Acuerdo de procesador

Fiestas:

1. La sociedad privada de responsabilidad limitada Skully Care BV, con domicilio social en Driebergen (3971 PA) y oficinas en Diederichslaan 17, debidamente representada por el Sr. FR Noz, director, en lo sucesivo denominado " Procesador ";

y

2. El fisioterapeuta pediátrico, en lo sucesivo denominado " Cliente " o " Controlador ".

en lo sucesivo denominados conjuntamente: " Partes ",

Considera lo siguiente:

El Procesador prestará servicios en nombre del Controlador, que consisten, entre otras cosas, en hacer que la aplicación Skully Care esté disponible, como se describe en los Términos y condiciones generales.

B. Esto da como resultado que el Procesador procese datos personales en nombre del Controlador (en adelante: " Datos personales " o el " Procesamiento " o " Procesamiento de (los) Datos personales "), dentro del significado de las leyes y regulaciones de privacidad aplicables. Reglamento general de protección de datos ("GDPR").

C. Las partes desean, en parte en vista de las disposiciones de las leyes y regulaciones de privacidad aplicables, como el Artículo 28 GDPR, registrar sus derechos y obligaciones mutuos para el procesamiento de datos personales en este Acuerdo de procesador.

Acepta lo siguiente:

Artículo 1: Acuerdo de Procesador de Asunto y Cesión

  1. Este Acuerdo de Procesador se aplica al Procesamiento de Datos Personales en el contexto de la ejecución del Acuerdo de Productos y Servicios.

  2. El Controlador le da al Procesador la orden de Procesar Datos Personales para el desempeño de los servicios.

  3. El Procesador procesará los Datos personales de manera adecuada y cuidadosa y de acuerdo con las leyes y regulaciones aplicables con respecto al procesamiento de datos personales, incluido el GDPR.

Artículo 2: División de roles

  1. Con respecto al procesamiento de datos personales que se llevará a cabo en su nombre, el controlador es el controlador en el sentido de las leyes y regulaciones de privacidad aplicables, como el GDPR. Procesador es procesador en el sentido de las leyes y regulaciones de privacidad aplicables, como el GDPR. A diferencia del Procesador, el Controlador tiene y retiene control independiente sobre el propósito y los medios del Procesamiento de los Datos Personales. El Procesador seguirá todas las instrucciones del Controlador a este respecto (salvo obligaciones legales que se desvíen) y no tomará ninguna decisión con respecto al Procesamiento de Datos Personales.

  2. El Procesador se asegura de que, antes de celebrar este Acuerdo de Procesador, el Controlador esté adecuadamente informado sobre los servicios prestados por el Procesador y el Procesamiento que se llevará a cabo. La información proporcionada debe permitir una elección con respecto a los servicios ofrecidos.

  3. Los servicios a los que se hace referencia en el párrafo 2 deben describirse en un lenguaje comprensible en el Apéndice 1 de este Acuerdo de Procesador, después de lo cual el Controlador puede dar su consentimiento informado para la compra de estos servicios. El controlador y el procesador se proporcionan mutuamente toda la información necesaria para permitir el cumplimiento adecuado de las leyes y regulaciones de privacidad pertinentes.

Artículo 3: Uso de datos personales

  1. El Procesador se compromete a no utilizar los Datos Personales obtenidos del Controlador para ningún otro propósito o de cualquier otra manera que no sea el propósito y la manera para la cual los datos fueron proporcionados o se dieron a conocer. Por lo tanto, el Procesador no está autorizado a llevar a cabo un procesamiento de datos que no sea el asignado al Procesador (oralmente, por escrito o electrónicamente) por el Controlador (oralmente, por escrito o electrónicamente). Esta obligación se aplica tanto durante la vigencia del Acuerdo de procesador y / o Acuerdo de productos y servicios como después de su vencimiento.

  2. En el Apéndice 2 de este Acuerdo de procesador se incluye una descripción general de los Datos personales con los que se relaciona el procesamiento de datos personales.

