er sprake is van een Datalek.

• Documentatie: alle feiten rondom de inbreuk worden direct gedocumenteerd - aard, omvang, betrokken systemen en gegevens, waargenomen symptomen, tijdstip en betrokken partijen.

• Inperking: technische maatregelen worden getroffen om verdere schade te voorkomen (o.a. isoleren van getroffen systemen, blokkeren van verdachte toegang, wijzigen van wachtwoorden).

• Herstel: de getroffen systemen en gegevens worden hersteld naar een veilige toestand.

• Nazorg: maatregelen worden getroffen om herhaling te voorkomen en het beveiligingsbeleid wordt zo nodig aangepast.

• Evaluatie: na afhandeling voert TriageConnect een evaluatie uit van de effectiviteit van de genomen maatregelen en past het IRP indien nodig aan.

• TriageConnect verstrekt in de melding aan de Opdrachtgever ten minste de informatie zoals bedoeld in Bijlage 3, waaronder: (i) aard van de inbreuk; (ii) categorieën en geschat aantal betrokkenen; (iii) categorieën en geschat volume van betrokken persoonsgegevens; (iv) waarschijnlijke gevolgen; en (v) reeds genomen of voorgestelde maatregelen.

• De Opdrachtgever blijft als Verwerkingsverantwoordelijke eindverantwoordelijk voor de beslissing om een Datalek al dan niet te melden bij de AP en/of de betrokkenen. TriageConnect verleent hierbij alle redelijke medewerking en verstrekt op verzoek van de Opdrachtgever aanvullende informatie ten behoeve van de melding aan de AP of de betrokkenen.

• Indien het Datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen, verleent TriageConnect op verzoek volledige medewerking aan het informeren van de betrokkenen. De te verstrekken informatie omvat in ieder geval: de aard van de inbreuk, de waarschijnlijke gevolgen, en de aanbevolen maatregelen om de mogelijke nadelige gevolgen te beperken.

Artikel 6. Rechten van Betrokkenen

• Verzoeken van betrokkenen (patiënten) voor de uitoefening van hun rechten onder de AVG (zoals inzage, correctie, verwijdering of overdraagbaarheid) die bij TriageConnect binnenkomen, worden niet inhoudelijk behandeld maar onverwijld - en uiterlijk binnen 5 werkdagen - doorgestuurd naar de Opdrachtgever.

• TriageConnect verleent de Opdrachtgever alle redelijke medewerking om tijdig aan verzoeken van betrokkenen te kunnen voldoen, waaronder het verstrekken van relevante verwerkingsinformatie.

Artikel 7. Audit en Controle

• TriageConnect toont op verzoek van de Opdrachtgever afdoende aan dat zij voldoet aan de verplichtingen uit deze VWO, door middel van relevante documentatie, verklaringen of rapporten van een onafhankelijke derde.

• De Opdrachtgever heeft bij een aantoonbaar vermoeden van misbruik of niet-naleving het recht om een audit te (laten) uitvoeren door een onafhankelijke, aan geheimhouding gebonden derde, ter controle van de naleving van alle bepalingen uit deze VWO. Partijen maken hierover vooraf schriftelijk afspraken.

• TriageConnect verleent medewerking aan genoemde audit en stelt alle redelijkerwijs relevante informatie, waaronder verwerkingsregisters, toegangslogs en betrokken medewerkers, tijdig ter beschikking. De kosten van de audit komen voor rekening van de Opdrachtgever, tenzij de audit een tekortkoming van TriageConnect aan het licht brengt, in welk geval de kosten voor rekening van TriageConnect komen.

Artikel 8. Aansprakelijkheid

• Indien TriageConnect tekortschiet in de nakoming van een verplichting uit deze VWO, kan de Opdrachtgever haar schriftelijk in gebreke stellen, waarbij TriageConnect een redelijke termijn wordt gegund om alsnog na te komen. Deze termijn is een fatale termijn. Nakoming is reeds blijvend onmogelijk indien dit anders dan door overmacht zo is.

• TriageConnect vrijwaart de Opdrachtgever voor schade die aantoonbaar en rechtstreeks voortvloeit uit een toerekenbare tekortkoming van TriageConnect in de nakoming van haar verplichtingen onder deze VWO.

• Indien TriageConnect de in deze VWO neergelegde verplichtingen niet of niet-tijdig nakomt en de Autoriteit Persoonsgegevens de Opdrachtgever dientengevolge een bestuurlijke boete oplegt, is TriageConnect aansprakelijk voor het bedrag van die boete, voor zover de overtreding uitsluitend aan TriageConnect toerekenbaar is. TriageConnect zal de Opdrachtgever in een dergelijk geval een contractuele boete ter hoogte van datzelfde bedrag opleggen conform dit artikel. Deze boete is niet vatbaar voor verrekening of opschorting en laat overige rechten op nakoming en schadevergoeding onverlet.

• De algehele aansprakelijkheid van TriageConnect op grond van deze VWO is voor het overige geregeld in de Hoofdovereenkomst en de Algemene Voorwaarden van TriageConnect.

Artikel 9. Duur en Beëindiging

• Deze VWO is van kracht gedurende de volledige looptijd van de Hoofdovereenkomst tussen TriageConnect en de Opdrachtgever.

• De VWO eindigt automatisch en van rechtswege op het moment dat de Hoofdovereenkomst rechtsgeldig wordt beëindigd of ontbonden.

• Verplichtingen die naar hun aard bedoeld zijn om na beëindiging voort te duren - waaronder in ieder geval geheimhouding, aansprakelijkheid en de verplichting tot teruggave of vernietiging van gegevens - blijven onverminderd van kracht.

