IDEXX ANIMANA – Overeenkomst Gegevensverwerking
IDEXX ANIMANA – Overeenkomst Gegevensverwerking
(A) IDEXX en Klant hebben een Dienstverleningsovereenkomst gesloten. Ter uitvoering van de Dienstverleningsovereenkomst, zal IDEXX als verwerker Persoonsgegevens verwerken in opdracht en ten behoeve van Klant;
(B) Daarnaast zal IDEXX Persoonsgegevens in het kader van de Dienstverleningsovereenkomst verwerken als (gezamenlijke) verwerkingsverantwoordelijke, waarbij IDEXX (gezamenlijk) het doel en de middelen van de verwerking van de Persoonsgegevens bepaalt;
(C) De afspraken tussen Partijen met betrekking tot het verwerken van de Persoonsgegevens zijn vastgelegd in deze Overeenkomst Gegevensverwerking in overeenstemming met het toepasselijke recht;
(D) IDEXX en Klant worden hierna gezamenlijk aangeduid als "Partijen", of individueel als "Partij",
1 Verhouding tot de Dienstverleningsovereenkomst
1.1 Deze Overeenkomst Gegevensverwerking vormt een aanvulling op de Dienstverleningsovereenkomst, en vervangt alle eerder gemaakte (mondelinge of schriftelijke) afspraken ter zake van de verwerking van Persoonsgegevens tussen Klant in haar hoedanigheid als verwerkingsverantwoordelijke, en IDEXX in haar hoedanigheid van verwerker of (gezamenlijke) verwerkingsverantwoordelijke.
1.2 Tenzij uitdrukkelijk anders is bepaald in deze Overeenkomst Gegevensverwerking, is bij enige tegenspraak tussen de bepalingen uit de Dienstverleningsovereenkomst, de algemene voorwaarden van IDEXX Animana B.V., het toepasselijke privacy beleid als bedoeld in de algemene voorwaarden van IDEXX Animana B.V., en deze Overeenkomst Gegevensverwerking, de volgende rangorde van toepassing:
1. Overeenkomst Gegevensverwerking;
2. Dienstverleningsovereenkomst;
3. Algemene voorwaarden van IDEXX Animana B.V.;
4. Het toepasselijke privacybeleid als bedoeld in de algemene voorwaarden van IDEXX Animana B.V.; en
5. Elke andere relevante overeenkomst of andere regeling die tussen partijen van toepassing is.
2 Structuur van deze Overeenkomst Gegevensverwerking
2.1 Deel A bevat de definities en het algemene deel betreffende de verwerking van Persoonsgegevens in het kader van deze Overeenkomst Gegevensverwerking. Dit deel is van toepassing op zowel de situatie waarin IDEXX optreedt in de hoedanigheid van verwerker als de situatie waarin IDEXX optreedt in de hoedanigheid van verwerkingsverantwoordelijke.
2.2 Deel B bevat bepalingen die alleen van toepassing zijn op de situatie waarin IDEXX optreedt in de hoedanigheid van verwerker van de Persoonsgegevens.
2.3 Deel C bevat bepalingen die alleen van toepassing zijn op de situatie waarin IDEXX optreedt in de hoedanigheid van verwerkingsverantwoordelijke van de Persoonsgegevens.
2.4 Part D bevat de slotbepalingen. Dit deel is van toepassing op zowel de situatie waarin IDEXX optreedt in de hoedanigheid van verwerker als de situatie waarin IDEXX optreedt in de hoedanigheid van verwerkingsverantwoordelijke van de Persoonsgegevens.
DEEL A - Algemeen
3 Definities
3.1 Alle definities opgenomen in de algemene voorwaarden van IDEXX Animana B.V. zijn eveneens van toepassing op deze Overeenkomst Gegevensverwerking, tenzij anders bepaald in deze Overeenkomst Gegevensverwerking. Daarnaast zijn de volgende definities van toepassing op deze Overeenkomst Gegevensverwerking:
3.2 Betrokkene: de persoon op wie de Persoonsgegevens betrekking hebben;
3.3 Datalek(ken): een incident, resulterend in onbedoelde of onrechtmatige vernietiging, verlies, wijziging, ongeautoriseerde openbaring van of toegang tot de Persoonsgegevens verzonden, opgeslagen of anderszins verwerkt;
3.4 Niet-EER-entiteit: elke entiteit die door IDEXX wordt ingeschakeld als onderaannemer, welke Persoonsgegevens verwerkt die door Klant worden beheerd in een land buiten de Europese Economische Ruimte en/of een land dat op grond van een besluit van de Europese Commissie niet geacht wordt een passend niveau van gegevensbescherming te bieden en/of zich niet heeft gecertificeerd onder het EU-US Privacy Shield;
3.5 Overheidsinstantie: een bevoegde overheidsinstantie;
3.6 Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare levende natuurlijke persoon;
3.7 Overeenkomst Gegevensverwerking: deze Overeenkomst Gegevensverwerking inclusief overwegingen en bijbehorende annexen, almede enige wijziging, vervanging, update of latere versies daarvan;
3.8 Verwerkingsfaciliteiten: systeem dat door IDEXX wordt gebruikt voor het verwerken van de Persoonsgegevens;
3.9 Medewerkers: de door IDEXX voor de uitvoering van de Dienstverleningsovereenkomst in te schakelen werknemers en andere (hulp)personen, die onder haar verantwoordelijkheid vallen;
4 Voorwerp van deze Overeenkomst Gegevensverwerking
4.1 In het kader van de uitvoering van de Dienstverleningsovereenkomst zal IDEXX namens en ten behoeve van Klant Persoonsgegevens verwerken als verwerker. Daarnaast zal IDEXX Persoonsgegevens in het kader van de Dienstverleningsovereenkomst verwerken als (gezamenlijke) verwerkingsverantwoordelijke, waarbij zij (gezamenlijk) het doel en de middelen bepaald voor de verwerking van de Persoonsgegevens;
4.2 Deze Overeenkomst Gegevensverwerking is overeengekomen namens en ten behoeve van IDEXX en aan IDEXX gelieerde ondernemingen, ten behoeve waarvan IDEXX mede het recht heeft om nakoming van deze Overeenkomst Gegevensverwerking af te dwingen. Waar in deze Overeenkomst Gegevensverwerking wordt verwezen naar IDEXX wordt ook iedere gelieerde onderneming van IDEXX bedoeld. IDEXX gelieerde ondernemingen zijn mede gerechtigd om nakoming van deze Overeenkomst Gegevensverwerking af te dwingen alsof deze entiteiten partij bij deze Overeenkomst Gegevensverwerking zijn.
5 Verwerking van de Persoonsgegevens
5.1 Annex A van deze Overeenkomst Gegevensverwerking bevat een overzicht van de verwerkingsactiviteiten. Partijen zullen een adequaat beveiligd schriftelijk of elektronisch register van verwerkingsactiviteiten bijhouden van alle categorieën verwerkingsactiviteiten ten behoeve van IDEXX, in overeenstemming met het toepasselijke recht, voor zover deze Overeenkomst Gegevensverwerking daartoe nog niet volstaat.
5.2 Klant garandeert dat hij de Persoonsgegevens verwerkt of laat verwerken in overeenstemming met het toepasselijke recht. Klant zal op eerste verzoek van IDEXX onmiddellijk alle relevante informatie schriftelijk aan IDEXX verstrekken, eventueel in elektronische vorm. IDEXX is niet verantwoordelijk of aansprakelijk voor de naleving van verplichtingen die op Klant rusten uit hoofde van het toepasselijke recht.
5.3 Rekening houdend met de aard van de verwerkingen en de aan Partijen ter beschikking staande informatie, zullen Partijen elkaar de redelijkerwijs noodzakelijke bijstand verlenen bij het nakomen van de op Partijen rustende verplichtingen onder het toepasselijke recht, in het bijzonder de verplichtingen ter zake van de beveiliging van Persoonsgegevens, meldingsverplichtingen van Datalekken, informatieverplichtingen en verplichtingen ter zake van het uitvoeren van gegevensbeschermingseffectbeoordelingen, alsmede het laten uitvoeren van een voorafgaande raadpleging door bevoegde overheidsinstantie(s).
