Personal data protection policy
(Last update : October 09,2018)
1. Who are we?
Dit document vormt het beleid inzake de bescherming van persoonsgegevens van TILMAN S.A., een vennootschap naar Belgisch recht, met maatschappelijke zetel te Zone d’activités Sud, Bail. 15, 5377 Somme-Leuze, ingeschreven bij de Kruispuntbank der Ondernemingen onder nummer 0458.493.759, en met het volgende e-mailadres: privacy@tilman.be (hierna “Tilman” of “ons” genoemd).
Contactgegevens van de functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke: dpo@tilman.be
In het kader van onze activiteiten verzamelen, bewaren, verwerken en delen wij soms persoonsgegevens.
2. Doel van dit beleid
2.1. Informatie
Bezorgd om het respecteren van uw privacy en ons bewust van het belang van de naleving van onze wettelijke verplichtingen op dit gebied, doen wij er alles aan om uw persoonsgegevens te beschermen.
Het doel van dit beleid is om u (in uw hoedanigheid van “betrokkene”) te informeren over hoe wij (in onze hoedanigheid van “verwerkingsverantwoordelijke”) omgaan met uw persoonsgegevens, in overeenstemming met alle toepasselijke wetten en voorschriften inzake gegevensbescherming en privacy (hierna “gegevensbeschermingswetten” genoemd), en, meer in het bijzonder en onder andere, in overeenstemming met de artikelen 13 en 14 van Verordening (EU) 2016/679 (of “AVG” / “GDPR”).
Dit beleid is ook bedoeld om u te informeren over uw rechten met betrekking tot de verwerking van uw persoonsgegevens.
2.2. Geïnformeerde toestemming
In sommige gevallen (zie hieronder) is de wettelijke basis voor onze gegevensverwerking uw geïnformeerde toestemming. In dergelijke gevallen is het andere doel van dit beleid om u de informatie te verstrekken die nodig is om geldige toestemming van u te verkrijgen.
Voor zover onze verwerking van persoonsgegevens gebaseerd is op uw toestemming, hebt u het recht om uw toestemming op elk moment in te trekken, zonder dat deze intrekking invloed kan hebben op de rechtmatigheid van de verwerking die voorafgaand aan deze intrekking heeft plaatsgevonden. Om uw toestemming in te trekken, vragen wij u om gebruik te maken van de eenvoudige uitschrijvingsprocedures die onze communicatiemiddelen u bieden of door ons een e-mail te sturen (naar het adres dat vermeld staat in de rubriek ” Met wie contact opnemen over uw persoonsgegevens “).
Wanneer onze verwerking van persoonsgegevens gebaseerd is op uw toestemming, is het onze plicht om aan te tonen dat u akkoord gaat met de verwerking van uw persoonsgegevens. Om dit te kunnen doen, bewaren wij gegevens met betrekking tot uw toestemming zolang we moeten aantonen dat we volledig voldoen aan de wetgeving op het gebied van gegevensbescherming.
Als u jonger bent dan 16 jaar is het onze plicht om redelijke inspanningen te leveren om in dergelijke gevallen te verifiëren of de toestemming is gegeven of geautoriseerd door de persoon die het ouderlijk gezag draagt, rekening houdend met de beschikbare technologie. Dit verklaart waarom we, in voorkomend geval, meer informatie kunnen vragen over deze titularis van het ouderlijk gezag.