  3. El Procesador se abstendrá de proporcionar Datos Personales a un tercero, a menos que este intercambio se lleve a cabo en nombre del Controlador o cuando sea necesario para cumplir con una obligación legal que incumbe al Procesador. En caso de una obligación legal, el Procesador verifica la base de la solicitud y la identidad de la parte solicitante antes de la provisión. Además, el Procesador informa al Controlador, si lo permite la ley, inmediatamente, si es posible antes de la divulgación.

Artículo 4: Confidencialidad

  1. El procesador se asegura de que todos, incluidos sus empleados, representantes y / o subprocesadores, que estén involucrados en el procesamiento de los datos personales, traten estos datos como confidenciales. Se entiende por subprocesador la parte contratada por el Procesador como Procesador para el Procesamiento de Datos Personales en el contexto de este Acuerdo de Procesamiento ("Subprocesador "). El procesador se asegura de que se haya celebrado un acuerdo o cláusula de confidencialidad para cualquier persona involucrada en el procesamiento de los datos personales.

  2. El deber de confidencialidad a que se refiere este artículo no se aplica en la medida en que el Controlador haya dado permiso expresamente para proporcionar los Datos personales a un tercero, si el suministro de los Datos personales a un tercero es necesario en vista de la naturaleza del servicios que proporcionará el Procesador al Controlador, o si existe una obligación legal de proporcionar los Datos Personales a un tercero.

Artículo 5: Seguridad y control

  1. El procesador tomará las medidas técnicas y organizativas adecuadas para proteger los datos personales contra la pérdida o cualquier forma de procesamiento ilegal. Teniendo en cuenta el estado de la técnica y los costes que implica la implementación y ejecución de las medidas, estas medidas garantizarán un nivel de protección adecuado, teniendo en cuenta los riesgos que implica el tratamiento de los Datos Personales, y la naturaleza de los mismos.

  2. Las medidas a que se refiere el artículo 5, apartado 1, incluyen en todo caso:

    1. medidas para asegurar que solo el personal autorizado tenga acceso a los Datos Personales procesados ​​bajo el Acuerdo de Procesador;

    2. medidas para proteger los Datos Personales contra, en particular, destrucción accidental o ilegal, pérdida, alteración accidental, almacenamiento, acceso o divulgación no autorizados o ilegales;

    3. medidas para identificar vulnerabilidades con respecto al procesamiento de datos personales en los sistemas utilizados para proporcionar servicios al controlador; y

    4. una política de seguridad de la información adecuada para el procesamiento de datos personales.

  3. El procesador evaluará las medidas de seguridad de la información que ha tomado y las reforzará, complementará o mejorará en la medida en que los requisitos o desarrollos (tecnológicos) lo justifiquen.

  4. El Apéndice 3 describe las medidas de seguridad técnicas y organizativas.

  5. El Procesador permite al Controlador cumplir con su obligación legal de monitorear el cumplimiento por parte del Procesador de las medidas de seguridad técnicas y organizativas, así como el cumplimiento de las obligaciones mencionadas en el Artículo 6 con respecto a las filtraciones de datos (es decir, una violación en relación con datos a los que se hace referencia en la legislación y los reglamentos de privacidad aplicables, como el artículo 33, apartado 1, del RGPD ("Violación de datos "). El Encargado puede informar de esto basándose en una certificación válida o un medio equivalente de verificación o evidencia.

  6. Además del artículo 5, párrafo 5, el Controlador tiene el derecho en todo momento, en consulta con el Procesador y con la debida observancia de un plazo razonable, a sus propias expensas, a que las medidas de seguridad técnicas y organizativas adoptadas por el Procesador sean probadas por un auditor de registro EDP independiente. Las partes pueden acordar en consulta mutua que la auditoría será realizada por un auditor certificado e independiente contratado por el Procesador, quien emitirá una declaración de terceros (TPM). Se informa al responsable del tratamiento sobre los resultados de la auditoría.

