Ga naar inhoud

Verwerkersovereenkomst

Versie 1.0.0 - maart 2026

Deze verwerkersovereenkomst ("Overeenkomst") is een bijlage bij de algemene voorwaarden van Remedice en wordt aangegaan tussen:

  • Verwerkingsverantwoordelijke: de apotheek of zorgorganisatie die een abonnement heeft op Remedice ("Opdrachtgever")
  • Verwerker: Remedice B.V. ("Remedice")

Gezamenlijk "Partijen".

Artikel 1 - Definities

Termen in deze Overeenkomst hebben de betekenis die daaraan is gegeven in de Algemene Verordening Gegevensbescherming (EU) 2016/679 ("AVG"), tenzij hieronder anders is bepaald.

Artikel 2 - Voorwerp en duur

2.1 Voorwerp

Remedice verwerkt persoonsgegevens uitsluitend ten behoeve van de dienstverlening aan Opdrachtgever, bestaande uit:

  • Het aanbieden van de Remedice-applicatie voor apotheekprocessen en medicatiebeoordeling
  • Opslag, beveiliging en beschikbaarstelling van gegevens binnen de tenant-omgeving van Opdrachtgever
  • Het uitvoeren van geautomatiseerde analyses op medicatiedata ter ondersteuning van de apotheker
  • Het faciliteren van Atlas Chat voor algemene farmaceutische informatievragen
  • Facturatie en accountbeheer

2.2 Duur

Deze Overeenkomst geldt voor de duur van de dienstverleningsrelatie tussen Partijen. Bij beeindiging van de dienstverlening gelden de bepalingen in Artikel 12.

Artikel 3 - Categorieeen betrokkenen en persoonsgegevens

3.1 Categorieen betrokkenen

  • Medewerkers van Opdrachtgever (apothekers, apothekersassistenten, overig personeel)
  • Patienten van wie gegevens worden verwerkt in de medicatiebeoordeling-module

3.2 Soorten persoonsgegevens

Categorie Gegevens
Accountgegevens medewerkers Naam, e-mailadres, telefoonnummer, geboortedatum, rollen, authenticatiegegevens
Profiel- en voorkeursgegevens Avatar, notificatievoorkeuren, zichtbaarheidsinstellingen
Patientidentificatie Naam, geboortedatum (versleuteld opgeslagen)
Medische gegevens (bijzondere categorie) Medicatiehistorie, ATC-codes, contra-indicaties, allergieen, labwaarden, analyseresultaten
Chatgegevens Berichten, bronverwijzingen, threadmetadata
Facturatiegegevens Naam, adres, KvK-nummer, e-mailadres
Audit- en loggegevens Gebruikersacties, IP-adressen, tijdstempels

3.3 Bijzondere categorieen

Medische gegevens worden verwerkt op grond van Art. 9 lid 2 sub h AVG (noodzakelijk voor gezondheidszorg). Opdrachtgever is verantwoordelijk voor het waarborgen van de toepasselijkheid van deze grondslag.

Artikel 4 - Verplichtingen van Remedice

Remedice:

a) verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van Opdrachtgever, tenzij een wettelijke verplichting anders vereist;

b) waarborgt dat personen die toegang hebben tot persoonsgegevens gebonden zijn aan geheimhouding;

c) treft passende technische en organisatorische maatregelen conform Artikel 6 om een beveiligingsniveau te waarborgen dat is afgestemd op het risico;

d) voldoet aan de voorwaarden voor het inschakelen van subverwerkers conform Artikel 7;

e) verleent Opdrachtgever bijstand bij het vervullen van diens verplichtingen ten aanzien van verzoeken van betrokkenen (Artikel 8);

f) verleent Opdrachtgever bijstand bij de naleving van de verplichtingen uit Art. 32-36 AVG (beveiliging, datalekken, DPIA, voorafgaande raadpleging);

g) wist of retourneert na beeindiging van de dienstverlening alle persoonsgegevens conform Artikel 12;

h) stelt alle informatie beschikbaar die nodig is om de naleving van deze Overeenkomst aan te tonen en maakt audits mogelijk conform Artikel 9.

Artikel 5 - Verplichtingen van Opdrachtgever

Opdrachtgever:

a) is verantwoordelijk voor de rechtmatigheid van de verwerking en de naleving van de AVG in de hoedanigheid van verwerkingsverantwoordelijke;

b) geeft Remedice uitsluitend rechtmatige verwerkingsinstructies;

c) informeert Remedice tijdig over wijzigingen die van invloed zijn op de verwerking;

d) draagt zorg voor adequate interne autorisatie en toegangsrechten binnen de tenant-omgeving;

e) is verantwoordelijk voor de naleving van het beroepsgeheim en de WGBO-verplichtingen.

Artikel 6 - Beveiligingsmaatregelen

Remedice treft ten minste de volgende maatregelen, in lijn met NEN 7510:

Technisch:

  • Versleuteling van patient- en medewerkergegevens op veldniveau (Fernet/AES-128-CBC)
  • Versleuteling van data in transit (TLS 1.2+)
  • Versleuteling van archieven (AWS KMS, server-side encryption)
  • Verplichte tweefactorauthenticatie (TOTP) voor alle gebruikers
  • Tenant-isolatie op databaseniveau (PostgreSQL schema-scheiding)
  • Role-based access control (RBAC) met fijnmazig permissiemodel
  • Audit logging van alle relevante acties (NEN 7513)
  • Automatische sessie-expiratie (JWT: 30 min access, 12 uur refresh glijdend met een absolute maximumduur van 7 dagen)
  • Rate limiting op authenticatie-endpoints

Organisatorisch:

  • Geheimhoudingsverklaring voor alle medewerkers van Remedice
  • Incidentresponsprocedure conform het datalekkenprotocol
  • Regelmatige beveiligingsbeoordelingen
  • Toegangsbeheer op basis van least-privilege

Zie het informatiebeveiligingsbeleid voor de volledige beschrijving.

Artikel 7 - Subverwerkers

7.1 Toestemming

Opdrachtgever geeft Remedice algemene schriftelijke toestemming voor het inschakelen van subverwerkers, onder de voorwaarde dat Remedice:

a) Opdrachtgever ten minste 14 dagen vooraf informeert over het inschakelen van een nieuwe subverwerker of het wijzigen van een bestaande;

b) Opdrachtgever de mogelijkheid biedt om binnen deze termijn bezwaar te maken. Bij gegrond bezwaar zal Remedice de wijziging niet doorvoeren of een redelijk alternatief aanbieden. Indien geen overeenstemming wordt bereikt, heeft Opdrachtgever het recht de overeenkomst te beeindigen;

c) met elke subverwerker een overeenkomst sluit die ten minste dezelfde verplichtingen bevat als deze Overeenkomst.

7.2 Huidige subverwerkers

De actuele lijst van subverwerkers is opgenomen in het subverwerkersregister. Opdrachtgever verklaart bij ondertekening kennis te hebben genomen van deze lijst.

7.3 Aansprakelijkheid

Remedice is volledig aansprakelijk voor de nakoming van de verplichtingen door haar subverwerkers.

Artikel 8 - Rechten van betrokkenen

8.1 Bijstand

Indien Remedice een verzoek ontvangt van een betrokkene met betrekking tot diens rechten onder de AVG, stuurt Remedice dit verzoek onverwijld door naar Opdrachtgever. Remedice behandelt dergelijke verzoeken niet zelfstandig.

8.2 Technische ondersteuning

Remedice verleent Opdrachtgever technische bijstand bij het uitvoeren van verzoeken tot inzage, rectificatie, wissing, beperking en dataportabiliteit, voor zover dit technisch mogelijk is via het platform.

Artikel 9 - Audits

9.1 Informatieverstrekking

Remedice stelt op verzoek alle informatie beschikbaar die redelijkerwijs nodig is om naleving van deze Overeenkomst aan te tonen, waaronder relevante certificeringen en auditrapporten van subverwerkers.

9.2 Inspectie

Opdrachtgever heeft het recht om, na redelijke voorafgaande kennisgeving (minimaal 30 dagen), een audit te laten uitvoeren door een onafhankelijke derde partij. De kosten van de audit zijn voor rekening van Opdrachtgever, tenzij de audit significante tekortkomingen aan het licht brengt.

9.3 Groepsaudits

Remedice kan audits coordineren indien meerdere verwerkingsverantwoordelijken gelijktijdig een audit wensen, om de operationele belasting te beperken.

Artikel 10 - Datalekken

10.1 Meldplicht

Remedice meldt een inbreuk in verband met persoonsgegevens (datalek) onverwijld en uiterlijk binnen 24 uur na ontdekking aan Opdrachtgever. Deze melding bevat ten minste:

a) de aard van de inbreuk; b) de categorieen en het geschatte aantal betrokkenen; c) de waarschijnlijke gevolgen; d) de maatregelen die zijn genomen of voorgesteld om de inbreuk te verhelpen.

10.2 Verantwoordelijkheid melding AP

Opdrachtgever is als verwerkingsverantwoordelijke verantwoordelijk voor de melding aan de Autoriteit Persoonsgegevens (binnen 72 uur) en aan betrokkenen waar vereist. Remedice verleent alle redelijke bijstand.

10.3 Registratie

Remedice houdt een intern register bij van alle inbreuken, inclusief de feiten, de gevolgen en de genomen corrigerende maatregelen.

Zie het datalekkenprotocol voor de volledige interne procedure.

Artikel 11 - Doorgifte buiten de EU

Verwerking vindt primair plaats binnen de EU (AWS eu-central-1 Frankfurt, en Google Cloud europe-west4 uitsluitend voor tekst-naar-spraak). Voor subverwerkers buiten de EU (Stripe) zijn de volgende waarborgen getroffen:

  • Standard Contractual Clauses (SCCs) conform Uitvoeringsbesluit 2021/914
  • Data Processing Agreements met alle subverwerkers
  • Transfer Impact Assessments (TIAs) waar van toepassing

Remedice verwerkt patientgegevens via Amazon Bedrock (Claude Sonnet 4.6 en Haiku 4.5 voor Atlas-chat, RAG-zoekantwoorden en de anamnese-samenvatting) en AWS Transcribe (transcriptie van anamnese-audio), uitsluitend transient en binnen eu-central-1 (Frankfurt), onder de volgende waarborgen:

  • Contractuele zero retention: AWS bewaart geen prompts, audio of responses na verwerking. Bedrock model-invocation-logging staat uit.
  • Geen gebruik voor modeltraining: AWS Bedrock verwerkt klantinhoud niet voor training en deelt deze niet met de modelaanbieder, conform de AWS Service Terms.
  • Pseudonimisering: directe identifiers (naam, BSN, adres) worden via regex-PII-redaction uit transcripten verwijderd voordat opslag plaatsvindt. Een aanvullende LLM-redactiepas wordt bewust niet toegepast, omdat dat de PII-tekst eerst naar een model zou sturen. In de patientdata-paden is de waarborg daarom de subverwerker-grens zelf (EU-residency, AWS DPA, geen modeltraining), niet de redactie. Zie de DPIA voor de onderbouwing.
  • EU-residency: Bedrock-aanroepen lopen via EU cross-region inference (eu-central-1 plus EU-fallback-regio's). AWS Transcribe draait in eu-central-1.
  • Logging van AI-aanroepen: wie, wanneer, welk doel, welke tenant, welk model, prompt-hash en response-hash. Prompt-inhoud en audio-content worden niet gelogd. De audit-trail staat in CloudWatch log-group /remedice/audit/ai.

De spraaksynthese van de werkafspraken-podcast loopt via Google Cloud (Cloud Text-to-Speech, Chirp 3 HD) en verwerkt geen patientgegevens, omdat werkafspraken interne workflow-procedures zijn. Patientdata wordt at-rest uitsluitend bewaard op AWS EU (eu-central-1).

Artikel 12 - Beeindiging en gegevensretournering

12.1 Retournering

Binnen 30 dagen na beeindiging van de dienstverleningsrelatie stelt Remedice alle persoonsgegevens beschikbaar voor export in een gangbaar, machineleesbaar formaat (JSON/CSV).

12.2 Verwijdering

Na retournering of na het verstrijken van de exporttermijn van 30 dagen wist Remedice alle persoonsgegevens, tenzij bewaring wettelijk verplicht is (bijv. fiscale bewaarplicht, compliance-archief).

12.3 Bevestiging

Op verzoek bevestigt Remedice schriftelijk dat alle gegevens zijn gewist.

Artikel 13 - Aansprakelijkheid

De aansprakelijkheid van Remedice voor schade als gevolg van het niet-nakomen van deze Overeenkomst is beperkt conform de aansprakelijkheidsbepalingen in de algemene voorwaarden, tenzij de schade het gevolg is van opzet of bewuste roekeloosheid.

Artikel 14 - Toepasselijk recht en geschillen

Op deze Overeenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in Nederland.

Bijlagen: