Vaak gestelde vragen
Wat is een gegevensverwerkingsovereenkomst?
Een gegevensverwerkingsovereenkomst is een contract tussen een voor de verwerkingsverantwoordelijke en een gegevensverwerker, waarin de rollen en verantwoordelijkheden van de partijen worden beschreven, ten behoeve van de verwerking van persoonsgegevens. Een Gegevensverwerkingsovereenkomst moet aan een aantal vereisten voldoen om in overeenstemming te zijn met de toepasselijke wetgeving inzake gegevensbescherming, waaronder de algemene verordening gegevensbescherming van de EU ("GDPR").
Wat is een gegevensverantwoordelijke? Wat is een gegevensverwerker?
Een gegevensverantwoordelijke bepaalt het doel van en de middelen voor de verwerking van persoonsgegevens. Een gegevensverwerker verwerkt persoonsgegevens namens de verwerkingsverantwoordelijke, en alleen volgens de gedocumenteerde instructies van de gegevensverantwoordelijke.
- Zo zullen klanten van IDEXX doorgaans optreden als gegevensverantwoordelijke van persoonsgegevens die zij aan IDEXX verstrekken in verband met hun gebruik van diagnostische producten en diensten en softwareoplossingen van IDEXX.
- IDEXX treedt op haar beurt ook onafhankelijk op als gegevensverantwoordelijke van persoonsgegevens die aan ons worden verstrekt in verband met de verkoop en levering van onze diagnostische producten en diensten, maar wij treden op als gegevensverwerker voor bepaalde softwareoplossingen.
Zie "Welke producten en diensten van IDEXX vallen onder de IDEXX Gegevensverwerkingsovereenkomst?" en "Ik bestel diagnostische producten en laboratoriumdiensten bij IDEXX. Waarom is voor mijn relatie met IDEXX geen Gegevensverwerkingsovereenkomst nodig?". Sommige landen gebruiken in hun gegevensbeschermingswetgeving andere terminologie dan "verwerkingsverantwoordelijke" en "verwerker" om dezelfde verwerkingsfuncties te beschrijven. Voor landen waar een andere terminologie wordt gebruikt, verwijzen wij u naar de plaatselijke wetgeving inzake gegevensbescherming die onder de Gegevensverwerkingsovereenkomst valt.
Welke producten en diensten van IDEXX vallen onder de IDEXX Gegevensverwerkingsovereenkomst?
IDEXX treedt op als verwerker en onze Gegevensverwerkingsovereenkomst dekt onze verwerkingsactiviteiten voor de volgende softwareoplossingen: Animana, ezyVet, Vet Radar, SmartFlow, VetConnect PLUS, SmartService. Raadpleeg de Gegevensverwerkingsovereenkomst Schema's voor meer informatie.
Welke landen vereisen een gegevensbeschermingsovereenkomst?
Naast de Algemene Verordening Gegevensbescherming van de EU hebben verschillende andere landen soortgelijke privacywetten die een Gegevensverwerkingsovereenkomst vereisen. Raadpleeg de lokale wetten inzake gegevensbescherming die onder de Gegevensverwerkingsovereenkomst vallen voor de landen die onder onze Gegevensverwerkingsovereenkomst vallen.
Als ik in een land ben waar een Gegevensverwerkingsovereenkomst vereist is en ik gebruik een IDEXX product of dienst dat onder de Gegevensverwerkingsovereenkomst valt, hoe sluit ik dan een Gegevensverwerkingsovereenkomst met IDEXX af?
Onze Gegevensverwerkingsovereenkomst is opgenomen in en maakt deel uit van de servicevoorwaarden van IDEXX voor het betreffende product of dienst. Zie onze Algemene Voorwaaden voor de betreffende producten en diensten, evenals de DPA-gerelateerde informatie op de IDEXX voorwaardenpagina.
Wat zijn de standaardcontractbepalingen?
De standaardcontractbepalingen (Standard Contractual Clauses ("SCC's")) zijn een door de Europese Commissie uitgegeven mechanisme voor gegevensoverdracht, dat wordt gebruikt voor de overdracht van persoonsgegevens vanuit de Europese Economische Ruimte (EER) en Zwitserland naar die landen waarvan de EU heeft bepaald dat ze geen adequate gegevensbeschermingswetgeving hebben, waaronder de Verenigde Staten ("Niet-Adequate Landen"). De in 2021 gepubliceerde bijgewerkte SCC's zijn opgenomen in onze Gegevensverwerkingsovereenkomst en maken deel uit van uw overeenkomst met IDEXX voor de producten en diensten die onder onze Gegevensverwerkingsovereenkomst vallen. Doorgifte van persoonsgegevens vanuit het Verenigd Koninkrijk naar niet-geschikte landen kan plaatsvinden met gebruikmaking van de EU SCC's onder voorbehoud van een UK Addendum. Daarnaast vertrouwen wij op de EU SCC's wanneer andere landen een contractueel overdrachtsmechanisme naar niet-adequate landen vereisen maar geen eigen clausules hebben aangenomen. Raadpleeg de lokale wetten inzake gegevensbescherming die onder de Gegevensverwerkingsovereenkomst vallen voor specifieke informatie over het UK Addendum en andere landen waar de EU SCC's van toepassing zijn.
Wat is een subverwerker? Gebruikt IDEXX subverwerkers?
Wanneer IDEXX een beroep doet op derde dienstverleners in onze hoedanigheid van gegevensverwerker voor de persoonsgegevens van onze klanten, worden deze derden door de toepasselijke privacywetgeving subverwerkers genoemd. Subverwerkers zijn dienstverleners die toegang hebben of kunnen krijgen tot persoonsgegevens die IDEXX verwerkt voor en namens klanten van IDEXX. Voordat wij subverwerkers inschakelen, voeren wij due diligence uit, waaronder een veiligheidsbeoordeling van dergelijke subverwerkers. Voor onze subverwerkers gelden contractvoorwaarden die garanderen dat zij persoonsgegevens alleen verwerken om hun diensten aan IDEXX te verlenen en in overeenstemming met de toezegging van IDEXX aan onze klanten en de toepasselijke wetgeving inzake gegevensbescherming. Een lijst van onze subverwerkers vindt u hier.
Ik bestel diagnostische producten en laboratoriumdiensten bij IDEXX. Waarom is voor mijn relatie met IDEXX geen Gegevensverwerkingsovereenkomst nodig?
Niet elk type klantrelatie vereist een Gegevensverwerkingsovereenkomst krachtens de toepasselijke privacywetgeving. Een verantwoordelijke bepaalt het doel van en de middelen voor de verwerking van persoonsgegevens. Wanneer IDEXX als verantwoordelijke optreedt, is een Gegevensverwerkingsovereenkomst niet vereist. Hieronder volgen voorbeelden van wanneer IDEXX in aanmerking komt als verantwoordelijke voor de verwerking:
- Wanneer IDEXX persoonsgegevens verwerkt in verband met de levering van diagnostische producten, bepalen wij welke gegevens nodig zijn om de bestelling uit te voeren en kwalificeren wij derhalve als verantwoordelijke voor de verwerking.
- In het kader van de verlening van referentielaboratoriumtestdiensten heeft IDEXX in de praktijk (aanzienlijke) invloed op de doeleinden en essentiële middelen van de verwerking van persoonsgegevens bij het voorbereiden, uitvoeren en genereren van de resultaten van de test. Wanneer onze klanten van referentielaboratoria een bestelling indienen - die persoonsgegevens kan bevatten - verwerkt IDEXX die persoonsgegevens om de gevraagde laboratoriumtest uit te voeren en het resultaat te verstrekken.
Als Verwerkingsverantwoordelijke moeten wij voldoen aan bepaalde informatievereisten (artikel 13) om onder meer de doeleinden van onze verwerking, ons gerechtvaardigd belang van de verwerking, de rechten van de betrokkene en onze toereikendheidsgrondslag voor grensoverschrijdende overdracht bekend te maken. Wij voldoen aan deze informatievereisten doro middel van ons Privacybeleid.
Mijn praktijk heeft een eigen Gegevensverwerkingsovereenkomst -template ontwikkeld dat wij onze leveranciers vragen te ondertekenen. Zal IDEXX instemmen met mijn Gegevensverwerkings template?
Wij beseffen dat sommige klanten hun eigen overeenkomsten inzake gegevensverwerking/gegevensbescherming hebben opgesteld. Wij hebben er alle begrip voor dat klanten als verantwoordelijken voor de gegevensverwerking, zich zorgen maken over het nakomen van hun verantwoordelijkheden op grond van de toepasselijke wetgeving inzake gegevensbescherming wat betreft de verwerking van hun gegevens. Om u hierbij te helpen heeft IDEXX een eigen standaard Gegevensverwerkingsovereenkomst ontwikkeld. Omdat wij ervoor moeten zorgen dat wij in ons hele klantenbestand op een consistente en betrouwbare manier aan de GDPR voldoen, kunnen wij niet met elk van onze klanten verschillende Gegevensverwerkingsafspraken maken.