Artículo 6: Fugas de datos

  1. El procesador tiene una política adecuada para hacer frente a las fugas de datos.

  2. Si el Encargado establece una Violación de Datos u otro incidente con respecto a la seguridad de los Datos Personales, lo informará inmediatamente al Responsable. El Procesador proporciona toda la información relevante al Controlador con respecto a la Violación de datos, incluida información sobre cualquier desarrollo relacionado con la Violación de datos u otro incidente, y las medidas que el Procesador toma para limitar las consecuencias de la Violación de datos tanto como sea posible y para evitar la repetición. Además, el Procesador informará inmediatamente al Controlador si parece que la violación en relación con los datos personales probablemente representa un alto riesgo para los derechos y libertades del Sujeto (s) de los Datos, como se indica en las leyes y regulaciones de privacidad aplicables tales como el artículo 34 párrafo 1 del RGPD.

  3. En el caso de una Violación de datos u otro incidente relacionado con la seguridad de los Datos personales, el Procesador tomará todas las medidas razonablemente necesarias para terminar, prevenir y limitar estas y otras Fugas de datos u otros incidentes relacionados con la seguridad de los Datos personales. El Procesador también permite al Controlador tomar las medidas de seguimiento apropiadas por sí mismo o hacer que se tomen con respecto a la Violación de datos u otro incidente de seguridad.

  4. El Procesador cooperará plenamente con el Controlador para cumplir con la obligación de notificación de las leyes y regulaciones de privacidad aplicables, incluidos los Artículos 33 y 34 GDPR, a la Autoridad de Protección de Datos de Holanda y al Sujeto (s) de Datos.

  5. Cualquier costo involucrado en los Artículos 6, párrafos 1 a 3, correrá a cargo del Controlador. Los costos involucrados en el artículo 6, párrafo 4, correrán a cargo del Procesador, en la medida en que la Violación de Datos u otro incidente de seguridad sea el resultado de un incumplimiento por parte del Procesador de sus obligaciones en virtud de este Acuerdo de Procesador.

Artículo 7: Procedimiento de derechos de los interesados

  1. Una queja o solicitud de un sujeto de datos (es decir, la persona con quien se relacionan los datos personales (" sujeto de datos ")) con respecto al procesamiento de los datos personales es enviada inmediatamente por el procesador al controlador que es responsable de manejar la solicitud .

  2. El Procesador, en la medida de lo razonablemente posible, cooperará plenamente con el Controlador para cumplir con las obligaciones bajo las leyes y regulaciones de privacidad aplicables, incluido el GDPR, dentro de los plazos legales, más en particular los derechos de los Interesados, como una solicitud. acceder, rectificar, eliminar, restringir el procesamiento, transferir u oponerse al procesamiento de Datos Personales.

Artículo 8: Tratamiento fuera del Espacio Económico Europeo

  1. El Procesador garantiza que, en la medida en que los Datos Personales se Procesen fuera del Espacio Económico Europeo (en adelante: EEE), esto solo se lleva a cabo de acuerdo con las regulaciones legales y las obligaciones que recaen sobre el Controlador a este respecto. Si los datos se procesan fuera del EEE, esto se indica en el Apéndice 1 , que incluye una lista de los países donde se procesan los Datos personales.

Artículo 9: Contratación del subprocesador

  1. El procesador puede contratar a un subprocesador, cuya identidad y detalles de ubicación se incluirán en el Apéndice 1 . El Procesador no está autorizado a contratar subprocesadores distintos de los enumerados en el Anexo 1 sin el consentimiento del Controlador.

  2. El Procesador obliga contractualmente a cada Subprocesador a cumplir con las obligaciones de confidencialidad, obligaciones de información y medidas de seguridad con respecto al Procesamiento de Datos Personales, cuyas obligaciones y medidas deben cumplir al menos con las disposiciones de este Acuerdo de Procesador.

  3. El Procesador obliga contractualmente a cada Subprocesador a no procesar más Datos Personales que no sean los acordados en el contexto de este Acuerdo de Procesador.

