Gebruikersvoorwaarden Digitaal Aanvraagsysteem Sorgente (DAS)
1. Inleiding
Het Digitaal Aanvraagsysteem Sorgente (hierna: DAS) is een door Sorgente B.V. (hierna: Sorgente) ter beschikking gestelde dienst en betreft het digitale aanvraagsysteem voor medische voeding van Sorgente. Het ondersteunt de Gebruiker (hierna: gebruiker) bij de aanvraag, biedt inzage in de bestelhistorie en realiseert de administratieve afhandeling. Dit doet het DAS door gebruik te maken van in opdracht van Sorgente ontwikkelde programmatuur. Sorgente bezit hiervan de (intellectuele) eigendomsrechten.
2. Totstandkoming en duur van de dienst DAS
2.1 Wanneer komt de dienst tot stand
Deze voorwaarden zijn van toepassing op het gebruik van het DAS. De dienst tussen Sorgente en gebruiker van het DAS komt tot stand door akkoord te gaan met de deze Gebruikersvoorwaarden. De Gedragscode vormt een onderdeel van de algemene voorwaarden, zie bijlage 1 voor de Gedragscode (geheel onderaan).
2.2 Hoe lang duurt de dienst
De dienst start vanaf het moment van accepteren van de algemene voorwaarden en gebruikersvoorwaarden en na ontvangst van de inloginstructies. Ze duurt zolang als dat door beide partijen gewenst is. De gebruiker stelt Sorgente binnen 14 dagen in kennis van het niet meer gebruiken van de dienst zodat de toegang tot gegevens kan worden geblokkeerd. Sorgente heeft het recht om de toegang tot het DAS (tijdelijk) in te trekken, dit gebeurt onder andere indien er 6 maanden of langer geen gebruik is gemaakt van het account.
2.3 Beëindiging dienst
In het geval de dienst wordt beëindigd, zal Sorgente de door de gebruiker ingevoerde data niet retourneren. Het account van de gebruiker zal worden afgesloten en is niet meer toegankelijk voor de gebruiker.
2.4 Opnieuw activeren account
Indien het account weer geactiveerd moet worden, dient de gebruiker zelf contact op te nemen met Sorgente.
3. Wat doet Sorgente B.V.
Sorgente zal zich inspannen om een zo groot mogelijke beschikbaarheid van DAS voor gebruikers te realiseren, maar kan niet garanderen dat DAS continu, zonder onderbrekingen, beschikbaar zal zijn voor gebruikers.
Onverminderd de eigen verantwoordelijkheid van gebruiker mag Sorgente alle redelijkerwijs noodzakelijke schadebeperkende maatregelen nemen indien door gebruiker verstuurde informatie een virus of andere programmatuur of gegevens bevat die redelijkerwijs schade kunnen toebrengen aan programmatuur, apparatuur of gegevens van Sorgente of derden (‘virus’). Indien dit leidt tot enig verlies van informatie, naast het virus, hetgeen Sorgente zo goed mogelijk zal trachten te vermijden, zal Sorgente gebruiker hiervan op de hoogte stellen.
Sorgente behoudt zich het recht voor DAS tijdelijk buiten gebruik te stellen ten behoeve van onderhoud, aanpassing of verbetering van het systeem. DAS zal een dergelijke buitengebruikstelling zo veel mogelijk buiten kantooruren om laten plaatsvinden en gebruiker tijdig van tevoren op de hoogte stellen van de geplande buitengebruikstelling. Sorgente zal wegens zodanige buitengebruikstelling van DAS nimmer tot enige schadevergoeding jegens gebruiker gehouden zijn.
4. Wat doet de Gebruiker
De gebruiker respecteert de intellectuele eigendomsrechten van Sorgente BV op de haar ontwikkelde programmatuur van het DAS.
De gebruiker krijgt het recht de programmatuur van het DAS te gebruiken en houdt zich aan de opgestelde Gedragscode ten aanzien van het veilig gebruik van het DAS.
De gebruiker voorziet Sorgente van patiëntgegevens en alle andere gegevens die noodzakelijk zijn om een zorgvuldige uitvoering van de dienstverlening, waaronder de levering, te kunnen uitvoeren.
De gebruiker gaat zorgvuldig om met de verkregen inloggegevens. Toegang tot het DAS is beperkt tot geautoriseerde gebruikers. Deze gebruikers hebben een account met een gebruikersnaam en wachtwoord. De afspraken hierover zijn opgenomen in de Gedragscode Digitaal aanvraagsysteem Sorgente BV.
Prijzen en betaling
De gebruiker kan kosteloos gebruik maken van het DAS.
5. Geheimhouding en beveiliging
5.1 Geheimhouding
Sorgente en gebruiker zullen strikte vertrouwelijkheid in acht nemen over de patiënt-informatie, de werking van programmatuur, apparatuur, data, gegevens en alle andere informatie die uitgewisseld wordt (zowel mondeling, schriftelijk als digitaal) bij de uitvoering van de Dienst en bij de voorbereiding daarop. Beide partijen zullen informatie en/of gegevensdragers die hen ter beschikking staan niet aan derden ter beschikking stellen. Beide partijen dragen er zorg voor dat de bij de werkzaamheden betrokken werknemers en derden contractueel tot geheimhouding zijn verplicht.
5.2 Principes van verwerking en beveiliging
Over alle te verwerken informatie spreken beide partijen af:
- Alle redelijke maatregelen in acht te nemen voor een veilige berging of opslag.
- De gegevens niet te gebruiken voor enig ander dan het toepasselijke doel.
- De gegevens niet langer in bezit te houden dan voor het uitvoeren van de toepasselijke verplichtingen redelijkerwijs noodzakelijk.
- De verwerkingen uitsluitend laten uitvoeren door personen waarvan de partij op wie de verplichting rust in redelijkheid meent dat zij betrouwbaar zijn.
- Medewerking te verlenen aan het uitoefenen van toezicht door of namens andere partij op bewaring en gebruik van gegevens.
Beide partijen zullen ervoor zorgen dat de personeelsleden en/of voor de partij werkzame derden op de hoogte zijn van de in artikel 5.2 genoemde verplichtingen en deze stipt zullen naleven.
Sorgente voldoet aan de volgende certificeringen voor informatiebeveiliging:
- ISO 27001
- NEN 7510
6. Verwerking van persoonsgegevens
De gebruiker begrijpt dat de patiëntgegevens persoonsgegevens zijn en dat deze beschermd worden door de Algemene Verordening Gegevensbescherming en eventueel opvolgende regelgeving.
De gegevens in het DAS betreffen persoonsgegevens, waaronder bijzondere persoonsgegevens (o.a. medische gegevens), van patiënten van gebruikers. Door het invoeren van gegevens verwerkt de gebruiker persoonsgegevens zoals bedoeld in de Algemene Verordening Gegevensverwerking (AVG).
Zowel de gebruiker als Sorgente worden als verwerkingsverantwoordelijke aangemerkt. Beide partijen verwerken de persoonsgegevens immers voor eigen doeleinden.
Gebruiker staat er jegens Sorgente voor in dat zij gerechtigd is tot het verwerken van de persoonsgegevens in DAS en vrijwaart Sorgente voor eventuele claims van derden (waaronder patiënten).
7. Aansprakelijkheid
Hoewel Sorgente alle zorg betracht om de huidige en toekomstige gebruikers van de functionaliteit van het DAS op een veilige manier gebruik te laten maken, kan Sorgente B.V. op geen enkele wijze aansprakelijk worden gesteld, wanneer de functionaliteit niet functioneert of niet aan de verwachtingen voldoet.
Bijlage 1
Gedragscode Digitaal Aanvraagsysteem Sorgente
Sorgente levert diensten waaronder het aanbieden van een Digitaal Aanvraagsysteem Sorgente (hierna: DAS). Een zorgprofessional (hierna: gebruiker) gebruikt het niet voor doeleinden waarvoor het DAS niet is bedoeld of voor andere oneigenlijke doeleinden, waaronder het verspreiden of invoer van onwettige informatie of materiaal.
Wachtwoord en gebruikersnaam
Iedere gebruiker gebruikt zijn/haar wachtwoord en gebruikersnaam uitsluitend voor zichzelf. Gebruikersnaam en wachtwoord en inlogmethodiek zijn niet overdraagbaar.
Gebruikersnaam: wordt aangemaakt door Sorgente.
Wachtwoord: een tijdelijk wachtwoord wordt aangemaakt door Sorgente voor 1e inlog. De gebruiker dient direct het wachtwoord te wijzigen.
Een wachtwoord moet voldoen aan onderstaande kenmerken:
- minimaal 8 karakters
- minimaal 1 hoofdletter
- minimaal 1 speciaal teken (niet-alfanumeriek)
Het wachtwoord moet 1 x per 6 maanden verplicht worden gewijzigd.
2-factor authenticatie
Voor het gebruik van het DAS is een 2-factor authenticatie verplicht. Dit houdt in dat er naast het wachtwoord en gebruikersnaam ook een (SMS-)code moet worden gebruikt. De 2-factor authenticatie wordt in principe 1 x per 6 maanden gevraagd. Daarnaast ook bij onderstaande situaties:
- Na 1e inlog.
- Indien gebruiker het device waarop wordt gewerkt niet aanmerkt als vertrouwd. Indien niet vertrouwd zal de 2-factor authenticatie 1 x per 12 uur worden gevraagd. Het vertrouwen van het device is een verantwoordelijkheid van de gebruiker. Het vertrouwen van een device is op gebruikersniveau ingeregeld.
- Indien een gebruiker een nieuw wachtwoord opvraagt via de wachtwoord-vergeten link.
- Indien een account na blokkade geactiveerd wordt.
Foutieve inlog
Indien er 5 foutieve inlogpogingen hebben plaatsgevonden, wordt het account (tijdelijk) geblokkeerd. De gebruiker dient via de wachtwoord-vergeten link een nieuw wachtwoord aan te vragen.
