Oracle Juridisch

Privacy @ Oracle
Serviceprivacybeleid van Oracle

Dit Privacybeleid van Oracle Services ("Privacybeleid van services") is onderverdeeld in drie secties:

I. In de eerste sectie (Voorwaarden voor de verwerking van persoonsgegevens betreffende services) worden de privacy- en beveiligingspraktijken beschreven die Oracle Corporation en zijn gelieerde bedrijven (hierna “Oracle” genoemd) hanteren bij het verwerken van persoonsgegevens betreffende services (zoals hieronder gedefinieerd), voor het verlenen van technische ondersteuning, advies, cloudservices of andere services (hierna de “Services” genoemd), die worden verleend aan Oracle-klanten (hierna “u” of “uw” genoemd), gedurende de looptijd van uw serviceorder.

Persoonsgegevens betreffende Services zijn persoonsgegevens die u verstrekt, die zijn opgeslagen in systemen en omgevingen van Oracle, klanten of derde partijen, en die Oracle verwerkt namens u om de Services uit te voeren. Afhankelijk van de Services bevatten Persoonsgegevens betreffende Services mogelijk: informatie over familie, levensstijl en sociale omstandigheden; arbeidsgegevens; financiële gegevens; online id's, zoals mobiele-apparaat-id's en IP-adressen, en zelf verzamelde gegevens over online gedrag en interesses. Persoonsgegevens betreffende Services hebben mogelijk betrekking op uw vertegenwoordigers en eindgebruikers, zoals uw medewerkers, sollicitanten, aannemers, partners, leveranciers en klanten.

II. In de tweede sectie (Verwerkingsvoorwaarden voor operationele systeemgegevens) worden de privacy- en beveiligingspraktijken beschreven die gelden voor persoonsgegevens die incidenteel voorkomen in Operationele systeemgegevens die worden gegenereerd door de interactie van (eind)gebruikers van onze Services (hierna “gebruikers” genoemd) met de Oracle-systemen en -netwerken die worden gebruikt om Services te bewaken, te beveiligen en te leveren aan onze klanten.

Operationele systeemgegevens bevatten mogelijk logbestanden, gebeurtenisbestanden en andere volgbestanden en diagnostische bestanden, evenals statistische en samengevoegde gegevens die betrekking hebben op het gebruik en de werking van onze Services en de systemen en netwerken waarop deze Services worden uitgevoerd.

III. De derde sectie (Berichten en kennisgevingen aan klanten en gebruikers) is van toepassing op zowel Persoonsgegevens betreffende Services als persoonsgegevens die zijn opgenomen in Operationele systeemgegevens. In deze sectie wordt beschreven hoe Oracle omgaat met wettelijke verzoeken tot openbaarmaking van gegevens, en hoe u en gebruikers kunnen communiceren met de Global Data Protection Officer van Oracle en klachten kunnen indienen.

De definities van Persoonsgegevens betreffende Services en Operationele systeemgegevens bevatten niet de contactgegevens en gerelateerde gegevens van u of de gebruiker die zijn verzameld tijdens het gebruik van Oracle-websites of interactie van u of de gebruiker met ons tijdens het contractproces. ’De verwerking van deze gegevens is onderworpen aan de voorwaarden van het Algemene privacybeleid van Oracle.

I. VOORWAARDEN VOOR DE VERWERKING VAN PERSOONSGEGEVENS BETREFFENDE SERVICES

Oracle behandelt alle Persoonsgegevens betreffende Services overeenkomstig de bepalingen van Sectie I en III van dit beleid en uw serviceorder.

In geval van tegenstrijdigheid tussen de voorwaarden in dit Serviceprivacybeleid en eventuele privacyvoorwaarden in uw serviceorder, met inbegrip van een Oracle Data Processing Agreement, prevaleren de relevante privacyvoorwaarden van uw serviceorder.

1. Uitvoering van de Services

Oracle kan Persoonsgegevens betreffende Services verwerken voor de verwerkingsactiviteiten die nodig zijn om de Services uit te voeren, waaronder voor het testen en toepassen van nieuwe versies, patches, updates en upgrades van producten of systemen, en voor het oplossen van fouten en andere problemen die u hebt gemeld aan Oracle.

2. Klantinstructies

U bent de verwerkingsverantwoordelijke van de Persoonsgegevens betreffende Services die Oracle verwerkt om de Services uit te voeren. Oracle zal uw Persoonsgegevens betreffende Services verwerken zoals is vermeld in uw serviceorder en uw gedocumenteerde aanvullende schriftelijke instructies voor zover nodig is voor Oracle om (i) te voldoen aan zijn verplichtingen als verwerker krachtens toepasselijke wetgeving inzake gegevensbescherming of(ii) om u te helpen te voldoen aan uw verplichtingen als verwerkingsverantwoordelijke krachtens toepasselijke wetgeving inzake gegevensbescherming met betrekking tot uw gebruik van de Services. Oracle zal u zo snel mogelijk informeren als naar onze redelijke mening uw instructie in strijd is met de toepasselijke wetgeving inzake gegevensbescherming. Mogelijk gelden er extra kosten.

3. Rechten van personen

U beheert de inzage in uw Persoonsgegevens betreffende Services door uw eindgebruikers, en uw eindgebruikers moeten alle verzoeken die betrekking hebben op hun Persoonsgegevens betreffende Services aan u richten. Voor zover dergelijke inzage niet beschikbaar is, zal Oracle redelijke hulp bieden bij verzoeken van personen om inzage te krijgen in Persoonsgegevens betreffende Services op Oracle-systemen, dergelijke gegevens te verwijderen of wissen, beperken, corrigeren, ontvangen en verzenden, de toegang hiertoe te blokkeren of bezwaar te maken tegen de verwerking hiervan.

4. Beveiliging en vertrouwelijkheid

Oracle heeft technische en organisatorische maatregelen ingevoerd en zal deze handhaven, welke maatregelen zijn bedoeld voor het voorkomen van onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of onbevoegde inzage in Persoonsgegevens betreffende Services. Deze maatregelen zijn over het algemeen in lijn met de norm ISO/IEC 27001:2013, die geldt voor alle beveiligingsgebieden die van toepassing zijn op de Services, met inbegrip van fysieke toegang, toegang tot het systeem, toegang tot gegevens, overdracht, invoer, beveiligingstoezicht en handhaving.

Oracle-werknemers zijn verplicht persoonsgegevens vertrouwelijk te behandelen. Tot de verplichtingen van werknemers behoren schriftelijke vertrouwelijkheidsovereenkomsten, regelmatige training op het gebied van informatiebeveiliging en naleving van het bedrijfsbeleid op het gebied van de bescherming van vertrouwelijke informatie.

Raadpleeg aanvullende gegevens over de specifieke beveiligingsmaatregelen die van toepassing zijn op de Services; deze worden uiteengezet in de beveiligingspraktijken voor deze Services, met inbegrip van het bewaren en verwijderen van gegevens.

5. Incidentbeheer en melding van gegevensschending.

Oracle beoordeelt onverwijld incidenten waarbij een vermoeden op of aanwijzing van onbevoegde inzage in of verwerking van Persoonsgegevens betreffende Services bestaat en reageert hier onmiddellijk op.

Als Oracle een incident met betrekking tot Persoonsgegevens betreffende Services ontdekt en vaststelt dat dit incident een beveiligingsschending is die leidt tot misbruik of onopzettelijke of onwettige vernietiging, verlies, wijziging of ongeoorloofde openbaarmaking van of onbevoegde inzage in Persoonsgegevens betreffende Services die worden overgedragen, zijn opgeslagen of anderszins worden verwerkt op Oracle-systemen en waarbij de beveiliging, vertrouwelijkheid of integriteit van dergelijke Persoonsgegevens betreffende Services wordt geschonden, zal Oracle een dergelijke schending onverwijld aan u melden.

Wanneer informatie over de schending wordt verzameld of anderszins redelijkerwijs beschikbaar komt voor Oracle en voor zover wettelijk is toegestaan, zal Oracle u aanvullende relevante informatie verstrekken betreffende de schending die redelijkerwijs bekend is bij of beschikbaar voor Oracle.

6. Subverwerkers

Voor zover Oracle externe subverwerkers inschakelt die inzage hebben in Persoonsgegevens betreffende Services om te helpen bij het aanbieden van Services, zijn dergelijke subverwerkers onderworpen aan hetzelfde niveau van gegevensbescherming en -beveiliging als Oracle onder de voorwaarden van uw serviceorder. Oracle is verantwoordelijk voor het naleven van de voorwaarden van uw serviceorder door zijn subverwerkers’.

Oracle houdt lijsten bij van zijn gelieerde bedrijven en subverwerkers die mogelijk Persoonsgegevens betreffende Services verwerken. Aanvullende informatie is voor u beschikbaar via My Oracle Support (https://support.oracle.com), document-id 2121811.1, of via een andere toepasselijke primaire ondersteuningstool die beschikbaar is voor de Services.

7. Grensoverschrijdende gegevensoverdracht

Oracle is een wereldwijde onderneming met activiteiten in meer dan 80 landen en Persoonsgegevens van Services worden waar nodig wereldwijd verwerkt in overeenstemming met dit beleid. Als Persoonsgegevens van Services worden overgebracht naar een Oracle-ontvanger in een land dat geen adequaat niveau van bescherming van persoonsgegevens biedt, zal Oracle adequate maatregelen nemen om de Persoonsgegevens van Services te beschermen, zoals zorgen dat dergelijke overdrachten voldoen aan de voorwaarden van de Eu-modelclausules, of andere adequate overdrachtmechanismes zoals vereist op grond van relevante gegevensbescherming.

Indien de serviceovereenkomst tussen u en Oracle verwijst naar de Oracle Data Processing Agreement for Oracle Services ("DPA") [Oracle-gegevensverwerkingsovereenkomst voor Oracle-services], vindt u meer informatie over het relevante mechanisme voor gegevensoverdracht dat van toepassing is op uw aanvraag voor Oracle-services in de DPA. In het bijzonder voor Persoonsgegevens van Services die worden overgedragen vanuit de Europese Economische Ruimte ("EER"), Zwitserland of het Verenigd Koninkrijk ("VK"), zijn dergelijke overdrachten onderworpen aan de Binding Corporate Rules for Processors (BCR-P) [Bindende Bedrijfsregels voor Verwerkers] van Oracle of de voorwaarden van de EU-modelclausules.

8. Auditrechten

Voor zover is bepaald in uw serviceorder, kunt u op eigen kosten de naleving van het Serviceprivacybeleid door Oracle controleren door Oracle een schriftelijk verzoek te sturen, met inbegrip van een gedetailleerd auditplan, ten minste zes weken vóór de voorgestelde auditdatum. U en Oracle zullen samenwerken om overeenstemming te bereiken over een definitief auditplan.

De audit wordt gedurende een periode van twaalf maanden maximaal één keer uitgevoerd, tijdens normale werktijden, overeenkomstig de lokale beleidsregels en voorschriften van Oracle, en hierbij mogen de bedrijfsactiviteiten niet op onredelijke wijze worden verstoord. Indien u de audit wilt laten uitvoeren door een externe partij, moeten beide partijen het eens worden over de externe auditor en moet de externe auditor een schriftelijke vertrouwelijkheidsovereenkomst ondertekenen die voor Oracle aanvaardbaar is. Na voltooiing van de audit zult u aan Oracle een kopie van het auditreport verstrekken, dat wordt geclassificeerd als vertrouwelijke informatie onder de voorwaarden van uw overeenkomst met Oracle.

Oracle zal een bijdrage leveren aan dergelijke audits door u de informatie en hulp te bieden die redelijkerwijs nodig zijn om de audit te verrichten, met inbegrip van alle relevante verslagen van de verwerkingsactiviteiten die van toepassing zijn op de Services. Indien de reikwijdte van de gevraagde audit deel uitmaakt van een SOC 1-, SOC 2-, ISO-, NIST-, PCI DSS-, HIPAA-rapport of soortgelijk auditrapport dat is afgegeven door een gekwalificeerde externe auditor binnen de voorafgaande twaalf maanden en Oracle een dergelijk rapport aan u verstrekt waarin wordt bevestigd dat er geen grote afwijkingen zijn in de uitgevoerde audits, accepteert u de bevindingen in het rapport van de externe auditor in plaats van een audit met dezelfde controles uit te voeren als die in het rapport zijn beschreven. Mogelijk bevat uw serviceorder aanvullende auditvoorwaarden.

9. Persoonsgegevens betreffende Services verwijderen of retourneren

Tenzij anders is bepaald in een serviceorder of wettelijk is vereist, zal Oracle bij beëindiging van de services of op uw verzoek de productiegegevens van u als klant op Oracle-computers zodanig verwijderen dat deze redelijkerwijs niet ingezien of gelezen kunnen worden, tenzij Oracle wettelijk verplicht is de gegevens geheel of gedeeltelijk te bewaren. U kunt contact opnemen met uw Oracle-servicecontactpersoon voor meer informatie over het verwijderen van gegevens voordat de service wordt voltooid.

