Verwerkersovereenkomst
Conform artikel 28 AVG — CareIQ FZE — Laatst bijgewerkt: maart 2026
Artikel 1 — Partijen en definities
Deze Verwerkersovereenkomst is van toepassing tussen:
- Verwerkingsverantwoordelijke: de Klant (hierna: "Verantwoordelijke"), zijnde de zorgorganisatie die gebruik maakt van de Dienst;
- Verwerker: CareIQ FZE (hierna: "Verwerker"), aanbieder van het Zorg Logboek en de Dagprogramma App.
Deze overeenkomst maakt onlosmakelijk deel uit van de Overeenkomst en Algemene Voorwaarden van CareIQ. Begrippen die in deze overeenkomst worden gebruikt, hebben dezelfde betekenis als in de Algemene Voorwaarden, tenzij anders bepaald.
Artikel 2 — Onderwerp en duur
Deze Verwerkersovereenkomst heeft betrekking op de verwerking van persoonsgegevens door de Verwerker ten behoeve van de Verantwoordelijke in het kader van het gebruik van de Dienst. De duur van deze overeenkomst is gelijk aan de duur van de Overeenkomst.
Artikel 3 — Doel van de verwerking
De Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de volgende doeleinden:
- Het beschikbaar stellen en laten functioneren van het Zorg Logboek en/of de Dagprogramma App;
- Het registreren van incidenten, cliëntaanmeldingen en dagprogramma-activiteiten;
- Het genereren van rapportages, trendanalyses en patroonherkenning;
- Het faciliteren van de onboarding van medewerkers;
- Het bieden van technische ondersteuning;
- Het uitvoeren van back-ups en het waarborgen van de beschikbaarheid van de Dienst.
Artikel 4 — Categorieën van betrokkenen en persoonsgegevens
Categorieën van betrokkenen
- Medewerkers van de Verantwoordelijke (begeleiders, gedragsdeskundigen, leidinggevenden)
- Cliënten van de Verantwoordelijke (uitsluitend gepseudonimiseerd op cliëntnummer)
Categorieën van persoonsgegevens
| Categorie | Gegevens | Betrokkenen |
|---|---|---|
| Accountgegevens | E-mailadres, naam, rol, organisatie | Medewerkers |
| Gebruiksgegevens | Inlogtijden, afvinkingen, registraties | Medewerkers |
| Cliëntgegevens (gepseudonimiseerd) | Cliëntnummer, aanmeldingsgegevens, zorgvraag | Cliënten |
| Incidentgegevens | Type incident, ernst, datum, betrokken cliëntnummer | Cliënten |
| Dagprogrammagegevens | Activiteiten, tijden, afvinkingen, spanningsscores | Cliënten / Medewerkers |
| Protocolgegevens | Leesbevestigingen per medewerker | Medewerkers |
Bijzondere persoonsgegevens: Er worden geen bijzondere persoonsgegevens verwerkt in de zin van artikel 9 AVG. Cliënten worden uitsluitend op cliëntnummer geregistreerd. Er worden geen namen, adressen of BSN-nummers opgeslagen in het systeem.
Artikel 5 — Verplichtingen van de Verwerker
De Verwerker verbindt zich tot het volgende:
- Persoonsgegevens uitsluitend te verwerken op basis van schriftelijke instructies van de Verantwoordelijke, tenzij een wettelijke verplichting anders vereist;
- Zich te houden aan de toepasselijke wetgeving inzake gegevensbescherming, waaronder de AVG;
- De vertrouwelijkheid van de persoonsgegevens te waarborgen en ervoor te zorgen dat personen die toegang hebben tot de gegevens gebonden zijn aan geheimhouding;
- Passende technische en organisatorische maatregelen te treffen om de persoonsgegevens te beveiligen tegen ongeoorloofde toegang, verlies of vernietiging;
- De Verantwoordelijke, voor zover mogelijk, bij te staan bij het nakomen van diens verplichtingen onder de AVG, waaronder het reageren op verzoeken van betrokkenen;
- Na beëindiging van de Overeenkomst alle persoonsgegevens te wissen of te retourneren, tenzij bewaring wettelijk vereist is.
Artikel 6 — Beveiligingsmaatregelen
De Verwerker heeft de volgende technische en organisatorische beveiligingsmaatregelen getroffen:
Technische maatregelen
- Versleuteling: Alle dataverkeer is beveiligd met TLS-versleuteling (HTTPS);
- Row Level Security: Op databaseniveau is gewaarborgd dat elke organisatie uitsluitend toegang heeft tot eigen gegevens;
- Pseudonimisering: Cliënten worden geregistreerd op cliëntnummer, niet op naam;
- Toegangscontrole: Rolgebaseerde toegang (medewerker, gedragsdeskundige, beheerder);
- Back-ups: Dagelijkse automatische back-ups van alle gegevens;
- Hosting: Gegevens worden opgeslagen bij Supabase, in de Europese Unie (ISO 27001 gecertificeerd).
Organisatorische maatregelen
- Toegang tot productiegegevens is beperkt tot geautoriseerde personen binnen CareIQ;
- Medewerkers van CareIQ zijn gebonden aan geheimhouding;
- Beveiligingsincidenten worden geregistreerd en geëvalueerd.
Artikel 7 — Subverwerkers
De Verwerker maakt gebruik van de volgende subverwerkers:
| Subverwerker | Dienst | Locatie |
|---|---|---|
| Supabase Inc. | Database hosting (PostgreSQL) | EU (ISO 27001) |
| Netlify Inc. | Website en applicatie hosting (CDN) | EU/VS (CDN) |
| Eigen server (Finland) | AI-functionaliteit (Ollama) | EU (Finland) |
De Verantwoordelijke geeft hierbij algemene toestemming aan de Verwerker voor het inschakelen van subverwerkers, mits de Verwerker:
- De Verantwoordelijke vooraf informeert over wijzigingen in subverwerkers;
- Met iedere subverwerker een overeenkomst sluit die minimaal dezelfde verplichtingen bevat als deze Verwerkersovereenkomst;
- Volledig aansprakelijk blijft voor de nakoming door subverwerkers.
De Verantwoordelijke heeft het recht bezwaar te maken tegen een nieuwe subverwerker. Indien partijen geen overeenstemming bereiken, heeft de Verantwoordelijke het recht de Overeenkomst op te zeggen.
Artikel 8 — Doorgifte buiten de EU
De Verwerker verwerkt persoonsgegevens in beginsel uitsluitend binnen de Europese Economische Ruimte (EER). Mocht doorgifte buiten de EER noodzakelijk zijn, dan geschiedt dit uitsluitend op basis van passende waarborgen conform artikel 46 AVG, zoals Standard Contractual Clauses (SCC's).
AI-functionaliteit draait op een eigen server in Finland (EU). Persoonsgegevens verlaten de EU niet voor AI-verwerking.
Artikel 9 — Datalekken
De Verwerker informeert de Verantwoordelijke zonder onredelijke vertraging, en indien mogelijk binnen 24 uur, nadat hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens (datalek). De melding omvat ten minste:
- De aard van het datalek, inclusief de categorieën en het aantal betrokkenen;
- De waarschijnlijke gevolgen van het datalek;
- De maatregelen die zijn genomen of worden voorgesteld om het datalek aan te pakken;
- De contactgegevens van de contactpersoon bij CareIQ.
De Verwerker werkt volledig mee aan het onderzoek naar en de afhandeling van het datalek en ondersteunt de Verantwoordelijke bij het voldoen aan de meldplicht bij de Autoriteit Persoonsgegevens.
Artikel 10 — Rechten van betrokkenen
De Verwerker ondersteunt de Verantwoordelijke, voor zover redelijkerwijs mogelijk, bij het afhandelen van verzoeken van betrokkenen met betrekking tot:
- Recht op inzage (artikel 15 AVG);
- Recht op rectificatie (artikel 16 AVG);
- Recht op wissing (artikel 17 AVG);
- Recht op beperking van de verwerking (artikel 18 AVG);
- Recht op overdraagbaarheid van gegevens (artikel 20 AVG).
Indien een betrokkene zich rechtstreeks tot de Verwerker wendt, zal de Verwerker dit verzoek doorsturen naar de Verantwoordelijke.
Artikel 11 — Audits
De Verantwoordelijke heeft het recht om audits uit te (laten) voeren om de naleving van deze Verwerkersovereenkomst te controleren. De Verwerker werkt hieraan mee en verstrekt alle benodigde informatie. De kosten van een audit komen voor rekening van de Verantwoordelijke, tenzij de audit een tekortkoming aan het licht brengt.
Artikel 12 — Beëindiging en retournering van gegevens
Bij beëindiging van de Overeenkomst zal de Verwerker:
- Op verzoek van de Verantwoordelijke alle persoonsgegevens retourneren in een gangbaar formaat (CSV/PDF);
- Alle persoonsgegevens wissen binnen 90 dagen na beëindiging, tenzij bewaring op grond van wet- of regelgeving vereist is;
- Schriftelijk bevestigen dat de gegevens zijn gewist.
Artikel 13 — Aansprakelijkheid
De aansprakelijkheid van de Verwerker onder deze Verwerkersovereenkomst is beperkt tot hetgeen is bepaald in de Algemene Voorwaarden van CareIQ. Partijen zijn ieder verantwoordelijk voor hun eigen verplichtingen onder de AVG en zijn aansprakelijk voor schade veroorzaakt door verwerking die in strijd is met de AVG.
Artikel 14 — Toepasselijk recht
Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter, conform de Algemene Voorwaarden.
Artikel 15 — Contact
Voor vragen over deze Verwerkersovereenkomst of voor het melden van datalekken:
CareIQ FZE
E-mail: info@careiq.systems