✦ Juridisch document

Verwerkersovereenkomst

Alyden | Versie 1.0 | mei 2025

Partijen

Deze verwerkersovereenkomst wordt gesloten tussen:

De Organisatie
Hierna te noemen: "de Verwerkingsverantwoordelijke" of "de Organisatie"

en

Kelsey de Haan, handelend onder de naam Alyden
Gevestigd te Nieuwegein, Nederland
E-mail: privacy@alyden.nl
Hierna te noemen: "de Verwerker" of "Alyden"

Gezamenlijk ook aangeduid als "de Partijen".

Overwegingen

  • De Organisatie maakt gebruik van de webapplicatie Alyden voor klinische redenering door haar medewerkers.
  • In het kader van deze dienstverlening verwerkt Alyden persoonsgegevens namens de Organisatie.
  • Partijen wensen de voorwaarden voor deze verwerking vast te leggen conform artikel 28 van de Algemene Verordening Gegevensbescherming (AVG).

1. Definities

In deze verwerkersovereenkomst wordt verstaan onder:

  • AVG: de Algemene Verordening Gegevensbescherming (EU) 2016/679.
  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, als bedoeld in artikel 4 AVG.
  • Bijzondere persoonsgegevens: persoonsgegevens waaruit gegevens over gezondheid blijken, als bedoeld in artikel 9 AVG.
  • Verwerking: elke bewerking van persoonsgegevens, als bedoeld in artikel 4 AVG.
  • Verwerkingsverantwoordelijke: de Organisatie, die het doel en de middelen van de verwerking vaststelt.
  • Verwerker: Alyden, die persoonsgegevens verwerkt ten behoeve van de Verwerkingsverantwoordelijke.
  • Subverwerker: een derde partij die door Alyden wordt ingeschakeld bij de uitvoering van de verwerking.
  • Datalek: een inbreuk in verband met persoonsgegevens als bedoeld in artikel 4 lid 12 AVG.
  • Dienst: de webapplicatie Alyden, bereikbaar via app.alyden.nl.

2. Onderwerp en duur

Deze verwerkersovereenkomst is van toepassing op alle verwerkingen van persoonsgegevens die Alyden uitvoert in het kader van de Dienst ten behoeve van de Organisatie.

De overeenkomst treedt in werking op de datum van ondertekening en geldt voor de duur van de hoofdovereenkomst tussen Partijen. Bij beëindiging van de hoofdovereenkomst eindigt ook deze verwerkersovereenkomst, met inachtneming van de bepalingen omtrent verwijdering van gegevens in artikel 9.

3. Aard, doel en categorieën van verwerking

3.1 Doel van de verwerking

Alyden verwerkt persoonsgegevens uitsluitend ten behoeve van het verlenen van de Dienst aan de Organisatie, te weten het ondersteunen van zorgmedewerkers bij klinische redenering door middel van AI-gegenereerde documenten op basis van de ABCDE-methode.

3.2 Categorieën van betrokkenen

  • Medewerkers van de Organisatie die gebruik maken van Alyden (zorgprofessionals, zorgstudenten).
  • Mogelijk: patiënten wiens klinische informatie door medewerkers wordt ingevoerd.

3.3 Categorieën van persoonsgegevens

  • Accountgegevens van medewerkers: voornaam, achternaam, e-mailadres, functie/rol, wachtwoord (versleuteld).
  • Klinische invoer: klinische informatie ingevoerd door medewerkers, die mogelijk persoonsgegevens of bijzondere persoonsgegevens bevat indien medewerkers onvoldoende anonimiseren.
  • Gegenereerde outputs: door Alyden gegenereerde documenten op basis van de ingevoerde klinische informatie.
  • Technische logs: toegangslogs en sessie-informatie ten behoeve van beveiliging en misbruikdetectie.

De Organisatie is verantwoordelijk voor het instrueren van haar medewerkers om uitsluitend geanonimiseerde klinische informatie in te voeren. Alyden is niet bedoeld voor de verwerking van direct herleidbare patiëntgegevens. De Organisatie draagt als verwerkingsverantwoordelijke de verantwoordelijkheid voor de naleving van de AVG ten aanzien van de ingevoerde gegevens.

4. Verplichtingen van Alyden als Verwerker

Alyden verplicht zich tot het volgende:

  • Alyden verwerkt persoonsgegevens uitsluitend op basis van de gedocumenteerde instructies van de Organisatie, tenzij een wettelijke verplichting anders vereist.
  • Alyden verwerkt de persoonsgegevens niet voor eigen doeleinden, niet voor andere opdrachtgevers en niet voor het trainen van eigen AI-modellen.
  • Alyden zorgt ervoor dat personen die gemachtigd zijn persoonsgegevens te verwerken, zich hebben verbonden tot geheimhouding of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht.
  • Alyden neemt passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen conform artikel 7 van deze overeenkomst.
  • Alyden verleent de Organisatie medewerking bij het nakomen van haar verplichtingen als verwerkingsverantwoordelijke, waaronder verzoeken van betrokkenen en audits.
  • Alyden informeert de Organisatie onverwijld indien een instructie van de Organisatie naar het oordeel van Alyden in strijd is met de AVG of andere toepasselijke wetgeving.

5. Verplichtingen van de Organisatie als Verwerkingsverantwoordelijke

De Organisatie verplicht zich tot het volgende:

  • De Organisatie draagt zorg voor een rechtmatige grondslag voor de verwerking van persoonsgegevens via Alyden.
  • De Organisatie instrueert haar medewerkers om uitsluitend geanonimiseerde klinische informatie in te voeren en geen direct herleidbare patiëntgegevens te gebruiken.
  • De Organisatie is verantwoordelijk voor het beheer van gebruikersrechten en toegang binnen het organisatieaccount.
  • De Organisatie informeert Alyden tijdig over wijzigingen die van invloed kunnen zijn op de verwerking.
  • De Organisatie zorgt dat betrokkenen adequaat zijn geïnformeerd over de verwerking van hun gegevens via Alyden, onder meer via haar eigen privacyverklaring.

6. Subverwerkers

Alyden maakt gebruik van de volgende subverwerkers bij de uitvoering van de Dienst:

  • OpenAI (Verenigde Staten) - voor het genereren van klinische outputs via de OpenAI API. Doorgifte geschiedt op basis van Standard Contractual Clauses en/of het EU-US Data Privacy Framework. OpenAI bewaart standaard technische abuse-monitoringlogs gedurende maximaal 30 dagen conform haar API-beleid.
  • Hetzner Online GmbH (Duitsland) - voor hosting en databaseopslag. Verwerking vindt plaats binnen de EU.
  • Mijndomein.nl (Nederland) - voor e-mailcommunicatie. Verwerking vindt plaats binnen de EU.

Alyden zal de Organisatie vooraf schriftelijk informeren over voorgenomen wijzigingen in de inzet van subverwerkers. De Organisatie heeft het recht binnen 14 dagen na kennisgeving bezwaar te maken tegen een nieuwe subverwerker. Indien Partijen hierover geen overeenstemming bereiken, heeft de Organisatie het recht de overeenkomst te beëindigen.

Alyden legt aan subverwerkers dezelfde verplichtingen op als die welke in deze verwerkersovereenkomst zijn opgenomen.

7. Beveiliging

Alyden neemt passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, onrechtmatige verwerking of onbevoegde toegang. Deze maatregelen omvatten ten minste:

  • Versleutelde verbindingen via HTTPS/TLS voor alle datatransmissie.
  • Versleutelde opslag van wachtwoorden (hashing).
  • Beveiligde API-communicatie met subverwerkers.
  • Toegangscontrole op basis van minimale toegangsrechten.
  • Logging van toegang en systeemactiviteiten.
  • Hosting in beveiligde datacenters binnen de EU (Hetzner).
  • Regelmatige updates en patchmanagement van serversoftware.
  • Back-upbeleid voor het voorkomen van gegevensverlies.

Alyden evalueert de beveiligingsmaatregelen periodiek en past deze zo nodig aan in overeenstemming met de stand van de techniek.

8. Datalekken en beveiligingsincidenten

Alyden meldt een datalek of beveiligingsincident dat betrekking heeft op de persoonsgegevens van de Organisatie zonder onredelijke vertraging en waar mogelijk binnen 24 uur na ontdekking, schriftelijk aan de Organisatie via privacy@alyden.nl.

De melding bevat ten minste:

  • Een omschrijving van de aard van het datalek.
  • De (vermoedelijke) categorieën en het aantal betrokkenen en persoonsgegevensrecords.
  • De naam en contactgegevens van de functionaris voor gegevensbescherming of ander contactpunt.
  • De waarschijnlijke gevolgen van het datalek.
  • De maatregelen die Alyden heeft genomen of voorstelt te nemen.

De Organisatie is zelf verantwoordelijk voor het beoordelen of het datalek gemeld dient te worden aan de Autoriteit Persoonsgegevens en/of betrokkenen, conform artikel 33 en 34 AVG.

Alyden verleent de Organisatie alle medewerking die nodig is voor de afhandeling van het datalek.

9. Bewaartermijnen en verwijdering van gegevens

Alyden bewaart persoonsgegevens niet langer dan noodzakelijk voor de uitvoering van de Dienst.

Na beëindiging van de hoofdovereenkomst of op schriftelijk verzoek van de Organisatie verwijdert Alyden alle persoonsgegevens van de Organisatie en haar medewerkers binnen 30 dagen uit haar actieve systemen. Gegevens kunnen gedurende maximaal 30 dagen aanwezig blijven in beveiligde back-ups voordat deze automatisch worden overschreven.

Op verzoek van de Organisatie verstrekt Alyden een schriftelijke bevestiging van de verwijdering.

Alyden bewaart gegevens langer indien een wettelijke bewaarplicht dit vereist. In dat geval informeert Alyden de Organisatie hierover.

10. Rechten van betrokkenen

Indien een betrokkene een verzoek indient bij Alyden tot inzage, correctie, verwijdering of overdracht van persoonsgegevens, verwijst Alyden de betrokkene door naar de Organisatie als verwerkingsverantwoordelijke.

Alyden verleent de Organisatie medewerking bij het behandelen van verzoeken van betrokkenen. Alyden reageert op verzoeken van de Organisatie hieromtrent binnen 10 werkdagen.

11. Audit en verantwoording

Alyden stelt de Organisatie in staat te verifiëren of Alyden de verplichtingen uit deze verwerkersovereenkomst naleeft. Hiertoe:

  • Verstrekt Alyden op verzoek relevante documentatie over de genomen beveiligingsmaatregelen.
  • Verleent Alyden medewerking aan een audit door of namens de Organisatie, maximaal één maal per kalenderjaar.

De Organisatie kondigt een audit minimaal 30 dagen van tevoren schriftelijk aan. De kosten van de audit zijn voor rekening van de Organisatie. Alyden mag de reikwijdte van de audit beperken tot hetgeen noodzakelijk is voor de beoordeling van naleving van deze overeenkomst, en heeft het recht vertrouwelijke bedrijfsinformatie af te schermen.

12. Doorgifte buiten de Europese Economische Ruimte

Alyden geeft persoonsgegevens uitsluitend door aan landen buiten de EER indien daarvoor een passende waarborg bestaat conform hoofdstuk V AVG. Voor de doorgifte aan OpenAI (Verenigde Staten) worden Standard Contractual Clauses (SCC’s) gehanteerd en/of wordt gebruik gemaakt van het EU-US Data Privacy Framework.

Alyden informeert de Organisatie over eventuele wijzigingen in de doorgiftemechanismen.

13. Aansprakelijkheid

Alyden is aansprakelijk voor schade die het gevolg is van een toerekenbare tekortkoming in de nakoming van deze verwerkersovereenkomst, tenzij sprake is van overmacht.

De aansprakelijkheid van Alyden is beperkt tot het bedrag dat de Organisatie in de drie maanden voorafgaand aan het schadeveroorzakende feit aan Alyden heeft betaald, tenzij sprake is van opzet of bewuste roekeloosheid.

Alyden is niet aansprakelijk voor indirecte schade, gevolgschade of schade die het gevolg is van onjuist of onrechtmatig gebruik van de Dienst door de Organisatie of haar medewerkers.

14. Wijzigingen

Alyden behoudt zich het recht voor deze verwerkersovereenkomst te wijzigen indien wijzigingen in de AVG of andere toepasselijke wetgeving daartoe aanleiding geven. Alyden informeert de Organisatie minimaal 30 dagen vooraf over voorgenomen wijzigingen. Indien de Organisatie niet akkoord gaat met de wijzigingen, heeft zij het recht de overeenkomst te beëindigen.

15. Toepasselijk recht en geschillen

Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden bij uitsluiting voorgelegd aan de bevoegde rechter van de Rechtbank Midden-Nederland, locatie Utrecht.

Ondertekening

Aldus overeengekomen en in tweevoud ondertekend:

Namens de Verwerkingsverantwoordelijke (Organisatie)

Naam:
Functie:
Datum:
Handtekening:

Namens de Verwerker (Alyden)

Naam: Kelsey de Haan
Functie: Verwerkingsverantwoordelijke / Eigenaar
Datum:
Handtekening:

Bijlage A - Overzicht subverwerkers

Zie artikel 6 voor het actuele overzicht van subverwerkers. Alyden houdt een actuele subprocessorlijst bij en stelt deze op verzoek beschikbaar via privacy@alyden.nl.