Privacybeleid van Sportstudio Raalte B.V

Sportstudio Raalte hecht veel waarde aan de bescherming van uw persoonsgegevens. In deze Privacy policy willen we heldere en transparante informatie geven over hoe wij omgaan met persoonsgegevens.

Wij doen er alles aan om uw privacy te waarborgen en gaan daarom zorgvuldig om met persoonsgegevens. Sportstudio Raalte BV houdt zich in alle gevallen aan de toepasselijke wet- en regelgeving, waaronder de Algemene Verordening Gegevensbescherming. Dit brengt met zich mee dat wij in ieder geval:

  • Uw persoonsgegevens verwerken in overeenstemming met het doel waarvoor deze zijn verstrekt, deze doelen en type persoonsgegevens zijn beschreven in deze Privacy policy
  • De verwerking van uw persoonsgegevens beperken tot enkel de gegevens welke minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt
  • Vragen om uw uitdrukkelijke toestemming als wij deze nodig hebben voor de verwerking van uw persoonsgegevens
  • Passende technische en organisatorische maatregelen hebben genomen zodat de beveiliging van uw persoonsgegevens gewaarborgd is
  • Geen persoonsgegevens doorgeven aan andere partijen, tenzij dit nodig is voor uitvoering van de doeleinden waarvoor ze zijn verstrekt
  • Op de hoogte zijn van uw rechten omtrent uw persoonsgegevens, u hierop willen wijzen en deze respecteren.

Als Sportstudio Raalte zijn wij verantwoordelijk voor de verwerking van uw persoonsgegevens. Indien u na het doornemen van ons Privacy policy, of in algemenere zin, vragen heeft hierover of contact met ons wenst op te nemen kan dit via de contactgegevens onderaan dit document.

Verwerking van persoonsgegevens van Leden en Geregistreerden

Persoonsgegevens van leden worden door Sportstudio Raalte verwerkt ten behoeve van de volgende doelstelling(en):

  • Administratieve doeleinden
  • Communicatie over de opdracht en/of uitnodigingen
  • Het informeren door middel van nieuwsuitingen.

Grondslag voor deze persoonsgegevens is:

  • De overeengekomen opdracht, schriftelijke aanmelding Lidmaatschap
  • De online registratie op de site

Voor de bovenstaande doelstelling(en) kan Sportstudio Raalte de volgende persoonsgegevens van u vragen:

  • Voornaam en achternaam
  • Adresgegevens
  • Geslacht
  • Telefoonnummer
  • E-mailadres
  • Geboortedatum
  • Medische gegevens
  • Overige persoonsgegevens die u actief verstrekt bijvoorbeeld door een profiel op deze website aan te maken, in correspondentie en telefonisch

Wij bewaren uw gegevens voor zover dat noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor wij uw gegevens verwerken en niet langer dan wettelijk is toegestaan in ieder geval gedurende de looptijd van uw lidmaatschap of in ieder geval gedurende de looptijd dat u geregistreerd staat in het register van Sportstudio Raalte

Verwerking van persoonsgegevens van Medewerkers en Stagiairs

Persoonsgegevens van Medewerkers worden door Sportstudio Raalte BV verwerkt ten behoeve van de volgende doelstelling(en):

  • Uitvoering geven aan de arbeidsovereenkomst
  • Grondslag voor deze persoonsgegevens is:
  • De arbeidsovereenkomst.

Voor de bovenstaande doelstelling(en) kan Sportstudio Raalte BV de volgende persoonsgegevens

van u vragen:

  • Voornaam en achternaam
  • Adresgegevens
  • Telefoonnummer
  • E-mailadres
  • Geboortedatum
  • Geslacht
  • Salarisgegevens
  • Kopie ID
  • BSN-nummer
  • Bankgegevens.

Uw persoonsgegevens worden door Sportstudio Raalte BV opgeslagen ten behoeve van bovengenoemde verwerking(en) voor de periode:

  • Gedurende de periode dat men een contract heeft en daarna alleen in de financiële administratie voor maximaal 7 jaar.

Verstrekking aan Derden

De gegevens die u aan ons geeft kunnen wij aan derde partijen verstrekken indien dit noodzakelijk is voor uitvoering van de hierboven beschreven doeleinden.

Zo maken wij gebruik van een derde partij voor:

  • Het verzorgen van de internetomgeving
  • Het verzorgen van de (financiële) administratie
  • Het verzorgen van nieuwsbrieven en uitnodigingen.

Wij geven nooit persoonsgegevens door aan andere partijen waarmee we geen verwerkersovereenkomst hebben afgesloten. Met deze partijen (verwerkers) maken wij hierin uiteraard de nodige afspraken om de beveiliging van uw persoonsgegevens te waarborgen. Verder zullen wij de door uw verstrekte gegevens niet aan andere partijen verstrekken, tenzij dit wettelijk verplicht en toegestaan is. Een voorbeeld hiervan is dat de politie in het kader van een onderzoek (persoons)gegevens bij ons opvraagt. In een dergelijk geval dienen wij medewerking te verlenen en zijn dan ook verplicht deze gegevens af te geven. Tevens kunnen wij persoonsgegevens delen met derden indien u ons hier schriftelijk toestemming voor geeft.

Binnen de EU

Wij verstrekken geen persoonsgegevens aan partijen welke gevestigd zijn buiten de EU.

Minderjarigen

Wij verwerken enkel en alleen persoonsgegevens van minderjarigen (personen jongen dan 16 jaar) indien daarvoor schriftelijke toestemming is gegeven door de ouder, verzorger of wettelijke vertegenwoordiger.

Bewaartermijn

Sportstudio Raalte BV bewaart persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor deze zijn verstrekt dan wel op grond van de wet is vereist.

Beveiliging

Sportstudio Raalte BV neemt de bescherming van uw gegevens serieus en neemt passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. De website van Sportstudio Raalte BV maakt gebruik van een betrouwbaar SSL Certificaat om te borgen dat uw persoonsgegevens niet in verkeerde handen vallen. Als u de indruk heeft dat uw gegevens niet goed beveiligd zijn of er aanwijzingen zijn van misbruik, of indien u meer informatie wenst over de beveiliging van door Sportstudio Raalte BV verzamelde persoonsgegevens, neem dan contact met Sportstudio Raalte BV

Cookies

Deze website maakt gebruik van cookies. Een cookie is een klein tekstbestand dat bij uw bezoek aan de website naar uw computer wordt gestuurd en door uw browser op de harde schijf van uw computer wordt opgeslagen. Met cookies kan de server de browser opnieuw herkennen en bijhouden wat u in het verleden heeft gedaan.Fit For Life B.V gebruikt cookies om uw instellingen en voorkeuren te onthouden om een volgend bezoek aan de website makkelijker te maken.

Deze website maakt tevens gebruik van Google Analytics, een webanalyse-service die wordt aangeboden door Google Inc. (“Google”). Ook Google Analytics maakt gebruik van “cookies”. De door het cookie gegenereerde informatie over uw gebruik van de website (met inbegrip van Uw IP-adres) wordt overgebracht naar en door Google opgeslagen op servers in de Verenigde Staten. Google gebruikt deze informatie om bij te houden hoe u de website gebruikt, rapporten over de website-activiteit op te stellen voor website-exploitanten en andere diensten aan te bieden met betrekking tot website-activiteit en internetgebruik. Google mag deze informatie aan derden verschaffen indien Google hiertoe wettelijk wordt verplicht, of voor zover deze derden de informatie namens Google verwerken. Google zal uw IP-adres niet combineren met andere gegevens waarover Google beschikt.

U kunt het gebruik van cookies weigeren door in uw browser de daarvoor geëigende instellingen te kiezen. Wij wijzen u er echter op dat u in dat geval wellicht niet alle mogelijkheden van deze website kunt benutten. Door gebruik te maken van deze website geeft u toestemming voor het verwerken van de informatie door Google op de wijze en voor de doeleinden zoals hiervoor omschreven.

Rechten omtrent uw gegevens

U heeft recht op inzage, rectificatie of verwijdering van de persoonsgegeven welke wij van u ontvangen hebben. Tevens kunt u bezwaar maken tegen de verwerking van uw persoonsgegevens (of een deel hiervan) door ons of door één van onze verwerkers. Ook heeft u het recht om de door u verstrekte gegevens door ons te laten overdragen aan uzelf of in opdracht van u direct aan een andere partij. Wij kunnen u vragen om u te legitimeren voordat wij gehoor kunnen geven aan voornoemde verzoeken.

Mogen wij uw persoonsgegevens verwerken op basis van een door u gegeven toestemming hiertoe, dan heeft u altijd het recht deze toestemming in te trekken.

Klachten

Mocht u een klacht hebben over de verwerking van uw persoonsgegevens dan vragen wij u hierover direct contact met ons op te nemen. Komen wij er samen met u niet uit dan vinden wij dit natuurlijk erg vervelend. U heeft altijd het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens, dit is de toezichthoudende autoriteit op het gebied van privacybescherming.

Vragen

Als u naar aanleiding van ons Privacy Statement nog vragen of opmerkingen heeft neem dan contact met ons op!

Wijzigingen

Sportstudio Raalte BV behoudt zich het recht voor om de inhoud van dit privacy policy te allen tijde te wijzigen.

Contactgegevens

Joost te Wierik

Sportstudio Raalte BV
Adres : Zwolsestraat 65
8101 AB Raalte

Telefoonnr. : 0628593930
E-mail : info@sportstudioraalte.nl
Website : www.sportstudioraalte.nl

Sportstudio Raalte BV. heeft een overeenkomst getekend met Virtuagym.

Dat betekend dat alle persoonlijke informatie van onze klanten bewaard worden in beveiligde omgeving. zie hieronder de overkomst met virtuagym.

Overwegende dat

  • Verwerker levert een op web- en mobiele applicatie gebaseerde software oplossing die een breed scala aan functionaliteiten biedt op het gebied van onder andere activiteiten- en voortgangsregistratie, voeding, coaching, boekingen, ledenbeheer en facturering (De Service). In deze rol zal Verwerker i) gegevens verwerken, ii) gegevens opslaan en iii) gegevens analyseren;
  • Verwerkerkingsverantwoordelijke kan aanvullende oplossingen bieden voor onder andere activiteiten- en voortgangsregistratie, voeding, coaching, boekingen, lidmaatschappen, facturering en andere informatie die ten behoeve van Verwerkingsverantwoordelijke kan worden gekoppeld aan De Service van Verwerker;
  • Verwerker en Verwerkingsverantwoordelijke hebben eerder een licentieovereenkomst voor De Service gesloten, waarvan deze Verwerkersovereenkomst deel uitmaakt;
  • Wat de verwerking van persoonsgegevens betreft, kan Verwerker volgens het recht van de Europese Unie worden aangemerkt als een Verwerker in de zin van artikel 4, lid 8, van de Algemene Verordening Gegevensbescherming (AVG) en kan Verwerkingsverantwoordelijke worden aangemerkt als een Verwerkingsverantwoordelijke in de zin van artikel 4, lid 7, van de AVG;
  • Partijen wensen – mede ter uitvoering van het bepaalde in artikel 28, lid 3, van de AVG – en ten behoeve van de Verwerkingsverantwoordelijke in deze Verwerkersovereenkomst een aantal voorwaarden vast te leggen die van toepassing zijn op hun relatie in het kader van voornoemde taken.

Definities

1.1 In deze Verwerkersovereenkomst hebben de volgende begrippen de hieronder omschreven betekenis en worden verwante termen overeenkomstig geïnterpreteerd:

1.1.1 “Vertrouwelijke informatie”: alle informatie van vertrouwelijke, bedrijfseigen of geheime aard die van toepassing is of kan zijn op of op enige wijze verband houdt met: i) de huidige of toekomstige activiteiten van Verwerker; of (ii) het onderzoek naar en de ontwikkeling van bedrijfseigen informatie en andere informatie waarop eigendomsrechten berusten van Verwerker, waaronder onder andere zonder enige beperking, de identiteit van een klant, leverancier of klant van Verwerker, handelsgeheimen, processen, formules, gebruikersdata, know-how, verbeteringen, uitvindingen, patenten, auteursrechten, technieken, marketingplannen, beleid, procedures, prijzen, technische software, met inbegrip van bron- en objectcode, besturingssystemen, bridgeware, firmware, middleware en hulpprogramma’s, en strategieën, kosten, winst- en marge-informatie, financiën en financiële projecties en huidige of toekomstige businessplannen en -modellen;

1.1.2 “De Service”: Verwerker heeft een flexibele white-label-technologieoplossing ontwikkeld voor op web en mobiele apps gebaseerde lifestyle, fitness en wellness platformen die een breed scala aan

functionaliteiten biedt op het gebied van onder andere activiteiten- en voortgangsregistratie, voeding, mentale vitaliteit, coaching, boeking, ledenbeheer, en facturering;

1.1.3. “Bijlage”: elke toevoeging aan deze Verwerkersovereenkomst die daarvan een integraal onderdeel uitmaakt;

1.1.4 “Overeenkomst”: de eerder tussen Partijen gesloten licentieovereenkomst;

1.1.5. “Persoonsgegevens”: alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon als bedoeld in sectie 4, punt 2, van de AVG;

1.1.6 “Verwerking”: betekent, alsmede vervoegingen van dit werkwoord: de verwerking van Persoonsgegevens als bedoeld in artikel 4 lid 2 AVG;

1.1.7. “Verwerkersovereenkomst” verwijst naar deze overeenkomst;

1.1.8 “Subverwerkers”: de door Verwerker ingeschakelde onderaannemer die namens de Verwerkingsverantwoordelijke in het kader van deze Verwerkersovereenkomst persoonsgegevens verwerkt, zoals bedoeld in artikel 28 lid 4 AVG.

1.2 De bepalingen van de Overeenkomst zijn van toepassing op deze Verwerkersovereenkomst. Indien bepalingen met betrekking tot de Verwerking van Persoonsgegevens in de Overeenkomst in strijd zijn met de bepalingen in deze Verwerkersovereenkomst, zijn de bepalingen van deze Verwerkersovereenkomst van toepassing.

Doel van de verwerking van persoonsgegevens

2.1 Partijen wensen deze Verwerkersovereenkomst aan te gaan om de voorwaarden van de Verwerking van Persoonsgegevens in het kader van de Overeenkomst vast te leggen. Een overzicht van de soorten Persoonsgegevens, de categorieën van betrokkenen en de doeleinden van Verwerking is opgenomen in Bijlage I.

2.2 Verwerker zal persoonsgegevens uitsluitend verwerken ten behoeve van de activiteiten waarnaar in deze Verwerkersovereenkomst wordt verwezen. Verwerker garandeert de Persoonsgegevens die hij in het kader van deze Verwerkersovereenkomst verwerkt niet zonder uitdrukkelijke schriftelijke toestemming van de Verwerkingsverantwoordelijke voor eigen of externe doeleinden te gebruiken, tenzij i) de doeleinden uitdrukkelijk anders zijn vermeld in deze Verwerkersovereenkomst of eerder ondertekende overeenkomsten ii) Verwerker daartoe wettelijk verplicht is. In dat geval zal Verwerker de Verwerkingsverantwoordelijke onmiddellijk op de hoogte stellen van deze wettelijke verplichting alvorens tot Verwerking over te gaan, tenzij wettelijk een dergelijke kennisgeving aan de Verwerkingsverantwoordelijke verboden wordt.

Technische en organisatorische bepalingen

3.1 Verwerker zal, rekening houdend met de aard van de Verwerking en voor zover dit redelijkerwijs mogelijk is, de Verwerkingsverantwoordelijke assisteren bij de nakoming van de

verplichtingen op grond van de AVG en bij het nemen van passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Deze maatregelen worden zodanig ontworpen dat, rekening houdend met de beste praktijken en de kosten van uitvoering, een passend beveiligingsniveau wordt vastgesteld in het licht van de aard van de te beschermen gegevens en de risico’s die de Verwerking van Persoonsgegevens met zich meebrengt. Verwerker zal in ieder geval commercieel redelijke inspanningen leveren om Persoonsgegevens te beschermen tegen onbedoeld of onwettige vernietiging, onopzettelijk of opzettelijk verlies, vervalsing, niet-geautoriseerde distributie of toegang, of enige andere vorm van onwettige Verwerking.

3.2 Verwerker zal een document ter beschikking stellen waarin de door Verwerker te nemen technische en organisatorische maatregelen worden beschreven. Dit document zal als bijlage worden toegevoegd aan deze Verwerkersovereenkomst.

Vertrouwelijkheid

4.1 Verwerker zal de medewerkers die betrokken zijn bij de uitvoering van deze Verwerkersovereenkomst verplichten tot ondertekening van een geheimhoudingsverklaring, waarin in ieder geval is opgenomen dat deze medewerkers de Persoonsgegevens strikt vertrouwelijk dienen te behandelen.

Verwerking van persoonsgegevens buiten Europa

5.1 Het is Verwerker toegestaan om Persoonsgegevens buiten de Europese Unie door te geven met inachtneming van wettelijke verplichtingen die van toepassing zijn.

Subverwerkers

6.1 Verwerker is gerechtigd de uitvoering van de Verwerking in opdracht van Verwerkingsverantwoordelijke geheel of gedeeltelijk uit te besteden aan de in Bijlage III omschreven Subverwerkers. Indien Verwerker Subverwerkers wil inschakelen, zal Verwerker de Verwerkingsverantwoordelijke op de hoogte stellen van voorgenomen wijzigingen met betrekking tot het toevoegen of vervangen van Subverwerkers. Verwerkingsverantwoordelijke kan binnen 5 werkdagen na ontvangst van de schriftelijke bevestiging van de voorgenomen wijziging van Subverwerker door Verwerker, bezwaar maken tegen dergelijke wijzigingen. Een dergelijk bezwaar dient op redelijke gronden te berusten.

6.2 Verwerker streeft ernaar elke Subverwerker te verplichten tot naleving van de vertrouwelijkheidsverplichtingen, kennisgevingsverplichtingen en beveiligingsmaatregelen met betrekking tot de Verwerking van Persoonsgegevens, welke verplichtingen en maatregelen ten minste moeten voldoen aan de bepalingen van deze Verwerkersovereenkomst.

Aansprakelijkheid

7.1 Ten aanzien van de aansprakelijkheids- en vrijwaringsverplichtingen van Verwerker op grond van deze Verwerkersovereenkomst is het in de Overeenkomst bepaalde, of hetgeen middels verwijzing in de Overeenkomst is opgenomen, met betrekking tot de beperking van aansprakelijkheid van toepassing.

7.2 Partijen zijn jegens elkaar aansprakelijk voor alle directe schade die voortvloeit uit of verband houdt met het uitvoeren van of het niet uitvoeren van deze Verwerkersovereenkomst. Echter, elke aansprakelijkheid die voortvloeit uit deze Verwerkersovereenkomst, hetzij op basis van een actie of claim in nalatigheid, onrechtmatige daad of anderszins, voor alle gebeurtenissen, handelingen of omissies in het kader van deze overeenkomst, zal in totaal niet meer bedragen dan de vergoedingen betaald of te betalen in het kader van de Overeenkomst over een periode van maximaal zes maanden.

Schending van persoonsgegevens

8.1 In het geval dat Verwerker zich bewust wordt van een incident dat een wezenlijke impact kan hebben op de bescherming van Persoonsgegevens, zal Verwerker i) Verwerkingsverantwoordelijke daarvan op de hoogte stellen binnen 24 uur nadat Verwerker zich bewust werd van het incident en ii) alle redelijke maatregelen nemen om de impact van het incident te voorkomen of te beperken en toekomstige incidenten te voorkomen.

8.2 Verwerker zal, voor zover redelijk, medewerking verlenen gevraagd door Verwerkingsverantwoordelijke om ervoor te zorgen dat de Verwerkingsverantwoordelijke zijn wettelijke verplichtingen in verband met een dergelijk incident nakomt.

8.3 Verwerker assisteert de Verwerkingsverantwoordelijke, voor zover redelijk, bij de meldingsplicht van de Verwerkingsverantwoordelijke met betrekking tot de Persoonsgegevens aan de gegevensbeschermingsautoriteit en/of de betrokkene, als bedoeld in artikel 33, lid 3, en artikel 34, lid 1, van de AVG. Verwerker is op grond van deze Verwerkersovereenkomst nimmer gehouden een inbreuk in verband met persoonsgegevens te melden bij de gegevensbeschermingsautoriteit en/of de betrokkene.

8.4 Verwerker is niet verantwoordelijk en/of aansprakelijk voor de (tijdige en juiste) meldingsplicht aan de betrokken toezichthouder en/of betrokkene als bedoeld in de artikelen 33 en 34 van de AVG.

Samenwerking

9.1 Verwerker zal, voor zover redelijkerwijs mogelijk, medewerking verlenen aan de Verwerkingsverantwoordelijke bij de naleving van zijn verplichting op grond van de AVG om te

antwoorden op verzoeken die betrekking hebben op uitoefening van de rechten van betrokkenen, met name het recht van inzage (artikel 15 AVG), rectificatie (artikel 16 AVG), gegevenswissing (artikel 17 AVG), beperking van verwerking (artikel 18 AVG), overdraagbaarheid van gegevens (artikel 20 AVG) en het recht van bezwaar (artikelen 21 en 22 AVG). Verwerker stuurt een klacht of verzoek van een betrokkene met betrekking tot de verwerking van persoonsgegevens door aan de Verwerkingsverantwoordelijke indien redelijkerwijs mogelijk na ontvangst daarvan, aangezien de Verwerkingsverantwoordelijke (mede) verantwoordelijk kan zijn voor de behandeling van het verzoek. Verwerker is gerechtigd alle kosten die verband houden met de samenwerking met de Verwerkingsverantwoordelijke met betrekking tot de voorwaarden van deze Verwerkersovereenkomst in rekening te brengen. Verwerkingsverantwoordelijke is als enige verantwoordelijk voor de toepasselijke kosten onder dit artikel, met inbegrip van – maar niet beperkt tot – aanvullend werk met een uurtarief van 69,- per uur te betalen aan Verwerker voor tijd besteed aan verzoeken onder dit artikel.

9.2 Verwerker zal, voor zover redelijkerwijs mogelijk, medewerking verlenen aan Verwerkingsverantwoordelijke om te voldoen aan zijn verplichting op grond van de AVG om een gegevensbeschermingseffectbeoordeling uit te voeren (art. 35 en 36 AVG). Verwerkingsverantwoordelijke is als enige verantwoordelijk voor de toepasselijke kosten onder dit artikel, met inbegrip van – maar niet beperkt tot – aanvullend werk met een uurtarief van 69,- per uur te betalen aan Verwerker voor tijd besteed aan verzoeken onder dit artikel.

9.3 Verwerker zal aan Verwerkingsverantwoordelijke alle informatie verstrekken die redelijkerwijs nodig is om aan te tonen dat Verwerker aan zijn verplichtingen op grond van de AVG voldoet. Voorts zal Verwerker – op verzoek van Verwerkingsverantwoordelijke – audits mogelijk maken en daaraan bijdragen, waaronder inspecties door een Verwerkingsverantwoordelijke gemachtigde auditor. Indien Verwerker van mening is dat een opdracht met betrekking tot de bepalingen van dit artikel in strijd zijn met de AVG of andere toepasselijke wetgeving inzake gegevensbescherming, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk in kennis. Verwerkingsverantwoordelijke is als enige verantwoordelijk voor de toepasselijke kosten onder dit artikel, met inbegrip van maar niet beperkt tot een uurtarief van 150,- per uur voor Verwerker voor tijd besteed aan voorbereiding en assistentie tijdens inspectie of de gevraagde audit.

Beëindiging en overige bepalingen

10.1 Ten aanzien van de beëindiging op grond van deze Verwerkersovereenkomst zijn de specifieke bepalingen van de Overeenkomst van toepassing. Onverminderd de specifieke bepalingen van de Overeenkomst zal Verwerker bij het eerste verzoek van Verwerkingsverantwoordelijke alle door Verwerkingsverantwoordelijke beheerde Persoonsgegevens verwijderen of retourneren, en alle

bestaande kopieën verwijderen, tenzij Verwerker wettelijk verplicht is sommige of alle daarvan op te slaan.

10.2 Verwerker is, binnen de grenzen van het toepasselijke recht, vrij in de keuze van de bewaartermijn die geldt voor verwerking van persoonsgegevens door Verwerker.

10.3 De in deze Verwerkersovereenkomst opgenomen verplichtingen die naar hun aard bedoeld zijn om ook na beëindiging voort te duren, blijven ook na beëindiging van deze Verwerkersovereenkomst van kracht.

10.4 De keuze van het recht en de bevoegde rechter geschiedt met inachtneming van de toepasselijke bepalingen van de Overeenkomst.

Alle getoonde bedragen zijn in de valuta van de Overeenkomst.

Naam: Hugo Braam

Bedrijf: DIGIFIT B.V.

Titel: CEO & Mede-oprichter

Handtekening: Hugo Braam

BIJLAGE I – OVERZICHT PERSOONSGEGEVENS

SOORTEN PERSOONSGEGEVENS

  • Basis persoonsgegevens (bijv. naam)
  • Contactgegevens
  • Bankgegevens – beperkt
  • Productinformatie (bijv. lidmaatschapsinformatie)
  • Account status informatie
  • Persoonlijke accountinstellingen (bijv. taalvoorkeur)
  • Profielinformatie (bijv. profielfoto’s)
  • Inloggegevens (bijv. wachtwoord)
  • Trainingsinformatie
  • Voortgangsinformatie – anders dan “trainingsinformatie” (bijv. gewicht)
  • Coachingsinformatie (bijv. doel van cliënt)
  • Communicatie-informatie (bijv. community posts)
  • Aankoopinformatie (bijv. aankopen van lidmaatschappen)
  • Bezoek- en toegangsinformatie
  • Reserveringsinformatie (bijv. geplande lessen)
  • Vragenlijst informatie
  • Marketing informatie (bijv. nieuwsbrief)
  • Informatie niet gegenereerd met behulp van de applicatie (bijv. geüploade bestanden)

CATEGORIEËN BETROKKENEN

  • Personeel, met inbegrip van vrijwilligers, tijdelijke en uitzendkrachten; en
  • Klanten en patiënten, inclusief maar niet beperkt tot sporters en medewerkers.

DOELEINDEN VAN VERWERKING

Verwerker, met inbegrip van zijn werknemers, agenten, onderaannemers en vertegenwoordigers zal Persoonsgegevens alleen gebruiken voor het uitvoeren van zijn diensten. Specifieke doeleinden zijn:

  • Verwerkingsverantwoordelijke in staat stellen zijn diensten aan te bieden, zoals coaching, personal training, educatie, bedrijfsgezondheids en wellness services;
  • Verbetering van kwaliteit van De Service;
  • Passende maatregelen uitvoeren om de veiligheid en vertrouwelijkheid van

persoonsgegevens te waarborgen;

  • Persoonsgegevens beschermen tegen bekende of te verwachten bedreigingen die een

gevaar vormen voor de veiligheid of integriteit van dergelijke informatie; en

  • Beschermen tegen ongeautoriseerde toegang tot of gebruik van Persoonsgegevens dat kan

resulteren in schade of ongemak voor een individu.

BIJLAGE II – SPECIFICATIE VAN DE BEVEILIGINGSMAATREGELEN

Verwerker streeft ernaar klantgegevens en De Service te beschermen door het implementeren van beveiligingsmaatregelen op basis van industriestandaarden. Deze bijlage geeft een overzicht van de door Verwerker genomen maatregelen en na te leven normen.

NALEVING VAN REGELGEVING

Verwerker voldoet aan de volgende algemene eisen:

  • Zorgdragen dat er een beveiligingsteam is dat zich richt op het beheren en onderhouden van het informatiebeveiligingsprogramma van Verwerker;
  • Het bijhouden van een organisatieschema met een overzicht van rollen en verantwoordelijkheden van alle personen die beveiligingsfuncties uitvoeren; en
  • Het verkrijgen en onderhouden van een uitgebreid industriestandaard informatiebeveiligingsprogramma.

OPERATIONELE VEILIGHEID

Verwerker documenteert en onderhoudt een uitgebreid informatiebeveiligingsbeleid dat wordt gecommuniceerd aan al het personeel en alle andere partijen die toegestaan zijn toegang te hebben tot Persoonsgegevens. Daarnaast zal Verwerker:

  • Zorgdragen dat personeel, en alle relevante andere partijen, Verwerkers beveiligingsbeleid en beveiligingspraktijk erkent en naleeft wanneer zij toegang krijgen tot en omgaan met Persoonsgegevens; en
  • Het beveiligingsbeleid formeel toetst (en actualiseren indien van toepassing), op een in ieder geval jaarlijkse basis.

VEILIGHEIDSBEWUSTWORDINGSTRAINING

Verwerker onderhoudt een beveiligingsbewustwordingsprogramma voor al het personeel dat ten minste i) de aard van Persoonsgegevens zal bevatten, ii) de juiste methoden voor het verwerken, beschermen, overdragen en opslaan van Persoonsgegevens, iii) procedures voor het melden van beveiligingsincidenten en iv) de gevolgen van het niet naleven van het Informatiebeveiligingsbeleid.

Verwerker zorgt ervoor dat elk personeelslid de beveiligingsbewustmakingstraining minstens jaarlijks en op het moment van tewerkstelling volgt.

Als er fouten of onvolkomenheden in de beveiligingsbewustmakingstraining worden gedetecteerd, zal Verwerker de beveiligingsbewustmakingstraining tijdig bijwerken.

PERSONEELSAFDELING

Verwerker is verantwoordelijk voor het uitvoeren van achtergrondcontroles bij personeel. Achtergrondcontroles kunnen bestaan uit: verificatie van arbeidsverleden, verificatie van genoten opleiding, referentiescreening en screening van sociale media.

VERANDERMANAGEMENT

Verwerker heeft tot doel een door de industrie aanvaard veranderingscontroleproces te gebruiken voor alle infrastructuren en middelen die ondersteunen bij het verwerken van Persoonsgegevens. Het proces voor wijzigingsbeheer omvat activiteitenlogs en processen voor herstel naar een eerdere staat.

OMGEVINGSVEILIGHEID

Dit gedeelte beschrijft maatregelen met betrekking tot Verwerkers omgevingsveiligheidsbeleid. Verwerker onderhoudt en handhaaft fysieke beveiligingsprocedures en beveiligingsprocedures voor computersystemen op alle locaties waar diensten worden verleend die direct of indirect met De Service verband houden. Deze servicelocaties zijn:

  • Gelijkwaardig aan industrienormen voor dergelijke typen servicelocaties; en
  • In overeenstemming met de toepasselijke wetgeving, met name de toepasselijke veiligheidsvereisten uit de AVG in alle gevallen waarin persoonsgegevens worden opgeslagen.

Op locaties waar gegevens zijn opgeslagen streeft Verwerker ernaar dat alle serverruimtes zijn uitgerust met branddetectie en brand onderdrukkende systemen, een afdoende luchtkoelingssysteem, dat er controles zijn om te zorgen dat telecommunicatiekabels worden beschermd tegen onderschepping of beschadiging en dat de faciliteiten zijn uitgerust met adequate apparatuur om de stroomvoorziening in stand te houden in het geval van een stroomonderbreking.

Verwerker richt zich op industrie aanvaarde beveiliging voor locaties waar gegevens worden opgeslagen. Dat kan zijn: het onderhouden van gekwalificeerde beveiligers bij faciliteiten waar data gehost wordt die er zorg voor dragen dat alleen geautoriseerde personen toegang hebben tot locaties die gegevens verwerken of de klant ondersteunen.

Verwerker vraagt bezoekers, aannemers en onderhoudspersoneel (Bezoekers) om in te checken. Bezoekers worden altijd begeleid door een medewerker.

VEILIGHEIDSCONTROLE

Verwerker voert regelmatig tests uit op de software en het ondersteunende netwerk en de ondersteunende infrastructuur voor Verwerkingsverantwoordelijke persoonsgegevens verwerkt. Alle geïdentificeerde verbeteringen zullen worden verwerkt en gepaste maatregelen zullen binnen een redelijke termijn worden geïmplementeerd.

KENNISGEVING VAN BEVEILIGINGSINCIDENTEN

Verwerker heeft gedocumenteerde procedures ingesteld voor het melden en afhandelen van beveiligingsincidenten, waaronder netwerkincidenten, gegevensdiefstal, onbevoegde toegang tot gegevens, diefstal van apparatuur en externe bedreigingen van systemen (inclusief virussen), en zorgt ervoor dat een door de industrie aanvaard actieplan voor incidenten wordt opgezet, gehandhaafd, bijgewerkt en gecommuniceerd. Verwerker ondersteunt een dergelijk proces met een speciaal incidentteam en houdt een logboek bij van alle beveiligingsincidenten.

Verwerker streeft ernaar daadwerkelijke beveiligingsincidenten waarbij gegevens van Verwerkingsverantwoordelijke of een betrokkene betrokken zijn, binnen 24 uur na detectie te melden. Verwerker zal statusrapporten met betrekking tot het oplossen van het beveiligingsincident en het voorkomen van toekomstige dergelijke beveiligingsincidenten delen, totdat Verwerker redelijkerwijs tot de conclusie komt dat het beveiligingsincident is opgelost.

ENCRYPTIE

Verwerker versleuteld opgeslagen persoonsgegevens en persoonsgegevens in overdracht. Verwerker voldoet aan de van toepassing zijnde internationale en nationale normen, alsmede aan alle Nederlandse wet- en regelgeving.

Verwerker beheert alle cryptografische sleutels en certificaten veilig in overeenstemming met gedocumenteerde controlevereisten en -procedures die in overeenstemming zijn met industrie standaarden en het informatiebeveiligingsbeleid van Verwerker, en beschermt de gegevens van de Verwerkingsverantwoordelijke tegen ongeoorloofde toegang of vernietiging.

TOEGANGSMANAGEMENT

Verwerker handhaaft beleid en voert adequate technische controles uit die leiden tot de volgende veiligheidsmaatregelen:

  • Toegangscontroles ontworpen om toegang tot gegevens te beperken tot geautoriseerde gebruikers zijn geïmplementeerd;
  • Processen worden gedocumenteerd en uitgevoerd om ervoor te zorgen dat alle Persoonsgegevens worden geanonimiseerd na een bepaalde periode nadat de eigenaar inactief werd;
  • Gebruikersaccounts kunnen te allen tijde handmatig inactief worden gemaakt;
  • Toewijzingen van systeemaccounts wordt ten minste jaarlijks herzien;
  • Unieke gebruiker-IDs en wachtwoorden worden voor personeel van Verwerker gebruikt;
  • Processen worden gedocumenteerd en uitgevoerd om gebruikersbevoegdheden te

controleren en bij te houden wanneer een gebruiker van rol/verantwoordelijkheid verandert;

  • Er wordt een lijst bijgehouden van personeel met administratierechten en andere rechten die

leiden tot veel privileges;

  • Het systeem handhaaft de vergrendeling van gebruikersaccounts na een maximaal aantal

inlogpogingen om aanvallen waarbij het wachtwoord geraden probeert te worden te

voorkomen;

  • Geprivilegieerde toegang voor ontwikkelaars tot productieomgevingen wordt alleen gebruikt

voor geplande ondersteuning of ondersteuning in geval van nood; en

  • Serviceaccounts zijn bestemd voor een specifiek doel en mogen niet worden gebruikt door

personen voor enig ander doel.

WACHTWOORDMANAGEMENT

Verwerker heeft managementprotocollen opgesteld ter ondersteuning die met betrekking tot systeemaccoutns, gebruikersaccounts en alle ondersteunende serviceaccounts op adequate wijze voorzien in de volgende wachtwoordmanagementcontroles:

  • Verificatiemechanismen die niet kunnen worden omzeild om onrechtmatige toegang tot systemen te verkrijgen; en
  • Authenticatiegegevens zoals wachtwoorden worden versleuteld opgeslagen, zodat de authenticatiegegevens niet in leesbare vorm kunnen worden hersteld.

DATABEVEILIGING

Verwerker slaat alle back-up- en media met gegevens op in veilige opslagruimtes.

NETWERK- EN SYSTEEMBEVEILIGING

Verwerker documenteert en tracht te waarborgen dat:

  • Firewalls met adequate ACL’s (toegangscontrolelijsten) worden toegepast;
  • Firewalls specifiek worden ingesteld om de door Verwerker geleverde diensten te

beschermen; en

  • Firewall logs worden gebruikt om al het verkeer in en uit de firewalls te registreren en te

bewaken.

CYBERINBRAAKPREVENTIE

Verwerker maakt gebruik van industrie standaard tools voor inbraakdetectie en -preventie om vermoedelijke of daadwerkelijke cyberaanvallen te identificeren en op deze cyberaanvallen te reageren.

CLOUD COMPUTING

Verwerker levert een cloud-gebaseerde Service aan Verwerkingsverantwoordelijke en de betrokkenen.

ENDPOINTBEVEILIGING

Systemen van Verwerker hebben ingeschakelde en geüpdatete realtime malwarebescherming.

PATCH MANAGEMENT

Verwerker onderhoudt en handhaaft patch management. Verwerker implementeert patches die betrekking hebben op beveiliging en andere relevante updates van beveiligingskwetsbaarheden wanneer deze beschikbaar en goedgekeurd zijn.

SYSTEEMBEWAKING & -OPSLAG

Verwerker houdt een log bij van alle belangrijke incidenten, zoals incidenten die van invloed kunnen zijn op de vertrouwelijkheid, integriteit en beschikbaarheid van de diensten voor de Verwerkingsverantwoordelijke en die kunnen helpen bij het identificeren of onderzoeken van

wezenlijke incidenten en/of inbreuken op toegangsrechten die zich met betrekking tot de gegevens van de Verwerkingsverantwoordelijke voordoen.

Verwerker bewaart dergelijke logs gedurende een periode van minimaal twaalf (12) maanden na creatie en zal dergelijke logs beschermen tegen ongeautoriseerde wijziging (waaronder het wijzigen of verwijderen van een log).

BACK-UP & HERSTEL NA EEN CALAMITEIT

Verwerker heeft een back-up strategie en proces met betrekking tot bedrijfscontinuïteit. Verwerker streeft er naar dat back-ups worden behandeld volgens industriestandaarden voor back-up en beveiliging; en verwerker zorgt ervoor dat frequent back-ups worden gemaakt en dat deze regelmatig worden getest om ervoor te zorgen dat systemen in afdoende een oude staat kunnen worden hersteld.

Verwerker heeft een formeel plan voor bedrijfscontinuïteit en calamiteitenherstel geïmplementeerd.

BIJLAGE III – OVERZICHT SUBVERWERKERS

De onderstaande lijst van Subverwerkers geeft een overzicht van alle Subverwerkers die Verwerker gebruikt om gegevens te verwerken. Subverwerkers die grote hoeveelheden Persoonsgegevens verwerken, worden geïntroduceerd, waarna wordt uitgelegd hoe de diensten van de subverwerker worden gebruikt. Ten slotte wordt aanvullende beveiligingsinformatie voor deze Subverwerkers gedeeld.

Portaalfunctionaliteiten, analyse en hosting – Subverwerkers

DOMO, Inc.

INLEIDING – Domo is een alles-in-één business intelligence platform voor het effectief bundelen en visualiseren van gegevens. Domo is een van de grootste spelers op de Business Intelligence markt en bedient allerlei bedrijven, waaronder multinationals. Als bedrijf dat altijd met data werkt is databeveiliging een van hun hoogste prioriteiten.

GEBRUIK – Verwerker gebruikt Domo-diensten i) om zijn klanten toegang te verlenen tot geavanceerde dashboarding voor analytische doeleinden, en ii) voor de analytische doeleinden van Verwerker.

AANVULLENDE BEVEILIGINGSINFORMATIE – Domo voldoet aan de hoogste industrienormen voor beveiliging, bijv. HIPAA, SOC-2 en het ‘Privacyshield framework’ dat bestaat tussen de VS en de EU. Domo is nooit eigenaar of gebruiker van ingevoerde gegevens en er wordt in geen geval toegang verleend tot de database van Verwerker zonder de uitdrukkelijke toestemming van Verwerker. In overeenstemming met de AVG zal Verwerker DOMO alleen toegang verlenen i) indien dit noodzakelijk is voor servicedoeleinden, en ii) ten behoeve van de bedrijfscontinuïteit.

Amazon Web Services

INTRODUCTIE – Amazon Web Services biedt betrouwbare en schaalbare cloudservices. Amazon Web Services is ’s werelds grootste cloudserviceplatform, dat hosting biedt aan allerlei bedrijven.

GEBRUIK – Verwerker maakt gebruik van Amazon Web Services om gegevens veilig op te slaan en De Service te optimaliseren.

AANVULLENDE BEVEILIGINGSINFORMATIE – Amazon Web Services werkt volgens hoge beveiligingsstandaarden en stelt Verwerker in staat gegevens volgens dezelfde hoge standaarden op te slaan. Amazon Web Services is nooit eigenaar of gebruiker van ingevoerde gegevens en er wordt in geen geval zonder uitdrukkelijke toestemming van Verwerker toegang verleend tot de database van Verwerker. In overeenstemming met de GDPR zal verwerker Amazon Web Services alleen toegang verlenen i) indien nodig voor servicedoeleinden en ii) ten behoeve van de bedrijfscontinuïteit.

Marketing en Sales – Subverwerkers

  • Salesforce
  • Hubspot
  • Hotjar
  • Zoom
  • LinkedIn Sales Navigator
  • LinkedIn Ads
  • Yesware
  • Docusign
  • Google Analytics
  • MailChimp

Klantondersteuning – Subverwerkers

  • Zendesk
  • Intercom
  • Jira
  • FluentStream ● Voys
  • Teamviewer ● GoToWebinar ● Typeform
  • Receptive
  • UserVoice

Administratie en interne communicatie – Subverwerkers

  • Google (G Suite)
  • Microsoft Office
  • Exact

Google Analytics disclaimer

Deze website maakt gebruik van Google Analytics, een webanalyse service van Google Inc. (“Google”). Google Analytics maakt gebruik van zogenaamde “cookies” (tekstbestandjes die op uw computer worden geplaatst) om zo het gebruik van de website te kunnen analyseren. De door de cookies gegenereerde informatie over uw gebruik van deze website wordt overgebracht naar een server van Google in de Verenigde Staten en daar opgeslagen. In het geval dat het IP-adres op deze website wordt geanonimiseerd, wordt uw IP-adres in de lidstaten van de Europese Unie of in andere verdragsstaten van het Akkoord over de Europese Economische Ruimte door Google eerst verkort. Alleen in buitengewone gevallen wordt het volledige IP-adres naar een server van Google in de Verenigde Staten overgebracht en daar verkort. In opdracht van de beheerder van deze website zal Google deze informatie gebruiken om te evalueren hoe de website wordt gebruikt, om rapporten over de activiteiten op de website op te stellen en om andere diensten aan te bieden met betrekking tot het gebruik van de website en het internet. De in het kader van Google Analytics door uw browser overgebrachte IP-adres wordt niet gecombineerd met andere gegevens van Google. U kunt het opslaan van cookies voorkomen door in uw browser een daarvoor geëigende instelling te kiezen. Wij wijzen u er echter op dat u in dat geval wellicht niet alle mogelijkheden van deze website kunt benutten. Verder kunt u het vastleggen en verwerken van de door de cookies gegenereerde gegevens (inclusief uw IP-adres) voorkomen door via de volgende link de zogenaamde “opt-out browser add-on” te downloaden en installeren: http://tools.google.com/dlpage/gaoptout?hl=nl

U kunt voorkomen dat Google Analytics gegevens verzamelt door hier te klikken. Er wordt dan een “opt-out cookie” op uw website geplaatst, dat zorgt dat uw gegevens niet meer worden verzameld als u deze website bezoekt.

Meer informatie over de gebruiksvoorwaarden en gegevensbescherming vindt u bij de voorwaarden van Google Analytics of bij het privacy overzicht van Google Analytics. Wij wijzen u erop dat op deze website Google Analytics met de code “gat._anonymizeIp();” is uitgebreid om een anonieme registratie van IP-adressen (zogenaamde IP masking) te garanderen.

reCAPTCHA

We gebruiken de reCAPTCHA service van Google Inc. (Google) om gegevens te beschermen die verstuurd worden via deze website. Die functie controleert of een bericht wel door een persoon wordt verstuurd, om zo te voorkomen dat ‘spam bots’ bijvoorbeeld automatisch berichten sturen of commentaren achterlaten. Hierbij worden het IP adres van een bezoeker en mogelijk ook andere data verstuurd om Google reCAPTCHA te laten werken. De inhoud van een bericht wordt hiervoor verstuurd naar en verwerkt door Google. Het IP adres wordt hierbij afgekort en daardoor anoniem gemaakt in landen die deel uitmaken van de EU en staten die deelnemen aan het verdrag voor het Europese economische gebied. In uitzonderingsgevallen wordt een IP adres volledig doorgegeven aan een Google server in de Verenigde Staten en daar afgekort. Namens de bezitter van deze website gebruikt Google deze gegevens om je gebruik van deze dienst te evalueren. Het IP adres dat reCAPTCHA doorgeeft, wordt niet samengevoegd met andere data van Google. Op het verzamelen van deze gegevens zijn Google’s regels voor gegevensbescherming van toepassing. Meer informatie over over Google’s privacybeleid vind je op deze pagina: https://www.google.com/intl/nl/policies/privacy/ Door reCAPTCHA te gebruiken ga je ermee akkoord dat Google gegevens over jou verwerkt op de manier en voor het doel zoals hierboven beschreven.