DEEL B - Verwerker
6 Verwerking van de Persoonsgegevens als verwerker
6.1 IDEXX zal de Persoonsgegevens uitsluitend verwerken in opdracht en volgens de gedocumenteerde instructies van Klant, waaronder met betrekking tot de doorgifte van Persoonsgegevens naar een derde land. IDEXX stelt Xxxxx onmiddellijk in kennis indien naar zijn mening enige instructie inbreuk oplevert op het toepasselijke recht. IDEXX heeft geen zelfstandige zeggenschap over de Persoonsgegevens die door haar worden verwerkt. IDEXX zal de Persoonsgegevens niet ten eigen
nutte, ten nutte van derden, of voor andere doeleinden verwerken, behoudens op haar rustende afwijkende wettelijke verplichtingen onder het toepasselijke recht.
6.2 In Annex A staat welke (groepen) Medewerkers van IDEXX en/of andere personen die door IDEXX zijn ingeschakeld toegang mogen hebben tot welke soorten Persoonsgegevens en beschrijft tevens welke verwerkingshandelingen deze personen mogen uitvoeren met welke soort Persoonsgegevens; andere verwerkingshandelingen zijn uitdrukkelijk verboden. IDEXX zal zorgdragen dat deze personen zich hebben verbonden aan inachtneming van vertrouwelijkheid, voor zover zij niet door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden. IDEXX zal ervoor zorgdragen dat deze Medewerkers en andere door haar aangestelde personen zich houden aan de relevante verplichtingen uit deze Overeenkomst Gegevensverwerking en de Dienstverleningsovereenkomst.
7 Onderaannemers
7.1 IDEXX mag onderaannemers (sub verwerkers) inschakelen. IDEXX zal klant informeren op een door IDEXX vastgestelde wijze over de voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van onderaannemers.
7.2 IDEXX sluit een schriftelijke sub Overeenkomst Gegevensverwerking met iedere onderaannemer die zij inschakelt bij de verwerking van de Persoonsgegevens en legt daarbij minimaal dezelfde verplichtingen op als die op IDEXX rusten uit hoofde van deze Overeenkomst Gegevensverwerking.
7.3 IDEXX blijft indien hij een onderaannemer inschakelt volledig verantwoordelijk en aansprakelijk voor de nakoming van de op haar rustende verplichtingen krachtens de Dienstverleningsovereenkomst, Overeenkomst Gegevensverwerking en het toepasselijke recht.
8 Betrouwbaarheidseisen en Beveiliging
8.1 IDEXX zal zorgdragen voor technische en organisatorische maatregelen die een passend beschermingsniveau bieden met betrekking tot de Persoonsgegevens, onder meer met het oog op de verplichting van de verwerkingsverantwoordelijke om te reageren op verzoeken van Xxxxxxxxxxx. De door IDEXX uit te voeren technische en organisatorische veiligheidsmaatregelen, met inachtneming van de stand der techniek, de uitvoeringskosten en aard, omvang, context en doeleinden van de verwerking, alsmede de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, zijn:
- Fysieke maatregelen ter bescherming van de toegang, waaronder een lobby met bemande beveiliging/ontvangstbalie;
- Logische toegangscontrole op basis van fysieke identificatie – badgetoegang tot de kantoorruimte beperkt tot geautoriseerde personen en badgetoegang tot het datacenter voor geautoriseerde personen;
- Systemen voor branddetectie en brandonderdrukking. Alarmen voor zowel inbraak- als leksignalering;
- Kluis voor het opslaan van gegevensbestanden – vergrendeling van archiefkasten;
- Automatische registratie van de verkregen toegang tot data, met inbegrip van inspectieprocedures in geval van afwijkingen;
- Uitvoeren van IDEXX gebruikers toegangsbeoordelingen;
- IDEXX maakt uitsluitend gebruik van zeer gerenommeerde datacenters die specifieke diensten leveren, waaronder maar niet beperkt tot videobewaking, identiteitsbewaking en bezoekersregistratie, kamers met toegangscontrole, dieselgeneratoren, internet met hoge beschikbaarheid.