Indien de gebruiker informatie van patiënten invoert zorgt deze ervoor dat hiervoor instemming en toestemming is en kan dit bij navraag aantonen. Tevens zorgt de gebruiker ervoor dat indien de toestemming wordt ingetrokken Sorgente hiervan in kennis wordt gesteld, en dit via het DAS door de gebruiker wordt ingevoerd op de daarvoor betreffende plaats.
Tijdens de invoer van gegevens wordt er door de gebruiker voor gezorgd dat een derde (onbevoegde) niet van of op het scherm kan meekijken. Het is wel toegestaan dat collega’s betrokken bij de behandeling van dezelfde patiënt meekijken.
De gebruiker draagt zorg voor adequate organisatorische en technische maatregelen ten aanzien van de beveiliging van apparatuur waarop toegang tot het DAS tot stand wordt gebracht. Bijvoorbeeld up-to-date besturingssoftware en bescherming tegen virussen. Tevens is het vertrouwen van de computer en het laten onthouden van gebruikersnamen en wachtwoorden, een eigen verantwoordelijkheid van de gebruiker.
Er wordt door de gebruiker specifiek toestemming gevraagd de bestelhistorie van de betreffende patiënt te mogen raadplegen en deze zichtbaar te maken voor andere Verwijzers.
Tussen Sorgente en de gebruiker wordt, bij communicatie over patiënten, uitsluitend het DAS of beveiligd berichtenverkeer zoals bv Zorgmail gebruikt.
Verantwoordelijkheid en aansprakelijkheid
Iedere gebruiker verklaart en erkent zelf verantwoordelijk en aansprakelijk te zijn voor eventuele interacties met andere DAS-gebruikers die als vervanger optreden.
Iedere gebruiker verklaart zorgvuldig te zullen omgaan met zijn/haar gebruikersnaam en wachtwoord, en erkent zelf verantwoordelijk en aansprakelijk te zijn indien door onzorgvuldig handelen van gebruiker derden de beschikking krijgen over zijn/haar gebruikersnaam en wachtwoord en daar misbruik van maken. Indien de verwijzer 12 uur niet actief is op het DAS, zal de verwijzer automatisch worden uitgelogd.
Gebruiker zal de aan hem verstrekte of door hem aangemaakte authenticatiemiddelen (zoals gebruikersnamen en wachtwoorden) zorgvuldig behandelen en geheimhouden. Sorgente is niet aansprakelijk voor misbruik van gebruikersnamen en wachtwoorden en mag ervan uitgaan dat een gebruiker die zich aanmeldt met de gebruikersnaam en het wachtwoord van een door Sorgente geautoriseerde gebruiker is.
Zodra gebruiker weet of reden heeft te vermoeden dat gebruikersnamen en wachtwoorden in handen zijn gekomen van onbevoegden, moet gebruiker Sorgente daarvan op de hoogte stellen, onverminderd de eigen verplichting van gebruiker om direct zelf doeltreffende maatregelen te treffen.
Wanneer de gebruiker zich niet aan bovengenoemde gedragsregels houdt, behoudt Sorgente zich het recht voor om de gebruiker – zonder waarschuwing vooraf – tijdelijk of permanent de toegang tot het DAS te ontzeggen. Desgevraagd zal Sorgente de gebruiker van de reden op de hoogte stellen.
Sorgente behoudt zich het recht voor om de door de gebruiker aangeboden informatie te wijzigen en/of te verwijderen, indien de aangeboden of al geplaatste informatie in strijd is met de wet, de belangen van patiënten en de algemene voorwaarden van Sorgente.
Sorgente aanvaardt geen enkele aansprakelijkheid voor directe of indirecte schade ontstaan door de inhoud van de informatie door Verwijzers geplaatst op het DAS. Hieronder valt onder meer medische gegevens van patiënten die door zorgprofessionals worden ingevoerd.
Inbreuk op de beveiliging
Gebruiker informeert Sorgente over iedere inbreuk op de beveiliging. Deze informatie wordt gegeven zonder onredelijke vertraging, doch in ieder geval binnen 72 uur, zodra hij daarvan kennis heeft genomen.
In de bedoelde kennisgeving wordt ten minste het volgende omschreven of meegedeeld, voor zover gebruiker deze informatie heeft:
- De aard van de Inbreuk, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie.
- De naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen.
- De waarschijnlijke gevolgen van de Inbreuk.
- De maatregelen die gebruiker heeft voorgesteld of genomen om de Inbreuk aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
- Enige andere informatie die Gebruiker nodig heeft op basis van de toepasselijke privacywetgeving.
Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging in stappen worden verstrekt.
Gebruiker zal Sorgente ondersteunen bij het naleven van alle verplichtingen op basis van de toepasselijke privacywetgeving, rekening houdende met de aard van de verwerking en de informatie die beschikbaar is voor de verwerker. Deze ondersteuning houdt ook in het informeren van betrokkenen van een inbreuk indien de toepasselijke privacywetgeving daartoe verplicht.
Gebruiker documenteert alle inbreuken, met inbegrip van de feiten omtrent de inbreuk, de gevolgen daarvan en de genomen corrigerende maatregelen, alsmede alle andere relevante informatie omtrent de inbreuk.
Gebruikersvoorwaarden DAS Sorgente BV – versie 1.3 – november 2019