Algemene Gebruiksvoorwaarden van het Tuduu-platform (Professionele Gebruikers)

Laatst bijgewerkt: 10 juli 2025

1. Doel en Acceptatie van de Voorwaarden

1.1 Toepassingsgebied. Dit document stelt de algemene gebruiksvoorwaarden vast (hierna de 2oorwaarden2) voor het online platform genaamd 2uduu2 (hierna het 2latform2), ontwikkeld en geleverd door Drilldown S.r.l., met statutaire zetel aan Viale Isonzo 8, 20135 Milaan (MI), Italië, BTW/C.F. 12392590969 (hierna 2rilldown2). Deze Voorwaarden zijn van toepassing op alle Professionele Gebruikers die zich registreren op het Platform en de diensten ervan gebruiken. Onder Professionele Gebruikers worden onder andere verstaan: voedingsprofessionals (bijv. voedingsdeskundigen, diëtisten) die de secties 2icetten2 en 2utrition2 gebruiken; contentmakers en contentproviders (voornamelijk gebruikers van de sectie 2icetten2); en e-commerce operators (gebruikers van de secties 2hop2 en 2icetten2).

1.2 Acceptatie. Toegang, registratie en elk gebruik van het Platform door de Gebruiker veronderstellen de volledige lezing en uitdrukkelijke aanvaarding van deze Voorwaarden, evenals van eventuele daaraan gekoppelde documenten (zoals het Privacybeleid en de Overeenkomst inzake gegevensverwerking, indien van toepassing). Zonder acceptatie is het gebruik van het Platform niet toegestaan. De Gebruiker verklaart kennis te hebben genomen van de Voorwaarden en zich te allen tijde eraan te zullen houden.

1.3 Gebruikersvereisten. Het Platform is bestemd voor meerderjarige Professionele Gebruikers met rechtsbekwaamheid. Door zich te registreren garandeert de Gebruiker dat hij minstens 18 jaar oud is (of de wettelijke meerderjarigheidsleeftijd in zijn land) en, indien hij handelt namens een bedrijf of entiteit, over de benodigde vertegenwoordigingsbevoegdheid beschikt. Drilldown behoudt zich het recht voor om aanvullende informatie of documentatie te vragen om de professionele status van de Gebruiker te verifi5Bren (bijvoorbeeld inschrijving bij een beroepsregister voor voedingsdeskundigen, indien wettelijk vereist).

2. Registratie en Account

2.1 Registratieprocedure. Registratie op het Platform kan plaatsvinden (i) via het online inschrijfformulier op de website van het Platform, waarin de Gebruiker de gevraagde gegevens verstrekt, of (ii) via een directe uitnodiging van Drilldown (bijvoorbeeld in het kader van samenwerkingen, pilotprogramma's of affiliaties). In beide gevallen wordt na voltooiing van de registratie een persoonlijk account (hierna 2ccount2) voor de Gebruiker aangemaakt.

2.2 Geleverde gegevens en inloggegevens. De Gebruiker verbindt zich ertoe tijdens de registratie accurate, volledige en waarheidsgetrouwe informatie te verstrekken (bijv. naam, achternaam, e-mailadres, professionele gegevens, enz.) en deze up-to-date te houden. De inloggegevens voor het Account (gebruikersnaam en wachtwoord) zijn persoonlijk en niet overdraagbaar. De Gebruiker dient zijn inloggegevens strikt vertrouwelijk te bewaren en niet met derden te delen. Bij verlies, diefstal of vermoeden van ongeautoriseerd gebruik van het Account dient de Gebruiker Drilldown onmiddellijk te informeren, die de nodige maatregelen kan nemen (bijv. tijdelijke opschorting van het Account).

2.3 Uniciteit van het Account. Elke Gebruiker mag slechts 5E59n Account aanmaken, tenzij schriftelijke toestemming van Drilldown is verkregen voor specifieke behoeften (bijv. aparte accounts voor verschillende medewerkers van dezelfde organisatie). Drilldown behoudt zich het recht voor om dubbele accounts van dezelfde Gebruiker te verwijderen of samen te voegen.

2.4 Beheer en opschorting van het Account. De Gebruiker is verantwoordelijk voor alle activiteiten die via zijn Account worden uitgevoerd. Drilldown behoudt zich het recht voor om een registratie of Account te weigeren, opschorten of verwijderen, te allen tijde en zonder voorafgaande kennisgeving, indien wordt geconstateerd dat er sprake is van schending van deze Voorwaarden, oneigenlijk gebruik van het Platform, of om veiligheidsredenen. Bij verwijdering van het Account door Drilldown wegens schending van de Voorwaarden heeft de Gebruiker geen recht op terugbetaling van reeds betaalde vergoedingen voor niet-gebruikte serviceperiodes, behoudens anders bepaald door de toepasselijke wet.

3. Diensten en Functionaliteiten van het Platform

3.1 Sectie 2icetten2. Het Platform biedt een sectie 2icetten2 waar Gebruikers culinaire recepten kunnen creëren, uploaden en beheren. Deze sectie is toegankelijk voor alle geregistreerde Professionele Gebruikers, in het bijzonder: (i) voedingsprofessionals die recepten kunnen maken om op te nemen in voedingsplannen voor hun cliënten of om te delen met andere gebruikers; (ii) creators en contentproviders die originele recepten kunnen publiceren met teksten, ingrediënten, instructies en afbeeldingen, en deze beschikbaar stellen op het Platform; (iii) e-commerce operators die producten uit hun online winkel kunnen koppelen als ingrediënten van recepten, waardoor deze recepten een promotie- en verkoopinstrument voor voedingsproducten worden. De sectie Recepten maakt het mogelijk om voedings- en dieetfilters toe te passen (bijv. vegetarische, veganistische, glutenvrije recepten) om het zoeken naar geschikte gerechten te vergemakkelijken. Geüploade recepten worden door het Platform verwerkt met algoritmen die de ingrediënten analyseren en automatisch de voedingswaarden (bijv. calorie59n, macronutri5Bnten, enz.) per portie berekenen, evenals de compatibiliteit met bepaalde dieetregimes op basis van de opgegeven ingrediënten.

3.2 Sectie 2hop2. De sectie 2hop2 is bestemd voor Professionele Gebruikers die e-commerce en/of retail operators zijn, evenals actief in de voedings- of voedingskundige sector. In deze sectie kan de Gebruiker zijn catalogus van voedingsproducten of ingrediënten integreren met het Tuduu Platform. Met name kan de e-commerce operator producten uit zijn online shop koppelen aan recepten op Tuduu: dit maakt het mogelijk dat een ingredi5Bnt in een recept overeenkomt met een product dat in de shop van de operator gekocht kan worden. Eindgebruikers van het Platform (bijv. bezoekers of klanten van de operator) kunnen deze ingrediënten/producten met 5E59n klik direct aan hun winkelwagen toevoegen, wat een 2koopbaar recept2 ervaring creëert. Het Platform biedt ook automatische SEO-functionaliteiten (Search Engine Optimization) voor recepten die met de shop zijn geïntegreerd, om de online zichtbaarheid te vergroten. Ook voor producten gekoppeld aan de Shop kan het Platform voedingsanalyse- en categorisatie-algoritmen toepassen: bijvoorbeeld door voedingskenmerken of de aanwezigheid/afwezigheid van allergenen te identificeren en automatisch filters te genereren (bijv. 2actosevrij2, 2iologisch2, enz.) die gebruikers helpen producten te vinden die aansluiten bij hun dieetwensen.

3.3 Sectie 2utrition2. De sectie 2utrition2 is voornamelijk gericht op voedingsprofessionals (voedingsdeskundigen, diëtisten of andere bevoegde personen). In dit deel van het Platform kan de professional informatie en voedingsplannen voor zijn cliënten/pati5Bnten beheren. De functionaliteiten van de sectie Nutrition omvatten tools om voedingsplannen, di5Bten of voedingsrapporten te creëren en aan te passen. De professional kan recepten (eigen of beschikbare op het Platform) binnen de voedingsplannen gebruiken, met de mogelijkheid om porties aan te passen en de voedingsimpact in realtime te zien dankzij geïntegreerde voedingsalgoritmen. Daarnaast biedt de sectie Nutrition de mogelijkheid om PDF-documenten te genereren (bijv. dieetkaarten of rapporten voor de cliënt) en een speciale mobiele app te gebruiken: deze app stelt de eindklant in staat zijn voedingsplan, aanbevolen recepten en andere door de professional gedeelde informatie direct op zijn smartphone te bekijken. Dit bevordert continue monitoring en directe interactie tussen professional en klant via het Platform.

3.4 Voedingsanalyse-algoritmen. In alle bovengenoemde secties gebruikt het Tuduu Platform geavanceerde algoritmen voor de voedingsanalyse van recepten en producten. Deze algoritmen verwerken door Gebruikers verstrekte gegevens (ingrediënten van recepten, voedingsinformatie van producten, porties, enz.) en genereren automatisch output zoals: berekening van voedingswaarden (bijv. energie, macro- en micronutri5Bnten), aanwijzingen over allergenen of specifieke stoffen, en suggesties over de geschiktheid van recepten/producten voor bepaalde di5Bten (bijv. of een recept geschikt is voor een veganistisch of glutenvrij dieet). De algoritmen zijn bedoeld om nuttige en accurate informatie te bieden; zij werken echter op basis van beschikbare gegevens en algemene regels, zonder directe menselijke tussenkomst. Daarom kunnen de gegenereerde outputs niet altijd perfect nauwkeurig of passend zijn voor elke situatie. Het is de verantwoordelijkheid van de Gebruiker (vooral van de voedingsprofessional) om de juistheid van de voedingsinformatie en de algoritmisch verstrekte suggesties te controleren voordat deze worden gebruikt of aan cliënten worden doorgegeven. De wijze waarop Gebruikers eventuele fouten of inconsistenties moeten afhandelen, wordt beschreven in de volgende secties van deze Voorwaarden.

4. Verplichtingen en Verantwoordelijkheden van de Gebruiker

4.1 Correct en wettig gebruik. De Gebruiker verbindt zich ertoe het Platform en de gerelateerde diensten te gebruiken in overeenstemming met deze Voorwaarden, eventuele instructies van Drilldown, en de toepasselijke wet- en regelgeving. Het is de Gebruiker verboden het Platform te gebruiken voor illegale of niet-geautoriseerde doeleinden. In het bijzonder mag de Gebruiker niet: (i) het Platform gebruiken op een wijze die inbreuk maakt op rechten van derden of wettelijke regels (bijv. intellectuele eigendomsrechten, bescherming van persoonsgegevens, eerlijke concurrentie, enz.); (ii) schadelijke, aanstootgevende, lasterlijke, obscene of anderszins ongepaste inhoud of materialen invoeren; (iii) zonder toestemming toegang proberen te krijgen tot functionaliteiten van het Platform, accounts van anderen of IT-systemen van Drilldown, noch de veiligheid of integriteit van het Platform compromitteren (bijv. door het introduceren van virussen, malware of andere verstorende activiteiten).

4.2 Controle van algoritmische output. Zoals beschreven in paragraaf 3.4 genereert het Platform automatisch voedingsinformatie en suggesties via algoritmen. De Gebruiker erkent dat deze informatie indicatief is en kritisch moet worden beoordeeld. Het is de plicht van de Gebruiker, vooral als voedingsprofessional, de juistheid en consistentie van de algoritmische output (bijv. berekende voedingswaarden voor een recept, toegewezen voedings- of dieetlabels voor een product) te controleren voordat deze professioneel worden gebruikt of met cliënten of het publiek worden gedeeld. Indien de Gebruiker fouten, inconsistenties of afwijkingen in de door het Platform gegenereerde gegevens constateert, verbindt hij zich deze tijdig te melden aan Drilldown via de beschikbare ondersteunings- of contactmiddelen. De Gebruiker is zich ervan bewust dat het niet naleven van deze controleplicht kan leiden tot verspreiding van onjuiste informatie waarvoor hij zelf aansprakelijk is.

4.3 Inhoud van de Gebruiker 2 Licenties en garanties. Alle inhoud die door de Gebruiker op het Platform wordt geüpload, gepubliceerd of anderszins geplaatst (inclusief, maar niet beperkt tot: teksten, recepten, ingrediënten, foto59n, video59n, merken, logo's, productbeschrijvingen) moet rechtmatig in het bezit zijn van de Gebruiker. De Gebruiker garandeert dat hij over de benodigde rechten (intellectuele eigendom en/of gebruiksrechten) beschikt op deze inhoud, of dat hij de juiste toestemming heeft verkregen van de rechthebbenden, zodat het gebruik van de inhoud op het Platform en door Drilldown onder deze Voorwaarden geen inbreuk maakt op rechten van derden. Door inhoud op het Platform te plaatsen verleent de Gebruiker Drilldown een niet-exclusief, sublicentieerbaar en gratis recht en licentie om deze inhoud te gebruiken, reproduceren, wijzigen, publiceren, vertalen, distribueren, weergeven en uitvoeren uitsluitend in verband met het leveren van de diensten van het Platform en de promotionele activiteiten daarvan. Deze licentie eindigt zodra de Gebruiker de inhoud verwijdert uit zijn Account of van het Platform, behoudens gevallen waarin bewaring wettelijk verplicht is of ter bescherming van rechten. De Gebruiker garandeert tevens dat de geleverde inhoud accuraat en waarheidsgetrouw is (bijv. dat voedingsinformatie of ingrediënten van een recept correct zijn) en niet in strijd is met wet- of regelgeving (bijv. geen misleidende of niet-toegestane claims op voedingsgebied). De Gebruiker is volledig verantwoordelijk voor de inhoud die hij op het Platform plaatst en vrijwaart Drilldown tegen alle aanspraken van derden die voortvloeien uit deze inhoud (zie ook de vrijwaringsclausule in par. 9.4). Drilldown behoudt zich het recht voor om elke inhoud van de Gebruiker die naar eigen oordeel in strijd is met deze Voorwaarden of rechten van derden, of ongepast is, te verwijderen of te verbergen.

4.4 Specifieke verplichtingen voor e-commerce operators. De Gebruiker die de sectie Shop gebruikt als e-commerce operator is als enige verantwoordelijk voor de producten die hij beschikbaar stelt en voor de commerciële transacties die via het Platform worden afgesloten. Dit omvat onder meer, maar niet uitsluitend: de naleving van de geldende regelgeving voor voedingsproducten (bijv. voedselveiligheid, etikettering, toegestane voedings- en gezondheidsclaims); de juistheid en volledigheid van productbeschrijvingen (ingrediënten, allergenen, voedingskenmerken, prijs, enz.); de afhandeling van bestellingen van eindgebruikers, verzending, levering, facturatie, alsmede klantenservice, retouren en terugbetalingen volgens de toepasselijke wet (bijv. het consumentenrecht, indien van toepassing op de eindklant). Drilldown levert uitsluitend de technologische infrastructuur van het Platform om de ontmoeting tussen e-commerce operator en eindgebruikers te faciliteren: Drilldown is, behoudens tussenkomst van derden, geen contractpartij bij de verkoop van producten tussen de e-commerce Gebruiker en eindklanten, noch neemt het garantieaansprakelijkheid voor de door deze Gebruikers verkochte producten op zich. De e-commerce operator zal Drilldown volledig vrijwaren van enige aansprakelijkheid of kosten voortvloeiend uit claims, geschillen, schade of schendingen met betrekking tot de door hem aangeboden producten of de via het Platform uitgevoerde transacties.

4.5 Naleving van beroepsregels. Indien de Gebruiker een professional is die onderworpen is aan ethische regels of specifieke wettelijke vereisten (bijv. een voedingsdeskundige ingeschreven bij een beroepsorganisatie), dient hij het Platform te gebruiken in overeenstemming met de verplichtingen voortvloeiend uit zijn professionele status. Bijvoorbeeld, de voedingsprofessional moet ervoor zorgen dat het gebruik van de tools van het Platform (zoals het opstellen van di5Bten of voedingsadviezen) gebeurt in overeenstemming met de richtlijnen en regelgeving die voor zijn beroep gelden. Niets in deze Voorwaarden ontslaat de Gebruiker van de naleving van deze professionele verplichtingen.

5. Abonnementsplannen en Betalingen

5.1 Betaalde diensten en SaaS-abonnementen. Toegang tot bepaalde functionaliteiten of secties van het Platform (bijv. geavanceerd gebruik van de sectie Recepten voor e-commerce, of geavanceerde tools in de sectie Nutrition) kan afhankelijk zijn van het afsluiten van een betaald SaaS (Software-as-a-Service) abonnement. Drilldown kan verschillende plannen aanbieden met verschillende serviceniveaus (bijv. plannen met een maximaal aantal beheersbare recepten, extra functionaliteiten zoals 2koopbare2 recepten, verwijdering van Tuduu-watermerken, prioritaire ondersteuning, enz.), zoals beschreven op het Platform of in commerciële documentatie van Drilldown. Sommige plannen kunnen een gratis proefperiode bevatten, waarna het abonnement betaald wordt tenzij de Gebruiker tijdig opzegt.

5.2 Vergoedingen en betalingsmethoden. De prijzen van de verschillende abonnementsopties (hierna 2ergoedingen2) worden op het Platform vermeld of door Drilldown aan de Gebruiker meegedeeld bij het afsluiten. De Vergoedingen zijn doorgaans exclusief BTW en eventuele toepasselijke belastingen, die worden toegevoegd indien verschuldigd volgens de geldende fiscale wetgeving. Betaling van de Vergoedingen vindt plaats via externe elektronische betaalsystemen, zoals bijvoorbeeld Stripe. Bij het afsluiten kan de Gebruiker worden gevraagd betaalgegevens van een creditcard of andere ondersteunde betaalmethode in te voeren, en geeft de Gebruiker Drilldown (of de derde partij Stripe) toestemming om de verschuldigde Vergoeding automatisch af te schrijven volgens de gekozen abonnementsperiode (bijv. maandelijks of jaarlijks). Alle transacties zijn onderworpen aan de voorwaarden van de betalingsprovider Stripe; Drilldown slaat geen volledige creditcardgegevens van de Gebruiker op, deze worden veilig beheerd door Stripe.

5.3 Prijswijzigingen. Drilldown behoudt zich het recht voor om de prijzen van abonnementsplannen te allen tijde te wijzigen. Eventuele prijswijzigingen worden van kracht vanaf de eerstvolgende factureringsperiode na kennisgeving aan de Gebruiker. Drilldown zal de Gebruiker tijdig informeren (bijv. per e-mail of via een melding op het Platform) over prijswijzigingen. Indien de Gebruiker de nieuwe prijs niet accepteert, kan hij het abonnement opzeggen voordat de wijziging ingaat; voortgezet gebruik na de ingangsdatum van de wijziging geldt als acceptatie van de nieuwe prijs.

5.4 Duur van het abonnement en annulering. Tenzij anders aangegeven, worden abonnementen automatisch verlengd: aan het einde van elke periode (maandelijks, jaarlijks, enz.) wordt het abonnement automatisch verlengd voor eenzelfde periode, tenzij de Gebruiker opzegt of Drilldown het abonnement beëindigt binnen de hieronder aangegeven termijnen. De Gebruiker kan het abonnement te allen tijde opzeggen via de daarvoor bestemde functie op het Platform (bijv. in de Accountinstellingen) of door contact op te nemen met de ondersteuning van Drilldown. De annulering wordt van kracht aan het einde van de reeds betaalde abonnementsperiode: tot die tijd behoudt de Gebruiker toegang tot de betaalde functionaliteiten, en er worden geen terugbetalingen verleend voor niet-gebruikte perioden. Bij niet-betaling van de Vergoeding (bijv. vanwege een ongeldige creditcard of onvoldoende saldo) of schending van deze Voorwaarden door de Gebruiker, kan Drilldown het abonnement opschorten of beëindigen; in dat geval blijft de Gebruiker verplicht tot betaling van de bedragen tot de datum van beëindiging, onverminderd het recht van Drilldown op schadevergoeding bij wanprestatie van de Gebruiker.

6. Aangepaste Contracten

Indien Drilldown en de Gebruiker een specifieke schriftelijke overeenkomst hebben gesloten met bijzondere voorwaarden voor het gebruik van het Platform (bijv. een aangepast servicecontract, een bedrijfs- of partnerconvenant), of voor de publicatie van inhoud (recepten en producten) op externe kanalen zoals de marktplaats Tuduu.it of andere gedeelde kanalen, zijn de bepalingen van die specifieke overeenkomst aanvullend op deze Voorwaarden van toepassing. In geval van tegenstrijdigheid tussen de clausules van het aangepaste contract en deze Algemene Voorwaarden, prevaleren de clausules van het aangepaste contract voor zover zij conflicteren. Voor alles wat niet uitdrukkelijk in de specifieke overeenkomst is geregeld, blijven deze Algemene Voorwaarden van toepassing.

7. Intellectuele Eigendomsrechten

7.1 Platform en inhoud van Drilldown. Het Platform (inclusief software, broncode, ontwerp, gebruikersinterface, databases, merken 2uduu2 en 2rilldown2, logo's, domeinnamen en alle andere inhoud en materialen op de website en app, met uitzondering van de Inhoud van de Gebruiker zoals hierboven gedefinieerd) is exclusief eigendom van Drilldown of haar licentiegevers. Deze elementen worden beschermd door auteursrechten, merken, patenten, industrieel ontwerp en/of andere intellectuele eigendomswetten. De Gebruiker verbindt zich geen delen van het Platform of de eigendomsinhoud te kopiëren, wijzigen, distribueren, verkopen of afgeleide werken te creëren, behalve zoals uitdrukkelijk toegestaan door Drilldown of de wet. Toegang tot het Platform impliceert geen overdracht van intellectuele eigendomsrechten aan de Gebruiker, maar slechts een beperkte, herroepbare en niet-exclusieve gebruikslicentie voor het gebruik van het Platform in overeenstemming met deze Voorwaarden.

7.2 Inhoud van de Gebruiker. De Gebruiker behoudt alle rechten op zijn eigen inhoud die hij op het Platform plaatst (zoals beschreven in paragraaf 4.3). Conform de clausule 4.3 verleent de Gebruiker Drilldown echter een gebruikslicentie voor deze inhoud voor de doeleinden en met de beperkingen zoals beschreven. De Gebruiker erkent dat deze inhoud zichtbaar kan zijn voor andere gebruikers of, in het geval van openbare recepten of informatie, ook voor niet-geregistreerde bezoekers, en machtigt Drilldown om publicatie-, deel- of indexeringsactiviteiten uit te voeren om zichtbaarheid van deze inhoud te waarborgen binnen de functionaliteiten van het Platform.

7.3 Feedback en suggesties. Indien de Gebruiker aan Drilldown opmerkingen, suggesties of ideeën verstrekt met betrekking tot het Platform of de diensten (bijv. melding van nieuwe functionaliteiten of verbeteringen), worden deze bijdragen niet als vertrouwelijk beschouwd. Drilldown is vrij deze feedback voor elk doel te gebruiken, zonder dat de Gebruiker aanspraak maakt op enige vergoeding of erkenning, en zonder dat dit leidt tot overdracht van rechten aan de Gebruiker op eventuele aangebrachte wijzigingen of verbeteringen.

1. Privacy en gegevensbescherming

8.1 Verwerking van persoonsgegevens. Drilldown verwerkt persoonsgegevens die door de Gebruiker worden verstrekt of anderszins worden verzameld tijdens het gebruik van het Platform in overeenstemming met Verordening (EU) 2016/679 ("GDPR") en de toepasselijke Italiaanse privacywetgeving. Informatie over de wijze en doeleinden van de verwerking van persoonsgegevens is opgenomen in de Privacyverklaring die aan de Gebruiker wordt verstrekt en beschikbaar is op de website van het Platform. Door deze Voorwaarden te accepteren verklaart de Gebruiker kennis te hebben genomen van deze verklaring.

8.2 Gegevens van derden ingevoerd door de Gebruiker. Indien de Gebruiker (bijv. een voedingsprofessional) persoonsgegevens van derden invoert op het Platform, zoals informatie over zijn cliënten of patiënten (bijv. naam, contactgegevens, gezondheids- of dieetgegevens), garandeert hij dat deze gegevens rechtmatig zijn verkregen en, indien nodig, dat hij de geïnformeerde toestemming van de betrokkenen heeft verkregen voor het gebruik van deze gegevens binnen het Platform. In dit kader kwalificeert de Gebruiker zich als Verwerkingsverantwoordelijke en Drilldown als Verwerker in de zin van artikel 28 GDPR, beperkt tot de opslag- en verwerkingsactiviteiten die nodig zijn voor het leveren van de diensten van het Platform. Hiertoe kan een specifieke Verwerkersovereenkomst worden opgesteld die de respectieve verplichtingen inzake gegevensbescherming regelt; deze overeenkomst maakt, indien van toepassing, integraal deel uit van deze Voorwaarden.

8.3 Gebruik- en geaggregeerde gegevens. Drilldown is gemachtigd om gegevens over het gebruik van het Platform door Gebruikers te verzamelen en te verwerken (bijv. gebruikte functionaliteiten, aantal aangemaakte recepten, zoekparameters, browse-statistieken, gegeven feedback, enz.) met het doel de dienst te verbeteren en de correcte werking van het Platform te waarborgen. Deze gebruiksgegevens kunnen worden geanonimiseerd en geaggregeerd, zodat directe of indirecte identificatie van Gebruikers of natuurlijke personen niet meer mogelijk is. De Gebruiker erkent en stemt uitdrukkelijk toe dat Drilldown deze anonieme en geaggregeerde gegevens mag gebruiken voor statistische analyse, onderzoek en ontwikkeling, en ook voor commerciële en monetisatie doeleinden. Dit kan onder meer het publiceren van rapporten of inzichten over voedings- en gebruikstrends omvatten, of het delen van statistische gegevens met derden (bijv. commerciële partners) in strikt anonieme vorm. In geen geval zullen deze activiteiten leiden tot het verstrekken van identificeerbare persoonsgegevens van de Gebruiker aan derden zonder diens toestemming of zonder een andere geldige wettelijke grondslag.

9. Uitsluiting van garanties en beperking van aansprakelijkheid

9.1 Functionaliteit van het Platform - 2zoals gezien2. Het Tuduu Platform en alle diensten en functionaliteiten worden aan de Gebruiker geleverd op basis van 2as is2 en 2as available2. Dit betekent dat, hoewel Drilldown zich inspant om het Platform operationeel en up-to-date te houden, geen specifieke garanties worden gegeven over het ontbreken van fouten of onderbrekingen. Drilldown garandeert niet dat: (i) het Platform volledig voldoet aan de specifieke behoeften van de Gebruiker; (ii) de resultaten verkregen via het gebruik van het Platform (inclusief algoritmische voedingsanalyses) altijd nauwkeurig, accuraat of betrouwbaar zijn; (iii) de werking van het Platform zonder onderbrekingen, vertragingen, storingen of fouten verloopt; (iv) eventuele softwarefouten of bugs onmiddellijk worden verholpen. De Gebruiker accepteert dat het gebruik van het Platform op eigen risico is.

9.2 Beperking van aansprakelijkheid van Drilldown. Voor zover toegestaan door de toepasselijke wetgeving is Drilldown niet aansprakelijk voor indirecte, incidentele, gevolg-, speciale of bestraffende schade geleden door de Gebruiker of derden in verband met het gebruik van het Platform of de onmogelijkheid om het te gebruiken. Schade zoals winstderving, gemiste besparingen, gemiste zakelijke kansen, gegevensverlies, bedrijfsstilstand of claims van derden tegen de Gebruiker zijn in elk geval uitgesloten van vergoeding binnen de genoemde limieten. Indien Drilldown om welke reden dan ook aansprakelijk wordt gesteld in het kader van de contractuele relatie met de Gebruiker, zal de totale aansprakelijkheid van Drilldown niet hoger zijn dan het bedrag dat de Gebruiker in de 12 maanden voorafgaand aan het voorval aan Drilldown heeft betaald (of, indien het gebruik van het Platform gratis is, een maximum van 100 euro). Deze aansprakelijkheidsbeperking geldt voor zover wettelijk toegestaan en laat aansprakelijkheid van Drilldown voor opzet, grove nalatigheid of andere gevallen waarin beperking wettelijk niet is toegestaan, onverlet.

9.3 Geen medisch of diagnostisch advies. De Gebruiker erkent dat het Platform en de geboden functionaliteiten geen medisch hulpmiddel zijn en op geen enkele wijze een medisch advies, diagnose of gepersonaliseerde behandeling vormen. De via Tuduu gegenereerde voedingsinformatie, gegevens en suggesties zijn uitsluitend bedoeld voor informatieve en professionele ondersteuning en vervangen nooit het medisch advies of de beoordeling door een bevoegde zorgprofessional. Elke beslissing over gezondheid, dieet of behandeling moet worden genomen door een competente professional op basis van een directe beoordeling van het specifieke geval. Indien de Gebruiker een voedingsprofessional is, blijft hij volledig verantwoordelijk voor het advies aan zijn cliënten/pati5Bnten: het gebruik van het Platform ontslaat de Gebruiker niet van zijn persoonlijke beoordeling en naleving van professionele best practices. Indien de Gebruiker geen zorgverlener is, dient hij altijd artsen of gekwalificeerde specialisten te raadplegen voor diagnoses of therapeutisch advies. Drilldown garandeert geen gezondheidsresultaten of fysieke condities voortvloeiend uit het gebruik van het Platform, noch is het aansprakelijk voor gevolgen van exclusief vertrouwen op informatie verkregen via het Platform.

9.4 Vrijwaring door de Gebruiker. De Gebruiker verbindt zich Drilldown, alsmede haar vertegenwoordigers, werknemers en medewerkers, te vrijwaren en schadeloos te stellen voor elk verlies, schade, aansprakelijkheid, kosten of uitgaven (inclusief redelijke juridische kosten) voortvloeiend uit enige claim of vordering van derden veroorzaakt door of gerelateerd aan: (i) inhoud die door de Gebruiker op het Platform is geplaatst en die rechten van derden of wettelijke regels schendt; (ii) schending door de Gebruiker van deze Voorwaarden of wettelijke verplichtingen bij het gebruik van het Platform; (iii) nalatigheid, onvoorzichtigheid of opzet van de Gebruiker bij het gebruik van het Platform; (iv) producten die door de Gebruiker via het Platform worden verkocht of verhandeld (in het geval van e-commerce operator), inclusief geschillen over kwaliteit, conformiteit of veiligheid van deze producten. Drilldown zal de Gebruiker tijdig informeren over dergelijke claims en redelijk samenwerken in de verdediging, met het recht voor Drilldown om zelfstandig haar juridische verdediging te bepalen.

10. Duur, opschorting en beëindiging

10.1 Duur van het contract. Deze contractuele overeenkomst tussen de Gebruiker en Drilldown gaat in op het moment van acceptatie van de Voorwaarden door de Gebruiker (registratie en/of eerste gebruik van het Platform) en blijft geldig zolang de Gebruiker het Platform gebruikt. Het account en eventuele abonnement van de Gebruiker zijn voor onbepaalde tijd met automatische periodieke verlengingen zoals hierboven beschreven, tenzij beëindigd zoals hieronder bepaald.

10.2 Opzegging door de Gebruiker. De Gebruiker kan te allen tijde deze contractuele relatie beëindigen door zijn Account te verwijderen en het gebruik van het Platform te staken. Verwijdering van het Account kan via de daarvoor bestemde functie op het Platform (indien beschikbaar) of door schriftelijk contact op te nemen met Drilldown. Bij vrijwillige opzegging heeft de Gebruiker geen recht op terugbetaling van reeds betaalde vergoedingen voor niet volledig genoten diensten, behoudens hetgeen is bepaald in paragraaf 5.4 voor lopende abonnementen. Sluiting van het Account leidt tot toekomstige ontoegankelijkheid van gegevens en inhoud die door de Gebruiker op het Platform zijn ingevoerd, behoudens wettelijke bewaarplichten of bescherming van rechten zoals vermeld in het Privacybeleid.

10.3 Opschorting of beëindiging door Drilldown. Drilldown behoudt zich het recht voor om de toegang van de Gebruiker tot het Platform tijdelijk op te schorten of deze overeenkomst met onmiddellijke ingang te beëindigen (door het Account uit te schakelen) in de volgende gevallen: (i) indien dit noodzakelijk is om de veiligheid van het Platform of de gegevens te waarborgen (bijv. bij een beveiligingsinbreuk of dreiging); (ii) bij ernstige of herhaalde schending door de Gebruiker van deze Voorwaarden (bijv. oneigenlijk gebruik van het Platform, niet-betaling van verschuldigde vergoedingen, ongeautoriseerde openbaarmaking van vertrouwelijke gegevens, enz.); (iii) indien vereist door een overheidsmaatregel of wettelijke bepaling; (iv) bij beëindiging van de activiteiten van Drilldown met betrekking tot het Platform of onvoorziene onmogelijkheid om de diensten te leveren. Tenzij wettelijk of door overheidsmaatregelen verboden (bijv. onmiddellijke afschermingsbevelen), zal Drilldown de Gebruiker schriftelijk informeren over de opschorting of beëindiging, met vermelding van de redenen, met een redelijke termijn vooraf indien mogelijk. Bij beëindiging zonder toerekenbare schuld van de Gebruiker (bijv. geval (iv) hierboven) zal Drilldown, indien van toepassing, de Gebruiker terugbetalen voor het niet-genoten deel van de reeds betaalde abonnementsperiode na de datum van beëindiging.

10.4 Gevolgen van beëindiging. Na beëindiging van de contractuele relatie om welke reden dan ook, dient de Gebruiker het gebruik van het Platform onmiddellijk te staken. Alle clausules in deze Voorwaarden die naar hun aard bedoeld zijn om na beëindiging van kracht te blijven (zoals betalingsverplichtingen, uitsluitingen van garanties, aansprakelijkheidsbeperkingen, vrijwaringen, bepalingen inzake intellectuele eigendom en gegevensverwerking) blijven volledig van kracht. Beëindiging van deze Voorwaarden doet geen afbreuk aan eventuele rechten of rechtsmiddelen die partijen tot dat moment hebben opgebouwd.

11. Wijzigingen in de Voorwaarden

Drilldown behoudt zich het recht voor om deze Voorwaarden te allen tijde bij te werken of te wijzigen, bijvoorbeeld om te voldoen aan wettelijke wijzigingen, de introductie van nieuwe functionaliteiten of diensten, of andere organisatorische behoeften. Bij wezenlijke wijzigingen zal Drilldown de Gebruiker tijdig informeren door middel van een kennisgeving op de website van het Platform en/of via een e-mail naar het geregistreerde e-mailadres van de Gebruiker. De wijzigingen worden van kracht op de datum die in de kennisgeving wordt vermeld (of, bij ontbreken daarvan, 15 dagen na de kennisgeving). Indien de Gebruiker de wijzigingen niet accepteert, kan hij het contract opzeggen vóór de ingangsdatum van de wijzigingen door zijn Account te verwijderen. Bij het uitblijven van opzegging binnen deze termijn worden de nieuwe Voorwaarden geacht te zijn aanvaard en zijn zij van toepassing op de Gebruiker vanaf de aangegeven ingangsdatum.

12. Toepasselijk recht en bevoegde rechtbank

Deze Voorwaarden en alle daaruit voortvloeiende contractuele relaties worden beheerst door het Italiaanse recht. Elk geschil tussen Drilldown en de Gebruiker met betrekking tot de interpretatie, geldigheid, uitvoering of beëindiging van deze Voorwaarden, of anderszins met betrekking tot het gebruik van het Platform, valt onder de exclusieve jurisdictie van de rechtbank van Milaan, behoudens dwingende wettelijke bepalingen die een andere jurisdictie voorschrijven.

13. Slotbepalingen

13.1 Volledigheid van de overeenkomst. Deze Voorwaarden (samen met de verwijzende of bijgevoegde documenten, zoals het Privacybeleid en, indien van toepassing, de Overeenkomst inzake gegevensverwerking) vormen de volledige overeenkomst tussen de Gebruiker en Drilldown met betrekking tot het gebruik van het Platform door de Gebruiker en vervangen alle eerdere mondelinge of schriftelijke afspraken tussen partijen over hetzelfde onderwerp. Het staat partijen vrij om aanvullende contracten te sluiten zoals bepaald in artikel 6 hierboven.

13.2 Gedeeltelijke nietigheid. Indien een bepaling van deze Voorwaarden door een bevoegde autoriteit (bijv. een rechtbank) nietig, ongeldig of niet-afdwingbaar wordt verklaard, zal deze bepaling worden toegepast voor zover toegestaan en zal dit de geldigheid en afdwingbaarheid van de overige bepalingen niet aantasten, die volledig van kracht blijven.

13.3 Geen afstand. Het niet of te laat uitoefenen van een recht of bevoegdheid door Drilldown op grond van deze Voorwaarden betekent geen afstand van dat recht of die bevoegdheid, die later alsnog kan worden uitgeoefend binnen de wettelijke grenzen.

13.4 Overdracht van het contract. De Gebruiker mag deze overeenkomst (d.w.z. zijn Account en de rechten/verplichtingen uit deze Voorwaarden) niet aan derden overdragen zonder voorafgaande schriftelijke toestemming van Drilldown. Drilldown kan deze overeenkomst overdragen in het kader van bedrijfsverplaatsingen, bijzondere bedrijfsoperaties of aan moeder-, dochter- of gelieerde ondernemingen, met voorafgaande kennisgeving aan de Gebruiker, zonder dat dit de rechten van de Gebruiker onder deze Voorwaarden schaadt.

13.5 Taal en versies. Deze Algemene Gebruiksvoorwaarden zijn opgesteld in het Italiaans. Eventuele vertalingen in andere talen of lokale versies worden uitsluitend ter consultatie verstrekt; bij tegenstrijdigheden of interpretatievragen prevaleert de Italiaanse tekst.

13.6 Contact. Voor communicatie met betrekking tot deze Voorwaarden of het gebruik van het Platform kan de Gebruiker contact opnemen met Drilldown via de contactgegevens op de website (bijv. het opgegeven support e-mailadres). Drilldown kan de Gebruiker contacteren via de bij registratie opgegeven contactgegevens (e-mail, adres).

BIJLAGE 1 013013 NUTRITION MODULE

Overeenkomst inzake gegevensverwerking (Data Processing Agreement)

Partijen: Deze Overeenkomst inzake gegevensverwerking wordt gesloten tussen:

Verwerkingsverantwoordelijke (hierna 2Verantwoordelijke2): de professional (natuurlijke of rechtspersoon) die de nutrition module gebruikt en de doeleinden en middelen van de verwerking van persoonsgegevens van patiënten bepaalt;

Verwerker (hierna 2Verwerker2): het bedrijf dat de nutrition module levert (bijv. softwareplatform/CRM), dat persoonsgegevens verwerkt namens de Verantwoordelijke.

1. Onderwerp en duur van het contract

1.1 Onderwerp

Conform artikel 28 van Verordening (EU) 2016/679 (GDPR) regelt deze overeenkomst de verwerking van persoonsgegevens die de Verwerker namens de Verantwoordelijke uitvoert in het kader van de nutrition module van de dienst die aan de Verantwoordelijke wordt geleverd. De Verwerker verwerkt met name de door de Verantwoordelijke ingevoerde gegevens in het CRM (naam, achternaam, contactgegevens, voedingsgegevens van patiënten, enz.) uitsluitend om de functionaliteiten van de nutrition module te leveren en in overeenstemming met de instructies van de Verantwoordelijke (zie sectie 6). De verwerking van persoonsgegevens omvat de in artikel 4(2) GDPR genoemde bewerkingen zoals verzamelen, registreren, organiseren, bewaren, raadplegen, gebruiken, wijzigen, wissen, enz., die nodig zijn voor het leveren van de dienst.

1.2 Duur

De duur van deze overeenkomst valt samen met die van de contractuele relatie tussen Verantwoordelijke en Verwerker met betrekking tot het gebruik van de nutrition module. De overeenkomst blijft van kracht zolang de Verwerker persoonsgegevens namens de Verantwoordelijke verwerkt. Bij beëindiging van de hoofdservice (bijv. accountverwijdering of einde van de serviceovereenkomst) zijn de bepalingen inzake teruggeven/wissen van gegevens in sectie 10 van toepassing. De Verantwoordelijke kan deze overeenkomst met onmiddellijke ingang beëindigen bij ernstige schending door de Verwerker van de gegevensbeschermingsregels of verplichtingen hierin. Het recht van elke partij om schadevergoeding te eisen wegens schending van de overeenkomst blijft onverminderd.

2. Doeleinden van de verwerking en aard van de bewerkingen

De Verwerker levert aan de Verantwoordelijke een softwareplatform (nutrition module) in Software as a Service-modus voor het beheer van de voedingsactiviteiten van patiënten. Het doel van de verwerking is de Verantwoordelijke in staat te stellen informatie over zijn patiënten op te slaan en te verwerken om gepersonaliseerd voedingsadvies te bieden, voedingsplannen op te stellen, gewicht en andere gezondheidsparameters te monitoren, en communicatie en afspraken met patiënten te beheren. Deze functionaliteiten vallen binnen medische/voedingspraktijken die door de software worden beheerd, vergelijkbaar met digitale gezondheidsdiensten voor het beheer van medische dossiers en zorgplannen.

Concreet omvat de aard van de verwerking alle bewerkingen die nodig zijn voor het leveren van de nutrition module dienst, waaronder verzamelen, organiseren, raadplegen, wijzigen, opslaan, extraheren, communiceren aan de Verantwoordelijke zelf, wissen of vernietigen van gegevens ingevoerd in het systeem volgens instructies van de Verantwoordelijke. De Verwerker zal de gegevens niet voor eigen doeleinden gebruiken, noch aan derden verstrekken behalve op instructie van de Verantwoordelijke of wettelijk verplicht (zoals hieronder nader beschreven).

3. Soorten persoonsgegevens die worden verwerkt

Binnen de nutrition module verwerkt de Verwerker namens de Verantwoordelijke de volgende soorten persoonsgegevens van patiënten van de Verantwoordelijke:

Persoons- en contactgegevens: naam, achternaam, e-mailadres, geboortedatum en -plaats, telefoonnummers en eventuele adressen (bijv. voor contact met de patiënt).

Voedings-/gezondheidsgegevens: informatie over de gezondheidstoestand en voedingsgewoonten van de patiënt, zoals voorkeuren of voedingsbeperkingen (speciale di5Bten, voedselallergieën, vegetarische/veganistische keuzes, enz.), gewichtmonitoringgegevens en antropometrische of vergelijkbare gezondheidsparameters, alsmede eventuele aantekeningen over levensstijl relevant voor voeding. Deze informatie valt onder bijzondere persoonsgegevens in de zin van artikel 4(15) GDPR en/of kan indirect religieuze of filosofische overtuigingen onthullen (bijv. voedingskeuzes), en vormt bijzondere categorieën van gegevens in de zin van artikel 9 GDPR. Daarom verbinden zowel de Verantwoordelijke als de Verwerker zich ertoe de nodige voorzorgsmaatregelen en beveiligingsmaatregelen te nemen zoals voorgeschreven door de wet om deze gevoelige gegevens te beschermen.

4. Categorie59n van betrokkenen

De categorie59n van betrokkenen van wie gegevens worden verwerkt onder deze overeenkomst zijn: patiënten (cliënten) van de Verantwoordelijke, natuurlijke personen die voedingsadvies of andere diensten van de Verantwoordelijke ontvangen en van wie persoonsgegevens in de nutrition module worden ingevoerd.

5. Verplichtingen van de Verantwoordelijke

De Verantwoordelijke verbindt zich tot:

Rechtmatigheid en transparantie: Zorgen dat de persoonsgegevens van patiënten die aan de Verwerker worden toevertrouwd rechtmatig worden verzameld en verwerkt (bijv. door waar nodig geïnformeerde toestemming van de patiënt te verkrijgen of een andere geldige rechtsgrond volgens artikel 6 GDPR) en dat betrokkenen adequaat zijn geïnformeerd over de doeleinden en modaliteiten van de verwerking, conform artikelen 13 en 14 GDPR. De Verantwoordelijke blijft verantwoordelijk tegenover betrokkenen voor de naleving van wettelijke verplichtingen met betrekking tot deze gegevens.

Gedocumenteerde instructies: De Verantwoordelijke verstrekt aan de Verwerker duidelijke, gedocumenteerde en actuele instructies over de gegevensverwerking (bijv. via deze overeenkomst en eventuele beleidsregels of operationele richtlijnen). Eventuele aanvullende of gewijzigde instructies moeten schriftelijk worden gecommuniceerd (ook per PEC e-mail of elektronisch ticketsysteem) en worden bewaard als referentie. De Verwerker verwerkt gegevens uitsluitend volgens de ontvangen instructies. Indien de Verwerker van mening is dat een instructie van de Verantwoordelijke in strijd is met de privacywetgeving, zal hij de Verantwoordelijke onmiddellijk informeren (zie ook sectie 6).

Toezicht en audits: Controleren, voorafgaand aan de start en vervolgens regelmatig, dat de Verwerker voldoende garanties biedt qua technische en organisatorische maatregelen ter bescherming van de toevertrouwde gegevens en dat hij de bepalingen van deze overeenkomst naleeft. De Verantwoordelijke heeft het recht periodieke audits (bijv. jaarlijks) en inspecties uit te voeren of te laten uitvoeren, met redelijke voorafgaande kennisgeving, op de activiteiten van de Verwerker met betrekking tot de toevertrouwde gegevens, om naleving van de privacyregels en overeengekomen instructies te controleren. De Verwerker zal meewerken door redelijke toegang en informatie te verschaffen binnen de afgesproken grenzen (zie secties 6 en 8 voor details over audits en onderaannemers).

Melding van onregelmatigheden: De Verantwoordelijke zal de Verwerker onmiddellijk informeren indien hij fouten, inconsistenties of schendingen constateert in de verwerkingswijzen van de Verwerker die kunnen leiden tot niet-naleving van deze overeenkomst of privacywetgeving. Partijen zullen samenwerken om eventuele onregelmatigheden tijdig te verhelpen.

Vertrouwelijkheid van informatie: Alle informatie over beveiligingsmaatregelen, systemen en bedrijfsgeheimen van de Verwerker die tijdens de contractuele relatie bekend worden, strikt vertrouwelijk behandelen. Deze geheimhoudingsplicht blijft ook na beëindiging van deze overeenkomst van kracht.

Afhandeling van verzoeken van betrokkenen: De Verantwoordelijke blijft verantwoordelijk voor het afhandelen van verzoeken tot uitoefening van rechten van zijn patiënten (toegang, rectificatie, verwijdering, bezwaar, overdraagbaarheid, enz. 013 Hoofdstuk III GDPR). Indien de Verwerker rechtstreeks communicatie of verzoeken van betrokkenen ontvangt met betrekking tot de gegevens onder deze overeenkomst, zal hij deze onmiddellijk doorsturen aan de Verantwoordelijke zonder zelfstandig te handelen, tenzij uitdrukkelijk anders toegestaan. De Verantwoordelijke zal de Verwerker de nodige instructies geven om aan deze verzoeken te voldoen, waarbij de Verwerker de Verantwoordelijke zal assisteren voor zover wettelijk vereist (zie sectie 6).

6. Verplichtingen van de Verwerker

De Verwerker verbindt zich tot naleving van alle verplichtingen uit artikel 28 GDPR. In het bijzonder, onverminderd verdere verplichtingen elders in deze overeenkomst, moet de Verwerker:

Verwerken alleen op instructie: persoonsgegevens uitsluitend verwerken op gedocumenteerde instructie van de Verantwoordelijke. Dit geldt ook voor eventuele doorgiften naar derde landen of internationale organisaties: dergelijke handelingen zijn niet toegestaan zonder voorafgaande instructie/toestemming van de Verantwoordelijke (zie ook sectie 9), tenzij een EU- of lidstaatwet de Verwerker verplicht tot bepaalde verwerking; in dat geval zal de Verwerker de Verantwoordelijke vooraf informeren over deze wettelijke verplichting, tenzij de wet dit verbiedt om belangrijke redenen van algemeen belang.

Vertrouwelijkheid van personeel: zorgen dat personen die door hem gemachtigd zijn persoonsgegevens te verwerken (eigen werknemers of eventuele medewerkers) adequate instructies hebben gekregen over naleving van privacywetgeving en contractueel tot geheimhouding zijn verplicht (of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht). De Verwerker zal toezien dat iedereen onder zijn gezag die toegang heeft tot persoonsgegevens van de Verantwoordelijke deze niet verwerkt zonder instructie van de Verantwoordelijke. Deze geheimhoudingsplicht blijft ook na beëindiging van deze overeenkomst van kracht.

Gegevensbeveiliging: passende technische en organisatorische maatregelen nemen en onderhouden conform artikel 32 GDPR om een beveiligingsniveau te waarborgen dat passend is bij het risico van de verwerkte gegevens. Deze maatregelen omvatten onder meer pseudonimisering en encryptie van persoonsgegevens (indien passend), toegangscontrole- en authenticatiesystemen, het vermogen om vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen, alsmede het vermogen om tijdig toegang tot gegevens te herstellen bij fysieke of technische incidenten. De Verwerker zal procedures implementeren om regelmatig de effectiviteit van de genomen maatregelen te testen, te controleren en te evalueren (zie ook sectie 7 voor meer details over beveiligingsmaatregelen).

Beperkingen in gebruik: de door de Verantwoordelijke verstrekte persoonsgegevens niet voor eigen doeleinden gebruiken en geen kopieën of duplicaten maken tenzij noodzakelijk voor het leveren van de dienst en altijd met toestemming/instructie van de Verantwoordelijke. De Verwerker garandeert dat de verwerkte gegevens logisch of fysiek gescheiden worden gehouden van die van andere klanten of eigen databanken om vermenging te voorkomen.

Subverwerkers: geen subverwerkers inschakelen voor specifieke verwerkingsactiviteiten namens de Verantwoordelijke zonder voorafgaande schriftelijke toestemming van de Verantwoordelijkehttps://www.privacy-regulation.eu/it/28.htm. Bij toestemming voor het gebruik van subverwerkers (zie sectie 8 voor details) zal de Verwerker deze partijen contractueel binden aan dezelfde verplichtingen inzake gegevensbescherming als in deze overeenkomst, inclusief passende garanties voor beveiliging en vertrouwelijkheid. De Verwerker blijft volledig aansprakelijk tegenover de Verantwoordelijke voor de naleving van deze verplichtingen door de subverwerkers.

Assistentie aan de Verantwoordelijke: rekening houdend met de aard van de verwerking en beschikbare informatie, de Verantwoordelijke assisteren bij het naleven van diens verplichtingen inzake gegevensbescherming. Met name zal de Verwerker passende ondersteuning bieden zodat de Verantwoordelijke kan voldoen aan verzoeken tot uitoefening van rechten van betrokkenen (toegang, rectificatie, verwijdering, bezwaar, overdraagbaarheid, enz.), bijvoorbeeld door softwarefunctionaliteiten te bieden waarmee de Verantwoordelijke patiëntgegevens kan exporteren, corrigeren of verwijderen op verzoek. Tevens zal de Verwerker de Verantwoordelijke assisteren bij het waarborgen van gegevensbeveiliging en, indien van toepassing, bij het melden van datalekken aan toezichthoudende autoriteiten of betrokkenen conform artikelen 32-34 GDPR (bijv. door tijdig informatie te verstrekken over een datalek zodat de Verantwoordelijke binnen 72 uur kan melden, zie ook volgende punt). Eveneens zal de Verwerker samenwerken bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) of voorafgaande raadplegingen met toezichthouders conform artikelen 35-36 GDPR, door relevante informatie te verstrekken.

Melding van inbreuken: de Verantwoordelijke onmiddellijk informeren bij beveiligingsincidenten of datalekken (bijv. ongeautoriseerde toegang, verlies, vernietiging of onbedoelde openbaarmaking van persoonsgegevens) met betrekking tot de verwerkte gegevens namens de Verantwoordelijke. Deze melding zal alle informatie bevatten die de Verantwoordelijke nodig heeft om de ernst van het incident te beoordelen en te voldoen aan meldingsverplichtingen aan de privacytoezichthouder en/of betrokkenen volgens artikelen 33 en 34 GDPR. De Verwerker zal de Verantwoordelijke ondersteunen bij de analyse en afhandeling van het incident en bij het opstellen van meldingen of communicatie, volgens instructies van de Verantwoordelijke.

Bewijs van naleving en audits: alle informatie verstrekken die nodig is om aan te tonen dat aan de verplichtingen uit deze overeenkomst wordt voldaan. Op verzoek van de Verantwoordelijke zal de Verwerker documentatie over beveiligingsmaatregelen verstrekken (bijv. certificeringen, interne/externe auditrapporten, conformiteitsverklaringen) en medewerking verlenen aan inspecties of controles door de Verantwoordelijke of diens gemachtigde. De modaliteiten van audits (tijden, omvang, beveiligingsmaatregelen ter bescherming van gegevens van andere klanten, enz.) worden in onderling overleg vastgesteld met respect voor wederzijdse belangen.

Melding van conflicterende instructies: indien de Verwerker van mening is dat een instructie van de Verantwoordelijke in strijd is met de GDPR of andere privacywetgeving, zal hij de Verantwoordelijke hiervan onmiddellijk op de hoogte stellen voordat hij de instructie uitvoert, en kan hij de uitvoering opschorten totdat de Verantwoordelijke bevestigt of wijzigt (zoals toegestaan door artikel 28(3) GDPR).

7. Technische en organisatorische beveiligingsmaatregelen

De Verwerker verklaart passende technische en organisatorische maatregelen te hebben genomen om een beveiligingsniveau te waarborgen dat passend is bij het risico van de verwerkte gegevens, conform artikel 32 GDPR. De selectie van deze maatregelen is gebaseerd op de stand van de techniek, implementatiekosten, aard, omvang, context en doeleinden van de verwerking, alsmede de risico's voor de rechten en vrijheden van natuurlijke personen. In het bijzonder implementeert de Verwerker maatregelen zoals:

Toegangscontrole: toegang tot persoonsgegevens alleen toegestaan aan geautoriseerd personeel voor strikt noodzakelijke doeleinden; gebruik van veilige authenticatiesystemen voor gebruikers en beheerders (bijv. sterke wachtwoorden, tweefactorauthenticatie).

Encryptie en pseudonimisering: gebruik van encryptieprotocollen om persoonsgegevens tijdens overdracht te beschermen (bijv. HTTPS/TLS) en, waar mogelijk, encryptie van gegevens in rust op servers of back-ups. Eventuele pseudonimisering van patiëntidentificerende gegevens in geaggregeerde analyses, zodat deze niet aan specifieke natuurlijke personen kunnen worden gekoppeld zonder aanvullende informatie.

Integriteit en beschikbaarheid: regelmatige back-ups van gegevens en herstelprocedures om beschikbaarheid en toegang tot persoonsgegevens snel te waarborgen bij fysieke of technische incidenten. Gebruik van anti-malware, firewalls en monitoring om ongeautoriseerde toegang of gegevensverlies te voorkomen.

Testen en monitoring: periodieke controle van de effectiviteit van beveiligingsmaatregelen via interne audits, kwetsbaarheidstests, beveiligingslogmonitoring en, indien nodig, tijdige correctie van geconstateerde zwakke punten.

De beveiligingsmaatregelen van de Verwerker worden nader beschreven in technische documentatie (bijv. bijlage over technische en organisatorische maatregelen), die op verzoek aan de Verantwoordelijke kan worden verstrekt en integraal deel uitmaakt van deze overeenkomst. De Verwerker garandeert deze maatregelen up-to-date te houden om aan te passen aan veranderende risico's en best practices, en zal de Verantwoordelijke informeren over substanti5Ble wijzigingen die de bescherming van toevertrouwde gegevens kunnen beïnvloeden.

8. Subverwerkers

De Verwerker mag andere partijen als subverwerkers inschakelen alleen na toestemming van de Verantwoordelijke. Deze toestemming kan specifiek zijn voor een bepaalde subverwerker, of algemeen voor categorie59n van subverwerkers (bijv. hostingproviders, e-maildiensten, enz.) die bekend zijn bij het sluiten van de overeenkomst; in het laatste geval zal de Verwerker de Verantwoordelijke informeren over geplande toevoegingen of vervangingen van subverwerkers, zodat de Verantwoordelijke hiertegen bezwaar kan maken voordat de subverwerker met de verwerking begint.

Eventuele toegestane subverwerkers worden schriftelijk door de Verwerker gebonden aan dezelfde verplichtingen inzake gegevensbescherming als in deze overeenkomst, inclusief passende garanties voor beveiliging en vertrouwelijkheid. De Verwerker blijft volledig aansprakelijk tegenover de Verantwoordelijke voor de naleving van deze verplichtingen door de subverwerkers.

9. Gegevensoverdracht naar derde landen

De verwerking van persoonsgegevens onder deze overeenkomst vindt uitsluitend plaats in infrastructuren (servers, datacenters) binnen de Europese Unie of de Europese Economische Ruimte. Er is geen overdracht van persoonsgegevens naar derde landen (buiten de EER) door de Verwerker, behalve indien noodzakelijk voor het gebruik van door de Verantwoordelijke goedgekeurde subverwerkers conform sectie 8. In elk geval kan elke overdracht naar een derde land of internationale organisatie door de Verwerker (of diens subverwerkers) alleen plaatsvinden in overeenstemming met hoofdstuk V GDPR. Dit betekent dat voorafgaande toestemming van de Verantwoordelijke vereist is en dat de voorwaarden van artikelen 44 en volgende GDPR gelden, bijvoorbeeld op basis van een adequaatheidsbesluit van de Europese Commissie, of door het aannemen van standaardcontractbepalingen, bindende bedrijfsregels of andere passende waarborgen. De Verwerker zal de Verantwoordelijke informeren over de modaliteiten en juridische grondslagen van de voorgestelde overdracht zodat de Verantwoordelijke toestemming kan geven of weigeren.

10. Beëindiging van de verwerking en teruggeven/wissen van gegevens

Bij beëindiging, om welke reden dan ook, van de serviceovereenkomst tussen partijen met betrekking tot de nutrition module (bijv. bij opzegging of afloop van het hoofdcontract, of definitieve opschorting van de dienst door de Verwerker), zal de Verwerker alle verdere verwerking van persoonsgegevens namens de Verantwoordelijke staken. Op verzoek van de Verantwoordelijke, schriftelijk meegedeeld bij beëindiging van het contract of binnen een overeengekomen termijn, zal de Verwerker alle persoonsgegevens die namens de Verantwoordelijke zijn verwerkt teruggeven (bijv. door export in een interoperabel formaat) of definitief wissen uit zijn systemen. In elk geval zal de Verwerker eventuele bestaande kopieën van de gegevens (inclusief back-ups) wissen, behalve voor zover de bewaarplicht van toepassing is volgens EU- of lidstaatwetgeving die op de Verwerker van toepassing is (in dat geval zal de Verwerker de Verantwoordelijke informeren over de gegevens en de wetgeving die bewaarplicht oplegt, en de gegevens uitsluitend voor dat wettelijke bewaardoel verwerken). Het wissen op verzoek wordt schriftelijk bevestigd door de Verwerker op verzoek.

De geheimhoudingsverplichtingen van de Verwerker en diens gemachtigde personeel blijven ook na beëindiging van deze overeenkomst van kracht. De Verwerker garandeert tevens dat eventuele benoemde subverwerkers aan dezelfde verplichtingen inzake teruggeven/wissen van persoonsgegevens van de Verantwoordelijke worden gebonden bij beëindiging.