Gegevensverwerkingsovereenkomst

Download de iLost DPA

Open DPA (PDF)

Op basis van twee verschillende verwerkingsfasen, zoals weergegeven in het visuele overzicht onderaan deze pagina, wordt beschreven hoe persoonsgegevens worden verwerkt binnen het iLost-platform. Hierin worden de soorten persoonsgegevens, de rollen van de partijen en het toepasselijke regelgevingskader uitgelegd, zonder verwijzing naar jurisdictiespecifieke wettelijke artikelen.

Definities

  1. Claim / Verliesmelding: Informatie die door een gebruiker via het iLost-platform wordt ingediend met het doel het eigendom van of het recht op een gevonden voorwerp te doen gelden.
    Een claim wordt pas van kracht nadat het account van de gebruiker is geverifieerd, wat inhoudt dat een e-mailadres is opgegeven en gevalideerd via een verificatielink, en dat iLost de claim heeft geaccepteerd in overeenstemming met zijn beleid. Na deze acceptatie wordt de claiminformatie beschikbaar gesteld aan de betreffende klant en wordt het gevonden voorwerp gekoppeld aan de gebruiker.
    Dit moment markeert de overgang van fase 1 naar fase 2, zoals hieronder beschreven.

  2. Klant: Een organisatie, bedrijf of instelling (met inbegrip van, maar niet beperkt tot hotels, evenementenlocaties, vervoersbedrijven en openbare instellingen) die het iLost-platform gebruikt om gevonden voorwerpen te registreren en te beheren.
    Voor alle duidelijkheid: een klant is geen natuurlijke persoon.

  3. Verwerkingsverantwoordelijke: De entiteit die het doel en de essentiële middelen van de verwerking van persoonsgegevens bepaalt.

  4. Gevonden voorwerp: Een voorwerp dat door een klant op het iLost-platform is geregistreerd. Een gevonden voorwerp is in eerste instantie mogelijk niet gekoppeld aan een identificeerbare persoon en kan, na het indienen en verifiëren van een claim, aan een gebruiker worden gekoppeld.

  5. iLost-platform: De online software-as-a-service-oplossing die wordt beheerd door iLost, inclusief de webinterface en ingebouwde zoekwidgets, waarmee klanten gevonden voorwerpen kunnen registreren en beheren en gebruikers verloren eigendommen kunnen zoeken, melden, claimen en terugkrijgen.

  6. Persoonsgegevens: Alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon, met inbegrip van maar niet beperkt tot naam, contactgegevens, identificatiegegevens, foto's, informatie met betrekking tot claims en online identificatiegegevens zoals IP-adressen.

  7. Verwerking: Elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, zoals verzameling, opslag, gebruik, openbaarmaking of verwijdering.

  8. Verwerker: De entiteit die namens een verwerkingsverantwoordelijke persoonsgegevens verwerkt.

  9. Gebruiker: Een natuurlijke persoon die rechtstreeks interactie heeft met het iLost-platform om een verloren voorwerp te zoeken, te claimen of terug te krijgen en wiens persoonsgegevens in dat kader worden verwerkt. Waar van toepassing is de wetgeving inzake gegevensbescherming van toepassing, kwalificeert een gebruiker als een "betrokkene", "persoon" of een gelijkwaardig juridisch concept onder die wetgeving.

1. Fase 1 – Door de klant geïnitieerde verwerking

In fase 1 worden persoonsgegevens door een medewerker van de klant in het iLost-platform ingevoerd in het kader van de registratie en het beheer van gevonden voorwerpen.

Acties zoals het proactief informeren van een mogelijke eigenaar of het matchen van een voorwerp bij een fysieke servicebalie worden beschouwd als onderdeel van fase 1 en blijven onder de verantwoordelijkheid van de klant als verwerkingsverantwoordelijke.

Dit kan onder meer het volgende omvatten:

  • Contactgegevens van een bekende of vermoedelijke eigenaar die nog geen gebruiker is
  • Opmerkingen toegevoegd aan een gevonden voorwerp
  • Persoonlijke gegevens die zijn ingevoerd om de afhaling van een voorwerp zonder online claim te bevestigen

Rollen in fase 1

In fase 1:

  • De klant bepaalt het doel van de verwerking, namelijk het terugbezorgen van gevonden voorwerpen aan hun rechtmatige eigenaars
  • De klant treedt op als verwerkingsverantwoordelijke
  • iLost treedt op als verwerker en verwerkt persoonsgegevens die door en namens de klant zijn ingevoerd

De verwerkingsrelatie in fase 1 wordt geregeld door de toepasselijke gegevensverwerkingsovereenkomst (DPA).

2. Fase 2 – Door de gebruiker geïnitieerde verwerking (na verificatie)

Fase 2 begint pas nadat een gebruiker een claim of verliesmelding heeft ingediend en iLost het verificatieproces heeft voltooid.
Deze verificatie omvat de bevestiging van de contactgegevens van de gebruiker (zoals e-mailverificatie) en de naleving van het interne validatie- en anti-misbruikbeleid van iLost.

Totdat de verificatie is voltooid, worden de door de gebruiker verstrekte persoonsgegevens uitsluitend door iLost verwerkt en niet aan de klant ter beschikking gesteld.

Zodra een claim of aangifte van verlies door iLost is geverifieerd en goedgekeurd, wordt fase 2 actief en kunnen de relevante persoonsgegevens van de gebruiker aan de klant ter beschikking worden gesteld voor verdere verwerking.

Door de gebruiker verstrekte persoonsgegevens

Tijdens het claim- of verliesmeldingsproces kan een gebruiker persoonsgegevens verstrekken, zoals:

  • Naam en contactgegevens
  • Claimgerelateerde informatie of uitleg om het eigendom aan te tonen
  • Berichten die via het iLost-platform worden uitgewisseld
  • Verzend- en adresgegevens voor het retourneren van een artikel
  • Ondersteunende afbeeldingen of documenten

Door een claim of verliesmelding in te dienen en het toepasselijke privacybeleid en de voorwaarden te accepteren, gaat de gebruiker akkoord met de verwerking van deze persoonsgegevens door iLost met het oog op de werking van het iLost-platform en het faciliteren van het terugvinden van verloren eigendommen.

Rol van iLost in fase 2

In fase 2:

  • iLost treedt op als onafhankelijke verwerkingsverantwoordelijke voor alle door de gebruiker geïnitieerde verwerkingen op het iLost-platform, waaronder:
  • Gebruikersverificatie
  • Accountbeheer
  • Afhandeling van claims
  • Communicatieworkflows

  • Initiëren van verzendingen

  • iLost bepaalt op basis van verificatieresultaten en platformbeleid of en wanneer de persoonsgegevens van de gebruiker aan de klant ter beschikking worden gesteld.

Identificeerbaarheid van gevonden voorwerpen in fase 2

Een gevonden voorwerp dat in fase 1 is geregistreerd, vormt niet automatisch persoonsgegevens.

Een gevonden voorwerp wordt alleen aan een identificeerbare persoon gekoppeld wanneer de claim of aangifte van verlies van een gebruiker door iLost is geverifieerd.

Vanaf dat moment kwalificeert het gevonden voorwerp als traceerbare persoonsgegevens binnen het iLost-platform.

Openbaarmaking van persoonsgegevens aan de klant

Na verificatie kunnen bepaalde persoonsgegevens van de gebruiker (bijvoorbeeld informatie over de claim of verzendgegevens) aan de klant worden bekendgemaakt wanneer en voor zover dat nodig is om:

  • Het eigendom te verifiëren
  • Een definitieve beslissing te nemen over de toewijzing
  • De verzending of fysieke overdracht van het voorwerp voor te bereiden en te voltooien

Er worden geen persoonsgegevens van gebruikers met de klant gedeeld voordat iLost deze heeft geverifieerd en goedgekeurd.

3. Relatie tussen verwerkingsverantwoordelijken in fase 2

Zodra de persoonlijke gegevens van de gebruiker na verificatie aan de klant zijn bekendgemaakt, worden de persoonlijke gegevens verwerkt en uitgewisseld in het kader van een Controller-to-Controller (C2C)-raamwerk.

Onder dit kader:

  • blijft iLost verwerkingsverantwoordelijke voor door de gebruiker geïnitieerde verwerking binnen het iLost-platform, met inbegrip van verificatie, communicatie en workflows op platformniveau
  • blijft de klant verwerkingsverantwoordelijke voor zijn eigen verdere verwerking, met inbegrip van:
  • Het verifiëren van eigendom en het nemen van de definitieve beslissing over de match
  • Het bijhouden van interne gegevens
  • Het voorbereiden en voltooien van verzending of fysieke overdracht

Elke partij bepaalt onafhankelijk haar eigen doeleinden en essentiële middelen voor de verwerking en is verantwoordelijk voor de naleving van de toepasselijke wetgeving inzake gegevensbescherming met betrekking tot haar eigen verwerkingsactiviteiten.

4. Samenvatting van de verantwoordelijkheidsverdeling

Fase 1

  • Klant: Verwerkingsverantwoordelijke
  • iLost: Verwerker (onder de DPA)

Fase 2 (na verificatie en openbaarmaking)

  • iLost: Onafhankelijke verwerkingsverantwoordelijke (door de gebruiker geïnitieerde verwerking)
  • Klant: Onafhankelijke verwerkingsverantwoordelijke (eigen operationele verwerking)
  • Persoonsgegevens worden uitgewisseld op basis van een clausule tussen verwerkingsverantwoordelijken

5. Toepasselijke voorschriften inzake gegevensbescherming en privacy

De volgende lijst is niet volledig.
De toepasselijke vereisten zijn afhankelijk van de locatie van de klant, de gebruiker en de relevante verwerkingsactiviteiten (fase 1 en/of fase 2).

Amerika

  • Verenigde Staten (geselecteerd): California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA) – voornamelijk fase 2
  • Verenigde Staten: Andere privacywetten van staten (indien van toepassing) – fase 1 en/of fase 2
  • Brazilië: Algemene wet inzake gegevensbescherming (LGPD) – fase 1 en fase 2
  • Canada: PIPEDA en toepasselijke provinciale privacywetten – fase 1 en fase 2
  • Mexico: Federale wet inzake de bescherming van persoonsgegevens in het bezit van particuliere partijen – fase 1 en fase 2
  • Argentinië: Wet inzake gegevensbescherming – fase 1 en fase 2

Azië-Pacific

  • China: Wet op de bescherming van persoonsgegevens – Fase 1 en Fase 2 (indien van toepassing)
  • Japan: Wet op de bescherming van persoonsgegevens – Fase 1 en Fase 2
  • Singapore: Wet op de bescherming van persoonsgegevens – Fase 1 en Fase 2
  • Australië: Privacywet 1988 – Fase 1 en Fase 2
  • Zuid-Korea: Wet op de bescherming van persoonsgegevens – Fase 1 en Fase 2
  • India: Wet op de bescherming van digitale persoonsgegevens – Fase 1 en Fase 2 (indien van toepassing)
  • Indonesië: Wet op de bescherming van persoonsgegevens – Fase 1 en Fase 2
  • Thailand: Wet bescherming persoonsgegevens – Fase 1 en Fase 2
  • Maleisië: Wet bescherming persoonsgegevens – Fase 1 en Fase 2
  • Filippijnen: Wet gegevensbescherming – Fase 1 en Fase 2
  • Vietnam: Decreet bescherming persoonsgegevens – Fase 1 en Fase 2
  • Hongkong: Verordening bescherming persoonsgegevens (privacy) – Fase 1 en Fase 2
  • Taiwan: Wet op de bescherming van persoonsgegevens – Fase 1 en Fase 2

Europa

  • Europese Unie / EER: Algemene verordening gegevensbescherming (AVG) – Fase 1 en Fase 2
  • Verenigd Koninkrijk: Britse AVG en Wet gegevensbescherming 2018 – Fase 1 en Fase 2
  • Zwitserland: Federale wet op de gegevensbescherming (FADP) – Fase 1 en Fase 2

Midden-Oosten en Afrika

  • Verenigde Arabische Emiraten / DIFC / ADGM-gegevensbeschermingsvoorschriften – Fase 1 en fase 2
  • Qatar: Wet op de gegevensbescherming – Fase 1 en fase 2
  • Israël: Wet op de bescherming van de privacy – Fase 1 en fase 2
  • Saoedi-Arabië: Wet op de bescherming van persoonsgegevens (PDPL) – Fase 1 en fase 2
  • Bahrein / Oman: Toepasselijke nationale wetten inzake gegevensbescherming – Fase 1 en Fase 2
  • Turkije: Wet inzake de bescherming van persoonsgegevens – Fase 1 en Fase 2
  • Zuid-Afrika: Wet inzake de bescherming van persoonsgegevens (POPIA) – Fase 1 en fase 2
  • Nigeria: Nigeriaanse wet op de gegevensbescherming (NDPA) – Fase 1 en fase 2
  • Kenia: Wet op de gegevensbescherming – Fase 1 en fase 2

Elke partij blijft verantwoordelijk voor de naleving van de wetgeving inzake gegevensbescherming die van toepassing is op haar eigen verwerkingsactiviteiten en rechtsgebied en zal iLost schriftelijk op de hoogte brengen van alle belangrijke toevoegingen of wijzigingen in het bovenstaande.

Visueel overzicht van de gegevensstroom

Hieronder vindt u een visueel diagram dat de volledige gegevensstroom tussen fase 1 en fase 2 illustreert, inclusief de rollen van de organisatie en de gebruiker, en de overgang van de verantwoordelijkheden van de verwerkingsverantwoordelijke.

Fase 1 en fase 2 gegevensstroomdiagram