Acuerdo de procesamiento

Fiestas:

1. La empresa privada de responsabilidad limitada Skully Care BV, con domicilio social en Driebergen (3971 PA) y domicilio social principal en Diederichslaan 17, debidamente representada por el Sr. FR Noz, director, en lo sucesivo denominado " Procesador ";

 

y

2. El terapeuta, en lo sucesivo denominado " Cliente " o " Controlador ".

 

en lo sucesivo denominados conjuntamente: " Partes ",

Considera lo siguiente:

 

El Procesador prestará servicios en nombre del Controlador, que consisten, entre otras cosas, en hacer que la aplicación Skully Care esté disponible, todo esto como se describe en los Términos y Condiciones Generales.

 

B. Esto significa que el Procesador procesa datos personales en nombre del Controlador (en adelante: " Datos personales " o el " Procesamiento " o " Procesamiento de (los) Datos personales "), dentro del significado de las leyes y regulaciones de privacidad aplicables. Reglamento general de protección de datos ("GDPR").  

 

C. En parte, en vista de las disposiciones de las leyes y regulaciones de privacidad aplicables, como el artículo 28 del GDPR, las Partes desean registrar sus derechos y obligaciones mutuos para el procesamiento de datos personales en este Acuerdo de procesador.

 

Acepta lo siguiente:

 

Artículo 1: Objeto y cesión del Acuerdo de procesamiento

  1. Este Acuerdo de Procesador se aplica al Procesamiento de Datos Personales en el contexto de la implementación del Acuerdo de Productos y Servicios.
     

  2. El controlador instruye al procesador para procesar los datos personales para el desempeño de los servicios.
     

  3. El Procesador procesará los Datos personales de manera adecuada y cuidadosa y de acuerdo con las leyes y regulaciones aplicables con respecto al procesamiento de datos personales, incluido el GDPR.

 

Artículo 2: División de roles

  1. Con respecto al procesamiento de datos personales que se llevará a cabo en su nombre, el controlador es el controlador en el sentido de las leyes y regulaciones de privacidad aplicables, como AVG. Procesador es procesador en el sentido de las leyes y regulaciones de privacidad aplicables, como AVG. Controlador  tiene y retiene control independiente sobre el propósito y los medios del procesamiento de los datos personales, a diferencia del procesador. El Procesador seguirá todas las instrucciones del Controlador a este respecto (sujeto a obligaciones legales divergentes) y no tomará ninguna decisión sobre el Procesamiento de Datos Personales.
     

  2. El Procesador se asegura de que el Controlador esté adecuadamente informado sobre los servicios proporcionados por el Procesador y el Procesamiento que se realizará antes de concluir este Acuerdo de Procesador. La información dada debe  Permitirles tomar una decisión con respecto a los servicios ofrecidos.
     

  3. Los servicios a los que se hace referencia en el párrafo 2 deben describirse en un lenguaje comprensible en el Apéndice 1 de este Acuerdo de Procesador, después de lo cual el Controlador  consentimiento informado para la compra de estos servicios. El controlador y el procesador se proporcionan mutuamente toda la información necesaria para permitir el cumplimiento adecuado de las leyes y regulaciones de privacidad pertinentes.

 

Artículo 3: Uso de datos personales

  1. El Procesador se compromete a no utilizar los Datos Personales obtenidos del Controlador para otros fines o de una manera diferente a la del propósito y la forma para la cual los datos se han proporcionado o se han dado a conocer. Por lo tanto, el Procesador no está autorizado a llevar a cabo un procesamiento de datos que no sea el que el Controlador le haya indicado (oralmente, por escrito o electrónicamente). Esta obligación se aplica tanto durante la vigencia del Acuerdo de Procesador y / o Acuerdo de Producto y Servicio como después de su vencimiento.
     

  2. En el Apéndice 2 de este Acuerdo de Procesador se incluye una descripción general de los Datos Personales con los que se relaciona el Procesamiento de Datos Personales.
     

