Gegevensverwerkingsovereenkomst
Laatst bijgewerkt: 15 juni 2026
Deze Gegevensverwerkingsovereenkomst ("DPA") maakt deel uit van de toepasselijke overeenkomst tussen CoVetAI Inc. ("CoVet") en de klant, gebruiker, kliniek, praktijk, organisatie of andere entiteit die de Toepasselijke overeenkomst heeft aanvaard of is aangegaan ("Klant"). CoVet en Klant zijn elk een "Partij" en gezamenlijk de "Partijen".
Deze DPA is van toepassing wanneer CoVet Persoonsgegevens verwerkt namens Klant in verband met de Diensten. Voor selfserviceaccounts wordt deze DPA door verwijzing opgenomen in de Toepasselijke overeenkomst en wordt zij van kracht wanneer Klant de Toepasselijke overeenkomst aanvaardt, toegang krijgt tot de Diensten of de Diensten blijft gebruiken nadat deze DPA is geplaatst of bijgewerkt. Een afzonderlijke handtekening is niet vereist, tenzij CoVet en Klant schriftelijk anders overeenkomen.
Als Klant met CoVet een afzonderlijk ondertekende gegevensverwerkingsovereenkomst of business associate-overeenkomst is aangegaan, heeft die afzonderlijk ondertekende overeenkomst voorrang voor zover deze uitdrukkelijk in strijd is met deze DPA. Deze DPA vermindert geen verplichtingen van een Partij onder toepasselijke Wetgeving inzake gegevensbescherming.
Deze DPA omvat Bijlage 1 (Standaardcontractbepalingen), Bijlagen A-C (verwerkingsdetails, technische en organisatorische maatregelen en subverwerkers) en Bijlage 2 (HIPAA-addendum). Bijlage 2 is alleen van toepassing wanneer Klant een Covered Entity of Business Associate is onder HIPAA en CoVet PHI namens Klant creëert, ontvangt, onderhoudt of verzendt.
1. Definities
"Toepasselijke overeenkomst" betekent de servicevoorwaarden, abonnementsvoorwaarden, bestelformulier, werkverklaring, raamovereenkomst voor diensten of andere overeenkomst die de toegang van Klant tot of het gebruik van de Diensten regelt.
"Geautoriseerde gebruiker" betekent elke persoon die door Klant is gemachtigd om toegang te krijgen tot of gebruik te maken van de Diensten onder het account van Klant.
"Klantgegevens" betekent gegevens, inhoud, audio, transcripties, bestanden, prompts, berichten, dossiers, output of andere informatie die aan de Diensten wordt ingediend, via de Diensten wordt gegenereerd of anderszins door de Diensten namens Klant wordt Verwerkt, waaronder Persoonsgegevens waar van toepassing.
"Verwerkingsverantwoordelijke", "Verwerker", "Betrokkene", "Persoonsgegevens", "Inbreuk in verband met Persoonsgegevens" en "Verwerking" hebben de betekenis die aan equivalente termen wordt gegeven onder toepasselijke Wetgeving inzake gegevensbescherming.
"Wetgeving inzake gegevensbescherming" betekent alle wetten inzake privacy, gegevensbescherming, gegevensbeveiliging en melding van inbreuken die van toepassing zijn op de Verwerking door een Partij onder de Toepasselijke overeenkomst, waaronder, voor zover van toepassing, de AVG, UK GDPR, PIPEDA en vergelijkbare Amerikaanse staatsprivacywetten.
"AVG" betekent Verordening (EU) 2016/679 en elke wet die deze uitvoert, aanvult of vervangt. "UK GDPR" betekent de AVG zoals opgenomen in het recht van het Verenigd Koninkrijk.
"PHI" betekent Protected Health Information zoals gedefinieerd onder HIPAA. Waar Bijlage 2 van toepassing is, omvatten verwijzingen naar Persoonsgegevens PHI.
"Diensten" betekent CoVets door AI aangedreven veterinaire assistent, klinische documentatie, transcriptie, casusgeneratie, workflows, cliëntcommunicatie, administratieve, support-, integratie- en gerelateerde diensten zoals beschreven in de Toepasselijke overeenkomst of gerelateerde documentatie.
"Subverwerker" betekent elke derde partij die door CoVet of een andere Subverwerker wordt ingeschakeld om Persoonsgegevens namens Klant te Verwerken in verband met de Diensten.
2. Reikwijdte en rollen
2.1 Rollen. Tussen de Partijen is Klant de Verwerkingsverantwoordelijke voor Persoonsgegevens en CoVet de Verwerker. Wanneer Klant optreedt als Verwerker namens een derde Verwerkingsverantwoordelijke, stelt Klant CoVet aan als Subverwerker van Klant. Waar Amerikaanse staatsprivacywetten van toepassing zijn, treedt CoVet op als dienstverlener of verwerker, al naargelang van toepassing, met betrekking tot Persoonsgegevens die namens Klant worden Verwerkt.
2.2 Controle door Klant. Klant bepaalt de doeleinden en middelen van de Verwerking van Persoonsgegevens, waaronder de inhoud die aan de Diensten wordt ingediend, de rechtsgrond voor Verwerking en de instructies aan CoVet. Klant behoudt alle rechten op Klantgegevens, onder voorbehoud van de licenties en toestemmingen die nodig zijn voor CoVet om de Diensten te leveren.
2.3 Instructies. Klant instrueert CoVet om Persoonsgegevens te Verwerken voor zover nodig om de Diensten te leveren, beveiligen, onderhouden, ondersteunen, problemen op te lossen, verbeteren en beheren; de Toepasselijke overeenkomst na te leven; de configuratiekeuzes van Klant en handelingen van Geautoriseerde gebruikers na te leven; en toepasselijke wetgeving na te leven. CoVet zal Persoonsgegevens niet Verwerken voor enig ander doel dan de doelen beschreven in deze DPA, de Toepasselijke overeenkomst of de gedocumenteerde instructies van Klant, tenzij wettelijk vereist.
2.4 AI-dienstverleners en modeltraining. CoVet zal klinische gegevens van Klant, opnames, transcripties, gegenereerde notities of andere Persoonsgegevens van Klant niet gebruiken om AI-modellen te trainen of te finetunen, en zal haar AI-dienstverleners niet toestaan dit te doen, behalve wanneer Klant uitdrukkelijk andere Verwerking heeft toegestaan in een afzonderlijke schriftelijke overeenkomst. CoVet kan geaggregeerde of gedeïdentificeerde informatie gebruiken om de Diensten te exploiteren, beveiligen en verbeteren wanneer dergelijke informatie Klant, Geautoriseerde gebruikers of Betrokkenen niet identificeert en geen Persoonsgegevens vormt onder toepasselijke Wetgeving inzake gegevensbescherming.
3. Verplichtingen van Klant
Klant is verantwoordelijk voor naleving van Wetgeving inzake gegevensbescherming die van toepassing is op de verzameling, het gebruik, de openbaarmaking en overdracht van Persoonsgegevens aan CoVet door Klant, waaronder het verstrekken van kennisgevingen, verkrijgen van toestemmingen en handhaven van een rechtsgrond voor Verwerking waar vereist.
Klant is verantwoordelijk voor de juistheid, kwaliteit en rechtmatigheid van Klantgegevens en voor het waarborgen dat Geautoriseerde gebruikers Klantgegevens alleen indienen in overeenstemming met de Toepasselijke overeenkomst en deze DPA.
Klant zal geen bijzondere categorieën Persoonsgegevens, PHI of andere gereguleerde informatie aan de Diensten indienen tenzij die indiening is toegestaan door de Toepasselijke overeenkomst, noodzakelijk is voor het gebruik van de Diensten door Klant en Klant aan alle wettelijke vereisten daarvoor heeft voldaan.
Klant zal CoVet onmiddellijk informeren over elk verzoek van een Betrokkene, wettelijke beperking of instructie die van invloed is op CoVets Verwerking van Persoonsgegevens.
4. Verplichtingen van CoVet
CoVet zal Persoonsgegevens alleen Verwerken in overeenstemming met deze DPA, de Toepasselijke overeenkomst, de gedocumenteerde instructies van Klant en toepasselijke wetgeving.
CoVet zal ervoor zorgen dat personeel dat gemachtigd is om Persoonsgegevens te Verwerken onderworpen is aan vertrouwelijkheidsverplichtingen en passende privacy- en beveiligingstraining ontvangt.
CoVet zal passende technische en organisatorische maatregelen implementeren en handhaven die zijn ontworpen om Persoonsgegevens te beschermen tegen accidentele of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking, toegang of gebruik, zoals nader beschreven in Bijlage B.
Rekening houdend met de aard van de Verwerking en de informatie waarover CoVet beschikt, zal CoVet Klant redelijkerwijs bijstaan bij verzoeken van Betrokkenen, gegevensbeschermingseffectbeoordelingen, raadplegingen met toezichthoudende autoriteiten en nalevingsdocumentatie vereist onder Wetgeving inzake gegevensbescherming.
CoVet zal Klant informeren als CoVet van mening is dat een instructie in strijd is met toepasselijke Wetgeving inzake gegevensbescherming, tenzij toepasselijke wetgeving een dergelijke kennisgeving verbiedt.
5. Gegevensbeveiliging
CoVet zal een schriftelijk informatiebeveiligingsprogramma handhaven dat passend is voor de aard van de Diensten en de risico's die de Verwerking meebrengt. CoVets programma omvat administratieve, technische, fysieke, organisatorische en operationele waarborgen ontworpen om Persoonsgegevens te beschermen, waaronder toegangscontroles, versleuteling tijdens overdracht en in rust, logging en monitoring, veilige ontwikkelingspraktijken, kwetsbaarhedenbeheer, procedures voor incidentrespons, leveranciersrisicobeheer en training van medewerkers.
Aanvullende informatie over CoVets beveiligingshouding is beschikbaar via CoVets beveiligingspagina en Trust Center:
6. Subverwerkers
6.1 Algemene toestemming. Klant geeft CoVet algemene toestemming om Subverwerkers in te schakelen om Persoonsgegevens te Verwerken in verband met de Diensten. CoVet zal schriftelijke overeenkomsten aangaan met Subverwerkers die gegevensbeschermingsverplichtingen opleggen die in alle materiële opzichten niet minder beschermend zijn dan die in deze DPA.
6.2 Huidige lijst en updates. CoVets huidige Subverwerkers staan vermeld in Bijlage C en kunnen ook beschikbaar worden gesteld via CoVets Trust Center of een andere gepubliceerde subverwerkerspagina. CoVet kan Subverwerkers toevoegen, vervangen of bijwerken door kennisgeving te geven via het Trust Center, de Diensten, e-mail of een andere commercieel redelijke methode.
6.3 Recht van bezwaar. Klant kan binnen veertien (14) dagen na kennisgeving bezwaar maken tegen een nieuwe Subverwerker op redelijke gegevensbeschermingsgronden. Als de Partijen het bezwaar niet op commercieel redelijke wijze kunnen oplossen, kan CoVet een alternatief beschikbaar stellen, de getroffen functie opschorten of Klant toestaan de getroffen Diensten te beëindigen zoals beschreven in de Toepasselijke overeenkomst.
7. Verzoeken van Betrokkenen
Als CoVet een verzoek ontvangt van een Betrokkene met betrekking tot Persoonsgegevens van Klant, zal CoVet, waar wettelijk toegestaan, de Betrokkene naar Klant verwijzen of Klant informeren. CoVet zal niet zelfstandig op het verzoek reageren, behalve zoals geïnstrueerd door Klant, wettelijk vereist of noodzakelijk om te bevestigen dat het verzoek betrekking heeft op Klant.
8. Inbreuk in verband met Persoonsgegevens
CoVet zal Klant zonder onredelijke vertraging informeren nadat CoVet zich bewust is geworden van een Inbreuk in verband met Persoonsgegevens die Persoonsgegevens van Klant treft. De kennisgeving bevat informatie die redelijkerwijs beschikbaar is voor CoVet, waaronder mogelijk de aard van de inbreuk, getroffen categorieën Persoonsgegevens en Betrokkenen, waarschijnlijke gevolgen en genomen of voorgestelde maatregelen om de inbreuk aan te pakken en te beperken.
CoVet zal redelijkerwijs meewerken aan het onderzoek, de beperking en wettelijk vereiste kennisgevingen van Klant. Klant is verantwoordelijk voor het bepalen of Betrokkenen, toezichthoudende autoriteiten, regelgevers of andere derden moeten worden geïnformeerd, behalve waar Wetgeving inzake gegevensbescherming vereist dat CoVet directe kennisgeving doet.
