Sonova AG is opgericht onder de wetten van Zwitserland, als gegevensbeheerder, met haar geregistreerde adres op Laubisrütistrasse 28, 8712 Stäfa, Zwitserland, en opereert met haar gelieerde ondernemingen over de hele wereld (gezamenlijk aangeduid als het “Bedrijf” of “wij” of “onze”).
Aangezien het bedrijf persoonsgegevens verwerkt in zijn dagelijkse activiteiten, is dit wereldwijde privacybeleid (“Beleid”) opgesteld en geïmplementeerd om de activiteiten van het bedrijf met betrekking tot het gebruik van persoonsgegevens over zijn klanten, aannemers en partners (“Betrokkenen”) te beschrijven. Het bedrijf heeft bijzondere aandacht voor privacy en persoonlijke gegevens en verbindt zich ertoe dit beleid na te leven, in overeenstemming met de toepasselijke lokale wetgeving.
Met “Persoonsgegevens” bedoelen we alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon.
Met “verwerking” bedoelen we elke bewerking of reeks bewerkingen die wordt uitgevoerd op persoonsgegevens of op reeks van persoonsgegevens, al dan niet met geautomatiseerde middelen, zoals verzameling, registratie, organisatie, structurering, opslag, aanpassing of wijziging, opvraging, raadpleging, gebruik, openbaarmaking door verzending, verspreiding of anderszins beschikbaar stellen, afstemming of combinatie, beperking, wissen of vernietiging.
Het bedrijf verbindt zich ertoe de toepasselijke wetgeving inzake gegevensbescherming (“toepasselijke wetgeving”) na te leven. Afhankelijk van de landen waar het bedrijf is gevestigd, is de verwerking van persoonsgegevens dus onderworpen aan de lokale toepasselijke wetgeving. Hoewel bepaalde vereisten van land tot land kunnen verschillen, maakt het bedrijf zich met name zorgen over de privacy van betrokkenen en vormt dit beleid een wereldwijde richtlijn waaraan het bedrijf zich heeft gecommitteerd.
In het bijzonder verbindt het bedrijf zich ertoe om te voldoen aan de volgende wetten, indien van toepassing:
• Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (“AVG”). De AVG heeft tot doel de regels met betrekking tot de verwerking van persoonsgegevens op het grondgebied van de Europese Unie te harmoniseren en te kaderen om een enkel wettelijk kader voor professionals te bieden, en streeft ernaar de controle door burgers te versterken van het gebruik dat kan worden gemaakt van persoonsgegevens die op hen betrekking hebben. Deze verordening is van toepassing op de verwerking van persoonsgegevens voor burgers of inwoners van de EU en voor de activiteit van een verwerkingsverantwoordelijke of een verwerker in het grondgebied van de EU.
• De Zwitserse federale wet op gegevensbescherming van 19 juni 1992 (“FADP”), gewijzigd in 2020 om zich aan te passen aan de huidige technologie en in overeenstemming te zijn met de AVG en andere recente Europese regelgeving.
• De California Consumer Privacy Act van 2018 (“CCPA”) die tot doel heeft meer transparantie te bieden en meer rechten te garanderen aan consumenten die in Californië wonen en wiens persoonsgegevens door bedrijven worden verwerkt.
• De Health Insurance Portability and Accountability Act van 1996 (“HIPAA”) die de Regels van de Verenigde Staten definieert voor de elektronische verwerking van gezondheidsgegevens door gezondheidsorganisaties en zakelijke partners.
Het bedrijf kan de volgende persoonsgegevens verwerken:
• Identiteitsgegevens: achternaam, voornaam, nationaliteit en geboortedatum
• Contactgegevens: postadres, privé telefoonnummer, privé e-mailadres en contactpersoon voor noodgevallen
• Referentienummer van de sociale zekerheid en verzekeringsmaatschappij
• Financiële gegevens: betaalmiddelen, financiële instelling, IBAN
• Gegevens met betrekking tot de gezondheid van de gebruiker: gewicht, lengte, medische problemen, doktersvoorschrift, gehoorcapaciteit, fysieke activiteit (stappen teller, trainingsintensiteit, trainingsminuten), fitnessgegevens (hartslag, energieverbruik, bloeddruk)
• Gegevens met betrekking tot het gebruikersgedrag op de website
• Gegevens met betrekking tot het door de klant gekochte product: model, serienummer, gebruiksgegevens
• Gegevens met betrekking tot de geleverde dienst
• Gegevens met betrekking tot de feedback die de klant geeft over onze producten en diensten: opmerkingen en notities
Aangezien onze activiteiten voornamelijk gericht zijn op de productie van innovatieve oplossingen voor hoortoestellen, kunnen we bovendien worden verplicht om gevoelige persoonsgegevens en meer specifiek gezondheidsgegevens te verzamelen. Afhankelijk van het land waar de betrokkene woont, kunnen die gevoelige persoonsgegevens speciale bescherming genieten, met name op het gebied van geïmplementeerde beveiligings- en vertrouwelijkheidsmaatregelen.
De volgende rechtsgronden vormen de basis waarop het bedrijf vertrouwt om de verwerking van persoonsgegevens uit te voeren. Andere rechtsgronden kunnen worden gebruikt, afhankelijk van waar de betrokkene woont en de relevante toepasselijke wetgeving.
Ten eerste kan een deel van de verwerking van persoonsgegevens gebaseerd zijn op de toestemming van betrokkenen.De verwerking van persoonsgegevens voor dit doel kan inhouden:
• Marketingdoeleinden zoals het verzenden van nieuwsbrieven en informatie over producten en diensten die door het bedrijf worden aangeboden
• Om de prestaties van onze website te verbeteren
• Om u te adviseren en met u te communiceren: voor het aanmaken van uw account, om contact met ons op te nemen via het contactformulier, voor Sonova om te reageren op gebruikers, om een online hoortest af te leggen
Bovendien kan de verwerking van persoonsgegevens die het bedrijf uitvoert ook gebaseerd zijn op de uitvoering van een contract of precontractuele maatregelen met betrokkenen. De verwerking van persoonsgegevens voor dit doel kan betrekking hebben op:
• Nakoming van onze contractuele verplichtingen jegens betrokkenen
• Levering van service na aankoop van een product door een klant
• Verwerking van sociale zekerheid / verzekering
• Schadebeheer
Het bedrijf kan ook persoonsgegevens verwerken op basis van zijn legitieme belang, met name om onze producten en diensten, klantervaring en interne processen te verbeteren. De verwerking van persoonsgegevens voor dit doel kan betrekking hebben op:
• Uitvoeren van statistische/gebruiksanalyses
• Uitvoeren van interne administratieve functies
• Verwerken van klantverzoeken
• Voorkomen van frauduleuze activiteiten en verbeteren van de beveiliging
• Relatiebeheer met betrokkenen
• Evaluatie van de relevantie van onze producten en diensten
Het bedrijf kan ook persoonsgegevens verwerken om te voldoen aan wettelijke vereisten. Verwerking op basis van wettelijke vereisten is afhankelijk van de toepasselijke wetgeving.
Persoonsgegevens worden niet langer bewaard dan noodzakelijk voor de bovengenoemde doeleinden. Dit betekent dat persoonsgegevens worden verwijderd zodra het doel van de verwerking van persoonsgegevens is bereikt. Het bedrijf kan persoonsgegevens echter langer bewaren als dat nodig is om te voldoen aan de toepasselijke wetgeving, of als dat nodig is om onze rechten te beschermen of uit te oefenen, voor zover toegestaan door de toepasselijke wetgeving inzake gegevensbescherming.
Aan het einde van de bewaartermijn moet het bedrijf mogelijk ook persoonsgegevens archiveren om te voldoen aan de toepasselijke wetgeving, voor een beperkte periode en met beperkte toegang
Deze bewaartermijnen kunnen variëren afhankelijk van het land waar de betrokkenen wonen en in overeenstemming met de toepasselijke wetgeving.
Het bedrijf kan persoonsgegevens delen, afhankelijk van uw toestemming of een andere relevante wettelijke basis, met de volgende derden:
• Andere bedrijven van onze groep zoals dochterondernemingen en gelieerde ondernemingen
• Vertrouwde zakenpartners die namens ons diensten verlenen, zoals voor technische ondersteuning, voor marketingdoeleinden of voor andere vormen van dienstverlening
• Overheidsinstanties en openbare instanties, voor zover dit nodig is om diensten te verlenen die zijn aangevraagd of zijn gerechtigd, om de rechten van klanten, aannemers en partners, of onze of andermans rechten, eigendommen of veiligheid te beschermen, om de beveiliging van onze diensten te handhaven of als we verplicht zijn dit te doen vanwege toepasselijke wetgeving, gerechtelijke of andere overheidsvoorschriften, of als een dergelijke openbaarmaking anderszins noodzakelijk is ter ondersteuning van een juridisch of strafrechtelijk onderzoek of juridische procedure
Afhankelijk van de toepasselijke wetgeving implementeren we contracten met sommige derden om ervoor te zorgen dat persoonsgegevens worden verwerkt op basis van onze instructies en in overeenstemming met dit beleid en andere passende vertrouwelijkheids- en beveiligingsmaatregelen.
De bovenstaande derden zoals gelieerde ondernemingen en dochterondernemingen, evenals zakenpartners, overheidsinstanties aan wie we persoonsgegevens kunnen bekendmaken, kunnen zich buiten het land van vestiging van een betrokkene bevinden, mogelijk inclusief landen waarvan de wetgeving inzake gegevensbescherming kan verschillen van die in het land waarin betrokkenen zich bevinden.
Als persoonsgegevens worden verwerkt binnen de Europese Unie/Europese Economische Ruimte, en in het geval dat persoonsgegevens worden bekendgemaakt aan derden in een land dat volgens de Europese Commissie niet wordt beschouwd als een land dat een passend beschermingsniveau biedt, zal het bedrijf ervoor zorgen dat:
• De implementatie van adequate procedures om te voldoen aan de toepasselijke wetgeving, en in het bijzonder wanneer een verzoek om toestemming van de bevoegde toezichthoudende autoriteit noodzakelijk is
• De implementatie van passende organisatorische, technische en juridische waarborgen om de genoemde overdracht te regelen en om het noodzakelijke en adequate beschermingsniveau onder de toepasselijke wetgeving te waarborgen
• Indien nodig door, de implementatie van modelcontractbepalingen zoals goedgekeurd door de Europese Commissie
• Neem indien nodig aanvullende maatregelen, zoals het voltooien van een beoordeling van de geschiktheid van gegevensoverdracht als dit, na evaluatie van de omstandigheden van de doorgifte en na evaluatie van de wetgeving van het derde land, noodzakelijk is voor de bescherming van de overgedragen persoonsgegevens
Als persoonsgegevens niet worden verwerkt binnen de Europese Unie/Europese Economische Ruimte, en in het geval dat persoonsgegevens worden bekendgemaakt aan derden buiten de jurisdictie van de betrokkene, zal het bedrijf ervoor zorgen dat er passende waarborgen zijn om persoonsgegevens te beschermen door passende juridische maatregelen te implementeren. Deze maatregelen kunnen verschillen afhankelijk van het land en de relevante toepasselijke wetgeving.
Het bedrijf implementeert een verscheidenheid aan beveiligingsmaatregelen, in overeenstemming met de toepasselijke wetgeving, om persoonlijke gegevens te beschermen tegen beveiligingsincidenten of ongeoorloofde openbaarmaking, en meer in het algemeen van een inbreuk op persoonsgegevens. Deze beveiligingsmaatregelen worden erkend als geschikte beveiligingsnormen in het bedrijfsleven en omvatten onder meer toegangscontroles, wachtwoord, codering en regelmatige beveiligingsbeoordelingen.
Als zich een inbreuk op persoonsgegevens voordoet, en in het bijzonder als er een inbreuk op de beveiliging is die, per ongeluk of onwettig, resulteert in de vernietiging, het verlies, de wijziging, ongeoorloofde openbaarmaking of toegang tot persoonsgegevens die zijn verzonden, opgeslagen of anderszins verwerkt, zal het bedrijf passende maatregelen nemen, zoals:
• Onderzoeken en analyseren om de gevolgen van de Inbreuk in verband met persoonsgegevens te bepalen en in het bijzonder of deze waarschijnlijk een risico vormt voor de rechten en vrijheden van de betrokkenen
• Als uit de analyse blijkt dat er een risico bestaat voor de rechten en vrijheden van de betrokkenen, zal het bedrijf de bevoegde autoriteit hiervan op de hoogte stellen en, in geval van een hoog risico, aan de betrokkenen meedelen.
• Implementeer zo snel mogelijk de maatregelen die nodig zijn om de inbreuk in verband met persoonsgegevens te verhelpen en te beperken
• Documenteer de inbreuk op persoonsgegevens om de traceerbaarheid ervan te garanderen
Passende maatregelen en procedures in het geval van een inbreuk in verband met persoonsgegevens kunnen verschillen afhankelijk van het land waar deze plaatsvindt, het type inbreuk en afhankelijk van de relevante toepasselijke wetgeving.
Zoals kan variëren op basis van de relevante toepasselijke wetgeving, hebben betrokkenen rechten met betrekking tot hun persoonsgegevens, zoals het recht om toegang te vragen, rectificatie, verwijderen van hun persoonsgegevens, beperking van de verwerking, bezwaar tegen verwerking, verzoek om gegevensportabiliteit, om geïnformeerd te worden en hun toestemming in te trekken voor de verwerking van Persoonsgegevens op basis van hun toestemming. Betrokkenen kunnen ook bezwaar maken tegen geautomatiseerde individuele besluitvorming als zij betrokken zijn bij een dergelijke verwerking.
Bovendien is het in sommige rechtsgebieden mogelijk om postuum instructies te geven met betrekking tot het bewaren, communiceren en wissen van uw persoonsgegevens.
De uitoefening van dergelijke rechten is niet absoluut en is onderworpen aan de beperkingen die door de toepasselijke wetgeving worden geboden.
Betrokkenen kunnen het recht hebben om een klacht in te dienen bij de lokale toezichthoudende autoriteit of de bevoegde toezichthouder als zij van mening zijn dat de verwerking van hun persoonsgegevens in strijd is met de toepasselijke wetgeving.
Om deze privacyrechten uit te oefenen, kunnen betrokkenen contact met ons opnemen zoals beschreven in het deel “Hoe contact met ons op te nemen” hieronder. We kunnen om verificatie van uw identiteits vragen om op het verzoek te kunnen reageren. Als we niet aan uw verzoek (weigering of beperking) kunnen voldoen, zullen we onze beslissing schriftelijk motiveren
Indien nodig moeten we van tijd tot tijd dit beleid bijwerken om nieuwe of andere privacy werkwijzen weer te geven. In dit geval zullen we bijgewerkte versies van dit beleid op deze pagina plaatsen. Een herzien beleid is alleen van toepassing op gegevens die na de ingangsdatum zijn verzameld. We raden u aan deze pagina regelmatig te bekijken voor de meest recente informatie over onze privacy werkwijzen.
Voor vragen, opmerkingen of zorgen over dit beleid, of om de privacy rechten uit te oefenen die zijn toegestaan door de toepasselijke wetgeving met betrekking tot persoonsgegevens, kunt u contact opnemen met onze functionaris voor gegevensbescherming op het volgende adres: Sonova AG Laubisruetistraße 28, 8712 Stäfa, Zwitserland of door een e-mail te sturen naar: privacy@sonova.com