Privacybeleid
Inleiding
Dit is een Privacyverklaring voor Arjo Nederlands BV, dat integraal deel uitmaakt van de bedrijvengroep Arjo en zich specifiek toelegt op onze zakelijke belangen in Nederlands. Deze Privacyverklaring heeft betrekking op de verwerking van persoonsgegevens van vertegenwoordigers, klanten, leveranciers, leads en gebruikers van het Arjo Academy Platform. Arjo Nederlands BV verstrekt informatie aan de relevante belanghebbenden over het wie, wat, waarom, wanneer, waar en hoe van onze gegevensverwerkingsactiviteiten en beschrijft welke rechten personen hebben met betrekking tot deze verwerkingsactiviteiten.
Wie verwerkt de persoonsgegevens?
Zoals hierboven vermeld, is de verwerkingsverantwoordelijke voor de verwerking van uw persoonsgegevens Arjo Nederlands BV. Om deze verklaring beter leesbaar te maken, wordt Arjo Nederlands BV in de rest van dit document Arjo genoemd. Als u vragen of opmerkingen hebt over uw persoonsgegevens, kunt u contact opnemen met ons, de verwerkingsverantwoordelijke, via onderstaande gegevens:
Arjo Nederlands BV
Biezenwei 21, 4004 MB Tiel
Arjo wil de regels naleven in alles wat we doen. Aarzel dus niet om contact met ons op te nemen wanneer u dat nodig acht, zodat we samen met u eventuele opmerkingen of problemen kunnen bespreken. We hebben een lokale Data Protection Lead aangesteld die u ook kan helpen bij al uw vragen. Voor Arjo Nederlands BV is dit:
James Stone
Data Compliance Manager
Welke persoonsgegevens verwerken wij?
Het soort persoonsgegevens dat we over u verwerken, hangt af van het soort betrokkene en de aard van onze relatie met u. De verwerking van uw persoonsgegevens kan het volgende omvatten:
Vertegenwoordigers, leveranciersvertegenwoordigers, leads, prospects en contacten:
- Identificatiegegevens
- Naam
- Functietitel
- Contactgegevens
- Telefoon
- Locatiegegevens
- Adres
- IP-adres
- Financiële gegevens
- Bankgegevens
Leads en prospects:
- Identificatiegegevens
- Naam
- Functietitel
- Contactgegevens
- Telefoon
- Locatiegegevens
- Adres
Webinar platform gebruikers:
- Identificatiegegevens
- Naam
- Functietitel
- Contactgegevens
- Locatiegegevens
- Adres
- IP-adres
- Audio / visuele gegevens
- Foto's (alleen indien verstrekt door de platform gebruiker).
Let op, de verwerkte contact- en locatie-informatie heeft betrekking op gegevens die in een professionele hoedanigheid worden gebruikt en kan direct van u komen of van de faciliteit waarvoor u werkt. In sommige gevallen verstrekken klanten ons patiëntinformatie die alleen wordt verwerkt waar nodig om het doel te vervullen waarvoor het werd verstrekt.
Waarom verwerken we persoonsgegevens?
Arjo verwerkt persoonsgegevens om de hieronder vermelde redenen.
Vertegenwoordigers van klanten, contactpersonen en leveranciers:
- De productie en distributie van onze producten en apparatuur beheren via onze logistieke toeleveringsketen.
- Om bestellingen en verzoeken van onze klanten uit te voeren en om vertegenwoordigers van klanten te ondersteunen bij klachten, problemen of het afhandelen van claims.
- Om onze wettelijke, regelgevende en statutaire verplichtingen te beheren en accurate en betrouwbare administratieve en boekhoudkundige gegevens bij te houden, waaronder het beheer van vragen, bezorgdheden en onderzoeken.
Leads en prospects:
- Het nastreven van onze commerciële belangen via marketingactiviteiten.
Er wordt geen geautomatiseerde besluitvorming ondernomen, met uitzondering van het monitoren van het succes van marketingactiviteiten en bij het gebruik van het MyArjo-portaal. Dit omvat het genereren van een profiel op basis van het gebruik van onze online bronnen dat een evaluatie uitvoert. Deze informatie wordt alleen gebruikt om beter te informeren hoe Arjo u kan ondersteunen en de lay-out van het MyArjo-portaal te beheren. De informatie wordt alleen voor deze doeleinden gebruikt en er worden geen individuele gegevensbeschermings- of wettelijke rechten geschonden in dit proces. Elke evaluatie is onderhevig aan menselijke beoordeling. Als u vragen of zorgen heeft over het mogelijke gebruik van geautomatiseerde besluitvorming, neem dan contact op met dataprivacy@arjo.com.
Welke rechtsgrond gebruiken wij voor de verwerking van persoonsgegevens?
Arjo verwerkt persoonsgegevens alleen als er een rechtsgrond is voor de verwerking. Voor de in deze privacyverklaring beschreven verwerking gebruikt Arjo de volgende wettelijke grondslag voor de verwerking:
Wettelijke grondslag voor de verwerking |
Verwerkingsactiviteiten |
Uw uitdrukkelijke toestemming. U kunt uw toestemming te allen tijde intrekken. U kunt dit doen door contact op te nemen met dataprivacy@arjo.com. |
Marketingactiviteiten, waaronder direct marketing. |
Wettelijke verplichting. |
Activiteiten gekoppeld aan onze regelgevende en statutaire verplichtingen. |
Gerechtvaardigde belangen. |
Marketingactiviteiten, waaronder het beheren van onze relatie met u als contactpersoon van Arjo. De verwerking van persoonsgegevens van klantenvertegenwoordigers is noodzakelijk om producten en apparatuur te beheren en te verdelen via onze logistieke toeleveringsketen en om bestellingen en verzoeken van onze klanten uit te voeren. |
Wanneer wij ons baseren op een wettelijke verplichting om de verwerking van uw persoonsgegevens te rechtvaardigen, doen wij dit om aan onze regelgevende en statutaire verplichtingen te voldoen. Dit is belangrijk om de kwaliteit van de diensten en producten te behouden waarop veel belanghebbenden vertrouwen.
Het kan ook gebeuren dat een gerechtvaardigd belang de gepaste rechtvaardiging is voor de verwerking van uw persoonsgegevens. In deze situatie hebben we een beoordeling van gerechtvaardigde belangen uitgevoerd waarbij we rekening houden met de behoeften, verwachtingen, rechten en vrijheden van alle partijen. Voordat we ons beroepen op een gerechtvaardigd belang, zorgen we ervoor dat onze belangen voldoende dwingend zijn en geen ongerechtvaardigde schade zullen veroorzaken.
Hoelang verwerken we uw persoonsgegevens?
We bewaren informatie zolang die nodig is om te voldoen aan de doeleinden waarvoor ze werd verzameld. De informatie kan voor een langere periode worden bewaard als dit vereist is door de toepasselijke wetgeving, zoals de EU-verordening betreffende medische hulpmiddelen. Arjo heeft routines opgesteld om ervoor te zorgen dat we geen onnodige informatie over u opslaan.
Informatie over vertegenwoordigers van klanten en contactpersonen:
- De meeste commerciële, klant- of financiële informatie met betrekking tot bijvoorbeeld aankoop, bestellingen en bestellingsoverzicht wordt gedurende vijf jaar bewaard.
- Als wereldwijde organisatie in een sterk gereguleerde sector moeten we informatie met betrekking tot productie, distributie, kwaliteit of prestaties van onze producten gedurende 15 jaar bewaren in overeenstemming met strikte Europese en wereldwijde regelgevende verplichtingen. De persoonsgegevens in deze registers blijven meestal beperkt tot persoonsgegevens met een laag risico, als er al persoonsgegevens zijn.
- Informatie over een klantendienstdossier wordt opgeslagen tot de zaak is opgelost en gedurende 15 jaar in een gedeïdentificeerd formaat bewaard.
- Informatie die wordt verzameld na toestemming wordt bewaard zolang die relevant is of niet later dan zes maanden nadat de toestemming is ingetrokken.
Informatie over prospects en leads:
- Informatie die wordt verzameld na toestemming wordt bewaard zolang die relevant is of niet later dan zes maanden nadat de toestemming is ingetrokken.
Waar verwerken we persoonsgegevens en aan wie geven we persoonsgegevens door?
We kunnen uw persoonsgegevens soms overdragen buiten de EU/EER via een bepaalde verwerker. Waar dit relevant is, zullen we trachten om persoonsgegevens alleen door te geven naar en te verwerken in landen waar een adequaatheidsbesluit is genomen. Dit betekent dat het wetgevingskader in het derde land hetzelfde niveau van rechtsbescherming biedt als een land binnen de EU/EER. Meer informatie over landen met een adequaatheidsbesluit vindt u op de website van het Europees Comité voor Gegevensbescherming. In sommige gevallen moeten we persoonsgegevens verwerken buiten deze landen, omdat we samenwerken met verwerkers die persoonsgegevens verwerken in India. In deze gevallen hebben we privacyeffectbeoordelingen en overdrachtseffectbeoordelingen uitgevoerd om passende aanvullende maatregelen te bepalen om te implementeren, voordat we overeenkomsten voor gegevensverwerking opstellen, met inbegrip van goedgekeurde contractuele standaardclausules. Indien de contractuele en organisatorische maatregelen nog ontoereikend zijn, zullen wij uw toestemming vragen om de voorgestelde verwerking uit te voeren.
We gebruiken verschillende systemen en platformen om de gegevens die we verwerken te beheren. Hieronder vindt u een lijst van de belangrijkste gegevensverwerkers:
- Advanced Applications.
- AWS.
- CEVA.
- Commerzbank.
- Digital Space.
- HubSpot.
- ON24.
- Salesforce.
- Tech Mahindra.
- Andere dochterondernemingen van de Arjo-groep als onderdeel van wereldwijde functies.
Daarnaast gebruiken we opslag- en productiviteitstools van Microsoft Office om persoonsgegevens te verwerken tijdens onze commerciële, productie-, logistieke, operationele, onderzoeks- en administratieve activiteiten.
We kunnen ook persoonsgegevens delen met partners en in overeenstemming met onze wettelijke of reglementaire verplichtingen. In ieder geval zullen gegevens alleen worden gedeeld in overeenstemming met een passende wettelijke grondslag voor de verwerking. Gegevensuitwisseling vindt vaak plaats na een privacyeffectbeoordeling en een overdrachtsrisicobeoordeling om ervoor te zorgen dat de nodige beveiligings- en controlemaatregelen zijn genomen voordat gegevens worden gedeeld.
Hoe verwerken we persoonsgegevens?
Arjo heeft de volgende maatregelen genomen met het oog op beveiliging en naleving bij de behandeling en verwerking van gegevens:
- Arjo heeft een IT-beleid, een Richtlijn Informatiebeveiliging, een Richtlijn Gegevensbescherming en een Richtlijn Aanvaardbaar Gebruik van IT-hulpmiddelen.
- Toegangsbeheer gebaseerd op het principe van het minste voorrecht met toegangsbeoordelingen uitgevoerd op kwartaalbasis. Bovendien krijgt elke gebruiker een unieke en individuele gebruikersnaam die niet wordt gedeeld.
- Administratieve toegang enkel gegeven aan systeem- en database-eigenaars die over de juiste vaardigheden en opleiding beschikken, gewoonlijk senior IT-personeel.
- Sterk veranderingsbeheerproces.
- Alle systemen waarvoor de hosting oplossing is bepaald door Arjo zijn alleen toegankelijk via onze VPN oplossing. In alle gevallen zijn alle gegevens en systemen versleuteld in rust en in transit en is een unieke gebruikersnaam en wachtwoord nodig om toegang te krijgen tot de gegevens waartoe elke gebruiker geautoriseerd is.
- Alle derden die systemen van Arjo hosten of gebruiken, worden jaarlijks onderworpen aan een risicobeoordeling.
- Arjo heeft ook een algemeen proces voor incidentmanagement dat wordt beheerd door ons servicemanagementteam.
- Patchmanagement; als onderdeel van ons servicemanagement.
- Pentesten en kwetsbaarheidsmanagement.
- IT-audits jaarlijks uitgevoerd door een derde partij.
Wat zijn uw rechten met betrekking tot deze gegevensverwerking?
Krachtens de wetgeving inzake gegevensbescherming hebt u onder meer de volgende rechten:
- Uw Uw recht op inzage – U hebt het recht ons te vragen om kopieën van uw persoonsgegevens die wij over u verwerken. Via deze kopie zult u begrijpen welke van uw persoonsgegevens we hebben en verwerken. Het recht op inzage is van toepassing wanneer een dossier informatie bevat waarmee een persoon kan worden geïdentificeerd en de informatie over hem/haar gaat. Dit betekent dat in documenten waarin u inzage hebt de persoonsgegevens van andere personen indien nodig zullen worden bewerkt om hun recht op privacy te beschermen. Uw persoonsgegevens worden bewerkt als iemand anders inzage vraagt in een dossier met uw persoonsgegevens. De wetgeving voorziet in andere uitzonderingen die van toepassing kunnen zijn, zoals voor dossiers waarin het wettelijke privilege moet worden nageleefd of indien in specifieke omstandigheden een geheimhoudingsplicht geldt. Elke toegepaste uitzondering zal een relevante rechtsgrond hebben en zal u indien nodig worden toegelicht.
Meer informatie over het recht op inzage vindt u op de website van de Autoriteit Persoonsgegevens.
- Uw recht om geïnformeerd te worden – U hebt het recht geïnformeerd te worden over hoe wij uw persoonsgegevens verwerken. Deze Privacyverklaring is een eerste middel om u te informeren over de verwerking van uw persoonsgegevens. Andere manieren om u te informeren zijn onder meer via FAQ’s, contractuele overeenkomsten en gesprekken. Als u een vraag hebt over hoe wij uw persoonsgegevens verwerken, kunt u ons schriftelijk bereiken via dataprivacy@arjo.com.
Meer informatie over het recht om geïnformeerd te worden vindt u op de website van de Autoriteit Persoonsgegevens.
- Uw recht op rectificatie – U hebt het recht om ons te vragen informatie recht te zetten die volgens u onjuist is. U hebt ook het recht om ons te vragen om informatie te vervolledigen die volgens u onvolledig is. Dit recht is van toepassing in samenhang met een van de beginselen van gegevensbescherming. Elk verzoek om uw persoonsgegevens recht te zetten zal ook worden doorgestuurd naar en ingewilligd door elke verwerker met wie uw persoonsgegevens werden gedeeld. Dit proces wordt door ons beheerd en u hoeft verder geen stappen te ondernemen om uw recht volledig uit te oefenen.
Meer informatie over het recht op rectificatie vindt u op de website van de Autoriteit Persoonsgegevens.
- Uw recht op wissing – U hebt het recht om ons te vragen uw persoonsgegevens te wissen wanneer de gegevens niet langer nodig zijn om het doel van de verwerking of de bewaring van de gegevens te vervullen of wanneer u uw toestemming intrekt. Arjo is verplicht uitgebreide gegevens bij te houden in overeenstemming met onze wettelijke verplichtingen. Het is dus mogelijk dat Arjo niet elk gegeven dat over u wordt verwerkt kan verwijderen, maar dit zal worden uitgelegd waar relevant. Arjo zal elk verzoek om vergetelheid ook beheren met elke verwerker die uw persoonsgegevens namens ons verwerkt.
Meer informatie over het recht op wissing vindt u op de website van de Autoriteit Persoonsgegevens.
- Uw recht op beperking van de verwerking – U hebt het recht om ons te vragen de verwerking van uw gegevens in bepaalde omstandigheden te beperken, bijvoorbeeld als ze niet relevant zijn om onze wettelijke verplichtingen na te komen.
Meer informatie over het recht op beperking van de verwerking vindt u op de website van de Autoriteit Persoonsgegevens.
- Uw recht om bezwaar te tegen verwerking – U hebt het recht om bezwaar te maken tegen de verwerking van uw persoonsgegevens. Het recht kan worden ingeroepen wanneer de rechtsgrond een gerechtvaardigd belang is, met inbegrip van profilering. Als er bezwaar wordt gemaakt, moet Arjo dwingende gerechtvaardigde belangen aantonen om persoonsgegevens voor dat specifieke doel te blijven verwerken.
Meer informatie over het recht op bezwaar vindt u op de website van de Autoriteit Persoonsgegevens.
- Uw recht op overdraagbaarheid van gegevens – U hebt het recht om te vragen dat wij de informatie die u ons hebt gegeven, overdragen aan een andere organisatie of aan u. Zo kunt u die in machineleesbare vorm overdragen aan een andere ontvanger. Het recht op overdraagbaarheid van gegevens geldt voor persoonsgegevens die worden verwerkt op basis van uw toestemming of om een overeenkomst uit te voeren. Het is enkel van toepassing op persoonsgegevens die u zelf aan Arjo hebt verstrekt.
Meer informatie over het recht op overdraagbaarheid van gegevens vindt u op de website van de Autoriteit Persoonsgegevens.
- Uw recht inzake geautomatiseerde besluitvorming – U hebt het recht om te vragen dat een menselijke beoordeling wordt uitgevoerd van eventuele profilering die wordt uitgevoerd op basis van uw persoonsgegevens.
Meer informatie over het recht inzake geautomatiseerde besluitvorming vindt u op de website van de Autoriteit Persoonsgegevens.
- Uw recht om toestemming in te trekken – U hebt het recht uw toestemming in te trekken wanneer dit de wettelijke basis is voor de verwerking van uw persoonsgegevens, d.w.z. wanneer deze verzameld worden voor bepaalde marketingactiviteiten.
Meer informatie over het recht om uw toestemming in te trekken vindt u op de website van de Autoriteit Persoonsgegevens.
U hoeft in de meeste gevallen geen kosten te betalen om uw rechten uit te oefenen. Als u een verzoek indient, hebben wij een maand de tijd om te reageren.
Neem contact met ons op via onderstaande gegevens als u een verzoek wilt indienen.
Arjo Nederlands BV,
Biezenwei 21, 4004 MB Tiel
Tot slot hebt u het recht om een klacht in te dienen bij een gegevensbeschermingsautoriteit. Voor Arjo Nederlands BV is de relevante toezichthoudende autoriteit de Gegevensbeschermingsautoriteit - Autorité de protection des données die u kunt bereiken op dit adres:
Autoriteit Persoonsgegevens
Bezuidenhoutseweg 30 P.O. Box 93374, 2509 AJ Den Haag
+31 70 888 8500
pers@autoriteitpersoonsgegevens.nl.
Als dit niet ook uw plaatselijke gegevensbeschermingsautoriteit is, kunt u contact opnemen met uw plaatselijke gegevensbeschermingsautoriteit die u zal adviseren over hoe u het beste kunt handelen. In sommige gevallen, zoals binnen de EER, kunt u dit melden aan uw lokale gegevensbeschermingsautoriteit en hoeft u niet meer te communiceren met de gegevensbeschermingsautoriteit van Arjo Nederlands BV. De hoofdvestiging van Arjo bevindt zich in het Zweedse Malmö. Daarom is onze toezichthoudende autoriteit Integritetsskyddsmyndigheten (IMY).
De contactgegevens van IMY zijn:
Integritetsskyddsmyndigheten
Box 8114, 104 20 Stockholm
0046 (0)8-657 61 00