9. Audits en documentatie
CoVet zal informatie beschikbaar stellen die redelijkerwijs nodig is om naleving van deze DPA aan te tonen, waaronder beveiligingsdocumentatie, beleid, certificeringen, onafhankelijke auditrapporten of schriftelijke antwoorden. CoVet kan aan deze verplichting voldoen door materialen beschikbaar te stellen via haar Trust Center, onder passende vertrouwelijkheids- en toegangscontroles.
Als Klant redelijkerwijs aanvullende auditactiviteiten vereist, kan Klant niet vaker dan één keer per kalenderjaar een audit verzoeken, tenzij vereist door een toezichthoudende autoriteit of na een Inbreuk in verband met Persoonsgegevens. Elke audit moet worden uitgevoerd tijdens normale kantooruren, op kosten van Klant, met redelijke voorafgaande kennisgeving en op een wijze die CoVets activiteiten niet onredelijk verstoort of de beveiliging of vertrouwelijkheid van gegevens van andere klanten in gevaar brengt.
10. Teruggave en verwijdering
Na beëindiging of afloop van de Toepasselijke overeenkomst zal CoVet, in overeenstemming met de Toepasselijke overeenkomst en de functionaliteit van de Diensten, Persoonsgegevens van Klant in het bezit of onder controle van CoVet verwijderen of beschikbaar stellen voor ophalen. CoVet kan Persoonsgegevens bewaren voor zover wettelijk vereist, noodzakelijk voor legitieme beveiligings-, back-up-, geschil-, audit- of nalevingsdoeleinden, of anderszins toegestaan door de Toepasselijke overeenkomst, mits CoVet de bewaarde Persoonsgegevens blijft beschermen onder deze DPA en verdere Verwerking beperkt tot die bewaringsdoeleinden.
11. Internationale overdrachten
Klant erkent dat CoVet en haar Subverwerkers Persoonsgegevens kunnen Verwerken in Canada, de Verenigde Staten, de Europese Economische Ruimte, het Verenigd Koninkrijk en andere locaties waar CoVet of haar Subverwerkers activiteiten onderhouden, onder voorbehoud van de waarborgen vereist door Wetgeving inzake gegevensbescherming.
Voor overdrachten van Persoonsgegevens vanuit de EER, het Verenigd Koninkrijk of Zwitserland naar een land dat geen passend beschermingsniveau biedt onder toepasselijke Wetgeving inzake gegevensbescherming, zijn de Standaardcontractbepalingen en gerelateerde overdrachtsvoorwaarden in Bijlage 1 van toepassing voor zover vereist.
12. Aansprakelijkheid en rangorde
De aansprakelijkheid van elke Partij onder deze DPA is onderworpen aan de aansprakelijkheidsbeperkingen en -uitsluitingen in de Toepasselijke overeenkomst, behalve voor zover dergelijke beperkingen of uitsluitingen verboden zijn door Wetgeving inzake gegevensbescherming of de Standaardcontractbepalingen. Als er een conflict is tussen deze DPA en de Toepasselijke overeenkomst, prevaleert deze DPA uitsluitend met betrekking tot de Verwerking van Persoonsgegevens. Als er een conflict is tussen deze DPA en de Standaardcontractbepalingen, prevaleren de Standaardcontractbepalingen voor zover het conflict reikt.
13. Updates van deze DPA
CoVet kan deze DPA van tijd tot tijd bijwerken door een bijgewerkte versie te plaatsen of anderszins kennisgeving te doen. Updates zullen het beschermingsniveau voor Persoonsgegevens gedurende de looptijd van de Toepasselijke overeenkomst niet wezenlijk verminderen. Het voortgezette gebruik van de Diensten door Klant nadat een bijgewerkte DPA van kracht wordt, vormt aanvaarding van de bijgewerkte DPA, tenzij Klant een afzonderlijk ondertekende overeenkomst heeft die anders bepaalt.
Bijlage A: Details van Verwerking
A.1 Onderwerp
Het onderwerp van de Verwerking is CoVets levering van de Diensten aan Klant onder de Toepasselijke overeenkomst, waaronder Verwerking van Klantgegevens die aan de Diensten worden ingediend, via de Diensten worden gegenereerd of anderszins door de Diensten worden Verwerkt.
A.2 Duur
De Verwerking gaat door gedurende de looptijd van de Toepasselijke overeenkomst en daarna voor zover nodig voor verwijdering, teruggave, juridische, beveiligings-, back-up-, audit- of nalevingsdoeleinden.
A.3 Aard en doel
Accountcreatie, authenticatie, facturering, abonnementsbeheer, support en communicatie.
Opname, upload, transcriptie, structurering, samenvatting, opstellen, genereren, opslag, ophalen en weergave van klinische, workflow- en communicatiecontent gevraagd door Klant of Geautoriseerde gebruikers.
Exploitatie, onderhoud, probleemoplossing, beveiligingsmonitoring, misbruikpreventie, betrouwbaarheid, analytics en verbetering van de Diensten.
Verwerking via AI-dienstverleners uitsluitend om de functies te leveren die door Klant en Geautoriseerde gebruikers worden gevraagd, onderworpen aan de beperkingen van deze DPA op modeltraining en finetuning.
Integraties, exports, imports en gegevensoverdrachten geconfigureerd of gevraagd door Klant of Geautoriseerde gebruikers.
Naleving van wettelijke verplichtingen, handhaving van de Toepasselijke overeenkomst en bescherming van de Diensten, CoVet, Klant, Geautoriseerde gebruikers en Betrokkenen.
A.4 Categorieën Persoonsgegevens
Account-, profiel-, rol-, authenticatie-, contact-, facturerings-, abonnements- en organisatie-informatie.
Professionele en praktijkinformatie met betrekking tot veterinaire professionals, kliniekpersoneel, beheerders, opdrachtnemers en andere Geautoriseerde gebruikers.
Klinische workflowcontent die aan de Diensten wordt ingediend of via de Diensten wordt gegenereerd, waaronder audio-opnames, transcripties, prompts, berichten, bestanden, gegenereerde notities, casusinformatie, cliëntcommunicatie en gerelateerde metadata.
Informatie over huisdiereigenaren, cliënten, patiënten, afspraken en casussen voor zover dergelijke informatie een persoon identificeert of redelijkerwijs aan een persoon kan worden gekoppeld.
Technische, apparaat-, gebruiks-, log-, beveiligings-, diagnostische en supportinformatie, waaronder IP-adres, apparaatidentificatoren, browser- of appinformatie, tijdstempels en functiegebruik.
Alle andere Persoonsgegevens die door Klant of Geautoriseerde gebruikers via de Diensten worden ingediend, onderworpen aan de Toepasselijke overeenkomst en deze DPA.
A.5 Gevoelige gegevens
Klant mag gevoelige of gereguleerde Persoonsgegevens alleen indienen waar toegestaan door de Toepasselijke overeenkomst en noodzakelijk voor het gebruik van de Diensten door Klant. Waar Klant PHI indient en Bijlage 2 van toepassing is, zal CoVet PHI Verwerken in overeenstemming met Bijlage 2. CoVet vereist niet dat Klant bijzondere categorieën Persoonsgegevens onder de AVG indient, tenzij die indiening noodzakelijk is voor het door Klant gekozen gebruik van de Diensten en Klant aan toepasselijke wettelijke vereisten heeft voldaan.
A.6 Categorieën Betrokkenen
Geautoriseerde gebruikers, beheerders, werknemers, opdrachtnemers en vertegenwoordigers van Klant.
Veterinaire cliënten, huisdiereigenaren, potentiële cliënten en contactpersonen.
Personen van wie informatie voorkomt in klinische notities, communicatie, bestanden, opnames, transcripties, supportverzoeken, integraties of andere Klantgegevens.
Contacten voor facturering, inkoop, juridisch, support en zakelijke doeleinden.
A.7 Frequentie van overdracht
Continu gedurende de periode dat Klant de Diensten gebruikt.
A.8 Partijen voor Standaardcontractbepalingen
Rol | Naam en details | Activiteiten | SCC-rol |
|---|---|---|---|
Gegevensexporteur | Klant, zoals geïdentificeerd in de Toepasselijke overeenkomst of accountgegevens. | Indienen, toegang krijgen tot en gebruiken van Persoonsgegevens in verband met de Diensten. | Verwerkingsverantwoordelijke of Verwerker, al naargelang van toepassing. |
Gegevensimporteur | CoVetAI Inc. (CoVet). Contact: info@co.vet of support@co.vet. | Verwerking van Persoonsgegevens om de Diensten te leveren, beveiligen, onderhouden, ondersteunen en verbeteren. | Verwerker of Subverwerker, al naargelang van toepassing. |
Bijlage B: Technische en organisatorische maatregelen
CoVet handhaaft technische en organisatorische maatregelen die zijn ontworpen om een beveiligingsniveau te bieden dat passend is voor het risico dat de Verwerking met zich meebrengt. Deze maatregelen omvatten de hieronder samengevatte controles en kunnen zich in de loop van de tijd ontwikkelen naarmate CoVets beveiligingsprogramma volwassen wordt.
Controlegebied | Samenvatting |
|---|---|
Governance en beleid | Beleid voor informatiebeveiliging, gegevensbeheer, incidentrespons, leveranciersrisico, bedrijfscontinuïteit, veilige ontwikkeling en toegangscontrole. |
Toegangscontroles | Rolgebaseerde toegang, minste privilege, unieke inloggegevens, toegangsbeoordelingen, onboarding- en offboardingcontroles en authenticatiewaarborgen. |
Versleuteling en infrastructuur | Versleuteling tijdens overdracht en in rust, veilige cloudinfrastructuur, netwerksegmentatie waar passend, hardening en logische scheiding van klantgegevens. |
Monitoring en incidentrespons | Logging, beschikbaarheidsmonitoring, beoordeling van beveiligingsgebeurtenissen, procedures voor incidentrespons, escalatie, herstel en ondersteuning bij respons op inbreuken. |
Kwetsbaarheid en veilige ontwikkeling | Kwetsbaarhedenbeheer, penetratietests of kwetsbaarheidsbeoordelingen, patchbeheer, veilige softwareontwikkelingspraktijken en controles voor code-/wijzigingsbeoordeling. |
Personeel en training | Vertrouwelijkheidsverplichtingen, training in beveiligingsbewustzijn, rolgebonden verantwoordelijkheden en procedures voor personeelsbeveiliging. |
Leveranciersbeheer | Beoordeling van leveranciersrisico, contractuele gegevensbeschermingsverplichtingen en toezicht op Subverwerkers die Persoonsgegevens van Klant kunnen Verwerken. |
Continuïteit en herstel | Back-up-, continuïteits-, disaster recovery- en beschikbaarheidspraktijken ontworpen om betrouwbare levering van de Diensten te ondersteunen. |
Bijlage C: Subverwerkers
De volgende Subverwerkers zijn vermeld per de hierboven genoemde datum Laatst bijgewerkt. CoVet kan deze lijst bijwerken in overeenstemming met Artikel 6.
Subverwerker | Locatie | Functie |
|---|---|---|
OpenAI | Verenigde Staten | AI-verwerking en gerelateerde modeldiensten die worden gebruikt om gevraagde Dienstfuncties te leveren. |
Claude | Verenigde Staten | AI-verwerking en gerelateerde modeldiensten die worden gebruikt om gevraagde Dienstfuncties te leveren. |
GCP | Canada / Verenigde Staten | Cloudhosting, opslag, infrastructuur, netwerken, beveiliging en gerelateerde platformdiensten. |
GitHub | Canada / Verenigde Staten | Softwareontwikkeling, codehosting, beveiliging, implementatie en tooling voor operationele ondersteuning. |
Het huidige Trust Center is beschikbaar op:
Bijlage 1: Standaardcontractbepalingen
1. Opneming
Waar vereist voor een internationale overdracht van Persoonsgegevens, nemen de Partijen door verwijzing de standaardcontractbepalingen op die door de Europese Commissie zijn vastgesteld in Uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021 ("SCC's"). De SCC's zijn alleen van toepassing op overdrachten die onder de AVG of andere Wetgeving inzake gegevensbescherming vallen die dergelijke waarborgen vereist.
2. Module en keuzes
Module Twee (Verwerkingsverantwoordelijke naar Verwerker) is van toepassing wanneer Klant Verwerkingsverantwoordelijke is en CoVet Verwerker is.
Module Drie (Verwerker naar Verwerker) is van toepassing wanneer Klant Verwerker is en CoVet Subverwerker is.
Clausule 7 (toetredingsclausule) is van toepassing.
Voor Clausule 9 (Gebruik van subverwerkers) is Optie 2 (Algemene schriftelijke toestemming) van toepassing, met de kennisgevings- en bezwaarperioden vermeld in Artikel 6 van deze DPA.
Voor Clausule 11 (Verhaal) is de optionele tekst niet van toepassing.
Voor Clausule 13 (Toezicht) wordt de bevoegde toezichthoudende autoriteit bepaald in overeenstemming met de AVG. Waar geen andere toezichthoudende autoriteit duidelijk van toepassing is, zal de Ierse Data Protection Commission optreden als bevoegde toezichthoudende autoriteit voor SCC-doeleinden.
Voor Clausules 17 en 18 worden de SCC's beheerst door het recht van Ierland en worden geschillen beslecht door de rechtbanken van Ierland, uitsluitend voor SCC-doeleinden.
3. Bijlagen
SCC Bijlage I wordt ingevuld door Bijlage A van deze DPA.
SCC Bijlage II wordt ingevuld door Bijlage B van deze DPA.
SCC Bijlage III wordt ingevuld door Bijlage C van deze DPA.
4. Overdrachten naar het Verenigd Koninkrijk en Zwitserland
Voor overdrachten die onder de UK GDPR vallen, zijn de SCC's van toepassing zoals gewijzigd door het United Kingdom International Data Transfer Addendum of een ander toepasselijk Brits overdrachtsmechanisme. Voor overdrachten die onder Zwitsers gegevensbeschermingsrecht vallen, worden verwijzingen naar de AVG, EU-lidstaten en toezichthoudende autoriteiten geïnterpreteerd zoals nodig om uitvoering te geven aan Zwitsers recht en de Zwitserse Federale Commissaris voor Gegevensbescherming en Informatie.
5. Conflict
Als er een conflict is tussen deze DPA en de SCC's, hebben de SCC's voorrang voor zover vereist door toepasselijke Wetgeving inzake gegevensbescherming.
Bijlage 2: HIPAA-addendum
Dit HIPAA-addendum is alleen van toepassing wanneer Klant een Covered Entity of Business Associate is onder HIPAA en CoVet PHI namens Klant creëert, ontvangt, onderhoudt of verzendt in verband met de Diensten. Als dit HIPAA-addendum van toepassing is, treedt CoVet op als Business Associate of Subcontractor van Klant, al naargelang van toepassing.
1. HIPAA-definities
Termen met een hoofdletter die in dit HIPAA-addendum worden gebruikt maar niet in deze DPA zijn gedefinieerd, hebben de betekenissen die eraan worden gegeven in HIPAA, waaronder Business Associate, Covered Entity, Data Aggregation, Designated Record Set, Disclosure, Electronic Protected Health Information, HITECH Act, Individual, Minimum Necessary, PHI, Required by Law, Secretary, Security Incident, Subcontractor, Unsecured Protected Health Information en Use.
2. Toegestaan gebruik en toegestane openbaarmakingen
CoVet mag PHI alleen Use of Disclose zoals toegestaan door dit HIPAA-addendum, de Toepasselijke overeenkomst, de gedocumenteerde instructies van Klant of zoals Required by Law. Klant machtigt CoVet om PHI te Use en Disclose voor de volgende toegestane doeleinden:
Het leveren, exploiteren, onderhouden, beveiligen, ondersteunen, oplossen van problemen en verbeteren van de Diensten die door Klant of Geautoriseerde gebruikers worden gevraagd.
Het opnemen, ontvangen, transcriberen, samenvatten, structureren, opstellen, genereren, opslaan, ophalen, weergeven, verzenden en beheren van klinische documentatie, communicatie, workflowcontent, bestanden en gerelateerde output die aan de Diensten worden ingediend of via de Diensten worden gegenereerd.
Het uitvoeren van administratieve, management-, facturerings-, juridische, compliance-, beveiligings- en auditactiviteiten voor CoVet, mits elke Disclosure aan een derde voor die doeleinden alleen plaatsvindt wanneer Required by Law of onder redelijke waarborgen van vertrouwelijkheid en beperkt verder Use of Disclosure.
Het leveren van Data Aggregation-diensten met betrekking tot de zorgactiviteiten van Klant waar toegestaan door HIPAA en de Toepasselijke overeenkomst.
Het de-identificeren van PHI in overeenstemming met HIPAA, waar toegestaan door de Toepasselijke overeenkomst, en het gebruiken van gedeïdentificeerde informatie op een manier die niet door HIPAA is verboden.
Het rapporteren van wetsovertredingen aan bevoegde autoriteiten in overeenstemming met 45 C.F.R. 164.502(j)(1).
CoVet zal Uses, Disclosures en verzoeken om PHI doen in overeenstemming met HIPAA's Minimum Necessary-standaard waar van toepassing. CoVet zal PHI niet verkopen, PHI niet Use of Disclose voor underwriting-doeleinden, of PHI Use om AI-modellen te trainen of te finetunen behalve zoals uitdrukkelijk schriftelijk door Klant toegestaan en door HIPAA toegestaan.
3. HIPAA-verplichtingen van CoVet
Passende waarborgen gebruiken en voldoen aan de HIPAA Security Rule met betrekking tot Elektronische PHI om Use of Disclosure van PHI anders dan toegestaan door dit HIPAA-addendum te voorkomen.
Aan Klant elk ongeoorloofd Use of Disclosure van PHI, Breach of Unsecured PHI of Security Incident met Elektronische PHI melden waarvan CoVet kennis krijgt, in overeenstemming met HIPAA en deze DPA.
Ervoor zorgen dat elke Subcontractor die PHI namens CoVet creëert, ontvangt, onderhoudt of verzendt, schriftelijk instemt met in wezen dezelfde beperkingen, voorwaarden en vereisten die op CoVet van toepassing zijn met betrekking tot PHI.
PHI in een Designated Record Set beschikbaar stellen aan Klant voor zover nodig zodat Klant verplichtingen onder 45 C.F.R. 164.524 kan nakomen.
PHI beschikbaar stellen voor wijziging en wijzigingen opnemen zoals geïnstrueerd door Klant in overeenstemming met 45 C.F.R. 164.526.
Informatie beschikbaar stellen die vereist is zodat Klant een overzicht van Disclosures kan verstrekken in overeenstemming met 45 C.F.R. 164.528.
CoVets interne praktijken, boeken en dossiers met betrekking tot Use en Disclosure van PHI beschikbaar stellen aan de Secretary om naleving van HIPAA vast te stellen.
Bij beëindiging PHI teruggeven of vernietigen zoals bepaald in deze DPA en de Toepasselijke overeenkomst, indien haalbaar, en eventuele bewaarde PHI blijven beschermen.
4. HIPAA-verplichtingen van Klant
Klant zal CoVet niet verzoeken PHI te Use of Disclose op een manier die niet zou zijn toegestaan onder HIPAA als dit door Klant werd gedaan.
Klant zal CoVet informeren over elke beperking in Klants kennisgeving van privacypraktijken, elke beperking op Use of Disclosure van PHI of elke wijziging in de toestemming van een Individual die CoVets Use of Disclosure van PHI kan beïnvloeden.
Klant is verantwoordelijk voor het beantwoorden van verzoeken van Individuals, het bepalen of een Breach kennisgeving vereist en het voldoen aan Klants verplichtingen onder HIPAA, behalve voor zover die verplichtingen uitdrukkelijk aan CoVet zijn gedelegeerd in de Toepasselijke overeenkomst.
5. Beëindiging om HIPAA-reden
Als een van de Partijen kennis heeft van een patroon van activiteit of praktijk van de andere Partij dat een wezenlijke schending van dit HIPAA-addendum vormt, zal de niet-schendende Partij gelegenheid tot herstel bieden als herstel haalbaar is. Als herstel niet haalbaar is of de schending niet wordt hersteld, kan de niet-schendende Partij de getroffen Diensten beëindigen of andere door HIPAA vereiste maatregelen nemen.
6. HITECH Act
De Partijen zullen voldoen aan toepasselijke bepalingen van de HITECH Act en gerelateerde HHS-regelgeving. De Partijen zullen te goeder trouw samenwerken om dit HIPAA-addendum te wijzigen voor zover redelijkerwijs nodig om te voldoen aan toekomstige wijzigingen van HIPAA die op de Diensten van toepassing zijn.