8.2 IDEXX zal op regelmatige basis de getroffen technische en organisatorische beveiligingsmaatregelen evalueren en indien nodig actualiseren. Op verzoek van Xxxxx zal IDEXX aan Klant de door haar opgestelde beveiligingsrapporten verstrekken. Een dergelijk beveiligingsrapport bevat informatie over de status van Verwerkingsfaciliteiten en de genomen veiligheidsmaatregelen.
9 Melden van Datalekken
9.1 IDEXX handhaaft adequate procedures voor het opsporen en reageren op alle Datalekken in overeenstemming met het toepasselijke recht.
9.2 De verplichting van IDEXX om Datalekken bij Klant te melden en actie te ondernemen met betrekking tot een Datalek houdt geen erkenning in van IDEXX van enig gebrek of aansprakelijkheid met betrekking tot dat Datalek.
9.3 Indien IDEXX een Datalek vaststelt, zal zij Klant zonder onredelijke vertraging na vaststelling van het Datalek daarover informeren op een door IDEXX te bepalen wijze. IDEXX informeert de Klant via de door de Klant verstrekte contactgegevens conform de algemene voorwaarden van IDEXX Animana B.V.
9.4 Indien Klant zelf kennis heeft van een Datalek welke relevant is voor het verlenen van de diensten door IDEXX, zal Klant IDEXX daarvan onverwijld op de hoogte stellen, met inbegrip van de maatregelen die Klant heeft genomen of zal nemen.
9.5 Zodra door IDEXX een Datalek is vastgesteld, zal IDEXX alle redelijkerwijs benodigde informatie verstrekken aan Klant over de eventuele impact van het Datalek op de Klant en de getroffen Betrokkenen. De informatie bevat een beschrijving van de aard en omvang van het Datalek en de geplande en reeds genomen maatregelen ter voorkoming van schade.
9.6 Op verzoek van Xxxxx zal IDEXX ook haar redelijkerwijs benodigde assistentie verlenen bij het samenstellen van de relevante documentatie ter zake van het Datalek. Xxxxx blijft zelf verantwoordelijk voor de verplichting om een intern overzicht te houden van Datalekken die zich hebben voorgedaan.
9.7 Op verzoek van Xxxxx zal IDEXX de getroffen Betrokkene en/of de bevoegde Overheidsinstantie informeren over het Datalek, dit zal IDEXX alleen doen na ontvangst van een schriftelijke en volledige instructie van Klant. Dit leidt niet tot enige verantwoordelijkheid of aansprakelijkheid van IDEXX met betrekking tot de (melding van) het Datalek.
10 Auditrecht van Klant
1 0 . 1 Klant kan in overleg met IDEXX op eigen kosten een audit uitvoeren van de Verwerkingsfaciliteiten om te toetsen of de redelijke technische en organisatorische beveiligingsmaatregelen die met betrekking
tot de Persoonsgegevens in het kader van deze Overeenkomst Gegevensverwerking zijn genomen, in overeenstemming zijn met de in artikel 8 omschreven maatregelen.
1 0 . 2 IDEXX zal aan Klant alle informatie ter beschikking stellen die redelijkerwijs noodzakelijk is om aan te tonen dat Klant voldoet aan zijn verplichtingen tot het sluiten van een Overeenkomst Gegevensverwerking in overeenstemming met de relevante eisen ter zake onder het toepasselijke recht, en zal ook bijdragen aan audits, waaronder inspecties, uitgevoerd door Klant of een door Klant in opdracht gegeven auditor. In overleg met IDEXX kan Klant een derde partij (deskundige) inschakelen om zijn audit rechten uit te voeren, mits deze derde partij gebonden is aan een geheimhoudingsplicht.
1 0 . 3 De uitvoering van een audit door of namens Klant zal geen vertraging veroorzaken in de bedrijfsactiviteiten van IDEXX of haar onderaannemers.
11 Doorgifte van Persoonsgegevens
1 1 . 1 Indien IDEXX voornemens is om Persoonsgegevens door te geven naar een Niet-EER-entiteit, zal IDEXX Klant schriftelijk over dit voornemen informeren.
