Verwerkersovereenkomst

Versie: 26 mei 2026 — van toepassing op alle praktijkaccounts

Deze verwerkersovereenkomst (hierna: "DPA") is van toepassing op alle praktijkaccounts bij ZorgFact en vormt een integraal onderdeel van de algemene voorwaarden. Door een praktijkaccount aan te maken gaat u als verwerkingsverantwoordelijke akkoord met deze DPA.

1. Partijen

Verwerkingsverantwoordelijke: de praktijk of organisatie die een account aanmaakt bij ZorgFact (hierna: "Verwerkingsverantwoordelijke").

Verwerker: ZorgFact, gevestigd te Amsterdam, KvK-nummer 81213999 (hierna: "Verwerker").

2. Voorwerp en duur

De Verwerker verwerkt persoonsgegevens namens de Verwerkingsverantwoordelijke ten behoeve van het gebruik van het ZorgFact-platform: het registreren en beheren van omzetopgaven, het genereren van facturen en het faciliteren van de financiële samenwerking tussen de Verwerkingsverantwoordelijke en de aan haar gekoppelde ZZP-zorgverleners.

Deze DPA is van kracht zolang de Verwerkingsverantwoordelijke gebruik maakt van ZorgFact en eindigt automatisch bij beëindiging van de overeenkomst.

3. Persoonsgegevens en betrokkenen

In het kader van deze DPA worden de volgende categorieën persoonsgegevens verwerkt:

• Naam en contactgegevens van ZZP-zorgverleners
• Professionele identificatienummers (BIG-nummer, AGB-code)
• Zakelijke gegevens (KvK-nummer, IBAN, btw-nummer)
• Financiële gegevens (omzetbedragen, factuurbedragen)
• Inhoud van doorgestuurde e-mails ten behoeve van geautomatiseerde factuurverwerking, die mogelijk namen of andere gegevens van patiënten bevatten

De betrokkenen zijn de ZZP-zorgverleners die door de Verwerkingsverantwoordelijke zijn uitgenodigd of aan haar zijn gekoppeld via het platform. Voor zover de Verwerkingsverantwoordelijke gebruik maakt van de geautomatiseerde e-mailverwerking, kunnen ook patiënten indirect betrokkene zijn indien hun gegevens voorkomen in de doorgestuurde e-mailinhoud. De Verwerkingsverantwoordelijke is als verwerkingsverantwoordelijke zelf verantwoordelijk voor de rechtmatigheid van dit doorsturen.

4. Verplichtingen van de Verwerker

De Verwerker verplicht zich tot het volgende:

• Persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist.
• Vertrouwelijkheid waarborgen van alle verwerkte persoonsgegevens.
• Passende technische en organisatorische maatregelen treffen ter beveiliging van persoonsgegevens (waaronder versleutelde opslag en verbindingen, toegangsbeperking en rate limiting).
• De Verwerkingsverantwoordelijke ondersteunen bij het afhandelen van verzoeken van betrokkenen (inzage, rectificatie, verwijdering).
• De Verwerkingsverantwoordelijke onverwijld informeren over een inbreuk in verband met persoonsgegevens zodra de Verwerker hiervan kennis neemt.
• Na beëindiging van de overeenkomst alle persoonsgegevens uiterlijk binnen 30 dagen verwijderen of retourneren, naar keuze van de Verwerkingsverantwoordelijke, tenzij een wettelijke bewaarplicht van toepassing is.
• De Verwerkingsverantwoordelijke alle informatie verstrekken die nodig is om de nakoming van de verplichtingen uit deze DPA aan te tonen, en audits en inspecties door of namens de Verwerkingsverantwoordelijke mogelijk maken en daaraan medewerking verlenen (conform artikel 28 lid 3 sub h AVG).

5. Sub-verwerkers

De Verwerker maakt gebruik van sub-verwerkers voor de uitvoering van de dienstverlening. De Verwerkingsverantwoordelijke verleent hierbij algemene toestemming voor het inschakelen van sub-verwerkers, mits de Verwerker met deze sub-verwerkers schriftelijke overeenkomsten sluit die ten minste dezelfde verplichtingen opleggen als deze DPA.

De Verwerker informeert de Verwerkingsverantwoordelijke over relevante wijzigingen in de sub-verwerkersketen. Voor zover sub-verwerkers gegevens verwerken buiten de Europese Economische Ruimte, zorgt de Verwerker voor passende waarborgen (zoals Standard Contractual Clauses).

6. Rechten van betrokkenen

De Verwerkingsverantwoordelijke is primair verantwoordelijk voor het afhandelen van verzoeken van betrokkenen. De Verwerker verleent de nodige medewerking aan de Verwerkingsverantwoordelijke om dergelijke verzoeken te kunnen beantwoorden, voor zover dit technisch mogelijk is.

7. Beveiliging

De Verwerker treft passende technische en organisatorische beveiligingsmaatregelen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico van de verwerking, conform artikel 32 AVG. Een nadere beschrijving van de beveiligingsmaatregelen is opgenomen in de privacyverklaring van ZorgFact.

8. Datalekken

De Verwerker meldt een inbreuk in verband met persoonsgegevens zo spoedig mogelijk — en in ieder geval binnen 48 uur na ontdekking — aan de Verwerkingsverantwoordelijke via het e-mailadres dat bij het account is geregistreerd. De melding bevat ten minste de aard van de inbreuk, de betrokken categorieën en het geschatte aantal betrokkenen, en de genomen of voorgenomen maatregelen.

9. Aansprakelijkheid

De aansprakelijkheid van de Verwerker in verband met deze DPA is beperkt tot het bepaalde in de algemene voorwaarden van ZorgFact. De Verwerker is niet aansprakelijk voor schade die voortvloeit uit verwerkingen die de Verwerkingsverantwoordelijke zelf uitvoert of opdraagt buiten de instructies van deze DPA.

10. Toepasselijk recht

Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in Amsterdam.