Verwerkersovereenkomst

Deze Verwerkersovereenkomst ("Overeenkomst") wordt gesloten tussen: Verwerkingsverantwoordelijke: De zorgorganisatie die gebruikmaakt van het Keiro platform, hierna te noemen "Verwerkingsverantwoordelijke". Verwerker: Keiro B.V., gevestigd in Nederland, hierna te noemen "Keiro" of "Verwerker". Samen aangeduid als "Partijen".

1.1 "Persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4(1) AVG. 1.2 "Bijzondere categorieën persoonsgegevens": gezondheidsgegevens en andere bijzondere categorieën als bedoeld in artikel 9 AVG. 1.3 "Verwerking": elke bewerking van persoonsgegevens als bedoeld in artikel 4(2) AVG. 1.4 "Datalek": een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van persoonsgegevens. 1.5 "AVG": Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming). 1.6 "Dienst": het Keiro EPD-platform inclusief AI-intake, triage, Multidisciplinair Overleg (MDO) en aanverwante functies.

2.1 Keiro verwerkt persoonsgegevens uitsluitend ten behoeve van de levering van de Dienst aan de Verwerkingsverantwoordelijke. 2.2 De verwerking heeft betrekking op de volgende categorieën betrokkenen: patiënten van de Verwerkingsverantwoordelijke en medewerkers van de Verwerkingsverantwoordelijke. 2.3 De verwerking heeft betrekking op de volgende categorieën persoonsgegevens: NAW-gegevens, contactgegevens, geboortedatum, gezondheidsgegevens, behandelgegevens, sessienotities, financieringsgegevens en authenticatiegegevens. 2.4 Deze Overeenkomst is van kracht zolang Keiro persoonsgegevens verwerkt ten behoeve van de Verwerkingsverantwoordelijke.

3.1 Keiro verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke. 3.2 Keiro zorgt ervoor dat de tot het verwerken van persoonsgegevens gemachtigde personen tot geheimhouding zijn gehouden. 3.3 Keiro neemt passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder: versleuteling van persoonsgegevens onderweg en in rust (AES-256), toegangscontrole op basis van het principe van minimale bevoegdheid, logging van toegang tot patiëntgegevens, back-ups opgeslagen in de EU, en periodieke evaluatie van beveiligingsmaatregelen. De actuele status van deze maatregelen wordt transparant bijgehouden op /compliance. 3.4 Keiro informeert de Verwerkingsverantwoordelijke indien de ontvangen instructies naar het oordeel van Keiro in strijd zijn met de AVG. 3.5 Keiro verleent op verzoek medewerking bij het beantwoorden van verzoeken tot uitoefening van rechten van betrokkenen.

4.1 De Verwerkingsverantwoordelijke geeft Keiro hierbij algemene toestemming voor het inschakelen van de volgende subverwerkers: a) Supabase — database-hosting, EU/Frankfurt b) Anthropic PBC — AI-verwerking voor intake en transcriptie, VS (SCC's van toepassing) c) Vercel Inc. — levering en hosting van de applicatie d) Resend — transactionele e-mail e) Cloudflare — DNS en netwerkbeveiliging Bij gebruik van WhatsApp-intake treedt 360dialog op als WhatsApp Business Solution Provider. 4.2 Keiro sluit met iedere subverwerker een verwerkersovereenkomst die minimaal dezelfde verplichtingen bevat als deze Overeenkomst. 4.3 Keiro informeert de Verwerkingsverantwoordelijke tijdig over wijzigingen in de inzet van subverwerkers. De Verwerkingsverantwoordelijke heeft het recht om bezwaar te maken.

5.1 Keiro geeft persoonsgegevens alleen door naar landen buiten de Europese Economische Ruimte (EER) indien een passend beschermingsniveau is gewaarborgd. 5.2 Bij gebruik van Anthropic voor AI-verwerking worden gegevens tijdelijk verwerkt in de VS. Keiro minimaliseert dit door: gepseudonimiseerde of geanonimiseerde data te sturen waar mogelijk, geen direct identificeerbare naam- of contactgegevens naar de AI te versturen, en standaardcontractbepalingen (SCC's) van de Europese Commissie te gebruiken.

6.1 Keiro meldt een Datalek dat betrekking heeft op de verwerkte persoonsgegevens zo spoedig mogelijk, doch uiterlijk binnen 24 uur na ontdekking, aan de Verwerkingsverantwoordelijke. 6.2 De melding bevat ten minste: de aard van het Datalek, de categorieën en het aantal betrokken personen, de waarschijnlijke gevolgen, en de getroffen maatregelen. 6.3 De Verwerkingsverantwoordelijke is verantwoordelijk voor het doen van de wettelijk verplichte melding aan de Autoriteit Persoonsgegevens binnen 72 uur.

7.1 Na beëindiging van de Dienst verwijdert Keiro alle persoonsgegevens, tenzij de wet bewaring verplicht stelt. 7.2 Op verzoek van de Verwerkingsverantwoordelijke verstrekt Keiro een volledige export van alle verwerkte persoonsgegevens in een machineleesbaar formaat (CSV/JSON) voor overdracht naar een andere verwerker. 7.3 Keiro bevestigt schriftelijk dat gegevens zijn verwijderd of overgedragen binnen 30 dagen na beëindiging.

8.1 Keiro stelt de Verwerkingsverantwoordelijke in staat audits uit te voeren, of door een door de Verwerkingsverantwoordelijke aangewezen auditor te laten uitvoeren, en verleent hieraan medewerking. 8.2 Keiro verstrekt op verzoek alle informatie die noodzakelijk is om de naleving van deze Overeenkomst aan te tonen. 8.3 Keiro informeert de Verwerkingsverantwoordelijke onmiddellijk indien een instructie naar zijn mening in strijd is met de AVG.

9.1 Keiro is aansprakelijk voor schade die het gevolg is van een verwerking die in strijd is met deze Overeenkomst of met de AVG, voor zover Keiro verantwoordelijk is voor de schade. 9.2 Keiro is niet aansprakelijk voor schade als gevolg van verwerkingen die zijn uitgevoerd op basis van onjuiste of onvolledige instructies van de Verwerkingsverantwoordelijke. 9.3 De aansprakelijkheid van Keiro is beperkt tot de waarde van de facturen over de laatste 12 maanden.

10.1 Op deze Overeenkomst is Nederlands recht van toepassing. 10.2 Geschillen worden voorgelegd aan de bevoegde rechter in Nederland. 10.3 Deze Overeenkomst heeft voorrang op eventueel strijdige bepalingen in andere overeenkomsten tussen Partijen voor zover het betreft de verwerking van persoonsgegevens. 10.4 Keiro behoudt zich het recht voor deze Overeenkomst aan te passen bij wijziging van toepasselijke wet- of regelgeving. Keiro informeert de Verwerkingsverantwoordelijke tijdig over wijzigingen. Versie 1.0 · juni 2026 Voor vragen: privacy@keiro.care

Overeenkomst aangaan

Om een ondertekende verwerkersovereenkomst aan te gaan met Keiro B.V., neem contact op via onderstaand e-mailadres. Wij sturen binnen 2 werkdagen een getekend exemplaar retour.