  3. El Procesador se abstiene de proporcionar Datos Personales a un tercero, a menos que este intercambio se lleve a cabo en nombre del Controlador o cuando sea necesario para cumplir con una obligación legal que incumbe al Procesador. En caso de una obligación legal, el Procesador verifica la base de la solicitud y la identidad del solicitante antes de la provisión. Además, el Procesador informa al Controlador, si lo permite la ley, inmediatamente, si es posible antes de la provisión.

 

Artículo 4: Confidencialidad

  1. El procesador se asegura de que todos, incluidos sus empleados, representantes y / o subprocesadores, que estén involucrados en el procesamiento de datos personales, traten estos datos como confidenciales. Se entiende por subprocesador la parte contratada por el Procesador como Procesador para el Procesamiento de Datos Personales en el contexto de este Acuerdo de Procesamiento ("Subprocesador "). El Procesador asegura que se ha concluido un acuerdo o cláusula de confidencialidad para todos los involucrados en el Procesamiento de los Datos Personales.
     

  2. El deber de confidencialidad a que se refiere este artículo no se aplica en la medida en que el Encargado del procesamiento haya dado permiso explícito para proporcionar los Datos personales a un tercero, si el suministro de los Datos personales a un tercero es necesario en vista de la naturaleza de los servicios que proporcionará el Procesador al Encargado del Procesamiento, o si existe una obligación legal de proporcionar los Datos Personales a un tercero.

 

Artículo 5: Seguridad y control

  1. El procesador garantizará las medidas técnicas y organizativas adecuadas para proteger los datos personales contra la pérdida o cualquier forma de procesamiento ilegal. Teniendo en cuenta el estado de la técnica y los costes que conlleva la implementación y ejecución de las medidas, estas medidas garantizarán un nivel de protección adecuado, teniendo en cuenta los riesgos asociados al tratamiento de los Datos Personales y la naturaleza de los mismos.
     

  2. Las medidas a que se refiere el artículo 5, apartado 1, incluyen en todo caso:

    1. medidas para garantizar que solo el personal autorizado tenga acceso a los Datos personales procesados en el contexto del Acuerdo del procesador;

    2. medidas para proteger los Datos Personales contra, en particular, destrucción accidental o ilegal, pérdida, alteración accidental, almacenamiento, acceso o divulgación no autorizados o ilegales;

    3. medidas para identificar vulnerabilidades con respecto al procesamiento de datos personales en los sistemas utilizados para proporcionar servicios al controlador; y

    4. una política de seguridad de la información adecuada para el procesamiento de los datos personales.
       

  3. El procesador evaluará y reforzará, complementará o mejorará las medidas de seguridad de la información que haya tomado en la medida en que los requisitos o desarrollos (tecnológicos) lo justifiquen.
     

  4. En el Apéndice 3 ,  Se describen las medidas de seguridad técnicas y organizativas.
     

  5. El procesador permite que el controlador cumpla con sus  obligación legal de controlar el cumplimiento por parte del Procesador de las medidas de seguridad técnicas y organizativas, así como el cumplimiento de las obligaciones mencionadas en el Artículo 6 con respecto a las fugas de datos (es decir, una violación de datos personales como se menciona en las leyes y regulaciones de privacidad aplicables, tales como artículo 33, párrafo 1 del RGPD ("Fuga de datos "). El Procesador puede informar esto sobre la base de una certificación válida o un medio equivalente de verificación o evidencia.
     

  6. Además del artículo 5, párrafo 5, el Controlador tiene el derecho en todo momento, en consulta con el Procesador y con la debida observancia de un plazo razonable, a sus propias expensas, a que las medidas de seguridad técnicas y organizativas adoptadas por el Procesador sean verificadas por un auditor de registro EDP independiente. Las partes pueden acordar mutuamente que la auditoría será realizada por un auditor certificado e independiente que será contratado por el Procesador y que emitirá una declaración de terceros (TPM). Se informa al responsable del tratamiento sobre los resultados de la auditoría.
     

Artículo 6: Fugas de datos

  1. El procesador tiene una política adecuada para hacer frente a las fugas de datos.
     

  2. Si el Procesador descubre una Fuga de Datos u otro incidente con respecto a la seguridad de los Datos Personales, informará inmediatamente al Administrador de Procesamiento al respecto. Procesador  proporciona toda la información relevante al controlador con respecto a la fuga de datos, incluida información sobre cualquier desarrollo relacionado con la fuga de datos u otro incidente, y las medidas tomadas por el procesador para limitar las consecuencias de la fuga de datos tanto como sea posible y para prevenir una reaparición. Además, el Procesador informará al Controlador sin demora si parece que es probable que la violación de datos personales represente un alto riesgo para los derechos y libertades del Sujeto (s) de los Datos, según se indica en las leyes y regulaciones de privacidad aplicables, como el artículo 34 párrafo 1 del RGPD.
     

  3. En el caso de una Violación de datos u otro incidente relacionado con la seguridad de los Datos personales, el Procesador tomará todas las medidas razonablemente necesarias para terminar, prevenir y limitar esta y otras Violaciones de datos u otros incidentes relacionados con la seguridad de los Datos personales. El Procesador también permite al Controlador tomar los pasos de seguimiento apropiados, si lo desea, con respecto a la Fuga de Datos u otro incidente de seguridad.
     

  4. El Procesador cooperará plenamente con el Controlador para cumplir con la obligación de informar de las leyes y regulaciones de privacidad aplicables, incluidos los Artículos 33 y 34 AVG, a la Autoridad de Protección de Datos Holandesa y al Sujeto (s) de Datos.
     

  5. Todos los costos asociados con los párrafos 1 a 3 del artículo 6 correrán a cargo del Contralor. Los costos involucrados en el Artículo 6 párrafo 4 son por cuenta del Procesador, en la medida en que la Fuga de Datos u otro incidente de seguridad sea el resultado de una falla del Procesador en el cumplimiento de su (s) obligación (es) de este Acuerdo de Procesador.

 

Artículo 7: Procedimiento para los derechos de los interesados

  1. Una queja o solicitud de un sujeto de datos (es decir, la persona con quien se relacionan los datos personales (" sujeto de datos ")) con respecto al procesamiento de los datos personales será enviada por el procesador sin demoras indebidas al controlador responsable de manejar la solicitud.
     

  2. El Procesador proporciona al Controlador, en la medida de lo razonablemente posible, con la cooperación total para cumplir con las obligaciones bajo las leyes y regulaciones aplicables en el campo de la privacidad, incluida la AVG, dentro de los períodos legales, más en particular los derechos de los Interesados tales como una solicitud para acceder, rectificar, eliminar, restringir el procesamiento, transferir u oponerse al procesamiento de Datos Personales.
     

Artículo 8: Tratamiento fuera del Espacio Económico Europeo

  1. El Procesador garantiza que, en la medida en que los Datos Personales se Procesen fuera del Espacio Económico Europeo (en adelante: EEE), esto solo se lleva a cabo de acuerdo con las regulaciones legales y las obligaciones que recaen sobre el Controlador a este respecto. Si los datos se procesan fuera del EEE, esto se indica en el Anexo 1 , incluida una declaración de los países donde se procesan los Datos Personales.

 

 

Artículo 9: Contratación del subprocesador

  1. El procesador puede contratar a un subprocesador, cuya identidad y detalles de ubicación se incluirán en el Apéndice 1 . El Procesador no está autorizado a contratar subprocesadores distintos de los enumerados en el Apéndice 1 sin el consentimiento del Controlador.
     

  2. El Procesador obliga contractualmente a cada Subprocesador a cumplir con las obligaciones de confidencialidad, las obligaciones de notificación y las medidas de seguridad con respecto al Procesamiento de Datos Personales, cuyas obligaciones y medidas deben cumplir al menos con las disposiciones de este Acuerdo de Procesador.
     

  3. El procesador obliga contractualmente a cada subprocesador a no procesar los datos personales más allá del contexto de este acuerdo de procesador.  hizo un acuerdo.