1 1 . 2 De doorgifte kan gelegitimeerd zijn op basis van het EU-US Privacy Shield of Swiss-US Privacy Shield, indien het gaat om een doorgifte aan een Amerikaanse entiteit die zelf gecertificeerd is volgens het EU-US Privacy Shield of Swiss- US Privacy Shield en de doorgifte binnen het toepassingsgebied van dergelijke certificering valt.
1 1 . 3 In gelang van het geval kan de doorgifte in plaats daarvan ook worden gelegitimeerd op basis van de ongewijzigde EU-Modelcontractbepalingen tussen de verwerkingsverantwoordelijke en verwerker. Deze Modelcontractbepalingen zonder optionele bepalingen worden geacht hierin te zijn opgenomen door verwijzing en zijn van toepassing tussen de Klant en de Niet-EER-entiteit, indien en voor zover Persoonsgegevens waarop de wetgeving inzake gegevensbescherming van een lidstaat van de EER van toepassing zijn, worden doorgegeven van de EER naar een niet-EER-entiteit. De toepasselijke Modelcontractbepalingen die hierin overeenkomstig met dit artikel zijn opgenomen, worden in naam en voor de rekening van de Niet-EER-entiteit overeengekomen door IDEXX, optredend als advocaat van de Niet-EER-entiteit.
1 1 . 4 In geval van tegenstrijdigheid tussen het bepaalde in de Dienstverleningsovereenkomst of deze Overeenkomst Gegevensverwerking geldt dat de bepalingen van de Modelcontractbepalingen voorrang hebben. Klant erkent dat hij de mogelijkheid heeft gehad om de Modelcontractbepalingen te raadplegen of een volledige kopie van IDEXX te vragen.
12 Rechten van Betrokkenen
IDEXX zal zijn volledige medewerking verlenen opdat Klant kan voldoen aan haar wettelijke verplichtingen als een Betrokkene zijn rechten uitoefent op grond van het toepasselijke recht.
DEEL C - Verwerkingsverantwoordelijke
13 IDEXX als (gezamenlijke) verwerkingsverantwoordelijke
Voor zover IDEXX het doel en de middelen van de verwerking van de Persoonsgegevens of (samen) met Klant bepaalt, treedt IDEXX op als (gezamenlijke) verwerkingsverantwoordelijke van de verwerkingsactiviteiten als omschreven in Annex A.
14 Informatieverplichtingen jegens de Betrokkenen en rechten van Betrokkenen
1 4 . 1 In geval van gezamenlijke verwerkingsverantwoordelijkheid, zal Klant de Betrokkene informeren over de verwerking van hun Persoonsgegevens en de wezenlijke inhoud van de afspraken tussen Partijen in overeenstemming met de door IDEXX (te) verstrekken instructies. Klant garandeert dat hij de Betrokkenen conform de instructies van IDEXX op de hoogte zal brengen en terstond alle gevraagde informatie schriftelijk aan IDEXX zal verstrekken.
1 4 . 2 Partijen verlenen elkaar over en weer volledige medewerking opdat zij ieder kunnen voldoen aan de op hen rustende wettelijke verplichtingen als een betrokkene jegens een Partij zijn rechten uitoefent op grond van het toepasselijke recht.
1 4 . 3 Partijen erkennen dat, ongeacht de bepalingen van de Overeenkomst Gegevensverwerking, de Betrokkenen hun rechten uit hoofde van het toepasselijke recht jegens Partijen niet kunnen worden ontzegd.
DEEL D - Algemeen
15 Kosten
1 5 . 1 De met de uitvoering van deze Overeenkomst Gegevensverwerking gemoeide kosten kunnen aanleiding geven tot het in rekening brengen van meerwerkkosten aan Klant. Indien dit het geval is, zal IDEXX Klant hierover informeren.
16 Vrijwaring
1 6 . 1 Klant vrijwaart IDEXX voor alle aanspraken van derden, daaronder begrepen Betrokkenen, die jegens IDEXX mochten worden ingesteld wegens een schending van het toepasselijke recht gerelateerd aan de verwerking van Persoonsgegevens, die aan Klant of een van zijn werknemers of onderaannemers kan worden toegerekend.
17 Duur en beëindiging
1 7 . 1 Deze Overeenkomst Gegevensverwerking treedt in werking zodra IDEXX ten behoeve van Klant voor het eerst Persoonsgegevens verwerkt op grond van de Dienstverleningsovereenkomst.
1 7 . 2 Deze Overeenkomst Gegevensverwerking zal van kracht zijn zolang de Dienstverleningsovereenkomst van kracht is en eindigt van rechtswege bij het eindigen van de Dienstverleningsovereenkomst.
1 7 . 3 Voor zover niet anders voortvloeit in overeenstemming met het toepasselijke recht, zal IDEXX, indien deze Overeenkomst Gegevensverwerking eindigt of op een eerdere datum zodra Klant aangeeft dat de verwerking van (een deel van) de Persoonsgegevens niet langer ter zake dienend is voor de uitvoering van de diensten, ervoor zorgdragen: (i) dat de Persoonsgegevens worden geretourneerd
c.q. verstrekt aan Klant, dan wel (ii) dat de Persoonsgegevens worden vernietigd op schriftelijk verzoek van Klant, eventueel in elektronische vorm.
1 7 . 4 IDEXX verbindt zich ertoe ervoor te zorgen dat zij alle verwerkingen van (de betreffende) Persoonsgegevens na het verstrekken, retourneren of vernietigen van de Persoonsgegevens onmiddellijk staakt en ongedaan maakt.
1 7 . 5 Alle verplichtingen die voortvloeien uit deze Overeenkomst Gegevensverwerking die van nature postcontractuele werking hebben, blijven van kracht na beëindiging van deze Overeenkomst Gegevensverwerking.
18 Wijziging en heronderhandeling
1 8 . 1 Wijzigingen van en aanvullingen op deze Overeenkomst Gegevensverwerking kunnen uitsluitend in gezamenlijkheid en schriftelijk, eventueel in elektronische vorm, worden overeengekomen.
1 8 . 2 Klant zal IDEXX onmiddellijk informeren over wijzigingen die relevant zijn of kunnen zijn voor de Dienstverleningsovereenkomst en de verwerking van Persoonsgegevens.
1 8 . 3 Indien een wijziging in omstandigheden daartoe gerede aanleiding geeft, zijn Partijen gerechtigd om deze Overeenkomst Gegevensverwerking te heronderhandelen.
1 8 . 4 Indien deze Overeenkomst Gegevensverwerking in meerdere talen is opgesteld, geldt bij eventuele tegenstrijdigheden dat de Engelse tekst prevaleert.
Annex A
Beschrijving van de verwerkingsactiviteiten: | |||
I | Beschrijving van de verwerkingsactiviteiten waarvoor IDEXX als verwerkingsverantwoordelijke optreedt | 1. | Verwerking van de medische dossiers van huisdieren, agenda-invoeringen, automatische herinneringen, afspraakherinneringen (sms, e-mail), klinisch interne lab-integratie, IDEXX ref lab integratie, klantencommunicatie, online afspraak boeking, grafiek en geschiedenis van het gewicht van huisdieren, loyaliteitsprogramma, automatische facturatie, dag afsluitingen, managementrapportages, KPI's, auditspoor, analyse van gebruikspatronen |
2. | Toekomstige functies, modules en aanvullingen zoals beschreven op xxx.xxxxx.xxx, en zoals zo nu en dan bijgewerkt | ||
II | Beschrijving van de verwerkingsactiviteiten waarvoor IDEXX als (gezamenlijke) verwerkingsverantwoordelijke optreedt | 1. | Geaggregeerde, gepseudonimiseerde marktanalyse uitvoeren aan de hand van ruwe gegevens die niet rechtstreeks identificeerbaar zijn voor een natuurlijk persoon, geleverd via de diensten om op te anticiperen op de behoeften van klanten en knowhow te verwerven die de veterinaire praktijken in het algemeen ten goede zal komen |
I Details van verwerkingsactiviteiten waarvoor IDEXX Animana als verwerkingsverantwoordelijke optreedt | |||||
Doeleinden waarvoor Persoons- gegevens worden verwerkt | Duur van de verwerking Maximale en minimale bewaartermijnen | Categorieën van Betrokkenen | (Categorieën) Persoonsgegevens verwerkt door IDEXX Animana | (Groepen) Medewerkers of andere personen die door IDEXX Animana zijn ingeschakeld die toegang (kunnen) hebben tot de Persoons- gegevens | Handelingen die deze personen mogen uitvoeren met die Persoonsgegevens |
Software | In principe, tot 2 jaar na beëindiging van de relatie met de Klant, tenzij een langere minimale wettelijke bewaartermijn van toepassing is, zoals het geval is voor gegevens die relevant kunnen zijn voor fiscale bepalingen, welke gegevens minimaal 7 jaar bewaard moeten worden. | Klant, Medewerkers van Klant, eigenaren van dieren | Achternaam, thuisadres, telefoonnummer (inclusief mobiel), e- mailadres, geslacht, bankrekeningnummer, klant- (klinische) accountgegevens, gegevens betreffende het huisdier (zoals soort, ras, leeftijd...), gegevens betreffende de behandeling van het huisdier (zoals diensten, diagnose, producten...). | A Software- engineering groep B Development Operations | A &B: Verzameling Opname Organisatie Structureren Opslag Aanpassing/Behandeling Herstel Overleg Gebruik Openbaarmaking door verzending Verspreiding Beperking Verwijdering/vernietigen |
Klanten- service | In principe, tot 2 jaar na beëindiging van de relatie met de Klant, tenzij een langere minimale wettelijke bewaartermijn van toepassing is, zoals het geval is voor gegevens die relevant kunnen zijn voor fiscale bepaling, welke gegevens minimaal 7 jaar bewaard moeten worden. | Klant, Medewerkers van Klant, eigenaren van huisdieren | Achternaam, thuisadres, telefoonnummer (inclusief mobiel), e- mailadres, geslacht, bankrekeningnummer, klant- (klinische) accountgegevens, gegevens betreffende het huisdier (zoals soort, ras, leeftijd...), gegevens betreffende de behandeling van het huisdier (zoals diensten, diagnose, producten..). | C Omzetting & Uitvoering D Opleiding E Klanten- service | C & E: Verzameling Organisatie Structureren Opslag Aanpassing/Behandeling Herstel Overleg Gebruik Openbaarmaking door verzending Verspreiding Beperking Verwijderen/vernietigen D: Gebruik |
II Details van verwerkingsactiviteiten waarvoor IDEXX Xxxxxxx optreedt als gezamenlijke verwerkingsverantwoordelijke | ||||
Doeleinden waarvoor Persoons- gegevens worden verwerkt | Duur van de verwerking Maximale en minimale bewaartermijnen | Categorieën van Betrokkenen | (Categorieën) Persoonsgegevens verwerkt door IDEXX Animana | De verwerkings- verantwoordelijke en zijn respectievelijke taken ten aanzien van Betrokkenen |
Markt analyse* | - Ruwe gegevens worden direct na analyse vernietigd en omgezet in geaggregeerde gegevens. - Geaggregeerde gegevens worden bewaard tot maximaal 1 jaar na het verzamelen van de gegevens, tenzij een langere wettelijke bewaartermijn geldt. | Eigenaar van huisdier, Klant | Uit IDEXX Animana-account geëxtraheerde ruwe gegevens, die niet direct identificeerbaar zijn voor een natuurlijk persoon, zoals ziekte, ras en leeftijd van een huisdier. Geaggregeerde gegevens, verkregen uit analyses die zijn uitgevoerd op de ruwe gegevens, zoals correlaties tussen specifieke rassen en ziekten. | IDEXX is gezamenlijke verwerkingsverantwoordelijke voor de marktanalyse die zij uitvoert op de Persoonsgegevens. In dit verband kunnen Betrokkenen hun rechten uit hoofde van het toepasselijke recht jegens IDEXX uitoefenen. |
* Deze gegevensverwerkingsactiviteit beschrijft het moment waarop de geaggregeerde gegevens, die niet direct identificeerbaar zijn voor een natuurlijk persoon, nog niet geanonimiseerd zijn. Na deze verwerkingsactiviteit worden de geaggregeerde gegevens geanonimiseerd.
1