3. Informatie over de verschillende verwerkingen van persoonsgegevens
In dit hoofdstuk 3 geven wij u voor elke behandeling die wij uitvoeren informatie over:
- de doeleinden van de verwerking (waarom wij uw gegevens verwerken);
- De rechtsgrond van de verwerking (wat de verwerking rechtvaardigt); wanneer deze rechtsgrond een legitiem belang is, vermelden we de aard van de verwerking;
- de betrokken categorieën persoonsgegevens (welke soorten gegevens worden verwerkt);
- Indien van toepassing, de categorieën ontvangers van persoonsgegevens (met wie wij gegevens delen);
- In voorkomend geval, de doorgifte van persoonsgegevens aan ontvangers in landen buiten de EU of aan internationale organisaties en de waarborgen die een dergelijke doorgifte mogelijk maken;
- De duur van de periode gedurende welke persoonsgegevens worden bewaard of, indien het niet mogelijk is om deze duur te specifiëren, het criterium dat wordt gebruikt om deze duur te bepalen;
Om zo transparant en duidelijk mogelijk te zijn, wordt deze informatie opgenomen in de onderstaande tabellen, per categorie van betrokkenen en per doel.
3.1. Klanten
Doel | Klantenservice (verzoeken om informatie, klachten, service na verkoop) |
---|---|
Categorieën van gegevens | identificatie1, elektronische identificatie2, inhoud van de communicatie, commerciële informatie, beschrijving van de klacht. |
Bronnen | betrokkenen |
Ontvangers | geen5 |
Bewaartermijn | duur van de interactie. De duur is langer als de gegevens worden gebruikt voor andere verwerkingen die in dit onderdeel worden genoemd. |
Rechtsgronden | GDPR, art.6, §1 a) (toestemming) GDPR, art.6, §1 c) (uitvoering van wettelijke en reglementaire verplichtingen) |
Overdracht buiten de EU | nee |
Doel | Klantmanagement (order tracking en fulfillment, verkoopinformatie, facturatie) |
---|---|
Categorieën van gegevens | identificatie1, elektronische identificatie2, administratieve gegevens3, sectorgegevens4, klantcode, functie, categorie / thuisgroep, taal, valuta, financiële kenmerken, vertegenwoordiger, vervoer, inhoud van de communicatie, commerciële informatie. |
Bronnen | betrokkenen, officiële databanken, commerciële (openbare) databanken |
Ontvangers | verkoopvertegenwoordigers, distributeurs en verkoopbemiddelaars, overheidsdiensten |
Bewaartermijn | 10 jaar na het einde van de behandeling (meestal het einde van het contract) |
Rechtsgronden | GDPR, art.6, §1 b) (uitvoering van contractuele of precontractuele maatregelen) GDPR, art.6, §1 c) (uitvoering van wettelijke en reglementaire verplichtingen) |
Overdracht buiten de EU | nee |
Doel | Tevredenheidsenquêtes |
---|---|
Categorieën van gegevens | identificatie1, elektronische identificatie2 |
Bronnen | betrokkenen |
Ontvangers | geen5 |
Bewaartermijn | anonimisering na voltooiing van de verwerking van de antwoorden en verzending van de beloning (indien van toepassing) |
Rechtsgronden | GDPR, art.6, §1 b) (uitvoering van contractuele of precontractuele maatregelen) GDPR, art.6, §1, f) (rechtmatig belang: kwaliteitscontroles, procesverbetering) |
Overdracht buiten de EU | nee |
Doel | Marktanalyse (statistische monitoring van de verkopen per inkoopgroep) |
---|---|
Categorieën van gegevens | identificatie1, elektronische identificatie2 |
Bronnen | centrale inkoopkantoren |
Ontvangers | geen5 |
Bewaartermijn | 10 jaar na het einde van de behandeling (meestal het einde van het contract) |
Rechtsgronden | GDPR, art.6, §1 b) (uitvoering van contractuele of precontractuele maatregelen) GDPR, art.6, §1, f) (rechtmatig belang: procesverbetering, intern beheer, marktanalyse) |
Overdracht buiten de EU | nee |
Doel | Voorlichtingscampagnes (mailings) |
---|---|
Categorieën van gegevens | identificatie1, elektronische identificatie2 |
Bronnen | betrokkenen, gegevensverstrekker |
Ontvangers | geen5 |
Bewaartermijn | geldigheidsduur van de toestemming |
Rechtsgronden | GDPR, art.6, §1 a) (toestemming) GDPR, art.6, §1, f) (rechtmatig belang: “soft opt-in” voor personen die reeds klant zijn bij TILMAN) |
Overdracht buiten de EU | nee |
3.2. Gebruikers van TILMAN producten, artsen, apothekers
Doel | Klantenservice (verzoeken om informatie, klachten) |
---|---|
Zie hoofdstuk “Klant > Klantenservice”. |
Doel | Geneesmiddelenbewaking |
---|---|
Categorieën van gegevens | identificatie1, elektronische identificatie2, geboortedatum, leeftijd, gewicht, lengte, geslacht, medische gegevens: betrokken product (en productie-informatie), bijwerkingen, medische voorgeschiedenis |
Bronnen | betrokkenen, apothekers, artsen |
Ontvangers | officiële instanties voor geneesmiddelenbewaking |
Bewaartermijn | 10 jaar na het verstrijken van de vergunning voor het in de handel brengen |
Rechtsgronden | GDPR, art.6, §1 c) (uitvoering van wettelijke en reglementaire verplichtingen) GDPR, art.9, §2 i) (redenen van openbaar belang op het gebied van de volksgezondheid) |
Overdracht buiten de EU | nee |
3.3. Gezondheidsprofessionals, organisaties
Doel | Klantenservice (verzoeken om informatie, klachten) |
---|---|
Zie hoofdstuk “Klant > Klantenservice”. |
Doel | Informatiecampagnes (e-mailings) |
---|---|
Zie hoofdstuk “Klant > Voorlichtingscampagnes”. |
Doel | Transparant zijn |
---|---|
Categorieën van gegevens | identificatie1, elektronische identificatie2, administratieve gegevens3 (bedrijfsnummer), sectorgegevens4 (INAMI-nummer), nationaal registratienummer, financiële gegevens |
Bronnen | betrokkenen, officiële databanken |
Ontvangers | betransparent.be |
Bewaartermijn | wettelijke termijn: 10 jaar na publicatie |
Rechtsgronden | GDPR, art.6, §1 c) (uitvoering van wettelijke en reglementaire verplichtingen) |
Overdracht buiten de EU | nee |
3.3. Gezondheidsprofessionals, organisaties
Doel | Coupons (evenementen en gespecialiseerde pers) |
---|---|
Categorieën van gegevens | identificatie1, elektronische identificatie2, sectorgegevens4 (INAMI-nummer), taal |
Bronnen | betrokkenen |
Ontvangers | geen5 |
Bewaartermijn | Voor evenementencoupons: duur van het evenement. Voor coupons in de pers: duur van de interactie. De duur is langer als de gegevens worden gebruikt voor andere verwerkingen die in deze paragraaf worden genoemd. |
Rechtsgronden | GDPR, art.6, §1 a) (toestemming) |
Overdracht buiten de EU | nee |
3.4. Leveranciers
Doel | Leveranciersbeheer (selectie, orderopvolging, boekhouding en administratie, kwaliteitscontroles) |
---|---|
Categorieën van gegevens | identificatie1, elektronische identificatie2, administratieve gegevens3, inhoud van de communicatie. |
Bronnen | betrokkenen, officiële databanken, commerciële (openbare) databanken |
Ontvangers | openbare besturen |
Bewaartermijn | 10 jaar na het einde van de behandeling (meestal het einde van het contract) |
Rechtsgronden | GDPR, art.6, §1 b) (uitvoering van contractuele of precontractuele maatregelen) GDPR, art.6, §1 c) (uitvoering van wettelijke en reglementaire verplichtingen) GDPR, art.6, §1, f) (legitiem belang: selectie en beheer van leveranciers, kwaliteitscontroles, procesverbetering, bescherming van de rechten van TILMAN) |
Overdracht buiten de EU | nee |
3.5. Vooruitzichten
Doel | Prospectieservice (verzoek om informatie) |
---|---|
Zie hoofdstuk “Klant > Klantenservice”. |
Doel | Voorlichtingscampagnes (mailings) |
---|---|
Zie hoofdstuk “Klant > Voorlichtingscampagnes”. |
Doel | Algemene prospectie |
---|---|
Categorieën van gegevens | identificatie1, elektronische identificatie2, administratieve gegevens3, sectorgegevens4, klantencode, functie, categorie/groep, taal, valuta, financiële kenmerken, vertegenwoordiger, vervoer, inhoud van de communicatie, commerciële informatie |
Bronnen | betrokkenen, officiële databanken, commerciële (openbare) databanken |
Ontvangers | vertegenwoordigers, distributeurs en verkoopbemiddelaars |
Bewaartermijn | Onbepaald (normale doorlooptijd) |
Rechtsgronden | GDPR, art.6, §1, f) (rechtmatig belang: prospectie van professionele klanten, ontwikkeling van economische activiteiten) |
Overdracht buiten de EU | nee |
3.6. Kandidaten voor een baan
Doel | Rekrutering |
---|---|
Categorieën van gegevens | identificatie1, elektronische identificatie2, gezinssamenstelling, vrije tijd, onderwijs, professionele gegevens, CV-gegevens. |
Bronnen | betrokkenen |
Ontvangers | geen5 |
Bewaartermijn | rekruteringstijd. De duur kan met instemming van de betrokkene worden verlengd tot één jaar. |
Rechtsgronden | GDPR, art.6, §1 b) (precontractuele maatregelen) GDPR, art.6, §1 a) (toestemming voor latere opslag) |
Overdracht buiten de EU | nee |
3.7. Verenigingen en begunstigden van sponsors
Doel | Sponsoring |
---|---|
Categorieën van gegevens | identificatie1, elektronische identificatie2, administratieve gegevens3 |
Bronnen | betrokkenen |
Ontvangers | geen 5 |
Bewaartermijn | 10 jaar na het einde van de behandeling (meestal het einde van het contract) |
Rechtsgronden | GDPR, art.6, §1 b) (uitvoering van contractuele of precontractuele maatregelen) |
Overdracht buiten de EU | nee |
3.8. Bezoekers van de site
Doel | Beveiliging (registratie van in- en uitgangen in onze gebouwen) |
---|---|
Categorieën van gegevens | identificatie1, naam van de werkgever, bezoekgegevens (aankomst- en vertrektijden) |
Bronnen | Betrokkenen |
Ontvangers | geen5 |
Bewaartermijn | 30 dagen |
Rechtsgronden | GDPR, art.6, §1, c) (uitvoering van wettelijke en reglementaire verplichtingen) GDPR, art.6, §1, f) (rechtmatig belang: bescherming van de onderneming, haar eigendom en haar personeel) |
Overdracht buiten de EU | nee |
1 “Identificatie”-gegevens omvatten: voornaam, achternaam, fysiek adres en telefoonnummer.
2 “Elektronische identificatiegegevens” omvatten het e-mailadres (en eventueel de identificatiegegevens op het internet of sociale media).
3 “Administratieve gegevens” zijn alle gegevens die nodig zijn voor fiscale en boekhoudkundige doeleinden (BTW, KBO, JNL-codes, ….).
4 “Sectorale gegevens” zijn alle gegevens met betrekking tot identificatie, certificatie, etikettering of autorisatie als economische actor (bv. in de sector van de farmaceutische productie en distributie: IMS-code, APB-code, RIZIV-nummer, BIO-controleorgaancode, FLOCERT identificatienummer), logistiek (bv. EAN-code, Certipost) of organisatorische logica (SCM, MPO).
5 De gegevens worden minstens toegankelijk gemaakt voor het personeel en de onderaannemers van TILMAN (de toegangsregels zijn van die aard dat alleen personen die deze nodig hebben in het kader van hun werkzaamheden toegang hebben tot de gegevens). “Geen” betekent dat de gegevens aan geen enkele andere persoon of entiteit bekend worden gemaakt.
4. Uw rechten als betrokkene
Gegevensbeschermingswetten verlenen u rechten krachtens bepaalde grondslagen en onder bepaalde voorwaarden, waaronder het recht van toegang, rectificatie, verzet tegen verwerking of verzoek om verwijdering of overdraagbaarheid van uw persoonsgegevens, evenals het recht om de beperking van de verwerking te vragen. Onder bepaalde voorwaarden heeft u ook recht op de overdraagbaarheid van uw gegevens.
Neem contact met ons op zoals aangegeven in het onderdeel “Met wie contact opnemen over uw persoonsgegevens” hieronder om een verzoek in te dienen om uw rechten uit te oefenen of als u vragen of zorgen heeft over de manier waarop wij met uw persoonsgegevens omgaan.
Houd er rekening mee dat sommige persoonsgegevens kunnen worden vrijgesteld van het recht van toegang, rectificatie, bezwaar, verwijdering, beperking of overdraagbaarheid in overeenstemming met de gegevensbeschermingswetten.
5. Veiligheid en beveiliging
Tilman zal passende technische, fysieke, juridische en organisatorische maatregelen nemen die voldoen aan de gegevensbeschermingswetten. Helaas kan voor geen enkele gegevensoverdracht via het internet of voor geen enkel gegevensopslagsysteem gegarandeerd worden dat het 100% veilig is. Als u reden hebt om aan te nemen dat een interactie met ons niet langer veilig is (bijvoorbeeld als u van mening bent dat de veiligheid van de persoonlijke gegevens die u aan ons hebt bezorgd, in gevaar is gebracht), gelieve ons dan onmiddellijk op de hoogte te brengen. Zie de sectie “Met wie contact opnemen over uw persoonsgegevens” hieronder.
Wanneer Tilman persoonsgegevens aan een dienstverlener verstrekt, wordt de dienstverlener zorgvuldig geselecteerd en dient de dienstverlener passende maatregelen te nemen om de vertrouwelijkheid en veiligheid van de persoonsgegevens te beschermen.
6. Persoonsgegevens van derden
Als u ons persoonsgegevens van derden verstrekt, gaat u ermee akkoord om: (a) de derde partij te informeren over de inhoud van dit privacybeleid; en (b) de vereiste toestemming te verkrijgen voor het verzamelen, gebruiken, openbaar maken en overdragen (inclusief grensoverschrijdende overdracht) van de persoonsgegevens van de derde partij in overeenstemming met dit privacybeleid, tenzij u kunt aantonen dat u kunt vertrouwen op een andere rechtsgrond dan toestemming.
7. Klachten
Als u niet tevreden bent met onze behandeling van uw persoonsgegevens en u denkt dat het probleem niet kan worden opgelost door contact met ons op te nemen, geven de gegevensbeschermingswetten u het recht om een klacht in te dienen bij de bevoegde toezichthoudende autoriteit (meer informatie op de website van deze laatste : https://www.autoriteprotectiondonnees.be/)
8. Met wie contact opnemen over uw persoonsgegevens
Als u vragen heeft over het gebruik van uw persoonlijke gegevens kunt u
- een e-mail sturen naar het volgende adres: privacy@tilman.be
- of ons schrijven op het volgende fysieke adres:
TILMAN S.A.
15, Z.I. Sud
5377 Baillonville
BELGIË - of contact opnemen met onze DPO op het volgende e-mailadres: dpo@tilman.be
9. Wijzigingen aan dit beleid
Wij beoordelen dit beleid regelmatig en behouden ons het recht voor om te allen tijde wijzigingen aan te brengen om uitdrukking te geven aan veranderingen in ons bedrijf of nieuwe wettelijke vereisten.
Om u op de hoogte te houden van de wijzigingen zullen wij updates op onze website www.tilman.be plaatsen. In sommige gevallen kunnen wij u ook per e-mail op de hoogte brengen.
Controleer de datum “laatste update” bovenaan dit beleid om te zien wanneer het voor het laatst werd herzien.