 

Artículo 10: Plazos de conservación y destrucción de datos personales

  1. Los datos personales y las imágenes del Controlador se conservan mientras el Controlador adquiera los servicios del Procesador. Después de esa relación, el procesamiento anonimizará los datos personales y las imágenes del controlador. Esto se aplica a menos que el controlador ya solicite la eliminación de los datos personales y el material visual.
     

  2. A menos que las Partes hayan acordado lo contrario, el Procesador no está obligado a realizar una copia de seguridad de los Datos personales y las imágenes.

 

Artículo 11: Responsabilidad

  1. El Procesador es responsable de los daños que surjan o estén relacionados con el incumplimiento de este Acuerdo de Procesador o que actúe en violación de las leyes y regulaciones aplicables en el campo de la privacidad, incluido el GDPR.
     

  2. El procesador solo es responsable de los daños directos que  El Controlador sufre debido a una deficiencia atribuible en el cumplimiento del Acuerdo de Procesador. La responsabilidad del Procesador se limitará en todo momento a la cantidad que el asegurador de responsabilidad (profesional) del Procesador pague a este respecto. Si la aseguradora no paga por cualquier motivo, la responsabilidad del Procesador se limitará en todo momento a un máximo de la cantidad (sin IVA) que el Procesador cargó al Cliente en el año anterior al evento causante del daño ( s) y que el Cliente haya pagado. Si ocurren varios eventos que causen daños, la compensación total con respecto a todos los eventos en conjunto se limitará al monto descrito en la oración anterior.
     

  3. El procesador no es responsable de ningún modo por daños indirectos y / o consecuentes, incluidos, entre otros, la pérdida de beneficios, los daños debidos a retrasos y los daños como resultado de reclamaciones de clientes / pacientes del Cliente. También se excluye la responsabilidad del procesador por la pérdida de datos personales.
     

  4. Una condición para la existencia de cualquier derecho a compensación es además que el Controlador informe el daño por escrito al Procesador tan pronto como sea posible después de que haya ocurrido. Cualquier reclamo de compensación contra el Procesador sobre la base de este Acuerdo de Procesador caduca por el mero lapso de dos meses después de que se haya producido el daño.

Artículo 12: Duración y terminación

  1. El término de este Acuerdo de Procesador es igual al término del Acuerdo de Producto y Servicio celebrado entre las Partes, incluida cualquier extensión del mismo.
     

  2. Este Acuerdo de procesador finaliza por aplicación de la ley tras la terminación del Acuerdo de productos y servicios, es decir, una vez que el Procesador complete la entrega del producto y servicio acordado. La terminación de este Acuerdo de procesador no liberará a las Partes de sus obligaciones derivadas de este Acuerdo de procesador, que por su naturaleza se considera que continuarán después de la terminación.

 

Artículo 14: Ley aplicable

  1. Este Acuerdo de procesador se rige exclusivamente por la ley holandesa.
     

  2. Todas las disputas que surjan de o estén relacionadas con este Acuerdo de Procesador se someterán exclusivamente al tribunal competente.




     

 

 

 

 

APÉNDICE 1: PRODUCTO Y / O SERVICIO

 

Información general

Nombre del producto y / o servicio: aplicación Skully Care.

Breve explicación y funcionamiento del producto y servicio: método de medición para determinar la deformación del cráneo mediante fotodetección.

Enlace a la página del proveedor y / o producto: https://www.skullycare.com

Subprocesadores

El procesador utiliza los siguientes subprocesadores:

 

Yukon Software Ltd en Ucrania.

Tarea / servicio: desarrollo y actualización de la aplicación; Desarrollar, mejorar el modelo de IA con el fin de realizar mediciones automáticas y ampliar la funcionalidad.

 

APÉNDICE 2: DATOS PERSONALES

Descripción Datos personales, naturaleza del tratamiento y, etc.

Este Acuerdo de Procesador se relaciona con el siguiente procesamiento de Datos Personales. Consulte el calendario en la página siguiente.

APÉNDICE 3: MEDIDAS DE SEGURIDAD TÉCNICA Y ORGANIZATIVA

 

Descripción de las medidas a que se refiere el artículo 5, párrafo 2, Acuerdo de procesamiento

  1. Descripción de las medidas para asegurar que solo el personal autorizado tenga acceso al Tratamiento de Datos Personales.

La aplicación móvil 'Skully Care' es una herramienta digital desarrollada para ayudar al terapeuta en el tratamiento de bebés con una deformidad del cráneo. Con la aplicación Skully Care, el terapeuta puede tomar una medición de manera fácil y rápida, monitorear el progreso y compartir información sobre el tratamiento con los padres o cuidadores del bebé. Esta información compartida solo se intercambia entre el terapeuta y los padres o tutores. El terapeuta puede invitar a los padres o tutores del niño a ver los datos. La aplicación se ejecuta en un servidor, donde también se almacenan los datos. Al fotografiar la parte superior de la cabeza, el terapeuta mide el grado de aplanamiento. El cálculo de la deformación del cráneo se realiza mediante un modelo de IA que se ejecuta en el servidor. Los bebés no son reconocibles en las fotos.

 

El terapeuta (profesional de la salud) crea un perfil con datos de contacto (por ejemplo, nombre, organización, dirección, número de teléfono y dirección de correo electrónico). Los padres o tutores (no profesionales sanitarios) pueden crear un perfil con datos de contacto (por ejemplo, nombre y número de teléfono). El terapeuta puede crear un perfil para su bebé tratado (por ejemplo, nombre, apellido, fecha de nacimiento y sexo). Al usar la aplicación Skully Care, el terapeuta puede agregar información al perfil del bebé, como resultados de medición, consejos de tratamiento y fotos de la parte superior de la cabeza. Skully Care concluye un Acuerdo de procesamiento con los terapeutas afiliados. Se acuerda que el procesamiento de datos personales siempre debe realizarse de acuerdo con las pautas de la legislación de privacidad.

 

Durante el estudio de confiabilidad, solo se utiliza la funcionalidad de medición de la aplicación Skully Care. Se asigna un número a cada medición. Como resultado, no se almacenan datos personales del bebé o del tester. Por lo tanto, no se utiliza el seguimiento del progreso y el intercambio de un plan de tratamiento.

 

Debido a que esta es una versión básica, cualquier desarrollo adicional de la aplicación Skully Care conducirá a una aplicación lista para el mercado (disponible públicamente en la tienda de aplicaciones) y se tomarán los pasos formales necesarios para la certificación. Esto está en línea con el procedimiento habitual en el desarrollo de productos médicos (de acuerdo con el Reglamento de dispositivos médicos MDR), mediante el cual la validación y certificación se lleva a cabo con el producto final, en la forma en que se comercializa realmente.

 

Seguridad de información

Skully Care utiliza dos servidores. La aplicación se ejecuta en un servidor y los datos se almacenan. El segundo servidor está completamente dedicado a entrenar el modelo de IA.

 

El servidor donde se ejecuta la aplicación Skully Care y donde se almacenan los datos se ejecuta en AWS amazon lightsail en Frankfurt, Alemania. AWS proporciona copias de seguridad diarias (recuperación puntual PITR) y está cifrado con SSL de un extremo a otro. La conexión entre el servidor y el cliente (teléfono móvil) se protege mediante SSH.

 

La comunicación entre la aplicación y el servidor está protegida por HTTPS y se basa en la 'firma en cada solicitud' Oauth. Es posible acceder al servidor a través del 'back office'. El back office se configura como una herramienta de control y gestión. Solo el equipo de Skully Care puede acceder al back office. Esto está asegurado por las medidas anteriores y está protegido por nombre de usuario y contraseña.

 

Un servidor está completamente enfocado en entrenar el modelo de IA. Este servidor no está conectado a Internet. Para entrenar este servidor, se requiere una conexión física. Solo una persona tiene acceso a esto.

 

 

Reporte

Además de la notificación a que se refiere el artículo 6, párrafo 2, el procesador informa al controlador  sobre las medidas tomadas por el Encargado respecto a las medidas de seguridad técnicas y organizativas tomadas, siempre que se produzcan cambios, adiciones u otros puntos de atención en las mismas.

Datos de contacto: FR Noz, info@skullycare.com .