Overdracht van persoonsgegevens van de Europese betrokkenen naar de Verenigde Staten

1. Hoe Arthrex zich inzet vorr veilige overdracht van persoonsgegevens

Arthrex zorgt ervoor dat er in alle gevallen van overdracht van persoonsgegevens naar onze organisatie volledig wordt voldaan aan de relevante wet- en regelgeving op het gebied van gegevensbescherming. Wij geven prioriteit aan de bescherming van uw persoonsgegevens en blijven toegewijd aan de handhaving van de normen die worden beschreven in het EU-US Data Privacy Framework.

Arthrex implementeert in haar producten, systemen en processen de noodzakelijke beveiligingsmaatregelen, zodat erop kan worden gerekend dat doorgifte van persoonsgegevens volgens de hoogste normen wordt beschermd.

Raadpleeg de gegevensverwerkingsovereenkomst die we samen met u ondertekenen, de privacyverklaring van Arthrex of de specifieke privacyverklaring die u heeft ontvangen in de context van het product of de dienst waarvan u gebruikmaakt voor informatie over de bescherming van uw persoonsgegevens op elke locatie waar ze zich bevinden.

2. Overdracht van persoonsgegevens naar de Verenigde Staten

Arthrex voldoet aan het EU-VS Data Privacy Framework (EU-VS DPF) en de uitbreiding van het EU-VS DPF voor het VK, en het Zwitserland-VS Data Privacy Framework (Zwitserland-VS DPF) zoals opgesteld door de U.S. Department of Commerce.  Arthrex heeft aan de U.S. Department of Commerce verklaard dat zij zich houdt aan de Principes van het EU-VS Data Privacy Framework (Principes van het EU-VSDPF) met betrekking tot de verwerking van persoonsgegevens die zijn ontvangen uit de Europese Unie en het Verenigd Koninkrijk op basis van het EU-VS DPF ende uitbreiding van het EU-VS DPF voor het VK.  Arthrex heeft aan de U.S. Department of Commerce verklaard dat zij zich houdt aan de Principes van het Zwitserland-VS Data Privacy Framework (Principes van het Zwitserland-VS DPF) met betrekking tot de verwerking van persoonsgegevens die zijn ontvangen uit Zwitserland op basis van het Zwitserland-VS DPF.  Als er een conflict is tussen de voorwaarden in dit privacybeleid en de Principes van het EU-VS DPFen/of de Principes van het Zwitserland-VS DPF, zijn de Principes leidend. Ga voor meer informatie over het Data Privacy Framework (DPF)-programma en om onze certificeringen te bekijken naar  https://www.dataprivacyframework.gov/.

De volgende entiteiten van Arthrex U.S. of dochterondernemingen van Arthrex U.S. houden zich aan de Principes van het EU-VS DPF, inclusief, voor zover van toepassing, onder de uitbreiding van het EU-VS DPF voor het VK, en de Principes van het Zwitserland-VS DPF en vallen onder de DPF indiening van Arthrex:

•  Arthrex, Inc., 1370 Creekside Blvd., Naples, Florida 34108, VS
• Arthrex Manufacturing Inc., 6875 Arthrex Commerce Dr., Ave Maria, FL 34142, VS
• Arthrex California Technology, Inc., 460 Ward Drive, Santa Barbara, California 93111, VS

In overeenstemming met het EU-VS DPF en de uitbreiding van het EU-VS DPF voor het VK, en hetZwitserland-VS DPF, belooft Arthrex onopgeloste klachten over de verwerking van persoonsgegevens die zijn ontvangen met een beroep op het EU-VS DPF en de uitbreiding van het EU-VS DPF voor het VK, en het Zwitserland-VS DPF, door te verwijzen naar ICDR-AAA DPF IRM Service, een alternatieve geschillenbeslechtingsinstelling gevestigd in de Verenigde Staten. Als u van ons niet tijdig een bevestiging ontvangt van uw klacht in verband met de Principes van het DPF, of als we uw klacht in verband met de Principes van het DPF niet naar tevredenheid hebben afgehandeld, ga dan naar https://go.adr.org/dpf_irm.html voor meer informatie of om een klacht in te dienen. De diensten van ICDR-AAA worden kosteloos aan u verstrekt.

In overeenstemming met het EU-VS DPF en de uitbreiding van het EU-VS DPF voor het VK, en het Zwitserland-VS DPF, zet Arthrex zich in om klachten in verband met de Principes van het DPF over onze verzameling en gebruik van uw persoonsgegevens op telossen. Personen in de EU, het VK en Zwitserland met vragen of klachten over onze verwerking van persoonsgegevens die zijn ontvangen in het kader van het EU-VS DPF en de uitbreiding van het EU-VS DPF voor het VK, en de Zwitserland-VS DPF, moeten eerst contact opnemen met Arthrex via: privacy@arthrex.com.

Met betrekking tot de overdracht van persoonsgegevens naar de Verenigde Staten en deelname aan hetData Privacy Framework (DPF), zal Arthrex claims bemiddelen en de voorwaarden volgen zoals uiteengezet in Bijlage I van het DPF (https://www.dataprivacyframework.gov/framework-article/ANNEX-I-introduction).

Arthrex is onderhevig aan de onderzoeks- en handhavingsbevoegdheden van de Federal Trade Commission (FTC). Arthrex kan naar aanleiding van rechtsgeldige verzoeken door overheidsinstanties worden verplicht tot overdracht van persoonsgegevens die we verwerken krachtens het Data Privacy Framework, om bijvoorbeeld aan eisen ingevolge de staatsveiligheid of wetshandhaving te voldoen.

Voorinformatie over het type of de identiteit van derden en de doeleinden waarvoor Arthrex persoonsgegevens openbaar maakt, kunt u terecht op https://privacy.arthrex.com/index.html#Sharing-of-Personal-Data. Arthrex is aansprakelijk voor de doorgifte van persoonsgegevens.

Voor informatie over de rechten van personen om toegang te krijgen tot hun persoonsgegevens en om het gebruik en de openbaarmaking van persoonsgegevens te beperken, kunt u terecht op https://privacy.arthrex.com/index.html#What-Are-Your-Rights en de privacyverklaring van Arthrex EMEA op https://privacy.arthrex.com/our-commitment-to-privacy/european-economic-area-emea.html.

3. Beoordeling van het belang dat overheidsinstanties van de Verenigde Staten hebben bij de overdracht van persoonsgegevens door Arthrex

Naast het adequaatheidsbesluit voor het EU-US DPF hebben we een uitgebreide risicobeoordeling van de overdracht van persoonsgegevens door Arthrex uitgevoerd, waarbij we de volgende factoren in aanmerking hebben genomen: het doel/de doelen waarvoor de persoonsgegevens worden overgedragen en verwerkt (bijv. marketing, HR, gegevensopslag, IT-ondersteuning, klinische onderzoeken);

• de typen entiteiten die bij de verwerking zijn betrokken (bijv. openbaar/particulier; verwerkingsverantwoordelijke, verwerker);
• de sector waarin de overdracht plaatsvindt (bijv. medisch, telecommunicatie, financieel, etc.);
• de categorieën persoonsgegevens die worden overgedragen (zo kunnen persoonsgegevens die op kinderen betrekking hebben, binnen de reikwijdte van specifieke wetgeving in het derde land vallen);
• of de persoonsgegevens in het derde land worden bewaard of dat er alleen sprake is van toegang op afstand tot persoonsgegevens die binnen de EER worden bewaard;
• de opmaak/indeling van de persoonsgegevens die moeten worden overgedragen (bijv. in tekst zonder opmaak, gepseudonimiseerd of versleuteld);
• de mogelijkheid dat de persoonsgegevens van het derde land kunnen worden doorgegeven binnen het derde land of aan een ander derde land.

Deze factoren en met name de aard van de persoonsgegevens die worden overgedragen, ondersteunen de veronderstelling dat het onwaarschijnlijk is dat de overheid van de VS zal proberen de overgedragen gegevens te verkrijgen. Als bedrijf in medische hulpmiddelen is Arthrex niet actief in een sector waarin er scherper op de staatsveiligheid moet worden gelet (bijv. uitvoering van defensiecontracten, ondersteuning van de inlichtingendienst, uitvoering van overheidscontracten of voorzien in kritische infrastructuur). De gegevens die Arthrex overdraagt, betreffen in plaats daarvan meestal persoonsgegevens van medewerkers, systeembeveiligingsgegevens, gebruikersreferenties in verband met e-learning, accountgegevens en medische records die persoonsgegevens kunnen bevatten. Deze medische records worden primair gebruikt voor de ontwikkeling van specifieke chirurgische hulpmiddelen en methoden, bewaking van het herstel en de vooruitgang van patiënten in bepaalde postoperatieve omstandigheden en, in een beperkt aantal gevallen, om te voorzien in technische ondersteuning bij procedures voor het opnemen van chirurgische video's. Arthrex ontvangt de gegevens van een dochteronderneming in de EU voor ondersteuning van haar normale bedrijfsinspanningen, die niet gevoelig zijn met betrekking tot aspecten van de staatsveiligheid en contraspionage. De persoonsgegevens worden niet vanuit de Verenigde Staten naar verdere landen overgedragen, en wanneer ze naar de Verenigde Staten worden overgedragen, worden ze in versleutelde vorm overgedragen of ze worden op een veilige wijze vanuit de Verenigde Staten op afstand ingezien. Arthrex heeft met betrekking tot de persoonsgegevens die het bedrijf verwerkt, geen verzoek van de Amerikaanse overheid ontvangen en het is onwaarschijnlijk dat Arthrex zo'n verzoek zou ontvangen. Het valt daarom redelijkerwijs niet te verwachten dat persoonsgegevens die door Arthrex worden verwerkt, van bijzonder belang voor de staatsveiligheid zijn.

4. Aanvullende overwegingen

In toepasselijke gevallen zal Arthrex persoonsgegevens van Europese betrokkenen uitsluitend in de Europese Unie bewaren en verwerken. In deze gevallen worden de persoonsgegevens niet in de Verenigde Staten bewaard, en de toegang tot deze gegevens vanuit de Verenigde Staten is gebaseerd op situaties waarin toegang tot bepaalde persoonsgegevens noodzakelijk is, bijvoorbeeld om te voldoen aan klantenondersteuningsverzoeken, om specifieke hulp bij beveiligingsvraagstukken te verlenen of om oplossingen voor technische problemen te bieden.

Overdracht van persoonsgegevens naar de VS wordt strikt gedaan op basis van wat nodig is om te weten dan wel nodig is om te hebben volgens de gegevensverwerkingsovereenkomsten waarin de organisatorische en technische maatregelen worden beschreven die Arthrex heeft ingesteld ter bescherming van de persoonsgegevens van Europese betrokkenen.

Arthrex bevestigt dat in het geval van een bevel om overheidsinstanties in de VS toegang tot persoonsgegevens te geven, Arthrex verplicht is om klanten hierover te informeren, zodat zij hun overeenkomst met ons kunnen beëindigen en overdracht van persoonsgegevens naar onze organisatie kunnen stopzetten. Het is vermeldenswaard dat Arthrex nooit zo'n bericht heeft moeten uitvaardigen, en op basis van de evaluatie die hierboven is gegeven, is het zeer onwaarschijnlijk dat deze situatie zich in de toekomst zal voordoen.

5. Conclusie

Op basis van de uitgebreide analyse die hierboven is gegeven, stellen we met zekerheid vast dat het risico op schade voor de betrokkenen minimaal is. Deze conclusie is gebaseerd op de rigoureuze beschermings- en beveiligingsmaatregelen die door Arthrex zijn geïmplementeerd, in combinatie met de uiterst geringe kans op een verzoek van overheidsinstanties in de VS om in verband met onze producten of diensten toegang tot persoonsgegevens te krijgen. Rekening houdend met deze factoren en gezien relevante wettelijke verplichtingen, bevestigen we daarom dat het risico op schade voor betrokkenen als onbeduidend kan worden beschouwd.

Ongeacht het geringe risico met betrekking tot de overdracht van persoonsgegevens van de Europese betrokkenen naar de VS, wil Arthrex volledig blijven voldoen aan de beginselen en beveiligingsmaatregelen die worden beschreven in het EU-US Data Privacy Framework, aan alle relevante wet- en regelgeving en ook aan de beste praktijken op het gebied van gegevensbescherming. Door deze normen hoog te houden zorgen we voor een veilige en rechtmatige overdracht van persoonsgegevens, en geven we blijk van onze onwrikbare toewijding aan de bescherming van de privacy van onze klanten.