Artikel 10. Teruggave en Vernietiging van Gegevens

• Na beëindiging van de Hoofdovereenkomst zal TriageConnect, naar schriftelijke keuze van de Opdrachtgever, alle Persoonsgegevens die zij in het kader van de dienstverlening heeft verwerkt, vernietigen of in een gangbaar formaat overdragen aan de Opdrachtgever, zulks binnen 30 dagen na het verzoek daartoe.

• TriageConnect bewaart geen kopieën van de Persoonsgegevens, tenzij dit op grond van enige wettelijke bewaarplicht verplicht is. In dat geval worden de te bewaren gegevens zo spoedig mogelijk vernietigd zodra de bewaarplicht is verstreken.

• Op verzoek verstrekt TriageConnect een schriftelijke bevestiging (bewijs van vernietiging) dat alle Persoonsgegevens aantoonbaar zijn vernietigd.

Artikel 11. Toepasselijk Recht en Geschillen

• Op deze VWO is uitsluitend Nederlands recht van toepassing.

• Geschillen die voortvloeien uit of verband houden met deze VWO, waaronder geschillen over de uitleg of uitvoering ervan, worden in eerste instantie beslecht door middel van overleg en bemiddeling tussen partijen. Indien dit niet tot een oplossing leidt, worden geschillen exclusief voorgelegd aan de bevoegde rechter in het arrondissement Midden-Nederland, locatie Utrecht.

Artikel 12. Slotbepalingen

• In geval van tegenstrijdigheid tussen deze VWO en de Hoofdovereenkomst of de Algemene Voorwaarden, prevaleren de bepalingen van deze VWO uitsluitend op het specifieke gebied van de gegevensverwerking.

• TriageConnect kan deze VWO wijzigen. Voor inhoudelijke (materiële) wijzigingen is voorafgaande schriftelijke toestemming van de Opdrachtgever vereist. Van niet-materiële wijzigingen (zoals correcties of verduidelijkingen) wordt de Opdrachtgever schriftelijk op de hoogte gesteld met een redelijke termijn voor bezwaar.

• Indien enige bepaling van deze VWO ongeldig, nietig of niet-afdwingbaar blijkt te zijn, laat dit de geldigheid van de overige bepalingen onverlet. Partijen zullen in dat geval in goed overleg een vervangende bepaling overeenkomen die de strekking van de oorspronkelijke bepaling zo dicht mogelijk benadert.

Bijlage 1: Te verwerken persoonsgegevens en doeleinden

Bijlage 2: Technische en organisatorische beveiligingsmaatregelen

De onderstaande maatregelen zijn van toepassing op de verwerkingen die TriageConnect uitvoert in opdracht van de Opdrachtgever.

• Unieke inloggegevens: Iedere medewerker werkt met persoonsgebonden, door de Opdrachtgever verstrekte toegangsgegevens. Gedeeld gebruik van inloggegevens is niet toegestaan.

• Geen andere externe systemen: Er worden geen andere externe programma's, applicaties of cloudopslag gebruikt voor de verwerking van persoonsgegevens buiten de door de Opdrachtgever beschikbaar gestelde systemen.

• Microsoft Business werkaccounts: Medewerkers werken uitsluitend via door TriageConnect beheerde Microsoft Business werkaccounts, voorzien van de beveiligingsstandaarden die gelden voor zakelijk gebruik (o.a. Microsoft Conditional Access, MFA en versleuteling).

• Geen lokale opslag patiëntdata: Medewerkers slaan geen patiëntgegevens lokaal op eigen apparaten op. Alle data blijft uitsluitend binnen de systemen van de Opdrachtgever. Downloaden, printen of exporteren van patiëntdossiers buiten het HIS-systeem is niet toegestaan.

• Toegangsbeperking: Medewerkers hebben uitsluitend toegang tot de dossiers van patiënten die aan hen zijn toevertrouwd in het kader van de lopende dienst. Inzage in andere patiëntdossiers is niet toegestaan.

• Individuele geheimhoudingsplicht: Alle medewerkers tekenen voor aanvang van werkzaamheden een individuele geheimhoudingsverklaring. De geheimhoudingsverplichting geldt zowel tijdens als na afloop van de arbeidsrelatie.

• Bewustwording en training: Medewerkers worden getraind op AVG-compliance, veilig werken op afstand en de herkenning van beveiligingsincidenten voordat zij worden ingezet.

• Meldplicht medewerkers: Medewerkers zijn verplicht beveiligingsincidenten (zoals verdachte systeemactiviteit, onbevoegde toegangspogingen of verlies van inloggegevens) onmiddellijk te melden bij de IT-afdeling van TriageConnect.

• Incident Response Plan (IRP): TriageConnect beschikt over een gedocumenteerd IRP dat de volledige procedure beschrijft voor identificatie, melding, analyse, inperking, herstel, nazorg en documentatie van beveiligingsincidenten. Het IRP wordt periodiek herzien en getest via oefeningen en simulaties.

• Incidentregistratie: Alle beveiligingsincidenten worden gedocumenteerd, inclusief aard, oorzaak, impact, tijdslijn en getroffen maatregelen. Deze registratie is beschikbaar voor inspectie door de Opdrachtgever of een bevoegde toezichthouder.

• Evaluatie na incident: Na elk incident voert TriageConnect een evaluatie uit en past, indien nodig, het beveiligingsbeleid, de procedures of de technische maatregelen aan om herhaling te voorkomen.

Bijlage 3: Contactgegevens en informatie bij beveiligingsinbreuk

Bij een (vermoeden van een) Datalek dient onverwijld contact te worden opgenomen via de onderstaande contactpersoon van TriageConnect: