IDEXX GEGEVENSBESCHERMINGSOVEREENKOMST
IDEXX GEGEVENSBESCHERMINGSOVEREENKOMST
(Herziene versie mei 2018)
(A) IDEXX Europe B.V. of een Partner van IDEXX Europe B.V. (indien van toepassing ‘IDEXX’) en de gebruiker van een of meer van de in Bijlage A van deze Gegevensbeschermingsovereenkomst omschreven diensten (‘Klant’) zijn een Overeenkomst aangegaan met IDEXX voor het leveren van dergelijke diensten. In het kader van deze overeenkomst zal IDEXX als gegevensverwerker Persoonsgegevens verwerken namens en in het belang van de Klant;
(B) Bovendien zal IDEXX, indien dit beschreven staat in de Appendices bij deze Gegevensbeschermingsovereenkomst met betrekking tot een bepaalde door IDEXX geleverde dienst, Persoonsgegevens in het kader van deze overeenkomst ook verwerken (samen met andere) verwerkingsverantwoordelijken, waarbij het doel van en de middelen voor de verwerking van Persoonsgegevens (samen) worden vastgesteld;
(C) De afspraken tussen de Partijen betreffende de verwerking van Persoonsgegevens worden vastgelegd in deze Gegevensbeschermingsovereenkomst overeenkomstig het toepasselijke recht;
(D) Er zal collectief worden verwezen naar IDEXX en de Klant als de ‘Partijen’, of apart als de ‘Partij’,
1 Verhouding tot de Overeenkomst
1.1 Deze Gegevensbeschermingsovereenkomst is een bijlage bij de Overeenkomst waarnaar wordt verwezen in Bijlage A en vernietigt alle (mondelinge en/of schriftelijke) regelingen van een vroegere datum met betrekking tot de verwerking van Persoonsgegevens tussen de Klant die optreedt als verwerkingsverantwoordelijke en IDEXX die (samen) optreedt als gegevensverwerker van Persoonsgegevens, indien van toepassing.
1.2 Tenzij uitdrukkelijk anderszins vermeld in deze Gegevensbeschermingsovereenkomst, geldt in geval van afwijkingen tussen de bepalingen van deze Overeenkomst het privacybeleid waarnaar in deze Overeenkomst wordt verwezen en deze Gegevensbeschermingsovereenkomst de volgende rangorde:
1. Gegevensbeschermingsovereenkomst;
2. Overeenkomst;
3. Het privacybeleid waarnaar in deze Overeenkomst wordt verwezen; en
4. Elke andere relevante overeenkomst of andere regeling die van toepassing is tussen de Partijen.
2 Structuur van deze Gegevensbeschermingsovereenkomst
2.1 Deel A bevat de definities en het algemene deel over de verwerking van persoonsgegevens in het kader van deze Gegevensbeschermingsovereenkomst. Dit deel is zowel van toepassing op de situatie waar IDEXX optreedt als gegevensverwerker als op de situatie waar IDEXX optreedt als verwerkingsverantwoordelijke met betrekking tot Persoonsgegevens.
2.2 Deel B bevat bepalingen die enkel van toepassing zijn op de situatie waar IDEXX optreedt als gegevensverwerker met betrekking tot de Persoonsgegevens.
2.3 Deel C bevat bepalingen die enkel van toepassing zijn op de situatie waar IDEXX optreedt als verwerkingsverantwoordelijke met betrekking tot de Persoonsgegevens, indien van toepassing zoals vermeld in de Appendices bij deze Overeenkomst.
2.4 Deel D bevat de slotbepalingen. Dit deel is zowel van toepassing op de situatie waar IDEXX optreedt als gegevensverwerker als op de situatie waar IDEXX optreedt als verwerkingsverantwoordelijke met betrekking tot Persoonsgegevens.
DEEL A - Algemeen
3 Definities
3.1 Alle definities die zijn opgenomen in de Overeenkomst zullen ook van toepassing zijn op deze Gegevensbeschermingsovereenkomst, tenzij anderszins bepaald in deze Gegevensbeschermingsovereenkomst. Daarenboven zijn de volgende definities van toepassing op deze Gegevensbeschermingsovereenkomst:
3.2 Partner: elke persoon of entiteit (‘Persoon’) die zeggenschap uitoefent over of onder zeggenschap valt van een andere Persoon, of die samen met een andere Persoon onder de zeggenschap valt van een derde. Voor deze doeleinden wordt ‘Zeggenschap’ gedefinieerd als (i) het direct of indirect bezitten van de macht om het bestuur en het beleid van de onderhavige entiteit te bepalen, ofwel door de eigendom van stemgerechtigde aandelen, op basis van contract of anderszins, of (ii) het direct of indirect bezitten van meer dan vijftig procent (50%) van de stemgerechtigde aandelen of andere zeggenschapsrechten van de onderhavige entiteit, of indien de entiteit is gevestigd in een land waar een dergelijk niveau van eigendom niet is toegestaan, het maximale percentage eigendom dat is toegestaan;
3.3 Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;
3.4 Gegevensbeschermingsovereenkomst: deze Gegevensbeschermingsovereenkomst en elke verandering, vervanging, wijziging of latere versies ervan;
3.5 Gegevensverwerkingssysteem: systeem dat wordt gebruikt voor de verwerking van de Persoonsgegevens door IDEXX of haar onderaannemers;
3.6 Betrokkene: de persoon waar de Persoonsgegevens aan zijn gerelateerd;
3.7 Werknemers: de werknemers en andere personen die door IDEXX worden ingezet voor de uitvoering van de Overeenkomst;
3.8 Toezichthoudende Autoriteit: een competente toezichthoudende autoriteit;
3.9 Niet-EER entiteit: elke entiteit die door IDEXX als onderaannemer wordt ingeschakeld, die is gevestigd in een land buiten de Europese Economische Ruimte en/of in dat land Persoonsgegevens verwerkt waarover de Klant zeggenschap heeft en/of waarbij dat land niet wordt geacht adequate gegevensbescherming te bieden overeenkomstig een besluit van de Europese Commissie en/of waarbij dat land de bepalingen van het EU-US Privacy Shield niet heeft nageleefd;
3 . 1 0 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon;
4 Onderwerp van deze Gegevensbeschermingsovereenkomst
4.1 IDEXX zal als gegevensverwerker Persoonsgegevens verwerken namens en in het belang van de Klant. Bovendien zal IDEXX, indien van toepassing zoals vermeld in de Appendices bij deze Overeenkomst, Persoonsgegevens (samen) met de Klant optreden als verwerkingsverantwoordelijke, waarbij het doel van en de middelen voor de verwerking van Persoonsgegevens (samen) worden vastgesteld;
4.2 Deze Gegevensbeschermingsovereenkomst wordt overeengekomen namens en in het belang van IDEXX en haar Partners. Waar wordt verwezen naar IDEXX in deze Gegevensbeschermingsovereenkomst, verwijst deze ook naar elke Partner van IDEXX. IDEXX heeft het recht om deze Gegevensbeschermingsovereenkomst voor zichzelf, maar ook namens elke van haar Partners af te dwingen. Bovendien hebben Partners van IDEXX het recht om deze Gegevensbeschermingsovereenkomst af te dwingen alsof deze Partners partijen waren in deze Gegevensbeschermingsovereenkomst.
5 Verwerking van de Persoonsgegevens
5.1 De Appendices bij deze Gegevensbeschermingsovereenkomst bevatten een beschrijving van de verwerkingsactiviteiten. De Partijen houden een afdoende beschermd schriftelijk of elektronisch bestand bij van alle categorieën van verwerkingsactiviteiten die worden uitgevoerd, overeenkomstig het toepasselijke recht, voor zover een dergelijk bestand geen onderdeel uitmaakt van deze Gegevensbeschermingsovereenkomst.
5.2 De Klant garandeert dat de verwerking van de Persoonsgegevens overeenkomstig het toepasselijke recht gebeurt of zal gebeuren. De Klant zal op eerste verzoek van IDEXX onverwijld alle relevante gevraagde informatie bezorgen aan IDEXX in schriftelijke vorm, hetgeen ook in elektronische vorm kan zijn. IDEXX is niet verantwoordelijk of aansprakelijk voor naleving van de verplichtingen van de Klant overeenkomstig het toepasselijke recht, inclusief en zonder beperkingen op de verplichtingen van de Klant ten aanzien van de eigen klanten of cliënten, zoals de verplichting van de Klant om zijn klanten of cliënten te informeren over de ontvangers van hun Persoonsgegevens.
5.3 Rekening houdende met de aard van de gegevensverwerking en de informatie die ter beschikking staat van de Partijen, zullen de Partijen elkaar alle nodige hulp verlenen om de verplichtingen in hoofde van de Partijen na te komen overeenkomstig het toepasselijke recht, in het bijzonder de verplichtingen inzake de beveiliging van Persoonsgegevens, regels betreffende kennisgeving over Inbreuken in verband met persoonsgegevens, informatieplichten en gegevensbeschermingseffectbeoordelingen, inclusief voorafgaande raadpleging van de Toezichthoudende Autoriteit.
DEEL B - Gegevensverwerker
6 Verwerking van de Persoonsgegevens als gegevensverwerker
6.1 IDEXX zal Persoonsgegevens alleen verwerken namens de Klant en overeenkomstig de gedocumenteerde instructies van de Klant, inclusief met betrekking tot doorgifte van Persoonsgegevens aan derde landen. IDEXX zal de Klant onverwijld inlichten indien, naar haar oordeel, de instructies van de Klant een inbreuk vormen op het toepasselijke recht. IDEXX zal geen onafhankelijke zeggenschap hebben met betrekking tot de Persoonsgegevens die zij verwerkt. IDEXX zal geen Persoonsgegevens verwerken voor haar eigen voordeel of doeleinden of die van een derde, of voor andere doeleinden, tenzij anderszins vereist door het toepasselijke recht.
6.2 De Appendices vermelden de (groepen) Werknemers van IDEXX en/of andere personen die door IDEXX worden ingezet die mogelijk toegang tot Persoonsgegevens hebben en beschrijven de soorten Persoonsgegevens en de dataverwerkingsactiviteiten die deze personen mogen verrichten; andere verwerkingsactiviteiten zijn uitdrukkelijk verboden. IDEXX zal erop toezien dat dergelijke personen zich verbonden hebben tot vertrouwelijkheid voor zover deze personen niet gebonden zijn door een toepasselijke wettelijke geheimhoudingsplicht. IDEXX zal erop toezien dat deze Werknemers of andere door haar ingezette personen alle in deze Gegevensbeschermingsovereenkomst opgenomen verplichtingen en de Overeenkomst zullen naleven.
7 Onderaannemers
7.1 IDEXX kan mogelijk werken met onderaannemers (sub-gegevensverwerkers). Informatie over de onderaannemers van IDEXX, inclusief hun rol en locaties, is beschikbaar op xxx.xxxxx.xx/xxxx (die mogelijk van tijd tot tijd kan worden bijgewerkt door IDEXX). IDEXX zal de Klant op een door IDEXX bepaalde wijze op de hoogte brengen over eventuele voorgenomen wijzigingen over de toevoeging of vervanging van dergelijke onderaannemers. De Klant kan bezwaar maken tegen een nieuwe onderaannemer door de Overeenkomst te beëindigen als hij IDEXX daarvan schriftelijk op de hoogte stelt, op voorwaarde dat de Klant dergelijk schrijven richt tot IDEXX binnen de 60 dagen nadat IDEXX de Klant heeft geïnformeerd over de aanstelling van de onderaannemer. Dit beëindigingsrecht is het uitsluitende en enige rechtsmiddel als de Klant een bezwaar maakt tegen een nieuwe onderaannemer.
7.2 In het geval van een onderaanbesteding voor verwerkingsactiviteiten van persoonsgegevens, (a) zal IDEXX een geschreven sub-gegevensverwerkingsovereenkomst sluiten en bekrachtigen met de onderaannemer, met inbegrip van privacy- en gegevensbeschermingsverplichtingen die minimaal even strikt zijn als deze die zijn opgenomen in deze Gegevensbeschermingsovereenkomst; en (b) zal IDEXX verantwoordelijk en aansprakelijk blijven voor het vervullen van de verplichtingen van deze Overeenkomst, deze Gegevensbeschermingsovereenkomst, en het toepasselijke recht.
8 Beveiligingsmaatregelen
8.1 IDEXX zal toepasselijke technische en organisatorische beveiligingsmaatregelen treffen om een geschikt beveiligingsniveau te verzekeren in verhouding tot de Persoonsgegevens, inter alia met betrekking tot de verplichting van de verwerkingsverantwoordelijke om te antwoorden op verzoeken van Xxxxxxxxxxx die hun rechten uitoefenen. De technische en organisatorische beveiligingsmaatregelen die moeten worden geïmplementeerd door IDEXX, rekening houdende met de stand van de techniek, de kosten van de implementatie en de aard, de omvang, de context en het doel van de verwerking, alsook het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personen, worden beschreven in de Security Appendix. IDEXX kan haar beveiligingsmaatregelen van tijd tot tijd vernieuwen of wijzigen, op voorwaarde dat dergelijke vernieuwingen en wijzigingen het algemene beveiligingsniveau van de diensten niet verlaagt.
8.2 IDEXX zal haar technische en organisatorische beveiligingsmaatregelen op regelmatige basis beoordelen en de maatregelen waar nodig aanpassen. Op schriftelijk verzoek van de Klant zal IDEXX de Klant een vertrouwelijk rapport bezorgen met de samenvatting van de beoordeling van IDEXX van haar beveiligingsmaatregelen.
9 Kennisgeving van Inbreuken in verband met persoonsgegevens
9.1 IDEXX zal adequate procedures handhaven om alle Inbreuken in verband met persoonsgegevens te detecteren en er op te reageren overeenkomstig het toepasselijke recht.
9.2 De verplichting van IDEXX om de klant te informeren over Inbreuken in verband met persoonsgegevens en om te reageren op een Inbreuk houdt geen erkenning in van enig defect of aansprakelijkheid van IDEXX met betrekking tot die Inbreuk in verband met persoonsgegevens.
9.3 Zodra IDEXX een Inbreuk in verband met persoonsgegevens detecteert waarvan de Klant nog niet op de hoogte is, zal IDEXX de Klant zonder onredelijke vertraging hierover informeren op een door IDEXX bepaalde wijze. IDEXX zal de contactpersoon van de Klant contacteren die werd opgegeven in verband met de diensten.
9.4 Als de Klant zelf op de hoogte is van een Inbreuk in verband met persoonsgegevens die relevant is voor de levering van de door IDEXX geleverde Diensten, zal de Klant IDEXX zonder onredelijke vertraging hierover informeren, inclusief welke maatregelen werden genomen of zullen worden genomen door de Klant.
9.5 Bij het detecteren van een Inbreuk in verband met persoonsgegevens door IDEXX zal IDEXX alle redelijke feedback aan de Klant bezorgen over de mogelijke impact van de Inbreuk op de Klant en de Betrokkenen die wezenlijke gevolgen ondervinden door de Inbreuk. De feedback bevat een beschrijving van de aard en de omvang van de Inbreuk in verband met persoonsgegevens, de geplande en reeds genomen maatregelen om schade te vermijden.
9.6 Op verzoek van de Klant zal IDEXX ook redelijke bijstand verlenen bij het samenstellen van de relevante documentatie met betrekking tot de Inbreuk in verband met persoonsgegevens. De Klant zal echter verantwoordelijk blijven om de verplichting na te komen betreffende het bijhouden van een intern overzicht van de Inbreuken in verband met persoonsgegevens die zich hebben voorgedaan.
9.7 Als de Klant aan IDEXX verzoekt om de Betrokkene(n) die wezenlijke gevolgen heeft/hebben ondervonden en/of de Toezichthoudende Autoriteit te informeren over de Inbreuk in verband met persoonsgegevens, zal IDEXX dit alleen doen na ontvangst van een geschreven en volledige instructie van de Klant. Dit leidt niet tot het ontstaan van enige verantwoordelijkheid of aansprakelijkheid in hoofde van IDEXX met betrekking tot de (kennisgeving over) de Inbreuk in verband met persoonsgegevens.
10 Auditrechten van de Klant
1 0 . 1 De Klant mag op eigen kosten en na voorafgaande raadpleging van IDEXX een audit uitvoeren over het Gegevensverwerkingssysteem om te onderzoeken of de redelijke technische en organisatorische beveiligingsmaatregelen die werden getroffen met betrekking tot de Persoonsgegevens die worden verwerkt in de context van deze Gegevensbeschermingsovereenkomst in lijn zijn met de in artikel 8 beschreven maatregelen.
1 0 . 2 IDEXX zal alle redelijkerwijs noodzakelijke informatie beschikbaar stellen aan de Klant om aan te tonen dat de verplichtingen van de Klant worden nageleefd om een gegevensverwerkingsovereenkomst af te sluiten die in lijn is met de relevante vereisten overeenkomstig het toepasselijke recht, en zal audits, inclusief inspecties die worden uitgevoerd door de Klant of aan auditor met een mandaat van de Klant, toelaten en eraan meewerken. Na raadpleging van IDEXX mag de Klant een derde partij (expert) aanstellen om haar auditrechten uit te voeren, op voorwaarde dat deze derde partij zal gebonden zijn door een geheimhoudingsplicht.
1 0 . 3 De uitvoering van een audit door de Klant of aan auditor met een mandaat van de Klant zal geen vertraging mogen veroorzaken in de zakelijke activiteiten van IDEXX of een van haar onderaannemers.
11 Doorgifte van Persoonsgegevens
1 1 . 1 IDEXX kan Persoonsgegevens doorgeven naar of opslaan in haar vestigingen in de Verenigde Staten. IDEXX certificeert dat het de bepalingen van het EU-US Privacy Shield naleeft en dat de doorgifte van Persoonsgegevens naar de vestigingen van IDEXX in de Verenigde Staten valt binnen de reikwijdte van deze certificering.
1 1 . 2 Als IDEXX beoogt om Persoonsgegevens door te geven aan een niet-EER-entiteit, zal IDEXX de Klant hiervan op de hoogte stellen. IDEXX brengt de Klant hierbij van dit voornemen op de hoogte voor zover de in artikel 7 van deze Gegevensbeschermingsovereenkomst bedoelde onderaannemers niet-EER- entiteiten zijn.
1 1 . 3 De doorgifte naar een niet-EER-entiteit kan mogelijk zijn gelegitimeerd op basis van het EU-US Privacy Shield, als het een doorgifte betreft naar een Amerikaanse entiteit die een zelfcertificeringsverklaring heeft uitgegeven krachtens het EU-US Privacy Shield en de doorgifte valt binnen de reikwijdte van deze certificering.
1 1 . 4 Afhankelijk van de situatie kan de doorgifte naar een niet-EER-entiteit mogelijk ook zijn gelegitimeerd op basis van de ongewijzigde Standaardcontractbepalingen verwerkingsverantwoordelijke-naar- gegevensverwerker die door de EU worden aanbevolen. Deze Standaardcontractbepalingen zonder optionele clausules zullen worden geacht hierin door middel van verwijzing te zijn opgenomen en van toepassing te zijn tussen de Klant en de niet-EER-entiteit, indien en voor zover Persoonsgegevens waarop de wetgeving inzake de bescherming van persoonsgegevens van een lidstaat van de EER van toepassing is, worden doorgegeven van de EER naar een niet-EER-entiteit. De toepasselijke Standaardcontractbepalingen die hierin overeenkomstig dit artikel zijn opgenomen, is overeengekomen voor of namens de niet-EER-entiteit door IDEXX die optreedt als de advocaat van de niet-EER-entiteit.
1 1 . 5 Geen enkele bepaling in (de hoofdtekst van) de Overeenkomst of deze Gegevensbeschermingsovereenkomst zal worden verondersteld voorrang te hebben over enige conflicterende bepaling van de Standaardcontractbepalingen. De Klant verklaart dat de mogelijkheid werd geboden om de Standaardcontractbepalingen na te kijken of een volledige versie te bekomen van IDEXX.
12 Verzoeken van Betrokkenen
IDEXX zal alle redelijkerwijs mogelijke ondersteuning bieden om het de Klant mogelijk te maken zijn verplichtingen als verwerkingsverantwoordelijke na te komen als een Betrokkene bepaalde van zijn/haar rechten uitoefent overeenkomstig het toepasselijke recht.
DEEL C - Verwerkingsverantwoordelijke
13 IDEXX treedt (samen) op als verwerkingsverantwoordelijke
Voor zover IDEXX de doelen van en de middelen voor de verwerking van Persoonsgegevens (al dan niet samen) met de Klant bepaalt, zal IDEXX (samen) optreden als verwerkingsverantwoordelijke met betrekking tot die verwerkingsactiviteiten die in de betreffende Appendix zijn omschreven.
14 Informatieplichten ten aanzien van Betrokkenen en Rechten van de Betrokkenen
1 4 . 1 In het geval van een gezamenlijke verwerkingsverantwoordelijkheid zal de Klant de Betrokkenen informeren over de verwerking van hun Persoonsgegevens en de essentie van de regeling tussen de
Partijen hieromtrent overeenkomstig met de door IDEXX geleverde (of te leveren) instructies. De Klant garandeert dat hij de Betrokkenen zal informeren volgens de instructies van IDEXX en IDEXX onmiddellijk alle schriftelijke informatie zal bezorgen met betrekking tot deze garantie.
1 4 . 2 De Partijen zullen ook volledige medewerking aan elkaar verlenen zodat beide Partijen hun wettelijke verplichtingen als verwerkingsverantwoordelijke kunnen nakomen als een Betrokkene zijn/haar rechten uitoefent overeenkomstig het toepasselijke recht.
1 4 . 3 De Partijen erkennen dat ongeacht de bepalingen van de Gegevensbeschermingsovereenkomst, de Betrokkenen niet verstoken mogen zijn van de uitoefening van hun rechten ten aanzien van de Partijen overeenkomstig het toepasselijke recht.
DEEL D - Algemeen
15 Kosten
1 5 . 1 De kosten die IDEXX mogelijk maakt om haar verplichtingen onder deze Gegevensbeschermingsovereenkomst na te komen (bijvoorbeeld, door het verlenen van ondersteuning aan de Klant bij het antwoorden op verzoeken van betrokkenen), kan tot gevolg hebben dat IDEXX de Klant meerwerk zal factureren. In voorkomend geval zal IDEXX de Klant hierover informeren.
16 Vrijwaring
1 6 . 1 De Klant zal IDEXX volledig vrijwaren voor aanspraken door een derde partij, inclusief door een van de Betrokkenen, ingesteld tegen IDEXX ten gevolge van een inbreuk op het toepasselijke recht, die kan worden teruggevoerd op de Klant of enige van zijn werknemers of aannemers.
17 Duur en Beëindiging
1 7 . 1 Deze Gegevensbeschermingsovereenkomst treedt in werking op de dag waarop IDEXX een eerste verwerking van Persoonsgegevens verricht namens de Klant in het kader van de uitvoering van de Overeenkomst.
1 7 . 2 Deze Gegevensbeschermingsovereenkomst blijft van kracht voor de duur van de Overeenkomst. In het geval dat de Overeenkomst wordt beëindigd, wordt deze Gegevensbeschermingsovereenkomst van rechtswege ook beëindigd, zonder dat daarbij verdere juridische actie nodig is.
1 7 . 3 Behalve als er een minimale wettelijke periode is dat IDEXX de Persoonsgegevens dient te bewaren, zal IDEXX bij het beëindigen van deze Gegevensbeschermingsovereenkomst of op een eerdere datum als de Klant bepaalt dat de Persoonsgegevens of een deel daarvan niet meer vereist zijn om de Diensten te leveren, ervoor zorgen dat naar keuze van de Klant, (i) de Persoonsgegevens worden terugbezorgd of geleverd aan de Klant, of (ii) dat de Persoonsgegevens worden vernietigd, op schriftelijk verzoek van de Klant, hetgeen ook in elektronische vorm kan zijn. Het terugbezorgen of vernietigen zal plaatsvinden binnen de 90 dagen na dergelijke beëindiging of op verzoek van de Klant, zoals van toepassing.
1 7 . 4 IDEXX verbindt zich ertoe om onverwijld alle verwerkingen van (de relevante) Persoonsgegevens stop te zetten en te beëindigen na het leveren, bezorgen of vernietigen van de Persoonsgegevens.
1 7 . 5 Elke verplichting ten gevolge van deze Gegevensbeschermingsovereenkomst die vanwege haar aard een postcontractuele werking heeft, zal van toepassing blijven na de beëindiging van deze Gegevensbeschermingsovereenkomst.
18 Afwijkingen en Heronderhandeling
1 8 . 1 Afwijkingen van en toevoegingen aan deze Gegevensbeschermingsovereenkomst zullen alleen geldig zijn indien deze schriftelijk en uitdrukkelijk zijn overeengekomen.
1 8 . 2 De Klant zal IDEXX onverwijld informeren over alle wijzigingen die relevant zijn of zouden kunnen zijn voor de Overeenkomst en de verwerking van de Persoonsgegevens.
1 8 . 3 De Partijen hebben het recht om deze Gegevensbeschermingsovereenkomst te heronderhandelen als dit redelijkerwijs een gevolg zou zijn van veranderende omstandigheden.
1 8 . 4 Als deze Gegevensbeschermingsovereenkomst wordt vertaald naar andere talen, zal de Engelse tekst als authentiek worden beschouwd ten behoeve van de interpretatie of in geval van conflict of tegenstrijdigheid tussen de verschillende vertalingen.
Bijlage A
Diensten van IDEXX gedekt door deze Gegevensbeschermingsovereenkomst | Overeenkomst | Appendices van toepassing |
VetConnect® PLUS | VetConnect® PLUS Gebruiksvoorwaarden | Appendix A |
SmartServiceTM | SmartServiceTM Overeenkomst | Appendix B |
Appendix A: VetConnect® PLUS
Beschrijving van de diensten: VetConnect® PLUS | |||
I | Beschrijving van de verwerkingsactiviteiten waarvoor IDEXX optreedt als gegevensverwerker | 1. | Rapportage en gecombineerde presentatie van resultaten van online laboratorium- en in-house diagnostieken, laboratoriumbestellingen, verzoeken tot consultatie van klinieken, voorstelling van elektronische afbeeldingen en afdrukken en delen (inclusief via e-mail) van samenvattingen en diagnostieken met eigenaars van huisdieren. De Klant analyses aanbieden van de prestaties of het gebruik van de dienst, ofwel op stand-alone basis door de Klant of in vergelijking met andere, niet-geïdentificeerde klinieken. Controle, oplossen van problemen en diagnosticeren van de dienst. Opslag en reservekopie van de gegevens van de Klant. |
2. | Alle toekomstige eigenschappen, modules en add-ons zoals beschreven op xxxxx.xxx, van tijd tot tijd bijgewerkt. | ||
II | Beschrijving van de verwerkingsactiviteiten waarvoor IDEXX (samen) optreedt als verwerkingsverantwoordelijke | 1. | Uitvoeren van geaggregeerde, gepseudonimiseerde marktanalyses door middel van ruwe gegevens die niet toelaten om een natuurlijke persoon direct te identificeren, die werden verkregen via de Diensten en worden gebruikt om te anticiperen op de noden van de Klanten en knowhow te verwerven die dierenartsenpraktijken in het algemeen ten goede zullen komen en om professionele diensten en medische opleiding aan te bieden aan de veterinaire sector. Analyse van het gebruik van de dienst voor het verbeteren van de gebruikservaring, productverbeteringen en productuitbreidingen. |
I Details over de verwerkingsactiviteiten waarvoor IDEXX optreedt als gegevensverwerker – VetConnect® PLUS | |||||
Doelen van de gegevensverwerking sactiviteiten | Duur van de gegevensverwerking | Categorieën van Betrokkenen | (Soorten) Persoonsgegevens die worden verwerkt door IDEXX | (Groepen) Werknemers of andere personen die worden ingezet door IDEXX die (mogelijk) toegang hebben tot de Persoonsgegevens | (Groepen) Werknemers of andere personen die worden ingezet door IDEXX die (mogelijk) toegang hebben tot de Persoonsgegevens |
Software | Zoals beschreven in Artikel 17, de minimale wettelijke periode die van toepassing is op de bewaring van Persoonsgegevens door IDEXX. | Klant, Werknemers van de Klant, eigenaren van huisdieren | Voornaam en Familienaam; e- mailadres; naam kliniek; e-mailadres; en fysiek adres | A Software engineering-groep B Ontwikkeling Operaties C Verkoopgroep D Medische Consulting-groep | A & B: Verzamelen Vastleggen Ordenen Structureren Opslaan Bijwerken/wijzigen Opvragen Raadplegen Gebruiken Verstrekken door middel van doorzending Verspreiden Afschermen Wissen/vernietigen Controle/oplossen van problemen Aligneren/combineren Analyse/segmentatie C & D: Opvragen Raadplegen Gebruiken Verstrekken door middel van doorzending Verspreiden Controle/ Oplossen van problemen |
Klantendiensten | Zoals beschreven in Artikel 17, de minimale wettelijke periode die van toepassing is op de bewaring van Persoonsgegevens door IDEXX. | Klant, Werknemers van de Klant, eigenaren van huisdieren | Voornaam en Familienaam; e- mailadres; naam kliniek; e-mailadres; en fysiek adres | A Training B Klantendienst | A & B: Verzamelen Ordenen Structureren Opslaan Bijwerken/Wijzigen Opvragen Raadplegen Gebruiken Verstrekken door middel van doorzending Verspreiden Afschermen Wissen/vernietigen Controle/oplossen van problemen Analyse/segmentatie |
II Details over de verwerkingsactiviteiten waarvoor IDEXX samen optreedt als verwerkingsverantwoordelijke – VetConnect® PLUS | ||||
Doelen van de | Duur van de | Categorieën | (Soorten) | De |
gegevensverwerkingsactiviteiten | gegevensverwerking | van | Persoonsgegevens | verwerkingsverantwoordelijke |
Betrokkenen | die worden verwerkt | en zijn respectieve | ||
door IDEXX | verplichtingen ten aanzien van | |||
de Betrokkenen | ||||
Marktanalyse* | Ruwe gegevens worden, onmiddellijk nadat deze werden geanalyseerd, omgevormd naar geaggregeerde gegevens. Geaggregeerde gegevens worden bewaard voor de toepasselijke minimale wettelijke bewaarperiode. | Klant | Ruwe gegevens die niet toelaten om een natuurlijke persoon direct te identificeren, zoals: Naam van Klant (kliniek), ziekte, ras en leeftijd van het huisdier. Geaggregeerde gegevens die worden bekomen uit uitgevoerde analyses op de ruwe gegevens, zoals correlaties tussen bepaalde rassen en ziekten. | IDEXX is gezamenlijk verwerkingsverantwoordelijke voor de marktanalyses die worden uitgevoerd op de Persoonsgegevens. In dit verband mogen Betrokkenen hun rechten uitoefenen overeenkomstig het toepasselijke recht ten aanzien van IDEXX, zoals hun recht van inzage, rectificatie, wissing, beperking, overdraagbaarheid van gegevens en bezwaar. |
*Deze gegevensverwerkingsactiviteit beschrijft het tijdstip waarop de geaggregeerde gegevens, die niet toelaten om een natuurlijke persoon direct te identificeren, nog niet werden geanonimiseerd. Nadat deze verwerkingsactiviteit plaatsvindt, worden de geaggregeerde gegevens geanonimiseerd
Appendix B: SmartServiceTM
Beschrijving van de Diensten: SmartServiceTM | |||
I | Beschrijving van de verwerkingsactiviteiten waarvoor IDEXX optreedt als gegevensverwerker | 1. | Diagnose van problemen, oplossen van problemen, bewaking vanop afstand, voorspellende analyse en service op de IDEXX diagnostische apparatuur van de Klant en de verbonden apparaten. Upgrades van uw IDEXX apparatuursoftware en de software binnen gekoppelde apparaten. De voorafgaande verwerkingsactiviteiten kunnen vanop afstand plaatsvinden door middel van software voor apparaatrelatiebeheer (device relationship management) of op apparatuur of opslagapparatuur die aan IDEXX worden terugbezorgd voor herstelling of revisie. De Klant analyses aanbieden van de prestaties of het gebruik van de dienst, ofwel op stand-alone basis door de Klant of in vergelijking met andere, niet-geïdentificeerde klinieken. Controle, oplossen van problemen en diagnosticeren van de dienst. Opslag en reservekopie van de gegevens van de Klant. |
2. | Alle toekomstige eigenschappen, modules en add-ons zoals beschreven op xxxxx.xxx, van tijd tot tijd bijgewerkt. | ||
II | Beschrijving van de verwerkingsactiviteiten waarvoor IDEXX (samen) optreedt als verwerkingsverantwoordelijke | 1. | Uitvoeren van geaggregeerde, gepseudonimiseerde marktanalyses door middel van ruwe gegevens die niet toelaten om een natuurlijke persoon direct te identificeren, die werden bekomen van de Diensten en worden gebruikt om te anticiperen op de noden van de Klanten en knowhow te verwerven die dierenartsenpraktijken in het algemeen ten goede zullen komen en om professionele diensten en medische opleiding aan te bieden aan de veterinaire sector. Analyse van het gebruik van de dienst voor het verbeteren van de gebruikservaring, productverbeteringen en productuitbreidingen. |
I Details over de verwerkingsactiviteiten waarvoor IDEXX optreedt als gegevensverwerker - SmartServiceTM | |||||
Doelen van de | Duur van de | Categorieën | (Soorten) | (Groepen) | Gegevensverwerkings |
gegevensverwerkingsac | gegevensverwerking | van | Persoonsgegev | Werknemers of | activiteiten die deze |
tiviteiten | Betrokkenen | ens die worden | andere | personen mogelijk | |
verwerkt door | personen die | zullen verrichten met | |||
IDEXX | worden ingezet | de Persoonsgegevens | |||
door IDEXX die | |||||
(mogelijk) | |||||
toegang | |||||
hebben tot de | |||||
Persoonsgegev | |||||
ens | |||||
Oplossen van problemen | Zoals beschreven in Artikel 17, de minimale wettelijke periode die van toepassing is op de bewaring van Persoonsgegevens door IDEXX. | Klant, Werknemers van de Klant, eigenaar van huisdieren | Voornaam en familienaam van de eigenaar van het huisdier; voornaam en familienaam van de werknemer van de kliniek | A Software engineering- groep B Ontwikkeling Operaties C Verkoopgroep D Medische Consulting-groep E Klantendienst | A&B: Verzamelen Vastleggen Ordenen Structureren Opslaan Bijwerken/Wijzigen Opvragen Raadplegen Gebruiken Verstrekken door middel van doorzending Verspreiden Afschermen Wissen/vernietigen Controle/ Oplossen van problemen |
C, D & E: Opvragen Raadplegen Gebruiken Verstrekken door middel van doorzending Verspreiden Controle/oplossen van problemen | |||||
II Details over de verwerkingsactiviteiten waarvoor IDEXX samen optreedt als verwerkingsverantwoordelijke - SmartServiceTM | ||||
Doelen van de | Duur van de | Categorieën van | (Soorten) | De |
gegevensverwerkingsactiviteiten | gegevensverwerking | Betrokkenen | Persoonsgegevens | verwerkingsverantwoordelijke |
die worden verwerkt | en zijn respectieve | |||
door IDEXX | verplichtingen ten aanzien | |||
van de Betrokkenen | ||||
Marktanalyse* | Ruwe gegevens worden, onmiddellijk nadat deze werden geanalyseerd, omgevormd naar geaggregeerde gegevens. Geaggregeerde gegevens worden bewaard voor de toepasselijke minimale wettelijke bewaarperiode. | Eigenaar van huisdier, Klant | Ruwe gegevens die niet toelaten om een natuurlijke persoon direct te identificeren, gehaald uit een IDEXX-apparaat, zoals ras, leeftijd van een huisdier, diagnostische resultaten Geaggregeerde gegevens die worden bekomen uit uitgevoerde analyses op de ruwe gegevens, zoals correlaties tussen bepaalde rassen en diagnostische resultaten. | IDEXX is gezamenlijk verwerkingsverantwoordelijke voor de marktanalyses die worden uitgevoerd op de Persoonsgegevens. In dit verband mogen Betrokkenen hun rechten uitoefenen overeenkomstig het toepasselijke recht ten aanzien van IDEXX, zoals hun recht van inzage, rectificatie, wissing, beperking, overdraagbaarheid van gegevens en bezwaar. |
*Deze gegevensverwerkingsactiviteit beschrijft het tijdstip waarop de geaggregeerde gegevens, die niet toelaten om een natuurlijke persoon direct te identificeren, nog niet werden geanonimiseerd. Nadat deze verwerkingsactiviteit plaatsvindt, worden de geaggregeerde gegevens geanonimiseerd.
Appendix Beveiliging
Fysieke toegangscontrole
Maatregelen om te verzekeren dat onbevoegde personen geen fysieke toegang zullen hebben tot systemen die worden gebruikt voor de verwerking van Persoonsgegevens.
• bewakingsagenten, portiers
• elektronische toegangssystemen die gebruik maken van elektronische toegangspassen
• videosurveillance (IP-camera’s)
• beveiligingscontroles voor bezoekers
Systeemtoegangscontroles
Maatregelen om te vermijden dat onbevoegden gegevensverwerkingssystemen zonder de nodige autorisaties kunnen gebruiken:
• richtlijnen voor wachtwoorden (inclusief complexiteit, minimale lengte, hergebruik van wachtwoorden en minimale leeftijd van wachtwoorden)
• automatisch afmelden of met wachtwoord beveiligde schermbeveiliging na een periode zonder gebruikersactiviteit
• toegangsauthenticatie en -autorisatie
• firewall, antivirusbescherming
• opsporing/preventie van binnendringing
• logging van toegang
Gegevenstoegangscontrole
Maatregelen om te verzekeren dat personen die geautoriseerd zijn om gegevensverwerkingssystemen te gebruiken, alleen toegang hebben tot de voor hen noodzakelijke gegevens en dat Persoonsgegevens niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd zonder de nodige autorisatie tijdens de verwerking en het gebruik en nadien:
• toegangscontroleconcept (toegangsrechten beperkt door profielen en rollen)
• documentatie van toegangsrechten
• goedkeuring en toekenning van toegangsrechten enkel door bevoegd personeel
Gegevensoverdrachtscontrole
Maatregelen om te verzekeren dat Persoonsgegevens niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd zonder de nodige autorisatie tijdens de elektronische overdracht of transport of terwijl deze worden opgeslagen op media voor gegevensopslag en dat het mogelijk is om te garanderen en verifiëren welke instanties Persoonsgegevens met gebruik van de volgende gegevensoverdrachtsfaciliteiten mogen uitvoeren:
• overdrachtsversleuteling (TLS of VPN)
Gegevensinvoercontrole
Maatregelen om te verzekeren dat het mogelijk is om na de feiten te controleren en te garanderen of er Persoonsgegevens werden ingevoerd, gewijzigd of verwijderd in of uit gegevensverwerkingssystemen en indien dit het geval is, door wie:
• Gegevens zijn hoofdzakelijk alleen-lezen voor rapportagedoeleinden zodra deze zijn opgeslagen in het datacenter van IDEXX
Gegevensverwerkerscontroles
Maatregelen om te verzekeren dat Persoonsgegevens die namens anderen worden verwerkt, strikt volgens de instructies van de Verwerkingsverantwoordelijke worden verwerkt:
• schriftelijke gegevensverwerkingsovereenkomsten (verplicht)
Beschikbaarheidscontrole
Maatregelen om te verzekeren dat Persoonsgegevens worden beschermd tegen onopzettelijke vernietiging of verlies:
• reservekopie in aparte locatie
• concept bedrijfscontinuïteit/calamiteitenherstel
• onderbrekingsvrije stroomverzorging (UPS)
• Speciale generator voor het datacenter met verschillende toeleveringscontracten voor brandstof
• branddetectie- en bestrijdingsmiddelen
• waterdetectie
• redundante airconditioning
Gegevensscheiding
Maatregelen om te verzekeren dat de voor andere doeleinden verzamelde gegevens op een aparte manier kunnen worden verwerkt:
• duidelijke logische scheiding van gegevens van de gegevens van andere Verwerkingsverantwoordelijken (afzonderlijke gegevensverzamelingen)