II. VERWERKINGSVOORWAARDEN VOOR OPERATIONELE SYSTEEMGEGEVENS

1. Verantwoordelijkheid en doelen voor de verwerking van persoonsgegevens

Oracle Corporation en zijn gelieerde entiteiten zijn verantwoordelijk voor de verwerking van persoonsgegevens die mogelijk incidenteel voorkomen in Operationele systeemgegevens, overeenkomstig Sectie II en III van dit beleid. Zie de lijst met Oracle-entiteiten. Selecteer een regio en land om het geregistreerde adres en de contactgegevens van de Oracle-entiteit of -entiteiten in elk land te bekijken.

We kunnen Operationele systeemgegevens verzamelen of genereren voor de volgende doeleinden:

• a) om onze Services veilig te houden, met inbegrip van beveiligingstoezicht en identiteitsbeheer;
• b) om potentiële fraude of illegale activiteiten met betrekking tot onze systemen en netwerken te onderzoeken en te voorkomen, met inbegrip van het voorkomen van cyberaanvallen en het detecteren van bots;
• c) om noodherstelplannen met back-ups en noodherstelbeleid te beheren;
• d) om de naleving van licenties en andere gebruiksvoorwaarden (bewaking van licentienaleving) te bevestigen;
• e) voor onderzoeks- en ontwikkelingsdoeleinden, met inbegrip van het analyseren, ontwikkelen, verbeteren en optimaliseren van onze Services;
• f) om te voldoen aan de toepasselijke wetten en voorschriften en om onze bedrijfsactiviteiten uit te voeren, waaronder het voldoen aan wettelijk verplichte rapportage, openbaarmaking of andere wettelijke verwerkingsverzoeken, voor fusies en overnames, en financierings-, boekhoudings-, archiverings- en verzekeringsdoeleinden, evenals juridisch en zakelijk advies, en in het kader van geschillenoplossing.

Voor persoonsgegevens die zijn opgenomen in Operationele systeemgegevens en die zijn verzameld in de EU, is onze wettelijke grondslag voor het verwerken van dergelijke informatie ons gerechtvaardigde belang bij het uitvoeren, onderhouden en beveiligen van onze producten en services en onze bedrijfsvoering op een efficiënte en passende manier. Persoonsgegevens kunnen ook worden verwerkt op basis van onze wettelijke verplichtingen of ons gerechtvaardigd belang om aan dergelijke wettelijke verplichtingen te voldoen.

2. Persoonsgegevens delen

Persoonsgegevens in de Operationele systeemgegevens worden mogelijk gedeeld met de wereldwijde organisatie van Oracle. Een lijst met Oracle-entiteiten is beschikbaar via bovenstaande koppeling.

We delen mogelijk persoonsgegevens met de volgende externe partijen:

• externe serviceproviders (bijvoorbeeld IT-serviceproviders, advocaten en auditors) zodat deze serviceproviders bedrijfsfuncties kunnen uitvoeren namens Oracle;
• relevante derde partijen bij een reorganisatie, fusie, verkoop, joint-venture, overdracht of andere wijze van afstand doen van alle of een deel van onze activiteiten, activa of aandelen (met inbegrip van een faillissement of soortgelijke procedure);
• indien wettelijk is vereist, bijvoorbeeld om te voldoen aan een dagvaarding of ander juridisch proces, wanneer we te goeder trouw van mening zijn dat het doorgeven van de gegevens noodzakelijk is om onze rechten te beschermen, uw veiligheid of de veiligheid van anderen te beschermen, onderzoek te doen naar fraude, of om te reageren op overheidsverzoeken, met inbegrip van overheidsinstanties en autoriteiten buiten het land waar u woont, voor de nationale veiligheid en/of wetshandhaving.

Wanneer derden inzage krijgen in persoonsgegevens in Operationele systeemgegevens, nemen we passende contractuele, technische en organisatorische maatregelen om ervoor te zorgen dat persoonsgegevens alleen worden verwerkt voor zover dergelijke verwerking noodzakelijk is en voldoet aan dit Privacybeleid en de toepasselijke wetgeving.

3. Grensoverschrijdende gegevensoverdracht

Als persoonsgegevens in Operationele systeemgegevens worden overgebracht naar een Oracle-ontvanger in een land dat geen adequaat niveau van bescherming van persoonsgegevens biedt, zal Oracle maatregelen nemen om gegevens over gebruikers te beschermen, zoals zorgen dat dergelijke overdrachten voldoen aan de voorwaarden van de EU-modelclausules.

4. Beveiliging

Oracle heeft passende technische, fysieke en organisatorische maatregelen genomen die in lijn zijn met de Oracle-beveiligingspraktijken teneinde persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging of onopzettelijk verlies, beschadiging of wijziging, onbevoegde openbaarmaking of inzage, alsmede alle andere vormen van onrechtmatige verwerking (met inbegrip van maar niet beperkt tot onnodige verzameling) of verdere verwerking.

5. Gebruikerskeuzes

Voor zover is toegestaan volgens de toepasselijke wetgeving, kunnen gebruikers in bepaalde gevallen een verzoek indienen tot inzage in persoonsgegevens in Operationele systeemgegevens en het corrigeren, bijwerken of verwijderen van dergelijke gegevens, of anderszins hun keuzes met betrekking tot hun persoonsgegevens uitvoeren door een verzoekformulier in te vullen.

III. BERICHTEN EN MELDINGEN AAN KLANTEN EN GEBRUIKERS

1. Wettelijke vereisten.

Oracle is mogelijk wettelijk verplicht inzage te bieden in Persoonsgegevens betreffende Services en in persoonsgegevens in Operationele systeemgegevens om te voldoen aan een dagvaarding of ander juridisch proces, wanneer we te goeder trouw van mening zijn dat het doorgeven van de gegevens noodzakelijk is om onze rechten te beschermen, uw veiligheid of de veiligheid van een gebruiker te beschermen, onderzoek te doen naar fraude, of om te reageren op overheidsverzoeken, met inbegrip van overheidsinstanties en autoriteiten buiten het land waar u of een gebruiker woont, voor de nationale veiligheid en/of wetshandhaving.

Oracle zal u onmiddellijk informeren over verzoeken om inzage in Persoonsgegevens betreffende Services te verlenen, tenzij wettelijk anders is vereist.

2. Global Data Protection Officer

Oracle heeft een Global Data Protection Officer aangesteld die ook Oracle's Chief Privacy Officer is. Als u of een gebruiker van mening is dat persoonsgegevens zijn gebruikt op een manier die niet in overeenstemming is met dit Privacybeleid, of als u of een gebruiker nog vragen, opmerkingen of suggesties heeft met betrekking tot de verwerking van Persoonsgegevens betreffende Services of persoonsgegevens in Operationele systeemgegevens door Oracle, neem dan contact op met de Data Protection Officer door een verzoekformulier in te vullen.

Schriftelijke verzoeken aan de Global Data Protection Officer kunt u richten aan:

Oracle Corporation
Global Data Protection Officer
Willis Tower
233 South Wacker Drive
45th Floor
Chicago, IL 60606
Verenigde Staten

Voor persoonsgegevens die BINNEN de EU/EER worden verzameld, kunnen schriftelijke vragen aan de EU Data Protection Officer worden gericht via:

Robert Niedermeier
Hauptstraße 4
D-85579 Neubiberg/München
Duitsland

Voor persoonsgegevens die BINNEN Brazilië worden verzameld, kunnen schriftelijke vragen aan de Brazilian Data Protection Officer worden gericht via:

Alexandre Sarte
Rua Dr. Jose Aureo Bustamante, 455
Vila São Francisco
São Paulo, Brazilië

3. Geschillen oplossen of een klacht indienen

Neem in eerste instantie contact met ons op als u of een gebruiker een klacht heeft met betrekking tot onze naleving van ons Privacybeleid. We zullen eventuele klachten en geschillen over onze privacypraktijken onderzoeken en proberen op te lossen.

Als gebruikers een niet-opgeloste klacht met betrekking tot privacy of gegevensgebruik hebben die niet naar tevredenheid is afgehandeld, kunnen ze (gratis) contact opnemen met onze externe bemiddelaar voor geschillenoplossing in de VS via https://feedback-form.truste.com/watchdog/request.

Onder bepaalde voorwaarden kunnen Gebruikers bindende arbitrage instellen wanneer andere procedures voor geschillenbeslechting zijn uitgeput. Gebruikers hebben ook het recht om een klacht in te dienen bij een bevoegde autoriteit voor gegevensbescherming als ze ingezetene zijn van een lidstaat van de Europese Unie.

4. Wijzigingen in dit Privacybeleid voor services

Dit Privacybeleid is voor het laatst bijgewerkt op vrijdag 9 april 2021. Het Privacybeleid voor services kan echter na verloop van tijd worden gewijzigd, bijvoorbeeld om te voldoen aan wettelijke vereisten of aan veranderende bedrijfsbehoeften. De meest recente versie is te vinden op deze website. In geval van significante wijzigingen zullen we u ook op een andere geschikte manier informeren (bijvoorbeeld via een pop-upmelding of een kennisgeving van wijzigingen op onze website) voordat de wijzigingen van kracht worden.

Vorige versies: 19-1-2021 | 20-10-2020 | 7-3-2019 | 14-05-2019