Optidee Marketing GmbH (Optidee)
Enschedestraße 13-15
D - 48529 Nordhorn
biedt als verwerker ten behoeve van de adviseurs (de verwerkingsverantwoordelijke) het gebruik van het portaal gratis aan zelfstandige adviseurs.
Het portaal vervangt de bestaande backoffice vanaf 1 september 2023.
Adviseurs kunnen zich aanmelden op www.optidee.nl met hun persoonlijke toegangsgegevens.
De licentieovereenkomst (met verwerkersovereenkomst) start bij het accorderen van deze voorwaarden en het in gebruik nemen van het portaal en eindigt zodra de adviseur geen actieve adviseur meer is voor Optidee. De samenwerking tussen Optidee en de adviseurs wordt geregeld door de bestaande algemene voorwaarden en het huidige carrièreplan.
Het portaal, dat gratis ter beschikking wordt gesteld, omvat de volgende functies:
Optidee Marketing GmbH
Verplichte informatie om te voldoen aan de informatievereisten van artikel 13, 14 en 21 van de Europese Algemene Verordening Gegevensbescherming (AVG).
Deze privacyverklaring is van toepassing op de verwerking van persoonsgegevens over adviseurs door Optidee Marketing GmbH (hierna: “Optidee").
Bepaling 1
Doel en toepassingsgebied
(a) Het doel van deze standaardcontractbepalingen (hierna “de bepalingen” genoemd) is te zorgen voor de naleving van artikel 28, leden 3 en 4, van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens
(b) De in bijlage I vermelde verwerkingsverantwoordelijken en verwerkers hebben met deze bepalingen ingestemd teneinde te zorgen voor de naleving van artikel 28, leden 3 en 4, van Verordening (EU) 2016/679 en/of artikel 29, leden 3 en 4, van Verordening (EU) 2018/1725.
(c) Deze bepalingen zijn van toepassing op de verwerking van persoonsgegevens als gespecificeerd in bijlage II.
(d) De bijlagen I tot en met IV maken integrerend deel uit van de bepalingen.
(e) Deze bepalingen laten de verplichtingen die op de verwerkingsverantwoordelijke rusten krachtens Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725 onverlet.
(f) Deze bepalingen waarborgen op zichzelf niet de naleving van verplichtingen in verband met internationale doorgiften overeenkomstig hoofdstuk V van Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725.
Bepaling 2
Onveranderlijkheid van de bepalingen
(a) De partijen verbinden zich ertoe de bepalingen niet te wijzigen, tenzij om informatie aan de bijlagen toe te voegen of de daarin vervatte informatie bij te werken.
(b) Dit belet de partijen niet om de in deze bepalingen neergelegde standaardcontractbepalingen op te nemen in een bredere overeenkomst, of om andere bepalingen of aanvullende waarborgen toe te voegen, mits deze niet direct of indirect in strijd zijn met de bepalingen of afbreuk doen aan de grondrechten of fundamentele vrijheden van betrokkenen.
Bepaling 3
Interpretatie
(a) Wanneer in deze bepalingen de termen worden gebruikt die zijn gedefinieerd in Verordening (EU) 2016/679 respectievelijk Verordening (EU) 2018/1725, hebben die termen dezelfde betekenis als in die verordening.
(b) Deze bepalingen moeten worden gelezen en geïnterpreteerd in het licht van de bepalingen van Verordening (EU) 2016/679 respectievelijk Verordening (EU) 2018/1725.
(c) Deze bepalingen mogen niet worden geïnterpreteerd op een wijze die indruist tegen de rechten en verplichtingen waarin Verordening (EU) 2016/679 / Verordening (EU) 2018/1725 voorziet of op een wijze die afbreuk doet aan de grondrechten of fundamentele vrijheden van de betrokkenen.
Bepaling 4
Hiërarchie
In geval van tegenstrijdigheid tussen deze standaardcontractbepalingen en de bepalingen van gerelateerde overeenkomsten tussen de partijen die reeds bestaan op het tijdstip waarop met deze standaardcontractbepalingen wordt ingestemd of die na dat tijdstip worden gesloten, prevaleren deze standaardcontractbepalingen.
Bepaling 5 - Facultatief
Docking-bepaling
(a) Elke entiteit die geen partij deze bepalingen is, kan, met instemming van alle partijen, te allen tijde tot deze bepalingen toetreden als verwerkingsverantwoordelijke of verwerker door de bijlagen in te vullen en bijlage I te ondertekenen.
(b) Wanneer de onder a) bedoelde bijlagen zijn ingevuld en ondertekend, wordt de toetredende partij als een partij bij deze bepalingen behandeld en heeft zij de rechten en verplichtingen van een verwerkingsverantwoordelijke of verwerker, al naar gelang zij in bijlage I is aangeduid.
(c) Voor de toetredende entiteit vloeien uit deze bepalingen geen rechten of verplichtingen voort met betrekking tot de periode voordat zij partij werd.
Bepaling 6
Beschrijving van de verwerking(en)
De bijzonderheden van de verwerkingen, en met name de categorieën persoonsgegevens en de doeleinden van de verwerking waarvoor de persoonsgegevens namens de verwerkingsverantwoordelijke worden verwerkt, zijn gespecificeerd in bijlage II.
Bepaling 7
Verplichtingen van de partijen
7.1. Instructies
(a) De verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, tenzij een op de verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht. In dat geval stelt de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij de wetgeving dit om gewichtige redenen van algemeen belang verbiedt. De verwerkingsverantwoordelijke kan ook tijdens de verwerking van persoonsgegevens steeds verdere instructies geven. Deze instructies worden altijd schriftelijk vastgelegd.
(b) De verwerker stelt de verwerkingsverantwoordelijke onmiddellijk in kennis als de instructies van de verwerkingsverantwoordelijke naar het oordeel van de verwerker inbreuk maken op Verordening (EU) 2016/679 / Verordening (EU) 2018/1725 of de toepasselijke gegevensbeschermingsbepalingen van de Unie of de lidstaten.
7.2. Doelbinding
De verwerker verwerkt de persoonsgegevens uitsluitend voor het specifieke doel of de specifieke doeleinden van de verwerking, zoals beschreven in bijlage II, tenzij hij verdere instructies van de verwerkingsverantwoordelijke krijgt.
7.3. Doel van de verwerking van persoonsgegevens
Verwerking door de verwerker vindt slechts plaats gedurende de in bijlage II vastgestelde tijdspanne.
7.4. Beveiliging van de verwerking
(a) De verwerker treft ten minste de in bijlage III gespecificeerde technische en organisatorische maatregelen om de beveiliging van de persoonsgegevens te waarborgen. Dit houdt onder meer in dat de gegevens worden beschermd tegen een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot de gegevens, hetzij per ongeluk hetzij onrechtmatig (inbreuk in verband met persoonsgegevens). Bij de beoordeling van het passende beveiligingsniveau houden de partijen naar behoren rekening met de stand van de techniek, de uitvoeringskosten, de aard, de reikwijdte, de context en de doeleinden van de verwerking en de risico’s voor de betrokkenen.
(b) De verwerker verleent zijn personeel slechts toegang tot de persoonsgegevens die worden verwerkt voor zover dat strikt noodzakelijk is voor de uitvoering, het beheer en de monitoring van de overeenkomst. De verwerker waarborgt dat de tot het verwerken van de ontvangen persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;
7.5. Gevoelige gegevens
Indien de verwerking betrekking heeft op persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, of betrekking heeft op genetische gegevens of biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (hierna „gevoelige gegevens” genoemd), voorziet de verwerker in specifieke beperkingen en/of aanvullende waarborgen.
7.6 Documentatie en naleving
(a) De partijen kunnen aantonen dat aan deze bepalingen is voldaan.
(b) De verwerker behandelt verzoeken van de verwerkingsverantwoordelijke inzake de verwerking van gegevens overeenkomstig deze bepalingen onverwijld en adequaat.
(c) De verwerker stelt de verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om aan te tonen dat is voldaan aan de in deze bepalingen vastgestelde verplichtingen die rechtstreeks voortvloeien uit Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725. Op verzoek van de verwerkingsverantwoordelijke staat de verwerker ook regelmatig, of indien er aanwijzingen van niet-naleving zijn, audits toe van de onder deze bepalingen vallende verwerkingsactiviteiten en draagt de verwerker aan die audits bij. Bij het nemen van een beslissing over een toetsing of audit kan de verwerkingsverantwoordelijke rekening houden met relevante certificeringen van de verwerker.
(d) De verwerkingsverantwoordelijke kan ervoor kiezen de audit zelf uit te voeren of een onafhankelijke auditor daartoe opdracht te geven. De audits kunnen ook inspecties in de bedrijfsruimten of fysieke faciliteiten van de verwerker omvatten en worden, in voorkomend geval, tijdig aangekondigd.
(e) De partijen stellen de in deze bepaling bedoelde informatie, met inbegrip van de resultaten van eventuele audits, op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit/autoriteiten.
7.7. Gebruik van subverwerkers
(a) ALGEMENE SCHRIFTELIJKE TOESTEMMING: De verwerker heeft de algemene toestemming van de verwerkingsverantwoordelijke om subverwerkers in dienst te nemen die op een overeengekomen lijst staan. De verwerker stelt de verwerkingsverantwoordelijke ten minste2 weken van tevoren specifiek schriftelijk in kennis van voorgenomen wijzigingen van die lijst door toevoeging of vervanging van subverwerkers, zodat de verwerkingsverantwoordelijke voldoende tijd heeft om vóór de indienstneming van de betrokken subverwerker(s) bezwaar te kunnen maken tegen dergelijke wijzigingen. De verwerker verstrekt de verwerkingsverantwoordelijke de informatie die nodig is om deze laatste in staat te stellen zijn recht van bezwaar uit te oefenen.
(b) Wanneer de verwerker een subverwerker in dienst neemt voor de uitvoering van specifieke verwerkingen (namens de verwerkingsverantwoordelijke), doet hij dit door middel van een overeenkomst die de subverwerker in wezen dezelfde verplichtingen inzake gegevensbescherming oplegt als die welke op grond van deze bepalingen aan de verwerker worden opgelegd. De verwerker zorgt ervoor dat de subverwerker voldoet aan de verplichtingen die krachtens deze bepalingen en Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725 op de verwerker rusten.
(c) Op verzoek van de verwerkingsverantwoordelijke verstrekt de verwerker de verwerkingsverantwoordelijke een kopie van een dergelijke subverwerkingsovereenkomst en van alle latere wijzigingen daarvan. Voor zover nodig ter bescherming van bedrijfsgeheimen of andere vertrouwelijke informatie, met inbegrip van persoonsgegevens, kan de verwerker de tekst van de overeenkomst bewerken alvorens de kopie te delen.
(d) De verwerker blijft ten opzichte van de verwerkingsverantwoordelijke volledig verantwoordelijk voor de uitvoering van de verplichtingen van de subverwerker overeenkomstig zijn overeenkomst met de verwerker. De verwerker stelt de verwerkingsverantwoordelijke in kennis van elk verzuim van de subverwerker om zijn contractuele verplichtingen na te komen.
(e) De verwerker komt met de subverwerker een derdenbeding overeen waarbij - ingeval de verwerker feitelijk is verdwenen, rechtens is opgehouden te bestaan of insolvent is geworden - de verwerkingsverantwoordelijke het recht heeft de overeenkomst met de subverwerker te beëindigen en de subverwerker te gelasten de persoonsgegevens te wissen of terug te geven.
7.8. Internationale doorgiften
(a) Doorgifte van gegevens aan een derde land of een internationale organisatie door de verwerker geschiedt uitsluitend op basis van schriftelijke instructies van de verwerkingsverantwoordelijke of om te voldoen aan een specifieke eis uit hoofde van het Unierecht of het lidstatelijke recht waaraan de verwerker is onderworpen, en vindt plaats in overeenstemming met hoofdstuk V van Verordening (EU) 2016/679 of Verordening (EU) 2018/1725.
(b) De verwerkingsverantwoordelijke stemt ermee in dat wanneer de verwerker overeenkomstig bepaling 7.7 een subverwerker in dienst neemt voor het uitvoeren van specifieke verwerkingen (namens de verwerkingsverantwoordelijke) en die verwerkingen een doorgifte van persoonsgegevens in de zin van hoofdstuk V van Verordening (EU) 2016/679 inhouden, de verwerker en de subverwerker de naleving van hoofdstuk V van Verordening (EU) 2016/679 kunnen waarborgen door gebruik te maken van standaardcontractbepalingen die door de Commissie zijn vastgesteld overeenkomstig artikel 46, lid 2, van Verordening (EU) 2016/679, mits aan de voorwaarden voor het gebruik van die standaardcontractbepalingen is voldaan.
Bepaling 8
Bijstand aan de verwerkingsverantwoordelijke
(a) De verwerker stelt de verwerkingsverantwoordelijke onverwijld in kennis van elk verzoek dat hij van de betrokkene heeft ontvangen. De verwerker antwoordt niet zelf op het verzoek, tenzij de verwerkingsverantwoordelijke daartoe toestemming heeft gegeven.
(b) De verwerker staat de verwerkingsverantwoordelijke bij bij het vervullen van zijn verplichtingen om te reageren op verzoeken van betrokkenen tot uitoefening van hun rechten, en houdt daarbij rekening met de aard van de verwerking. Bij het nakomen van zijn verplichtingen uit hoofde van de punten a) en b) volgt de verwerker de instructies van de verwerkingsverantwoordelijke.
(c) De verwerker heeft niet alleen de verplichting de verwerkingsverantwoordelijke bij te staan overeenkomstig bepaling 8, punt b), maar staat de verwerkingsverantwoordelijke ook bij bij het waarborgen van de naleving van de volgende verplichtingen, waarbij rekening wordt gehouden met de aard van de gegevensverwerking en de informatie waarover de verwerker beschikt:
(1) de verplichting om een beoordeling uit te voeren van het effect van de beoogde verwerkingen op de bescherming van persoonsgegevens (een “gegevensbeschermingseffectbeoordeling”) wanneer een bepaalde soort verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen;
(2) de verplichting om de bevoegde toezichthoudende autoriteit/autoriteiten voorafgaand aan de verwerking te raadplegen wanneer uit een gegevensbeschermingseffectbeoordeling blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om dat risico te beperken,
(3) de verplichting om ervoor te zorgen dat persoonsgegevens accuraat en actueel zijn, door de verwerkingsverantwoordelijke onverwijld in te lichten wanneer de verwerker ervan kennis heeft gekregen dat de gegevens die hij verwerkt onjuist of achterhaald zijn.
(4) de verplichtingen in artikel 32 van Verordening (EU) 2016/679/
(d) De partijen stellen in bijlage III de passende technische en organisatorische maatregelen vast op grond waarvan de verwerker de verwerkingsverantwoordelijke bij de toepassing van deze bepaling moet bijstaan, alsmede de omvang en de omvang van de vereiste bijstand.
Bepaling 9
Kennisgeving van een inbreuk in verband met persoonsgegevens
In het geval van een inbreuk in verband met persoonsgegevens werkt de verwerker samen met de verwerkingsverantwoordelijke en staat hij hem bij opdat de verwerkingsverantwoordelijke kan voldoen aan zijn verplichtingen uit hoofde van de artikelen 33 en 34 van Verordening (EU) 2016/679 of de artikelen 34 en 35 van Verordening (EU) 2018/1725, indien van toepassing, waarbij rekening wordt gehouden met de aard van de verwerking en de informatie waarover de verwerker beschikt.
9.1 Inbreuk in verband met gegevens die door de verwerkingsverantwoordelijke worden verwerkt
In geval van een inbreuk in verband met persoonsgegevens die door de verwerkingsverantwoordelijke worden verwerkt, staat de verwerker de verwerkingsverantwoordelijke bij:
(a) bij het zonder onnodige vertraging melden van de inbreuk in verband met persoonsgegevens aan de bevoegde toezichthoudende autoriteit/autoriteiten nadat de verwerkingsverantwoordelijke er kennis van heeft gekregen, indien relevant /(tenzij het onwaarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen);
(b) bij het verkrijgen van onderstaande informatie die overeenkomstig artikel 33, lid 3, van Verordening (EU) 2016/679:
(1) de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
(2) de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
(3) de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Indien en voor zover al deze informatie niet op hetzelfde moment kan worden verstrekt, bevat de oorspronkelijke kennisgeving de dan beschikbare informatie en wordt verdere informatie vervolgens onverwijld verstrekt zodra deze beschikbaar is.
(c) bij het naleven, overeenkomstig artikel 34 van Verordening (EU) 2016/679, van de verplichting om de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee te delen, wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
9.2 Inbreuk in verband met gegevens die door de verwerker worden verwerkt
In geval van een inbreuk in verband met persoonsgegevens die door de verwerker worden verwerkt, stelt de verwerker, nadat hij kennis heeft gekregen van de inbreuk, de verwerkingsverantwoordelijke daarvan onverwijld in kennis. Deze kennisgeving bevat ten minste:
(a) een beschrijving van de aard van de inbreuk (waar mogelijk onder vermelding van de categorieën betrokkenen en gegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en gegevensregisters in kwestie);
(b) de gegevens van een contactpunt waar meer informatie over de inbreuk in verband met persoonsgegevens kan worden verkregen;
(c) de waarschijnlijke gevolgen van de inbreuk en de maatregelen die zijn genomen of worden voorgesteld om deze aan te pakken, onder meer om de mogelijke negatieve gevolgen ervan te beperken.
Indien en voor zover al deze informatie niet op hetzelfde moment kan worden verstrekt, bevat de oorspronkelijke kennisgeving de dan beschikbare informatie en wordt verdere informatie vervolgens onverwijld verstrekt zodra deze beschikbaar is.
De partijen vermelden in bijlage III alle andere elementen die door de verwerker moeten worden verstrekt wanneer hij de verwerkingsverantwoordelijke bijstaat bij de naleving van de verplichtingen van de verwerkingsverantwoordelijke uit hoofde van de de artikelen 33 en 34 van Verordening (EU) 2016/679.
Bepaling 10
Niet-naleving van de bepalingen en beëindiging
(a) Onverminderd eventuele bepalingen van Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725 kan de verwerkingsverantwoordelijke, ingeval de verwerker zijn verplichtingen uit hoofde van deze bepalingen niet nakomt, de verwerker opdracht geven de verwerking van persoonsgegevens op te schorten totdat deze aan deze bepalingen voldoet of de overeenkomst wordt beëindigd. Wanneer de verwerker om welke reden dan ook niet aan deze bepalingen kan voldoen, stelt hij de verwerkingsverantwoordelijke daarvan onverwijld in kennis.
(b) De verwerkingsverantwoordelijke heeft het recht de overeenkomst te beëindigen voor zover deze de verwerking van persoonsgegevens overeenkomstig deze bepalingen betreft, indien:
(1) de verwerkingsverantwoordelijke de verwerking van persoonsgegevens door de verwerker overeenkomstig punt a) heeft opgeschort en de naleving van deze bepalingen niet binnen een redelijke termijn en in elk geval binnen één maand na de opschorting wordt hervat;
(2) de verwerker deze bepalingen of zijn verplichtingen uit hoofde van Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725 wezenlijk of voortdurend schendt;
(3) de verwerker niet voldoet aan een bindend besluit van een bevoegde rechter of de bevoegde toezichthoudende autoriteit/autoriteiten met betrekking tot zijn verplichtingen uit hoofde van deze bepalingen of Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725.
(c) De verwerker heeft het recht de overeenkomst op te zeggen voor zover het daarbij gaat om de verwerking van persoonsgegevens krachtens deze bepalingen, indien de verwerkingsverantwoordelijke, nadat de verwerker hem er overeenkomstig bepaling 7.1, punt b), van in kennis heeft gesteld dat zijn instructies inbreuk maken op de toepasselijke wettelijke vereisten, aandringt op naleving van de instructies.
(d) Na de beëindiging van de overeenkomst wist de verwerker, naar keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens die namens de verwerkingsverantwoordelijke zijn verwerkt en bevestigt hij tegenover de verwerkingsverantwoordelijke dat hij dit heeft gedaan, of zendt hij alle persoonsgegevens terug aan de verwerkingsverantwoordelijke en verwijdert hij bestaande kopieën, tenzij het Unierecht of het lidstatelijke recht de opslag van de persoonsgegevens voorschrijft. Totdat de gegevens zijn gewist of teruggeven, blijft de verwerker ervoor zorgen dat deze bepalingen worden nageleefd
Verantwoordelijke(n):
Adviseur met het bijbehorende adviseursnummer zoals omschreven in de persoonlijke accountpagina van de adviseur.
Verwerker:
Optidee Marketing GmbH
Adres: Enschedestr. 13-15, 48529 Nordhorn, Duitsland
Naam, functie en contactgegevens van de contactpersoon: Björn Baarlink, IT Manager
Categorieën van betrokkenen van wie persoonsgegevens worden verwerkt:
klanten en potentiële klanten van de adviseurs
Optioneel als Optidee ook een persoonlijke website aan de adviseur levert: website bezoekers
Categorieën van verwerkte persoonsgegevens:
Aanhef, adresgegevens, geboortedatum, e-mail, vast nummer, mobiel nummer, btw-nummer, opmerkingen over klanten, foto van klant, bestelgeschiedenis, evaluaties bestellingen en evenementen, klachten, vragen.
Verplichte velden: Aanhef, voornaam, achternaam en e-mail (pseudo-e-mailadres voldoende).
Type verwerking
Doel(en) waarvoor de persoonsgegevens worden verwerkt namens de voor de verwerking verantwoordelijke
Verwerker levert aan de adviseur een portaal (SaaS) ten behoeve van de bedrijfsvoering van de adviseur voor de exploitatie van het bedrijf van de adviseur. Het portaal biedt de adviseur de mogelijkheid voor bijvoorbeeld de administratie en verwerking van bestellingen, het inplannen van bijeenkomsten, beheren van het klantenbestand en opslaan van overige informatie over de klanten van de adviseur.
(optioneel) het aanmaken en hosten van een persoonlijke website voor de adviseur.
Type verwerking 1.: registreren van klanten
Registreren van klanten door de adviseur. De volgende gegevens worden verzameld van klanten:
De volgende velden met een "*" zijn verplicht.
Om het proces van bijeenkomsten (demo’s) en bestellingen in kaart te kunnen brengen, worden de bovenstaande gegevens verzameld en, indien nodig, verwerkt.
Type verwerking 2: organiseren van bijeenkomsten (demo’s) met klanten
Bij het organiseren van bijeenkomsten slaat de adviseur gegevens van klanten op en/of de gastheer/vrouw. Deze opgeslagen gegevens kunnen bijvoorbeeld worden gebruikt om de artikelen te versturen. Daarnaast worden de voor- en achternaam toegewezen aan de producten wanneer bestellingen worden geplaatst om de levering van de producten door de adviseur te garanderen.
Type verwerking 3: Bestelling en levering aan klanten
Bij het leveren van producten kan de adviseur de adresgegevens van een klant opslaan naar wie de goederen direct moeten worden verstuurd.
Type verwerking 4: Opslaan van beoordelingen van bestellingen / producten van de klant
Type verwerking 5: Beoordeling van deelname aan bijeenkomst (demo)
Registratie van de deelname aan een bijeenkomst per klant en gastvrouw voor de evaluatie van de meest actieve klanten en gastheer/vrouw bij de desbetreffende adviseur.
Soort verwerking 6.: Notitie van adviseur over klanten of bijeenkomst (demo)
Mogelijkheid voor de adviseur om een notitie op te slaan in het portaal over een klant of bijeenkomst (demo).
Type bewerking 7.: Klant voordragen als adviseur
De adviseur kan een klant als adviseur voordragen. In dit geval ontvangt de klant een e-mail van Optidee Marketing GmbH als gevolg van een actie van de adviseur. In deze e-mail wordt de klant geïnformeerd over de suggestie van de adviseur en gevraagd om verdere persoonlijke gegevens te verstrekken via een link aan Optidee GmbH.
Type verwerking 8.: Klacht met directe verzending naar klanten
Specificatie van de adresgegevens van de klant door de adviseur in het geval van geselecteerde directe verzending naar de klant.
Type verwerking 9.: Verwerking in ERP
Overdracht van gegevens (positie 1) naar het ERP om een commercieel proces te garanderen.
Type verwerking 10.: Opslag van data en onderhoud van de applicatie in geval van storingen.
Type verwerking 11.: Optioneel aanmaken, onderhouden en hosten van persoonlijke website ten behoeve van de adviseur.
Duur van de verwerking
Tot beeindiging van de overeenkomst.
BELANGRIJK:
Bij het verwijderen van een klant worden alleen gegevens verwijderd die niet direct gerelateerd zijn aan een bestaande order/transactie in het ERP. De wettelijke bewaartermijn kan niet worden omzeild. E-mailadressen worden echter wel geanonimiseerd.
In het geval van verwerking door (sub)verwerkers worden ook het doel, de aard en de duur van de verwerking aangegeven.
Hosting, online gegevensopslag, onderhoud, aanpassing en verbeteringen van de online diensten door.
Onderhoud, aanpassing en verbeteringen aan het ERP-systeem en systeeminterfaces door middel van
UITLEG:
De technische en organisatorische maatregelen moeten concreet worden beschreven; een algemene beschrijving is niet voldoende.
1. toegangscontrole
1.1 De term "toegang" verwijst naar de fysieke toegang van personen tot gebouwen en lokalen waarin IT-systemen worden geëxploiteerd en gebruikt. Dit kunnen bijvoorbeeld datacenters zijn waarin webservers, applicatieservers, databases, mainframes en opslagsystemen worden geëxploiteerd en werkruimten waarin werknemers werkstationcomputers gebruiken. De gebouwen waarin netwerkcomponenten en netwerkbekabeling zich bevinden en worden aangelegd, vallen hier ook onder. Voorkomen moet worden dat onbevoegden toegang krijgen tot gegevensverwerkende systemen waarmee persoonsgegevens (kunnen) worden verwerkt of gebruikt. De verwerker moet er daarom voor zorgen dat onbevoegden geen ruimten kunnen betreden waarin gegevens van de verwerkingsverantwoordelijke worden verwerkt of opgeslagen en geen inzicht kunnen krijgen in of toegang hebben tot gegevensverwerkende apparatuur (beeldschermen, printers, etc.) waarop gegevens van de opdrachtgever worden verwerkt of uitgevoerd.
1.2 Implementatie van toegangscontrole
De Verwerker heeft de volgende toegangscontrolemaatregelen geïmplementeerd:
Technisch:
Organisatorisch:
2. toegangscontrole
2.1 Naast toegangscontrole heeft toegangscontrole tot doel te voorkomen dat onbevoegden gebruik maken van gegevensverwerkingssystemen waarmee persoonsgegevens worden opgeslagen, verwerkt of gebruikt. Onbevoegden mogen geen toegang kunnen krijgen tot de gegevensverwerkingssystemen van Opdrachtnemer.
2.2 Implementatie van toegangscontrole
De Verwerker heeft de volgende toegangscontrolemaatregelen geïmplementeerd:
Technisch:
Organisatorisch:
3. toegangscontrole
3.1 De vereisten voor toegangscontrole zijn bedoeld om ervoor te zorgen dat alleen bevoegde personen toegang hebben tot de gegevens waarvoor toegang is verleend en dat de gegevens niet kunnen worden gemanipuleerd of gelezen door onbevoegde personen. Voorkomen moet worden dat degenen die bevoegd zijn om een gegevensverwerkingssysteem te gebruiken, alleen toegang hebben tot de gegevens waarvoor hun toegangsbevoegdheid geldt en dat persoonsgegevens tijdens de verwerking, het gebruik en na de opslag niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd.
3.2 Implementatie van toegangscontrole
De Verwerker heeft de volgende toegangscontrolemaatregelen geïmplementeerd:
Technisch:
Organisatorisch:
Aantal beheerders teruggebracht tot het "absolute minimum
4. transfercontrole
4.1 De Verwerker voorkomt onbevoegd lezen, kopiëren, wijzigen of verwijderen van de Persoonsgegevens van de Verwerkingsverantwoordelijke tijdens elektronische overdracht of tijdens het transport of de opslag ervan op gegevensdragers, en voorkomt verificatie en identificatie van de punten waarop overdracht van Persoonsgegevens is voorzien door datatransmissieapparatuur.
4.2 Implementatie van de transferbesturing
De Verwerker heeft de volgende controlemaatregelen voor openbaarmaking geïmplementeerd:
Technisch:
Organisatorisch:
• Documentatie van de ontvangers van gegevens
5. invoercontrole
5.1 Er moet voor worden gezorgd dat achteraf kan worden gecontroleerd en vastgesteld of en door wie persoonsgegevens in gegevensverwerkingssystemen zijn ingevoerd, gewijzigd of verwijderd. Daarom moeten er voor dergelijke maatregelen passende registratiesystemen aanwezig zijn.
5.2 Implementatie van de ingangsregeling
De Verwerker heeft de volgende inputcontrolemaatregelen geïmplementeerd:
Technisch:
Organisatorisch:
6 Ordercontrole
6.1 De Verwerker dient ervoor zorg te dragen dat persoonsgegevens van de Verwerkingsverantwoordelijke uitsluitend worden verwerkt in overeenstemming met de instructies van de Verwerkingsverantwoordelijke. Indien de Verwerker een subverwerker inschakelt, dient hij de subverwerker op dezelfde wijze te verplichten de instructies op te volgen en de gegevensbescherming in acht te nemen.
6.2 Implementatie van de ordercontrole
De verwerker heeft de volgende taakbeheersingsmaatregelen geïmplementeerd:
Technisch:
Organisatorisch:
Selectie van de subverwerker in het kader van due diligence-aspecten (in het bijzonder met betrekking tot gegevensbeveiliging)
7. beschikbaarheidscontrole
7.1 De Verwerker draagt er zorg voor dat Persoonsgegevens van de Verwerkingsverantwoordelijke worden beschermd tegen onopzettelijke vernietiging of verlies.
7.2 Implementatie van beschikbaarheidscontrole
De Verwerker heeft de volgende beschikbaarheidscontrolemaatregelen geïmplementeerd:
Technisch:
Organisatorisch:
8. scheidingsvereiste
8.1 Er moet voor worden gezorgd dat gegevens die voor verschillende doeleinden worden verzameld, ook afzonderlijk worden verwerkt. De scheiding van de gegevens moet zodanig zijn ontworpen dat "vermenging" met gegevens van andere contractuele partners / klanten van de verwerker en ook ongeoorloofde toegang door derden (zelfs per ongeluk) onmogelijk is. Als gegevens van andere contractuele partners / klanten van de verwerker worden beïnvloed door officiële toegang of inbeslagname, moet ervoor worden gezorgd dat de gegevens van de verwerkingsverantwoordelijke onaangetast blijven.
8.2 Implementatie van de scheidingsvereiste
De Verwerker heeft de volgende maatregelen geïmplementeerd met betrekking tot de scheidingsvereiste:
Technisch:
Organisatorisch:
9. pseudonimisering
9.1 Pseudonimisering van persoonsgegevens op grond van art. 25 DSGVO vindt niet plaats, aangezien er geen verwerking plaatsvindt voor een ander doel dan waarvoor de persoonsgegevens oorspronkelijk zijn verzameld.
10. regelmatige controles
10.1 De Verwerker controleert regelmatig de interne processen en de technische en organisatorische maatregelen om te waarborgen dat de verwerking in zijn verantwoordelijkheidsgebied wordt uitgevoerd in overeenstemming met de vereisten van de toepasselijke wetgeving inzake gegevensbescherming en dat de bescherming van de rechten van de betrokkenen is gewaarborgd.
UITLEG:
Deze bijlage moet worden ingevuld in het geval van een afzonderlijke autorisatie van subverwerkers (clausule 7.7(a), optie 1).
De controller heeft toestemming gegeven voor het gebruik van de volgende subverwerkers: