PRIVACYVERKLARING VAN MIJNLABTEST.NL

De persoonsgegevens die wij verzamelen en hoe wij deze gebruiken

1. Met 'persoonsgegevens' bedoelen we alle informatie die kan worden herleid tot een persoon die direct of indirect identificeerbaar is, zoals naam, telefoonnummer, adres, e-mailadres, geboortedatum, betaalinformatie en bankgegevens. Gegevens die niet te herleiden zijn tot een persoon (anonieme gegevens) vallen hier niet onder.
2. Tijdens het leveren van onze diensten verwerken wij persoonsgegevens op verschillende manieren. Als u een testkit gebruikt, verwerken wij uw gezondheidsgegevens met uw toestemming. Het afgenomen monster van de testkit wordt na onderzoek vernietigd. Wij verwerken alleen de (gezondheids)gegevens die nodig zijn om u het door u gevraagde rapport te verstrekken. Alle overige gegevens die uit het monster zouden kunnen worden afgeleid, worden niet onderzocht of verwerkt.
3. Voor het leveren van onze diensten verwerken wij ook uw geslacht, leeftijd en nationaliteit, omdat dit noodzakelijk is om uw testresultaten te kunnen waarderen. Daarnaast verwerken wij uw contactgegevens om u te kunnen bereiken over uw testresultaten. Wij verwerken uw persoonsgegevens ook voor andere doeleinden, die wij in de onderstaande tabel toelichten. Veel van de persoonsgegevens die wij verzamelen, verstrekt u zelf, bijvoorbeeld bij het aanmaken van een account, het gebruik van onze diensten of door met ons te corresponderen. Indien wij persoonsgegevens van derden ontvangen, zullen wij u hiervan informeren in het onderstaande overzicht.
4. Wij verwerken uw persoonsgegevens uitsluitend wanneer wij hiervoor een wettelijke grondslag hebben. Dat betekent dat wij uw gegevens alleen verwerken wanneer dit noodzakelijk is:
   (i) voor het aangaan en uitvoeren van de overeenkomst die wij met u hebben om onze diensten te leveren,v (ii) om te voldoen aan onze wettelijke verplichtingen (bijvoorbeeld toezichtsverplichtingen), of
   (iii) om onze gerechtvaardigde belangen na te streven (maar altijd onder de voorwaarde dat uw belangen en fundamentele rechten niet zwaarder wegen dan onze gerechtvaardigde belangen).
5. 5 Wij verwerken persoonsgegevens van kinderen jonger dan 16 jaar als zij gebruikmaken van een testkit en ons vragen het resultaat van de betreffende test te verstrekken. Wij verwerken persoonsgegevens (inclusief gezondheidsgegevens) van kinderen jonger dan 16 jaar uitsluitend als hun ouder of voogd hiervoor toestemming heeft gegeven.
6. Indien wij persoonsgegevens willen verwerken zonder dat wij ons daarbij op een van de bovengenoemde grondslagen kunnen beroepen, zullen wij altijd eerst uw uitdrukkelijke toestemming vragen voor die verwerking (en alleen indien dit mogelijk en toegestaan is onder de AVG). U kunt uw toestemming te allen tijde intrekken, op dezelfde manier als waarop u die heeft gegeven of door contact met ons op te nemen via [email protected]. Na intrekking van uw toestemming stoppen wij met de betreffende verwerking. Het intrekken van uw toestemming doet geen afbreuk aan de rechtmatigheid van de verwerkingen die hebben plaatsgevonden vóór de intrekking.
   
   De situaties waarin wij uw persoonsgegevens verwerken staan hieronder vermeld. U leest daar ook welke persoonsgegevens wij voor een bepaald doel verwerken, op welke juridische grondslag wij dit doen en hoe lang wij uw persoonsgegevens voor dat doel bewaren.

   Doel	Persoonsgegevens	Juridische grondslag	Bewaartermijn
   Om u accountfunctionaliteit te bieden.	Contactgegevens (naam, telefoonnummer, adres, e-mailadres). Accountinformatie (gebruikersnaam en wachtwoord).	Noodzakelijk voor ons gerechtvaardigd belang (u gemakkelijker toegang bieden tot uw gegevens, betere klantervaring).	5 jaar na laatste accountactiviteit.
   Om producten te verkopen en te verzenden.	Contactgegevens. Geboortedatum. Accountinformatie. Financiële gegevens (betalingsgegevens, transactiegegevens).	Noodzakelijk voor uitvoering van de overeenkomst en om te voldoen aan wettelijke administratieve verplichtingen.	Duur van de overeenkomst, en 7 jaar na afloop voor wettelijke administratie/belasting.
   Om testdiensten, rapportage en testresultaten te leveren, inclusief consultatie bij zorgprofessional.	Contactgegevens. Rapport-, monster- en/of klant-ID. Geboortedatum. Geslacht. Medische testresultaten indien strikt noodzakelijk. Gezondheidsdata die u zelf deelt. Accountinformatie (bij DNA-test).	Gewone persoonsgegevens: uitvoering overeenkomst of gerechtvaardigd belang. Gezondheidsgegevens: uitsluitend met uw expliciete toestemming.	Wettelijke plicht: 20 jaar voor medisch dossier. Overig: max. 2 jaar of tot intrekking toestemming.
   Anoniem maken van testresultaten t.b.v. algemene statistieken.	Geboortedatum. Geslacht. Testresultaten. Andere gedeelde gezondheidsgegevens.	Alleen met uw toestemming.	Na anonimisering geen persoonsgegevens meer; geen bewaartermijn.
   Relatiebeheer en communicatie (klantenservice, vragen, wijzigingen voorwaarden/privacyverklaring)	Contactgegevens. Overige gegevens die u deelt (bijv. chatberichten).	Gerechtvaardigd belang (ondersteuning en communicatie).	2 jaar na beëindiging overeenkomst, of 2 jaar na laatste contact indien geen overeenkomst.
   Bedrijfsvoering en (financiële) planning, inclusief administratie en auditing	Contactgegevens. Geboortedatum. Geslacht. Accountinformatie. Financiële gegevens.	Gerechtvaardigd belang (bedrijfsvoering en communicatie).	2 jaar na beëindiging overeenkomst, of 2 jaar na laatste contact indien geen overeenkomst.
   Gebruik quiz op website (advies test + gepersonaliseerde marketing met toestemming).	Cookie-ID. Antwoorden (lifestyle- en gezondheidsvragen). Contactgegevens (indien opgegeven).	Uitsluitend met uw expliciete toestemming.	Max. 1 jaar of tot intrekking toestemming.
   Naleving belasting- en wettelijke verplichtingen.	Contactgegevens. Geboortedatum. Geslacht. Accountinformatie. Financiële gegevens.	Noodzakelijk om te voldoen aan belasting- en andere wettelijke verplichtingen of gerechtvaardigd belang (bedrijfsvoering).	2 jaar na beëindiging overeenkomst, of langer indien wettelijk vereist (bijv. 5 jaar).
   Meten van interesse en verbeteren website / personaliseren gebruikerservaring.	Apparaat- en browsergegevens (IP, MAC). Gebruiksgegevens (bekeken pagina’s, klikgedrag, herkomstwebsite).	Gerechtvaardigd belang (website optimalisatie) of toestemming via cookies.	Max. 6 maanden of tot intrekking toestemming.
   Netwerk- en informatiebeveiliging, voorkomen fraude, naleving interne beveiligingsbeleid.	Contactgegevens. Apparaat- en browsergegevens. Accountinformatie. Gebruiksgegevens.	Gerechtvaardigd belang (beveiliging, fraude- en toegangscontrole).	Max. 2 maanden of, bij incident, tot 2 maanden na afhandeling incident.
   Marketing/promoties en aanbiedingen.	Contactgegevens. Marketingvoorkeuren. Overige gedeelde gegevens (bijv. via chat).	Gerechtvaardigd belang (marketing na aankoop) of toestemming (bij vrijwillige inschrijving).	3 jaar na einde overeenkomst of tot intrekking toestemming.
   Beheer website, geschiloplossing, naleving wet- en regelgeving, bescherming onderneming.	Contactgegevens. Geboortedatum. Accountinformatie. Financiële gegevens.	Gerechtvaardigd belang (bescherming onderneming) of wettelijke verplichting.	5 jaar na einde overeenkomst, tenzij langere termijn wettelijk vereist of voor juridische procedures.
   Verzoek om een review te schrijven.	Contactgegevens. Aangeschafte diensten. Reviewinhoud (bijv. via Kiyoh).	Gerechtvaardigd belang (dienstverlening verbeteren, merkopbouw).	Max. 6 maanden na levering dienst.
   Sollicitaties en communicatie rond vacatures.	Contactgegevens. Geboortedatum. CV. LinkedIn-profielinformatie. Aanvullende informatie die u verstrekt.	Gerechtvaardigd belang (beoordeling geschiktheid voor functie).	Max. 4 weken na afronding sollicitatie, of 1 jaar met uw toestemming.

Verwerkers

1. Wij maken gebruik van zogenoemde verwerkers om persoonsgegevens namens ons te verwerken. Met deze partijen sluiten wij verwerkersovereenkomsten, zodat zij uw gegevens uitsluitend volgens onze instructies verwerken. Voorbeelden zijn:
   • hostingproviders,
   • beveiligde e-mailproviders,
   • bedrijven voor dataopslag en databasebeheer,
   • onderhouds- en softwareleveranciers.
2. Als u zelf aanvullende informatie aan deze verwerkers verstrekt, zijn wij hiervoor niet verantwoordelijk. Het is verstandig om uzelf goed te informeren over de verwerker en diens bedrijf voordat u uw persoonsgegevens verstrekt.

Delen van persoonsgegevens met verwerkingsverantwoordelijken

1. Wij kunnen persoonsgegevens delen met andere verwerkingsverantwoordelijken indien u ons hiervoor toestemming geeft. Bijvoorbeeld wanneer u ons vraagt uw resultaten te delen met uw arts of coach, of wanneer u gebruik wilt maken van bepaalde diensten waarvoor het noodzakelijk is dat wij uw persoonsgegevens delen. Voordat wij dit doen, zullen wij u altijd uitdrukkelijk om uw toestemming vragen.
2. Delen van persoonsgegevens met derden
   Wij kunnen persoonsgegevens ook incidenteel delen met derden, zoals advocaten, rechtbanken, auditors en autoriteiten, indien dit strikt noodzakelijk is om:
   • te voldoen aan onze wettelijke verplichtingen;
   • te voldoen aan wettelijke verzoeken van autoriteiten;
   • te reageren op juridische claims;
   • de rechten, eigendommen of veiligheid van onszelf, onze gebruikers, onze medewerkers of het publiek te beschermen;
   • onszelf of onze gebruikers te beschermen tegen frauduleus, misbruikmakend, ongepast of onrechtmatig gebruik van onze diensten.
3. Wij zullen u vooraf informeren voordat wij uw persoonsgegevens delen, tenzij dit wettelijk niet is toegestaan of dit het doel waarvoor de gegevens worden gedeeld zou schaden.
4. Het kan voorkomen dat wij uw persoonsgegevens bekendmaken, delen of overdragen bij een overdracht van (een deel van) onze onderneming of in het onwaarschijnlijke geval van een faillissement. Voorbeelden hiervan zijn (onderhandelingen over) een fusie, verkoop van onderdelen van de onderneming of het verkrijgen van leningen. Wij zullen uiteraard proberen de impact voor u zoveel mogelijk te beperken door persoonsgegevens alleen over te dragen wanneer dit noodzakelijk is en waar mogelijk te anonimiseren. Wij zullen uw gezondheidsgegevens nooit voor deze doeleinden delen, tenzij u ons hiervoor uitdrukkelijk toestemming geeft. Bijvoorbeeld wanneer u wenst dat het nieuwe bedrijf de dienstverlening aan u voortzet.
5. Wij zullen uw persoonsgegevens nooit verkopen aan derden.

Doorgifte van gegevens

1. Wij verwerken uw persoonsgegevens uitsluitend binnen de Europese Economische Ruimte (EER).

Data security

1. Wij nemen de beveiliging van uw persoonsgegevens zeer serieus. Daarom hebben wij passende technische en organisatorische beveiligingsmaatregelen genomen om te voorkomen dat uw persoonsgegevens verloren gaan, ongeoorloofd worden gebruikt, door onbevoegden worden ingezien, gewijzigd of op ongeoorloofde wijze openbaar worden gemaakt. Deze maatregelen omvatten onder meer:
   • wij schakelen uitsluitend betrouwbare databaseproviders in voor gegevensopslag, die adequate fysieke en elektronische maatregelen hebben getroffen om het risico op ongeoorloofde toegang, verlies of misbruik van persoonsgegevens te minimaliseren;
   • wij gebruiken TLS-technologie (Transport Layer Security) om gevoelige informatie of persoonsgegevens te versleutelen, zoals accountwachtwoorden en testresultaten (via Zivver);
   • wij maken back-ups van persoonsgegevens;
   • gevoelige informatie wordt versleuteld opgeslagen;
   • kwetsbaarheden in software worden zo snel als redelijkerwijs mogelijk verholpen;
   • toegang tot uw persoonsgegevens is uitsluitend toegestaan aan personen die daar op basis van hun functie noodzaak toe hebben. Wij zorgen ervoor dat deze personen gebonden zijn aan geheimhoudingsverplichtingen;
   • toegang tot bijzondere categorieën persoonsgegevens wordt gelogd en deze logbestanden worden regelmatig gecontroleerd.

Uw rechten

1. Het is belangrijk dat de persoonsgegevens die wij over u verwerken correct en actueel zijn.
2. In overeenstemming met de AVG heeft u het recht op inzage, rectificatie en verwijdering van uw persoonsgegevens, het recht op beperking van en bezwaar tegen de verwerking van uw persoonsgegevens en het recht op overdraagbaarheid van gegevens (dataportabiliteit).
3. Hieronder vindt u meer details en informatie over hoe en wanneer u uw rechten kunt uitoefenen:
   • Het recht op inzage van uw persoonsgegevens. Dit geeft u het recht een kopie te ontvangen van de persoonsgegevens die wij over u verwerken, zodat u kunt controleren of de gegevens juist zijn en of wij deze rechtmatig verwerken.
   • Het recht om te verzoeken dat uw persoonsgegevens worden gecorrigeerd of geactualiseerd. U kunt onvolledige of onjuiste persoonsgegevens die wij van u hebben laten aanpassen of aanvullen.
   • Het recht om te verzoeken om verwijdering van uw persoonsgegevens. U kunt om verwijdering van uw persoonsgegevens vragen, maar alleen indien:
     • uw persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld;
     • u uw toestemming intrekt indien de verwerking van uw persoonsgegevens uitsluitend op toestemming was gebaseerd en er geen andere rechtsgrond bestaat;
     • u bezwaar maakt tegen de verwerking van uw persoonsgegevens en er geen dwingende, gerechtvaardigde grond voor verwerking bestaat;
     • uw persoonsgegevens onrechtmatig zijn verwerkt; of
     • uw persoonsgegevens moeten worden verwijderd om te voldoen aan een wettelijke verplichting.

     Als wij uw verzoek honoreren, zullen wij, voor zover dit redelijkerwijs mogelijk is, de partijen informeren met wie wij uw persoonsgegevens hebben gedeeld.

   • Het recht om bezwaar te maken tegen de verwerking van uw persoonsgegevens. Indien wij uw persoonsgegevens verwerken op basis van een gerechtvaardigde grondslag, kunt u bezwaar maken tegen deze verwerking. Wij zullen uw verzoek honoreren, tenzij ons gerechtvaardigd belang zwaarder weegt dan uw belangen, of wanneer wij uw persoonsgegevens moeten blijven verwerken om een rechtsvordering vast te stellen, uit te oefenen of te verdedigen, of om te voldoen aan onze wettelijke verplichtingen.
   • Het recht om de verwerking van uw persoonsgegevens te beperken. U kunt ons verzoeken de verwerking van uw persoonsgegevens te beperken in de volgende gevallen:
     • u betwist de juistheid van uw persoonsgegevens, gedurende de periode die wij nodig hebben om de juistheid van de gegevens te verifiëren;
     • de verwerking is onrechtmatig en u verzet zich tegen het verwijderen van uw persoonsgegevens en verzoekt in plaats daarvan om beperking van de verwerking;
     • wij uw persoonsgegevens niet langer nodig hebben voor de verwerkingsdoeleinden, maar u de gegevens nog nodig heeft in het kader van een rechtsvordering; of
     • u bezwaar heeft gemaakt tegen de verwerking, gedurende de periode waarin wij moeten nagaan of er dwingende, gerechtvaardigde gronden zijn.
   • Het recht op gegevensoverdraagbaarheid (dataportabiliteit). U kunt ons verzoeken uw persoonsgegevens te ontvangen en/of deze, voor zover dit technisch uitvoerbaar is, naar een derde partij te laten verzenden. U heeft dit recht uitsluitend voor persoonsgegevens die u zelf aan ons heeft verstrekt en waarvan de verwerking gebaseerd is op uw toestemming of noodzakelijk is voor de uitvoering van de overeenkomst die wij met u hebben.
4. Wij nemen geen besluiten die uitsluitend gebaseerd zijn op geautomatiseerde verwerking.
5. U kunt uw hierboven beschreven rechten uitoefenen door een verzoek per e-mail te sturen naar [email protected]. . Wij streven ernaar om binnen één maand na ontvangst van uw verzoek te reageren. Deze termijn van één maand kan echter met twee maanden worden verlengd, bijvoorbeeld in het geval van een omvangrijk of complex verzoek. In dat geval informeren wij u binnen één maand na ontvangst van uw verzoek en leggen wij uit waarom de verlenging noodzakelijk is.
6. U heeft ook het recht een klacht in te dienen bij de toezichthouder (in Nederland: de Autoriteit Persoonsgegevens) over de manier waarop wij uw persoonsgegevens verwerken. Wij stellen het echter op prijs als u ons eerst de gelegenheid geeft uw klacht te behandelen voordat u zich tot de toezichthouder wendt.

Wijzigingen in deze privacyverklaring