Privacybeleid

§ 1. Verwerkingsverantwoordelijke

1.1. Status van verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke van persoonsgegevens in de zin van het Europese recht is FraVeRa Journey, een economische activiteit geregistreerd in het Koninkrijk der Nederlanden, opererend als een disclosed travel agent.

1.2. Informatieplicht jegens de betrokkene

De verwerkingsverantwoordelijke voldoet aan de informatieplicht jegens betrokkenen via dit Privacybeleid, beschikbaar gesteld op de website.

1.3. Identificatie- en contactgegevens van de verwerkingsverantwoordelijke

De identificatiegegevens van de verwerkingsverantwoordelijke, inclusief rechtsvorm, land van registratie, registratienummer en contactgegevens, worden vermeld in het Impressum en in de contactsectie van de website.

1.4. Geen gezamenlijke verwerkingsverantwoordelijken

FraVeRa Journey verwerkt persoonsgegevens onafhankelijk en treedt niet op als gezamenlijke verwerkingsverantwoordelijke van persoonsgegevens in de zin van artikel 26 AVG.

1.5. Geen verplichting tot aanstellen van een functionaris voor gegevensbescherming

FraVeRa Journey is niet verplicht een functionaris voor gegevensbescherming aan te stellen, omdat zij niet voldoet aan de criteria genoemd in artikel 37, lid 1, AVG.

1.6. Toepasselijk recht voor de verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is onderworpen aan het recht van het Koninkrijk der Nederlanden als lidstaat van de Europese Unie waar zij haar vestiging heeft, terwijl tegelijkertijd de rechtstreeks toepasselijke AVG wordt toegepast.

§ 2. Omvang van de verwerkte persoonsgegevens

2.1. Beginsel van adequaatheid en minimalisering

De verwerkingsverantwoordelijke verwerkt alleen zulke persoonsgegevens die adequaat, relevant en beperkt zijn tot wat noodzakelijk is voor de duidelijk gedefinieerde verwerkingsdoeleinden.

2.2. Identificatie- en contactgegevens

De verwerkingsverantwoordelijke kan identificatie- en contactgegevens verwerken, met name naam, achternaam, e-mailadres, telefoonnummer en andere gegevens die noodzakelijk zijn voor het contact leggen met en identificeren van de Klant bij het verlenen van agentschapsdiensten.

2.3. Reis- en organisatorische voorkeursgegevens

De verwerkingsverantwoordelijke kan gegevens verwerken met betrekking tot de geplande reis, accommodatievoorkeuren, data, omvang van diensten en andere organisatorische informatie die noodzakelijk is voor het voorbereiden van een aanbieding en het coördineren van de reis.

2.4. Technische en online gegevens

De verwerkingsverantwoordelijke kan technische gegevens verwerken met betrekking tot het gebruik van de website, inclusief IP-adres, browsergegevens, apparaat, besturingssysteem en cookie-identificatoren, voor zover toegestaan door de wet en de gegeven toestemming.

2.5. Bijzondere categorieën gegevens - Gezondheidsgegevens

De verwerkingsverantwoordelijke kan gezondheidsgegevens alleen verwerken wanneer dit noodzakelijk is voor het organiseren van een gezondheids- of kuuroordverblijf en alleen voor zover vrijwillig verstrekt door de Klant. Deze gegevens worden niet verwerkt voor diagnostische of behandelingsdoeleinden.

2.6. Geen verwerking van overbodige gegevens

De verwerkingsverantwoordelijke verwerkt geen persoonsgegevens die niet noodzakelijk zijn om de in dit Privacybeleid aangegeven doeleinden te bereiken, met name gegevens die geen verband houden met de organisatie van de reis of wettelijke verplichtingen.

§ 3. Bronnen van persoonsgegevens

3.1. Gegevens rechtstreeks bij de betrokkene verkregen

De verwerkingsverantwoordelijke verkrijgt persoonsgegevens rechtstreeks bij de betrokkene, met name in het kader van door die persoon geïnitieerd contact.

3.2. Online formulieren

Persoonsgegevens kunnen worden verzameld via formulieren die beschikbaar zijn op de website van de Verwerkingsverantwoordelijke. De formulieren zijn eigen oplossingen van de Verwerkingsverantwoordelijke, en hun technische afhandeling wordt uitgevoerd door een externe formulierentoolprovider (BASIN), die optreedt als verwerker.

3.3. Elektronische correspondentie en directe communicatie

Persoonsgegevens kunnen worden verzameld in het kader van e-mailcorrespondentie, telefoongesprekken, online gesprekken of andere vormen van directe communicatie die door de betrokkene is geïnitieerd.

3.4. Vrijwillig verstrekte documenten en informatie

Persoonsgegevens, inclusief gezondheidsgegevens, kunnen worden verzameld uit documenten of informatie die vrijwillig door de betrokkene zijn verstrekt, met name in de fase van het afronden van de organisatie van het verblijf bij de Partner die de dienst verleent.

3.5. Geen verzameling uit verborgen bronnen

De verwerkingsverantwoordelijke verzamelt geen persoonsgegevens uit verborgen bronnen, databases van derden of openbaar toegankelijke registers voor het doel van het creëren van klantprofielen.

3.6. Toepassingsgebied van artikelen 13 en 14 AVG

In de overgrote meerderheid van de gevallen is artikel 13 AVG van toepassing, omdat gegevens rechtstreeks bij de betrokkene worden verzameld. Artikel 14, AVG is alleen van toepassing in uitzonderlijke situaties als de gegevens niet rechtstreeks bij die persoon zouden worden verzameld, wat elke keer zou leiden tot de vervulling van een afzonderlijke informatieplicht.

§ 4. Doeleinden van de verwerking van persoonsgegevens

4.1. Beginsel van doelspecificatie en rechtmatigheid

De verwerkingsverantwoordelijke verwerkt persoonsgegevens alleen voor specifieke, uitdrukkelijk omschreven en gerechtvaardigde doeleinden die zijn gedefinieerd vóór het begin van de verwerking.

4.2. Voorbereiding van aanbieding en precontractuele activiteiten

Persoonsgegevens worden verwerkt voor het doel van het voorbereiden van een reisaanbieding en het nemen van stappen op verzoek van de betrokkene vóór het aangaan van een agentschapsovereenkomst.

4.3. Verlening van agentschaps- en coördinatiediensten

Persoonsgegevens worden verwerkt voor het doel van het verlenen van agentschapsdiensten door de Verwerkingsverantwoordelijke, inclusief advies, bemiddeling, coördinatie en organisatorische ondersteuning voor de reis.

4.4. Operationele communicatie met de klant

Persoonsgegevens worden verwerkt voor het doel van voortdurende communicatie met de Klant met betrekking tot de organisatie van de reis, inclusief het overbrengen van organisatorische informatie, bevestigingen en afspraken.

4.5. Doorgeven van gegevens aan partners die diensten verlenen

Persoonsgegevens worden verwerkt voor het doel van het doorgeven ervan aan Partners die hoofddiensten verlenen, voor zover noodzakelijk voor die Partners om hun diensten te verlenen.

4.6. Organisatie van gezondheids- en kuuroordverblijven

In het geval van gezondheidsgegevens worden deze gegevens verwerkt voor het doel van het organiseren van een gezondheids- of kuuroordverblijf en het doorgeven van informatie aan de Partner die de medische of kuuroorddienst verleent.

4.7. Naleving van wettelijke en boekhoudkundige verplichtingen

Persoonsgegevens worden verwerkt voor het doel van het voldoen aan wettelijke verplichtingen die rusten op de Verwerkingsverantwoordelijke, met name boekhoudkundige, fiscale en archiveringsverplichtingen.

4.8. Website statistische analyse (GA4)

Persoonsgegevens worden verwerkt voor het doel van statistische analyse van websiteverkeer met behulp van Google Analytics 4, alleen na verkrijgen van toestemming van de gebruiker voor cookies.

4.9. Marketing en remarketing (Google Ads, Meta Ads)

Persoonsgegevens worden verwerkt voor marketing- en remarketingdoeleinden alleen na verkrijgen van toestemming van de gebruiker, zonder te combineren met gezondheidsgegevens.

§ 5. Juridische grondslagen voor de verwerking van persoonsgegevens

5.1. Primaire juridische regeling

De verwerking van persoonsgegevens wordt uitgevoerd op basis van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (AVG).

5.2. Verwerking voor uitvoering van een overeenkomst en precontractuele activiteiten

Persoonsgegevens worden verwerkt wanneer dit noodzakelijk is voor de uitvoering van een agentschapsovereenkomst of voor het nemen van stappen op verzoek van de betrokkene vóór het aangaan van die overeenkomst.

5.3. Verwerking voor naleving van een wettelijke verplichting

Persoonsgegevens worden verwerkt wanneer dit noodzakelijk is voor de naleving van een wettelijke verplichting die rust op de Verwerkingsverantwoordelijke, met name boekhoudkundige, fiscale en archiveringsverplichtingen.

5.4. Verwerking op basis van toestemming

Persoonsgegevens worden verwerkt op basis van vrijwillig, bewust en ondubbelzinnig uitgedrukte toestemming van de betrokkene, binnen het bereik dat is gespecificeerd in de inhoud van die toestemming.

5.5. Bijzondere categorieën gegevens - Algemeen verbod

Persoonsgegevens die gezondheidsinformatie onthullen, behoren tot bijzondere categorieën persoonsgegevens, waarvan de verwerking over het algemeen is verboden.

5.6. Bijzondere categorieën gegevens - Uitdrukkelijke toestemming

De verwerking van gezondheidsgegevens is toegestaan als de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking van die gegevens voor een of meer specifieke doeleinden.

5.7. Bijzondere categorieën gegevens - Organisatie van gezondheidszorg

De verwerking van gezondheidsgegevens is toegestaan als deze noodzakelijk is voor het organiseren van gezondheidszorg of kuuroordverblijven, uitgevoerd door geautoriseerde Partners.

5.8. Cookies en trackingtechnologieën

De verwerking van persoonsgegevens met behulp van cookies en soortgelijke technologieën vindt alleen plaats voor zover en op de voorwaarden gespecificeerd in de bepalingen over privacy in elektronische communicatie en op basis van toestemming van de gebruiker, indien vereist.

5.9. Intrekking van toestemming

De betrokkene heeft het recht om toestemming op elk moment in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van toestemming vóór de intrekking ervan.

§ 6. Bijzondere categorieën gegevens (gezondheid) - Bijzondere verwerkingsregels

6.1. Definitie van gezondheidsgegevens

Gezondheidsgegevens betekenen persoonsgegevens met betrekking tot de fysieke of mentale gezondheid van een natuurlijk persoon, inclusief informatie over het gebruik van gezondheidszorgdiensten.

6.2. Verwerkingsverbod als algemene regel

De verwerking van gezondheidsgegevens is over het algemeen verboden, tenzij aan een van de legaliserende voorwaarden die in de AVG zijn aangegeven, is voldaan.

6.3. Toelaatbaarheid van verwerking op basis van uitdrukkelijke toestemming

De verwerkingsverantwoordelijke kan gezondheidsgegevens verwerken als de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking voor een specifiek doel.

6.4. Toelaatbaarheid van verwerking voor organisatie van gezondheidszorg en kuuroordverblijven

De verwerkingsverantwoordelijke kan gezondheidsgegevens verwerken als deze noodzakelijk is voor het verlenen van gezondheidszorg of het beheer van gezondheidszorgdiensten die door Partners worden uitgevoerd.

6.5. Voorwaarde van beroepsgeheim voor grondslag "h"

Als de verwerking plaatsvindt op grond van artikel 9, lid 2, onder h, AVG, moeten de gegevens worden verwerkt door of onder de verantwoordelijkheid van een persoon die aan beroepsgeheim is gebonden of door een andere entiteit die aan een soortgelijke verplichting is gebonden.

6.6. Scheiding van verwerkingsfasen (voorbereidend vs. afronding)

In de voorbereidende fase verwerkt de verwerkingsverantwoordelijke alleen beschrijvende gezondheidsinformatie die noodzakelijk is voor het matchen van het verblijf. In de afrondingsfase draagt de verwerkingsverantwoordelijke gezondheidsgegevens alleen over aan de Partner voor zover noodzakelijk voor de Partner om de dienst te verlenen.

6.7. Toestemmingsnorm en het bewijs ervan

Als de verwerking van gezondheidsgegevens plaatsvindt op basis van toestemming, zorgt de verwerkingsverantwoordelijke ervoor dat de toestemming vrijelijk wordt gegeven, specifiek, geïnformeerd en ondubbelzinnig, en is dan in staat om het feit van het verlenen ervan aan te tonen.

6.8. Recht om toestemming in te trekken

De betrokkene kan toestemming op elk moment intrekken, en de intrekking van toestemming doet geen afbreuk aan de rechtmatigheid van de verwerking op basis van toestemming vóór de intrekking ervan.

6.9. Geen medisch advies en geen therapeutische beslissingen

De verwerkingsverantwoordelijke verstrekt geen medisch advies, stelt geen diagnoses of neemt geen therapeutische beslissingen. De verwerkingsverantwoordelijke verwerkt gezondheidsgegevens uitsluitend voor het doel van het organiseren en coördineren van het verblijf en het doorgeven van informatie aan de Partner.

6.10. Verbod op geautomatiseerde besluitvorming en medische profilering

De verwerkingsverantwoordelijke maakt geen gebruik van geautomatiseerde besluitvorming of profilering op basis van gezondheidsgegevens.

6.11. Beperking van opslag van gezondheidsgegevens

Gezondheidsgegevens worden alleen opgeslagen voor de periode die noodzakelijk is om organisatorische en afwikkelingsdoeleinden te bereiken, en worden daarna verwijderd of geanonimiseerd.

6.12. Veiligheid van gezondheidsgegevens

De verwerkingsverantwoordelijke past technische en organisatorische maatregelen toe die de veiligheid van gezondheidsgegevens waarborgen, inclusief toegangsbeperking en autorisatiecontrole.

6.13. Verantwoordingsplicht

De verwerkingsverantwoordelijke documenteert de naleving van de verwerking van gezondheidsgegevens met de AVG en is in staat om de naleving van verwerkingsbeginselen aan te tonen.

§ 7. Ontvangers van persoonsgegevens

7.1. Beginsel van openbaarmaking van ontvangercategorieën

De verwerkingsverantwoordelijke verstrekt persoonsgegevens alleen aan gespecificeerde categorieën ontvangers en alleen voor zover noodzakelijk om de verwerkingsdoeleinden te bereiken.

7.2. Partners die hoofddiensten verlenen

Persoonsgegevens kunnen worden doorgegeven aan Partners die hoofddiensten verlenen, met name sanatoria, klinieken, kuuroordfaciliteiten, hotels, medische entiteiten en transportbedrijven, alleen voor zover noodzakelijk om een bepaalde dienst te verlenen.

7.3. Doorgeven van gezondheidsgegevens aan partners

Gezondheidsgegevens kunnen alleen worden doorgegeven aan Partners als dit noodzakelijk is voor het verlenen van gezondheids- of kuuroorddiensten en alleen op basis van een passende legaliserende voorwaarde.

7.4. IT-dienstverleners en communicatietools

Persoonsgegevens kunnen worden doorgegeven aan IT-dienstverleners, hosting, e-mail, formuliersystemen (inclusief BASIN) en andere technische tools, uitsluitend als verwerkers.

7.5. Analytische en advertentietools

Persoonsgegevens kunnen worden doorgegeven aan providers van analytische en advertentietools, inclusief Google en Meta, alleen na verkrijgen van toestemming van de gebruiker, voor zover voortvloeiend uit de toestemmingsconfiguratie en Consent Mode v2.

7.6. Overheidsinstanties en geautoriseerde entiteiten

Persoonsgegevens kunnen worden doorgegeven aan overheidsinstanties of andere geautoriseerde entiteiten als een dergelijke verplichting voortvloeit uit bepalingen van het recht van de Europese Unie of het recht van het Koninkrijk der Nederlanden.

7.7. Geen verkoop van persoonsgegevens

De verwerkingsverantwoordelijke verkoopt, verstrekt niet tegen betaling of ruilt geen persoonsgegevens met andere entiteiten voor commerciële doeleinden die geen verband houden met het verlenen van diensten.

7.8. Beperking van toegang tot gegevens

Toegang tot persoonsgegevens is beperkt tot entiteiten en personen voor wie een dergelijke toegang noodzakelijk is om de verwerkingsdoeleinden te bereiken.

7.9. Verantwoordingsplicht voor gegevensoverdrachten

De verwerkingsverantwoordelijke documenteert de overdracht van persoonsgegevens aan ontvangers en is in staat om de naleving van deze overdrachten met de AVG aan te tonen.

§ 8. Overdracht van persoonsgegevens buiten de Europese Unie / Europese Economische Ruimte

8.1. Algemeen beginsel van internationale overdrachten

Overdracht van persoonsgegevens naar derde landen of internationale organisaties is alleen toegestaan op de voorwaarden gespecificeerd in Hoofdstuk V van de AVG.

8.2. Overdracht op basis van een adequaatheidsbesluit

Overdracht van persoonsgegevens naar een derde land is toegestaan als de Europese Commissie heeft besloten dat het betreffende land een adequaat beschermingsniveau van persoonsgegevens waarborgt.

8.3. Overdracht met passende waarborgen

Als er geen adequaatheidsbesluit is, kan gegevensoverdracht plaatsvinden op voorwaarde dat passende juridische waarborgen worden toegepast, met name standaardcontractuele bedingen.

8.4. Overdracht naar technologietoolproviders

In het geval van het gebruik van tools die worden geleverd door entiteiten gevestigd buiten de EU/EER (met name Google en Meta), vindt gegevensoverdracht plaats in overeenstemming met de mechanismen gespecificeerd in Hoofdstuk V van de AVG.

8.5. Impactbeoordeling van overdracht

In het geval van overdrachten op basis van standaardcontractuele bedingen voert de verwerkingsverantwoordelijke een impactbeoordeling van de overdracht uit om te verifiëren of het recht van het derde land de doeltreffendheid van de toegepaste waarborgen niet ondermijnt.

8.6. Gezondheidsgegevens en overdrachten buiten EU/EER

Gezondheidsgegevens worden alleen buiten de EU/EER overgedragen in uitzonderlijke gevallen, als de voorwaarden van Hoofdstuk V van de AVG en de voorwaarden van artikel 9, AVG gezamenlijk zijn vervuld.

8.7. Overdracht op basis van uitzonderingen (derogaties)

In afwezigheid van een adequaatheidsbesluit en passende waarborgen kan gegevensoverdracht alleen plaatsvinden op basis van uitzonderingen gespecificeerd in artikel 49, AVG, restrictief en incidenteel toegepast.

8.8. Informatieplicht met betrekking tot overdrachten

De verwerkingsverantwoordelijke informeert betrokkenen over de intentie om gegevens buiten de EU/EER over te dragen en over de toegepaste waarborgen of uitzonderingen.

8.9. Documentatie van overdrachten en verantwoordingsplicht

De verwerkingsverantwoordelijke documenteert alle gevallen van gegevensoverdracht buiten de EU/EER en is in staat om hun naleving met de AVG aan te tonen.

§ 9. Cookies en soortgelijke technologieën

9.1. Definitie van cookies en gerelateerde technologieën

Cookies en soortgelijke technologieën (inclusief localStorage, sessionStorage, pixels, tags en online identificatoren) vormen informatie die wordt opgeslagen of gelezen in de eindapparatuur van de gebruiker.

9.2. Classificatie van cookies per doel

De verwerkingsverantwoordelijke gebruikt noodzakelijke, analytische en marketingcookies, waarbij cookies anders dan noodzakelijke alleen worden geactiveerd na verkrijgen van toestemming van de gebruiker.

9.3. Noodzakelijke (technische) cookies

Noodzakelijke cookies worden uitsluitend gebruikt om de juiste werking van de website en haar basisfuncties te waarborgen en vereisen geen toestemming van de gebruiker.

9.4. Analytische cookies (Google Analytics 4)

Analytische cookies worden gebruikt voor statistische analyse van websiteverkeer met behulp van Google Analytics 4, alleen na verkrijgen van toestemming van de gebruiker.

9.5. Marketing- en remarketingcookies (Google Ads, Meta Ads)

Marketing- en remarketingcookies worden alleen gebruikt na verkrijgen van toestemming van de gebruiker voor het weergeven van gepersonaliseerde of meetbare advertenties en het analyseren van campagne-effectiviteit.

9.6. Consent Management Platform (CMP)

De verwerkingsverantwoordelijke gebruikt een consent management platform (CMP) waarmee de gebruiker toestemming kan geven, weigeren of wijzigen voor het gebruik van cookies.

9.7. Google Consent Mode v2

De verwerkingsverantwoordelijke gebruikt Google Consent Mode v2, dat toestemmingssignalen doorgeeft aan Google voor categorieën: ad_storage, analytics_storage, ad_user_data, ad_personalization.

9.8. Ontbreken van toestemming en de gevolgen ervan

Het ontbreken van toestemming voor analytische of marketingcookies heeft geen invloed op de mogelijkheid om de website te gebruiken, behalve voor functies die direct gerelateerd zijn aan deze cookies.

9.9. Bewaarperiode van cookies

De bewaarperiode van cookies hangt af van hun type en wordt elke keer aangegeven in het gedetailleerde Cookiebeleid of in de CMP-instellingen.

9.10. Toegang tot informatie en transparantie

De verwerkingsverantwoordelijke zorgt voor gemakkelijke toegang voor de gebruiker tot informatie over de gebruikte cookies en maakt het op elk moment mogelijk om toestemmingsinstellingen te wijzigen via een link in de voettekst van de website.

§ 10. Bewaarperiode van persoonsgegevens

10.1. Beginsel van opslagbeperking

Persoonsgegevens worden bewaard in een vorm die de identificatie van betrokkenen mogelijk maakt gedurende niet langer dan noodzakelijk voor de doeleinden waarvoor de persoonsgegevens worden verwerkt.

10.2. Criteria voor het bepalen van de bewaarperiode

De bewaarperiode van persoonsgegevens wordt bepaald op basis van: a) het doel van de gegevensverwerking, b) de juridische grondslag voor verwerking, c) wettelijke verplichtingen van de Verwerkingsverantwoordelijke, d) potentiële verjaringstermijnen voor vorderingen.

10.3. Gegevens verwerkt voor aanbiedingsvoorbereiding en precontractuele activiteiten

Persoonsgegevens die worden verwerkt voor het doel van het voorbereiden van een aanbieding en precontractuele activiteiten worden bewaard gedurende de duur van het contact en na beëindiging ervan gedurende de tijd die noodzakelijk is om eventuele vorderingen te waarborgen.

10.4. Gegevens verwerkt voor uitvoering van een overeenkomst

Persoonsgegevens die worden verwerkt voor het doel van het uitvoeren van een agentschapsovereenkomst worden bewaard gedurende de duur van de overeenkomst, en na beëindiging ervan gedurende de periode die door de wet wordt vereist of tot het verstrijken van verjaringstermijnen voor vorderingen.

10.5. Gegevens verwerkt voor naleving van wettelijke verplichtingen

Persoonsgegevens die worden verwerkt voor het doel van het voldoen aan wettelijke verplichtingen die rusten op de Verwerkingsverantwoordelijke worden bewaard gedurende de periode voortvloeiend uit toepasselijk recht, met name fiscaal en boekhoudkundig recht.

10.6. Gezondheidsgegevens

Gezondheidsgegevens worden alleen bewaard gedurende de periode die noodzakelijk is om het gezondheidsverblijf te organiseren en uit te voeren, en worden daarna onmiddellijk verwijderd of geanonimiseerd, tenzij verdere opslag door de wet wordt vereist.

10.7. Gegevens verwerkt op basis van toestemming

Persoonsgegevens die worden verwerkt op basis van toestemming worden bewaard totdat de toestemming wordt ingetrokken of totdat zij hun nut voor het doel waarvoor de toestemming werd gegeven verliezen.

10.8. Gegevens verwerkt voor analytische en marketingdoeleinden

Persoonsgegevens die worden verwerkt voor analytische en marketingdoeleinden worden bewaard in overeenstemming met de geldigheidsperiode van cookies of totdat de gebruiker toestemming intrekt.

10.9. Verwijdering en anonimisering van gegevens

Na het verstrijken van de bewaarperiode worden persoonsgegevens verwijderd of geanonimiseerd op een wijze die de identificatie van de betrokkene voorkomt.

10.10. Verantwoordingsplicht voor bewaarperioden

De verwerkingsverantwoordelijke documenteert de aangenomen bewaarperioden van gegevens en is in staat om hun naleving met AVG-beginselen aan te tonen.

§ 11. Rechten van de betrokkene

11.1. Catalogus van rechten - Algemeen beginsel

De betrokkene heeft de rechten gespecificeerd in Hoofdstuk III van de AVG, uitgeoefend met respect voor de voorwaarden en beperkingen bepaald in die verordening.

11.2. Recht op informatie en transparante communicatie

De betrokkene heeft het recht om informatie met betrekking tot de verwerking van gegevens te ontvangen in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm.

11.3. Recht op toegang tot gegevens

De betrokkene heeft het recht om van de Verwerkingsverantwoordelijke een bevestiging te verkrijgen of persoonsgegevens betreffende hem of haar worden verwerkt, en, indien dat het geval is, toegang tot de persoonsgegevens en de informatie aangegeven in de AVG.

11.4. Recht op rectificatie

De betrokkene heeft het recht om van de Verwerkingsverantwoordelijke zonder onredelijke vertraging de rectificatie van onjuiste persoonsgegevens betreffende hem of haar te verkrijgen, en de aanvulling van onvolledige gegevens.

11.5. Recht op wissing ("recht om vergeten te worden")

De betrokkene heeft het recht om de wissing van persoonsgegevens te verkrijgen in de gevallen gespecificeerd in de AVG, met name wanneer de gegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor zij werden verwerkt.

11.6. Recht op beperking van verwerking

De betrokkene heeft het recht om beperking van de verwerking van persoonsgegevens te verkrijgen in de gevallen aangegeven in de AVG.

11.7. Recht op gegevensportabiliteit

De betrokkene heeft het recht om zijn of haar persoonsgegevens te ontvangen in een gestructureerd, algemeen gebruikt formaat en deze over te dragen naar een andere verwerkingsverantwoordelijke, als de voorwaarden van de AVG zijn vervuld.

11.8. Recht van bezwaar

De betrokkene heeft het recht om op elk moment bezwaar te maken tegen de verwerking van persoonsgegevens, als de grondslag voor verwerking het gerechtvaardigde belang van de Verwerkingsverantwoordelijke is.

11.9. Recht om toestemming in te trekken

Als de gegevensverwerking plaatsvindt op basis van toestemming, heeft de betrokkene het recht om toestemming op elk moment in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van toestemming vóór de intrekking ervan.

11.10. Recht om niet onderworpen te worden aan geautomatiseerde besluitvorming

De betrokkene heeft het recht om niet onderworpen te worden aan een besluit dat uitsluitend op geautomatiseerde verwerking is gebaseerd, inclusief profilering, dat rechtsgevolgen voor hem of haar heeft of hem of haar op vergelijkbare wijze in aanzienlijke mate treft.

11.11. Recht om een klacht in te dienen bij een toezichthouder

De betrokkene heeft het recht om een klacht in te dienen bij de bevoegde toezichthouder als hij of zij van mening is dat de verwerking van zijn of haar persoonsgegevens in strijd is met de bepalingen van de AVG.

11.12. Procedure voor het uitoefenen van rechten

De verwerkingsverantwoordelijke implementeert de rechten van de betrokkene zonder onredelijke vertraging, uiterlijk binnen de termijn gespecificeerd in de AVG, met de mogelijkheid van verlenging in de daarin aangegeven gevallen.

§ 12. Recht om een klacht in te dienen bij een toezichthouder

12.1. Recht om een klacht in te dienen - Algemeen beginsel

De betrokkene heeft het recht om een klacht in te dienen bij een toezichthouder als hij of zij van mening is dat de verwerking van zijn of haar persoonsgegevens in strijd is met de bepalingen van de AVG.

12.2. Bevoegde toezichthouder

De bevoegde toezichthouder voor de verwerkingsverantwoordelijke van gegevens is de toezichthouder in het Koninkrijk der Nederlanden, d.w.z. Autoriteit Persoonsgegevens.

12.3. Recht van de betrokkene om een toezichthouder te kiezen

De betrokkene kan een klacht indienen bij de toezichthouder in de lidstaat van zijn of haar gewone verblijfplaats, werkplaats of de plaats van de vermoedelijke inbreuk.

12.4. Onafhankelijkheid van het recht om te klagen van andere juridische middelen

Het recht om een klacht in te dienen bij een toezichthouder is onafhankelijk van andere juridische middelen, inclusief het recht om een klacht in te dienen bij een rechter.

12.5. Verplichting van de verwerkingsverantwoordelijke om met de toezichthouder samen te werken

De verwerkingsverantwoordelijke van gegevens werkt samen met de bevoegde toezichthouder bij de uitvoering van zijn taken en verstrekt alle vereiste informatie.

12.6. Recht op een doeltreffend rechtsmiddel

De betrokkene heeft het recht op een doeltreffend rechtsmiddel tegen een beslissing van de toezichthouder of in geval van oninactie van die autoriteit.

12.7. Recht op een doeltreffend rechtsmiddel tegen de verwerkingsverantwoordelijke

De betrokkene heeft het recht op een doeltreffend rechtsmiddel tegen de Verwerkingsverantwoordelijke als hij of zij van mening is dat zijn of haar rechten voortvloeiend uit de AVG zijn geschonden.

12.8. Geen kosten voor het indienen van een klacht

Het indienen van een klacht bij de toezichthouder is vrijgesteld van administratieve kosten.

§ 13. Technische en organisatorische veiligheidsmaatregelen

13.1. Verplichting om veiligheid van verwerking te waarborgen

De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om een niveau van veiligheid van persoonsgegevens te waarborgen dat passend is voor het risico.

13.2. Criteria voor het selecteren van veiligheidsmaatregelen

Bij het selecteren van veiligheidsmaatregelen houdt de verwerkingsverantwoordelijke rekening met de stand van de techniek, implementatiekosten, aard, omvang, context en doeleinden van verwerking, en het risico van inbreuk op rechten of vrijheden van natuurlijke personen.

13.3. Vertrouwelijkheid, integriteit en beschikbaarheid van gegevens

De verwerkingsverantwoordelijke waarborgt de vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens en de veerkracht van verwerkingssystemen en -diensten.

13.4. Toegangsbeperking en autorisatiecontrole

Toegang tot persoonsgegevens wordt alleen verleend aan personen die door de Verwerkingsverantwoordelijke zijn geautoriseerd en alleen voor zover noodzakelijk om hun taken uit te voeren.

13.5. Technische gegevensbeschermingsmaatregelen

De verwerkingsverantwoordelijke past technische maatregelen toe, met name IT-systeembeveiliging, toegangsbeveiliging, versleuteling of pseudonimisering van gegevens - voor zover adequaat voor het risico.

13.6. Veiligheid van bijzondere categorieën gegevens

Gezondheidsgegevens zijn onderworpen aan verhoogde beschermingsnormen, inclusief toegangsbeperkingen, overdrachtscontrole en verkorte bewaarperioden.

13.7. Testen en evalueren van de doeltreffendheid van waarborgen

De verwerkingsverantwoordelijke test, meet en evalueert regelmatig de doeltreffendheid van de toegepaste technische en organisatorische maatregelen.

13.8. Verwerkers en veiligheid

De verwerkingsverantwoordelijke gebruikt alleen verwerkers die een passend niveau van veiligheid bieden voor de verwerking van persoonsgegevens.

13.9. Procedure in geval van een inbreuk op persoonsgegevens

De verwerkingsverantwoordelijke heeft procedures die de detectie, rapportage en beoordeling van inbreuken op persoonsgegevens mogelijk maken.

13.10. Beginsel van verantwoordingsplicht in veiligheidskwesties

De verwerkingsverantwoordelijke documenteert de toegepaste veiligheidsmaatregelen en is in staat om hun naleving met de AVG aan te tonen.

§ 14. Inbreuken op persoonsgegevens

14.1. Definitie van inbreuk op persoonsgegevens

Een inbreuk op persoonsgegevens betekent een inbreuk op de beveiliging die leidt tot de accidentele of onrechtmatige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van, of toegang tot, persoonsgegevens.

14.2. Verplichting om te reageren op inbreuken

De verwerkingsverantwoordelijke implementeert procedures die onmiddellijke detectie, analyse en beoordeling van elke inbreuk op persoonsgegevens mogelijk maken.

14.3. Risicobeoordeling voor rechten en vrijheden van natuurlijke personen

Na detectie van een inbreuk voert de verwerkingsverantwoordelijke een beoordeling uit van het risico van inbreuk op rechten of vrijheden van natuurlijke personen, rekening houdend met de aard van de gegevens, de omvang van de inbreuk en potentiële gevolgen.

14.4. Rapportage van inbreuk aan de toezichthouder

Als een inbreuk op persoonsgegevens kan leiden tot een risico voor de rechten en vrijheden van natuurlijke personen, rapporteert de verwerkingsverantwoordelijke dit aan de bevoegde toezichthouder zonder onredelijke vertraging, uiterlijk 72 uur nadat hij van de inbreuk op de hoogte is gekomen.

14.5. Omvang van rapportage aan de toezichthouder

De melding aan de toezichthouder omvat ten minste de informatie aangegeven in de AVG, inclusief de aard van de inbreuk, categorieën gegevens, mogelijke gevolgen en toegepaste of voorgestelde herstelmaatregelen.

14.6. Documentatie van inbreuken op gegevens

De verwerkingsverantwoordelijke documenteert alle inbreuken op persoonsgegevens, ongeacht of zij onderworpen waren aan de verplichting om te melden aan de toezichthouder.

14.7. Melding aan de betrokkene

Als de inbreuk op persoonsgegevens kan leiden tot een hoog risico voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke dit mee aan de betrokkene zonder onredelijke vertraging.

14.8. Uitzonderingen op de verplichting om de betrokkene te informeren

De verwerkingsverantwoordelijke is niet verplicht om de betrokkene te informeren als aan een van de voorwaarden gespecificeerd in de AVG is voldaan, met name wanneer technische maatregelen die het risico elimineren zijn toegepast.

14.9. Inbreuken met betrekking tot bijzondere categorieën gegevens

Inbreuken met betrekking tot gezondheidsgegevens zijn onderworpen aan bijzonder rigoureuze risicobeoordeling en komen over het algemeen in aanmerking als hoog-risico-inbreuken.

14.10. Samenwerking met de toezichthouder

De verwerkingsverantwoordelijke werkt samen met de bevoegde toezichthouder in procedures met betrekking tot een inbreuk op persoonsgegevens.

14.11. Verantwoordingsplicht van inbreukresponsprocedures

De verwerkingsverantwoordelijke is in staat om de naleving van de aangenomen inbreukresponsprocedures met AVG-vereisten aan te tonen.

§ 15. Wijzigingen in het Privacybeleid en de update ervan

15.1. Recht van de verwerkingsverantwoordelijke om het Privacybeleid te updaten

De verwerkingsverantwoordelijke is gerechtigd om wijzigingen aan te brengen in het Privacybeleid in geval van wijzigingen in de wet, wijzigingen in de wijze of omvang van de verwerking van persoonsgegevens, wijzigingen in toegepaste technologieën of bedrijfsontwikkeling.

15.2. Verplichting om informatie up-to-date te houden

De verwerkingsverantwoordelijke zorgt ervoor dat informatie verstrekt aan betrokkenen up-to-date, betrouwbaar is en overeenkomt met de feitelijke wijze van gegevensverwerking.

15.3. Vorm van publicatie van wijzigingen

De huidige versie van het Privacybeleid wordt elke keer gepubliceerd op de website van de Verwerkingsverantwoordelijke en gemarkeerd met de datum van inwerkingtreding.

15.4. Omvang van wijzigingen en informatieplicht

Als wijzigingen in het Privacybeleid essentiële aspecten van de verwerking van persoonsgegevens betreffen, zorgt de verwerkingsverantwoordelijke voor de vervulling van informatieplichten jegens betrokkenen.

15.5. Geen terugwerkende kracht van wijzigingen

Wijzigingen in het Privacybeleid hebben geen terugwerkende kracht en hebben geen invloed op de rechtmatigheid van de verwerking van persoonsgegevens die is uitgevoerd vóór de datum van inwerkingtreding van de wijzigingen.

15.6. Wijzigingen voortvloeiend uit wettelijke verplichting

Wijzigingen in het Privacybeleid die zijn geïntroduceerd om aan te passen aan verplichte bepalingen van de wet zijn van toepassing vanaf de datum van inwerkingtreding van die bepalingen.

15.7. Verantwoordingsplicht van het updateproces

De verwerkingsverantwoordelijke documenteert het Privacybeleid-updateproces en is in staat om de naleving ervan met AVG-beginselen aan te tonen.

15.8. Inwerkingtreding van het Privacybeleid

Dit Privacybeleid treedt in werking op de datum van publicatie ervan, tenzij een andere datum van inwerkingtreding uitdrukkelijk is aangegeven.