KraamPortaal

Verwerkersovereenkomst

Laatst bijgewerkt: 13 januari 2026

Preambule

Deze Verwerkersovereenkomst is opgesteld conform artikel 28 van de Algemene Verordening Gegevensbescherming (AVG) en regelt de verwerking van persoonsgegevens door KraamPortaal B.V. (hierna: "Verwerker") namens de gebruiker van het KraamPortaal platform (hierna: "Verwerkingsverantwoordelijke").

Deze overeenkomst maakt integraal onderdeel uit van de gebruikersovereenkomst en treedt automatisch in werking bij aanvaarding van de Algemene Voorwaarden.

1. Definities

  • AVG: Algemene Verordening Gegevensbescherming (EU 2016/679)
  • Verwerkingsverantwoordelijke: De kraamzorg ZZP'er of organisatie die gebruik maakt van het KraamPortaal platform en het doel en de middelen van de verwerking van persoonsgegevens bepaalt
  • Verwerker: KraamPortaal B.V., die persoonsgegevens verwerkt ten behoeve van de Verwerkingsverantwoordelijke
  • Persoonsgegevens: Alle gegevens van cliënten die door Verwerkingsverantwoordelijke in het platform worden ingevoerd
  • Verwerking: Elke handeling met betrekking tot persoonsgegevens, zoals verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, raadplegen, gebruiken, verstrekken, verspreiden, wissen of vernietigen
  • Betrokkene: De natuurlijke persoon (cliënt) op wie de persoonsgegevens betrekking hebben
  • Datalek: Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of toegang tot persoonsgegevens

2. Toepasselijkheid en Duur

Deze Verwerkersovereenkomst is van toepassing op alle verwerkingen van persoonsgegevens die Verwerker uitvoert in het kader van het leveren van diensten aan Verwerkingsverantwoordelijke via het KraamPortaal platform.

De overeenkomst blijft van kracht zolang Verwerkingsverantwoordelijke gebruik maakt van het platform en gedurende de periode waarin Verwerker persoonsgegevens bewaart na beëindiging van het abonnement (maximaal 30 dagen, behoudens wettelijke bewaarplichten).

3. Onderwerp en Aard van de Verwerking

3.1 Onderwerp

Verwerker verwerkt persoonsgegevens van cliënten ten behoeve van Verwerkingsverantwoordelijke door middel van het aanbieden van een cloud-gebaseerd kraamzorg management platform.

3.2 Aard en Doel

  • Opslag en beheer van cliëntgegevens
  • Genereren en opslaan van zorgovereenkomsten en documenten
  • Faciliteren van digitale ondertekening
  • Planning en agenda-functionaliteit
  • Back-up en disaster recovery

3.3 Categorieën Persoonsgegevens

  • Identificatiegegevens (naam, geboortedatum, BSN indien ingevuld)
  • Contactgegevens (adres, telefoonnummer, e-mailadres)
  • Gezondheidsgegevens (zwangerschapsinformatie, à-terme datum, medische aandachtspunten)
  • Gezinssamenstelling en contactpersonen
  • Financiële gegevens (voor facturatie indien ingevuld)

3.4 Categorieën Betrokkenen

  • Zwangere vrouwen en kraamvrouwen
  • Partners en gezinsleden
  • Pasgeboren baby's

4. Verplichtingen van de Verwerker

Verwerker verplicht zich tot het volgende:

4.1 Instructies

Verwerker verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van Verwerkingsverantwoordelijke, tenzij daartoe verplicht op grond van Unierecht of lidstatelijk recht. In dat geval stelt Verwerker de Verwerkingsverantwoordelijke vooraf op de hoogte, tenzij dit op grond van zwaarwegende redenen van algemeen belang verboden is.

4.2 Vertrouwelijkheid

Verwerker zorgt ervoor dat personen die gemachtigd zijn persoonsgegevens te verwerken, zich tot geheimhouding hebben verbonden of een wettelijke geheimhoudingsplicht hebben.

4.3 Beveiliging

Verwerker treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder:

  • Pseudonimisering en versleuteling van persoonsgegevens (TLS/SSL voor transport, encryptie at rest)
  • Toegangscontrole en authenticatie (inclusief two-factor authenticatie)
  • Regelmatige back-ups met encryptie
  • Regelmatige beveiligingsaudits en penetratietests
  • Logging en monitoring van toegang tot persoonsgegevens
  • Procedures voor herstel na beveiligingsincidenten

4.4 Subverwerkers

Verwerker mag alleen subverwerkers inschakelen met voorafgaande toestemming van Verwerkingsverantwoordelijke. Door akkoord te gaan met deze overeenkomst verleent Verwerkingsverantwoordelijke algemene toestemming voor inschakeling van de volgende categorieën subverwerkers:

  • Hosting providers (binnen EER)
  • Back-up dienstverleners
  • E-mail service providers
  • Betalingsdiensten

Een actuele lijst van subverwerkers is beschikbaar op verzoek. Bij wijzigingen zal Verwerkingsverantwoordelijke 30 dagen van tevoren worden geïnformeerd en kan deze bezwaar maken.

Verwerker legt aan elke subverwerker dezelfde gegevensbeschermingsverplichtingen op als in deze overeenkomst. Verwerker blijft volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de nakoming van de verplichtingen van de subverwerker.

5. Rechten van Betrokkenen

Verwerker verleent bijstand aan Verwerkingsverantwoordelijke bij het nakomen van de verplichtingen met betrekking tot verzoeken van betrokkenen om hun rechten uit te oefenen:

  • Recht op inzage (artikel 15 AVG)
  • Recht op rectificatie (artikel 16 AVG)
  • Recht op verwijdering ('recht op vergetelheid') (artikel 17 AVG)
  • Recht op beperking van de verwerking (artikel 18 AVG)
  • Recht op dataportabiliteit (artikel 20 AVG)
  • Recht van bezwaar (artikel 21 AVG)

Indien een betrokkene zich rechtstreeks tot Verwerker wendt, zal Verwerker dit verzoek onverwijld doorsturen naar Verwerkingsverantwoordelijke. Verwerker biedt via het platform functionaliteit waarmee Verwerkingsverantwoordelijke zelf aan deze verplichtingen kan voldoen (exporteren, wijzigen, verwijderen van gegevens).

6. Datalekken

In geval van een datalek stelt Verwerker de Verwerkingsverantwoordelijke zonder onredelijke vertraging, en in ieder geval binnen 48 uur na ontdekking, op de hoogte. De melding bevat ten minste:

  • De aard van de inbreuk in verband met persoonsgegevens
  • De (vermoedelijke) categorieën en het aantal betrokkenen
  • De (vermoedelijke) categorieën en het aantal betrokken persoonsgegevens
  • De genomen of voorgestelde maatregelen om de gevolgen te beperken
  • Contactgegevens van de functionaris voor gegevensbescherming of ander contactpunt

Verwerker verleent alle redelijke bijstand aan Verwerkingsverantwoordelijke bij het voldoen aan de meldingsplicht aan de Autoriteit Persoonsgegevens en het informeren van betrokkenen.

De verplichting tot melding aan de toezichthoudende autoriteit en betrokkenen berust bij Verwerkingsverantwoordelijke.

7. Data Protection Impact Assessment (DPIA)

Verwerker verleent bijstand aan Verwerkingsverantwoordelijke bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) indien dit vereist is, en bij het raadplegen van de toezichthoudende autoriteit indien nodig. Verwerker verstrekt hiertoe alle relevante informatie over de verwerking en de getroffen beveiligingsmaatregelen.

8. Verwerking Buiten de EER

Persoonsgegevens worden in principe verwerkt en opgeslagen binnen de Europese Economische Ruimte (EER). Indien verwerking buiten de EER plaatsvindt, zorgt Verwerker voor passende waarborgen conform artikel 44-49 AVG, zoals EU-standaard contractuele clausules, bindende bedrijfsregels (BCR's) of deelname aan het EU-VS Data Privacy Framework.

9. Audits en Inspectie

Verwerker stelt alle informatie die nodig is om naleving van de in dit artikel neergelegde verplichtingen aan te tonen ter beschikking van Verwerkingsverantwoordelijke en staat audits, met inbegrip van inspecties, door Verwerkingsverantwoordelijke of een door deze gemachtigde auditor toe en draagt hieraan bij.

Audits worden aangekondigd met een redelijke termijn (minimaal 14 dagen vooraf) en vinden plaats op een voor Verwerker geschikte tijd. Kosten van audits door externe auditors komen voor rekening van Verwerkingsverantwoordelijke.

10. Bewaartermijn en Verwijdering

Verwerker bewaart persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor zij worden verwerkt of zolang Verwerkingsverantwoordelijke instructies geeft tot bewaring.

Na beëindiging van het abonnement heeft Verwerkingsverantwoordelijke 30 dagen de mogelijkheid om de gegevens te exporteren. Na deze termijn verwijdert Verwerker alle persoonsgegevens en bestaande kopieën, tenzij Unierecht of lidstatelijk recht bewaring vereist.

Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker een schriftelijke bevestiging van de verwijdering.

11. Verplichtingen Verwerkingsverantwoordelijke

Verwerkingsverantwoordelijke is verantwoordelijk voor:

  • Het verstrekken van duidelijke en volledige instructies aan Verwerker
  • Het waarborgen van een rechtmatige grondslag voor de verwerking
  • Het informeren van betrokkenen over de verwerking (transparantieplicht)
  • Het verkrijgen van toestemming waar vereist
  • Het beheren van verzoeken van betrokkenen
  • Het melden van datalekken aan de Autoriteit Persoonsgegevens indien vereist
  • Het uitvoeren van een DPIA indien vereist
  • Het waarborgen dat de inhoud van de verwerkte gegevens rechtmatig is

12. Aansprakelijkheid

Verwerker is aansprakelijk voor schade veroorzaakt door de verwerking indien Verwerker de uit de AVG voortvloeiende verplichtingen niet is nagekomen of buiten de rechtmatige instructies van Verwerkingsverantwoordelijke of in strijd daarmee heeft gehandeld.

De aansprakelijkheid is beperkt conform de algemene aansprakelijkheidsbepaling in de Algemene Voorwaarden.

13. Wijzigingen

Wijzigingen in deze Verwerkersovereenkomst worden 30 dagen van tevoren aangekondigd. Indien Verwerkingsverantwoordelijke niet akkoord gaat met de wijzigingen, heeft deze het recht het abonnement kosteloos te beëindigen binnen de aankondigingsperiode.

14. Toepasselijk Recht

Op deze overeenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Verwerker is gevestigd.

15. Contactgegevens

Voor vragen over deze Verwerkersovereenkomst kunt u contact opnemen met:

KraamPortaal B.V.
E-mail: info@kraamportaal.nl
Website: www.kraamportaal.nl
KvK-nummer: [wordt toegevoegd]