DPA — Verwerkersovereenkomst
Artikel 28 AVG · Laatst bijgewerkt: 27 mei 2026
Preambule
In het kader van het gebruik van de dienst opticlic (uitgegeven onder ondernemingsnummer BE 1038.332.540, volledige identiteit beschikbaar in onze Wettelijke vermeldingen), vertrouwt de opticien (hierna de « Verwerkingsverantwoordelijke ») aan Opticlic (hierna de « Verwerker ») de verwerking toe van persoonsgegevens met betrekking tot de patiënten van de Verwerkingsverantwoordelijke.
Deze verwerkersovereenkomst (DPA) bepaalt de verplichtingen van de Verwerker overeenkomstig artikel 28 van de Verordening (EU) 2016/679 (AVG). Zij wordt geacht te zijn aanvaard vanaf het eerste gebruik van de Dienst door de Verwerkingsverantwoordelijke.
1. Beschrijving van de verwerking
| Aard en doeleinde | Hosting en verwerking van patiëntgegevens met het oog op de berekening van de Bijlage 15 RIZIV en de generatie van het samenvattend formulier. |
|---|---|
| Categorieën van gegevens | Identiteit (naam, voornaam, INSZ (rijksregisternummer), geboortedatum), adres, ziekenfonds, gezondheidsgegevens (oftalmologisch voorschrift, uitrusting, pathologieën), economische gegevens (prijs, terugbetaling). |
| Categorieën van personen | Patiënten van de Verwerkingsverantwoordelijke. |
| Duur | Duur van het abonnement + 5 jaar (wettelijke duur Bijlage 15), behoudens verzoek tot vervroegde wissing door de Verwerkingsverantwoordelijke. |
2. Verplichtingen van de Verwerker
De Verwerker verbindt zich ertoe:
- De gegevens uitsluitend te verwerken op gedocumenteerde instructies van de Verwerkingsverantwoordelijke, behoudens andersluidende wettelijke verplichting;
- De vertrouwelijkheid te waarborgen door het personeel dat toegang heeft tot de gegevens;
- De passende technische en organisatorische maatregelen te treffen (artikel 32 AVG): TLS-versleuteling, applicatieve versleuteling in rust van de gevoelige velden, Row Level Security (PostgreSQL), auditlog, versleutelde back-ups, EU-hosting;
- Elke inbreuk in verband met persoonsgegevens (datalek) te melden aan de Verwerkingsverantwoordelijke binnen 24 uur na de vaststelling ervan;
- De Verwerkingsverantwoordelijke bij te staan bij het beantwoorden van verzoeken van de betrokkenen (rechten op inzage, rectificatie, wissing, overdraagbaarheid);
- Mee te werken aan de gegevensbeschermingseffectbeoordelingen (DPIA) en de voorafgaande raadplegingen die door de Verwerkingsverantwoordelijke worden vereist;
- Bij het einde van de overeenkomst: alle gegevens en de kopieën ervan terug te geven of te wissen, behoudens wettelijke bewaarplicht.
3. Toegestane subverwerkers
De Verwerkingsverantwoordelijke machtigt de Verwerker om een beroep te doen op de volgende subverwerkers, die gelijkwaardige AVG-verbintenissen hebben ondertekend:
| Verwerker | Doeleinde | Locatie |
|---|---|---|
| Supabase Inc. | Hosting databank + auth | Frankfurt (DE) |
| Vercel Inc. | Hosting applicatie | EU (fra1) |
| Stripe Payments Europe | Betaling | Dublin (IE) |
| Resend | Transactionele e-mails | EU |
Elke wijziging van subverwerker wordt minstens 30 dagen vooraf aan de Verwerkingsverantwoordelijke meegedeeld. De Verwerkingsverantwoordelijke kan zich daartegen verzetten om ernstige redenen; bij gebreke aan akkoord kan de overeenkomst worden beëindigd.
4. Doorgiften buiten de EU
Geen enkele doorgifte van gegevens buiten de Europese Unie vindt plaats in het kader van de Dienst.
5. Rechten van de Verwerkingsverantwoordelijke
De Verwerkingsverantwoordelijke beschikt over een auditrecht (op stukken of ter plaatse, na redelijke voorafgaande kennisgeving) om de conformiteit van de Verwerker te controleren. De auditkosten zijn ten laste van de Verwerkingsverantwoordelijke.
6. Aansprakelijkheid
De aansprakelijkheid van elk van de partijen wordt geregeld door artikel 82 AVG. De Verwerker is enkel aansprakelijk voor de schade die wordt veroorzaakt door de niet-nakoming van zijn specifieke verplichtingen.
7. Duur en beëindiging
Deze DPA wordt gesloten voor de duur van het abonnement op de Dienst. Zij kan van rechtswege worden beëindigd in geval van een ernstige en aanhoudende tekortkoming aan de AVG-verplichtingen.
8. AVG-contact
Elk verzoek met betrekking tot deze DPA, de beveiliging van de gegevens, een inbreuk of de uitoefening van de rechten van de betrokkenen dient te worden gericht aan rgpd@opticlic.be met een antwoordtermijn van 72 uur (werkdagen).