Artículo 10: Plazos de conservación y destrucción de datos personales

  1. Los datos personales y las imágenes del controlador se conservarán mientras el controlador adquiera los servicios del procesador. Al final de esa relación, el Procesador anonimizará los Datos Personales y el material de imagen del Controlador. Esto se aplica a menos que el controlador ya haya solicitado la eliminación de los datos personales y el material de imagen.

  2. A menos que las Partes hayan acordado lo contrario, el Procesador no está obligado a realizar una copia de seguridad de los Datos personales y el material de imagen.

Artículo 11: Responsabilidad

  1. El Procesador es responsable de los daños que surjan o estén relacionados con el incumplimiento de este Acuerdo de Procesador o que actúen en violación de las leyes y regulaciones de privacidad aplicables, incluido el GDPR.

  2. El Procesador solo es responsable de los daños directos que sufra el Controlador debido a una deficiencia atribuible en el cumplimiento del Acuerdo de Procesador. La responsabilidad del Procesador se limitará en todo momento a la cantidad que el asegurador de responsabilidad (profesional) del Procesador pague a este respecto. Si la aseguradora no paga por cualquier motivo, la responsabilidad del Procesador se limitará en todo momento a un máximo de la cantidad (sin incluir el IVA) que el Procesador cargó al Cliente en el año anterior al evento (s). causando daños y que el Cliente haya sido pagado. Si ocurren varios eventos que causan daños, la compensación total con respecto a todos los eventos juntos se limitará a la cantidad descrita en la oración anterior.

  3. El Procesador no es bajo ninguna circunstancia responsable por daños indirectos y / o consecuentes, incluidos, entre otros, la pérdida de ganancias, los daños por demora y los daños como resultado de reclamaciones de clientes / pacientes del Cliente. También se excluye la responsabilidad del procesador por la pérdida de datos personales.

  4. Una condición para que surja cualquier derecho a compensación es, además, que el Responsable de Procesamiento informe el daño al Procesador por escrito tan pronto como sea posible después de que se haya producido. Cualquier reclamo de compensación contra el Procesador sobre la base de este Acuerdo de Procesador caducará por el mero lapso de dos meses después de que haya surgido el daño.

Artículo 12: Duración y terminación

  1. El término de este Acuerdo de Procesador es igual al término del Acuerdo de Productos y Servicios celebrado entre las Partes, incluida cualquier extensión del mismo.

  2. Este Acuerdo de Procesador finaliza por aplicación de la ley tras la terminación del Acuerdo de Productos y Servicios, es decir, después de que el Procesador complete la entrega de productos y servicios acordados. La terminación de este Acuerdo de procesador no liberará a las Partes de sus obligaciones derivadas de este Acuerdo de procesador, que por su naturaleza se considera que continuarán incluso después de la terminación.

Artículo 14: Ley aplicable

  1. Este Acuerdo de procesador se rige exclusivamente por la ley holandesa.

  2. Todas las disputas que surjan de o en conexión con este Acuerdo de Procesador se someterán exclusivamente al tribunal competente.




APÉNDICE 1: PRODUCTO Y / O SERVICIO

Información general

Nombre del producto y / o servicio: Aplicación Skully Care.

Breve explicación y funcionamiento del producto y servicio: método de medición para determinar la deformación del cráneo mediante fotodetección.

Enlace a la página del proveedor y / o producto: https://www.skullycare.com

Subprocesadores

El procesador utiliza los siguientes subprocesadores:

Yukon Software Ltd en Ucrania.

Tarea / servicio: desarrollo y actualización de la aplicación; desarrollar, mejorar el modelo de IA con el fin de medir y ampliar automáticamente la funcionalidad.

APÉNDICE 2: DATOS PERSONALES

Descripción Datos personales, naturaleza del tratamiento y, etc.

Este Acuerdo de Procesador se relaciona con el siguiente procesamiento de Datos Personales. Consulte el diagrama de la página siguiente.

APÉNDICE 3: MEDIDAS DE SEGURIDAD TÉCNICA Y ORGANIZATIVA

Descripción de las medidas a que se refiere el artículo 5, párrafo 2, Acuerdo del procesador

  1. Descripción de las medidas para asegurar que solo el personal autorizado tenga acceso al Tratamiento de Datos Personales.

La aplicación móvil 'Skully Care' es una herramienta digital desarrollada para ayudar al fisioterapeuta pediátrico (KFT) en el tratamiento de bebés con una deformidad craneal. Con la aplicación Skully Care, el KFT puede tomar una medición de manera fácil y rápida, monitorear el progreso y compartir información sobre el tratamiento con los padres o cuidadores del bebé. Esta información compartida solo se intercambia entre KFT y los padres o cuidadores. La KFT puede invitar a los padres o tutores del niño a ver los datos. La aplicación se ejecuta en un servidor, donde también se almacenan los datos. Al fotografiar la parte superior de la cabeza, el KFT mide el grado de aplanamiento. El cálculo de la deformación del cráneo se realiza mediante un modelo de IA que se ejecuta en el servidor. Los bebés no son reconocibles en las fotos.

El KFT (profesional sanitario) crea un perfil con datos de contacto (por ejemplo, nombre, organización, dirección, número de teléfono y dirección de correo electrónico). Los padres o tutores (no profesionales sanitarios) pueden crear un perfil con datos de contacto (por ejemplo, nombre y número de teléfono). La KFT puede crear un perfil para su bebé tratado (por ejemplo, nombre, apellido, fecha de nacimiento y sexo). Al usar la aplicación Skully Care, el KFT puede agregar información al perfil del bebé, como resultados de medición, consejos de tratamiento y fotos de la parte superior de la cabeza. Skully Care concluye un Acuerdo de procesamiento con las KFT afiliadas. Se acuerda en esto que el procesamiento de datos personales siempre debe realizarse de acuerdo con las pautas de la legislación de privacidad.

Durante la investigación de confiabilidad, solo se utiliza la funcionalidad de medición de la aplicación Skully Care. Se asigna un número por medición. Como resultado, no se almacenan datos personales del bebé o del probador. Por lo tanto, no se utiliza el seguimiento del progreso ni el intercambio de un plan de tratamiento.

Debido a que esta es una versión básica, cualquier desarrollo adicional de la aplicación Skully Care conducirá a una aplicación lista para el mercado (disponible públicamente en la tienda de aplicaciones) y se tomarán los pasos formales necesarios para la certificación. Esto está en línea con el procedimiento común en el desarrollo de productos médicos (de acuerdo con el Reglamento de dispositivos médicos MDR), mediante el cual la validación y la certificación se llevan a cabo con el producto final, en la forma en que se comercializa realmente.

Seguridad de información

Skully Care utiliza dos servidores. La aplicación se ejecuta en un servidor y los datos se almacenan. El segundo servidor está completamente dedicado a entrenar el modelo de IA.

El servidor en el que se ejecuta la aplicación Skully Care y donde se almacenan los datos se ejecuta en Yukon Software Ltd. Yukon Software Ltd proporciona copias de seguridad diarias (recuperación puntual PITR) y está cifrado con SSL de extremo a extremo. La conexión entre el servidor y el cliente (teléfono móvil) se protege mediante SSH.

La comunicación entre la aplicación y el servidor está protegida por HTTPS y se basa en la 'firma en cada solicitud' Oauth. Es posible acceder al servidor a través del 'back office'. El back office está diseñado como una herramienta de control y gestión. La oficina administrativa solo puede ser contactada por el equipo de Skully Care. Está protegido por las medidas mencionadas anteriormente y está protegido por nombre de usuario y contraseña.

Un servidor está completamente enfocado en entrenar el modelo de IA. Este servidor no está conectado a Internet. Se requiere una conexión física para entrenar este servidor. Solo una persona tiene acceso a esto.

Informe

Además de la notificación a que se refiere el Artículo 6 párrafo 2, el Procesador informa al Controlador sobre las medidas tomadas por el Procesador con respecto a las medidas de seguridad técnicas y organizativas tomadas, siempre que ocurran cambios, adiciones u otros puntos de atención en el mismo. .

Datos de contacto: FR Noz, freeknoz@skullycare.com .