GDPR Compliance Statement

This GDPR Compliance Statement of SimplyBook.me Ltd explains the key elements of GDPR and how we comply with it.

Click below to read more about specific policies:

  • Datenschutzrichtlinie

    our approach to privacy, processing of personal data and our measures for security.

    Details
  • Data Processing Agreement

    part of the T&Cs for users, includes a list of sub-processors.

    Details
  • Job Application Privacy Policy

    how we protect the privacy of job applicants.

    Details
  • Cookie Policy

    what cookies we collect & why.

    Details

If you have any questions and want to find our more, contact our dpo@simplybook.me.

Woman with a laptop
What is GDPR image

What is GDPR?

The General Data Protection Regulation 2016/679 (the “GDPR”) is the law of the European Union and the European Economic Area regarding data protection and privacy. The GDPR was implemented on 25.05.2018 and allows EU citizens to better control their personal data while modernising and unifying the rules allowing businesses to reduce red tape and to benefit from greater consumer trust.

Find out more for the data protection and the approach of the European Commission, on their official website

How are we complying with GDPR?

The efforts of SimplyBook.me Ltd to comply with the requirements of the GDPR staterted before its implementation in 2018 by appointing a Data Protection Officer (“DPO”) who together with the security team of the company ensured that among other issues:

  • Internal policies and procedures are drafted, maintained and followed in all business operations
  • The online Terms & Conditions have been reviewed and amended
  • The online Privacy Policy has been reviewed and amended
  • We have prepared a Data Processing Agreement to be concluded between you and SimplyBook.me Ltd, and made it available on our website
  • Additional online policies are made available for users and visitors
  • Our contractual relationships with our suppliers are assessed and additional documentation for privacy and data protection is concluded - the Data Processing Agreements/Addendums.
  • Alte Zulieferer wurden einer Überprüfung unterzogen und in zweifelhaften Fällen wurde die Zusammenarbeit beendet
  • All members of the company go through a privacy and data protection training server security has been hardened even further.
  • Die Backup-Prozesse wurden angepasst, um die Speicherung personenbezogener Daten für gelöschte Systeme zu minimieren

The key steps areas we took in order to ensure compliance with the GDPR:

  • Personal data protection icon

    Restricted access to Personal Data

    - We follow the principle of least privilege in our business operations.

    - For the level of access employees are instructed to use in diagnosing and resolving problems as well as responding to customer support requests.

    - All employees have signed a Data Processing Addendum to the contract of employment and have provided a clean criminal record as part of our hiring process.

    - All employees are legally binding to comply with the internal policies and procedures of the implemented Information Security Management System.

    CUSTOMER SUPPORT REQUESTS: Upon activation of the double authentication feature of the System, we DO NOT have any access to your account and system. However, when you need quick assistance from our support team, you may give our representative a temporary code so they can help them out with settings if needed.

  • HIPAA icon

    Protection of medical information - Patients Details

    Die mitunter “sensibelsten personenbezogene Daten” im System sind die Patientendaten, welche in der Regel in der sogenannten SOAP-Komponente gespeichert werden. Diese SOAP-Komponente wurde weiterentwickelt und verschlüsselt, so dass niemand Zugriff auf diese Daten erhalten kann, selbst wenn das System des Nutzers, oder sogar die SimplyBook.me-Server gehackt werden, ES SEI DENN der geheimen Schlüssel wird gestohlen. Dieser Schlüssel kann auf einem USB-Laufwerk oder in einem Ordner auf einem Computer aufbewahrt werden. Er wird nie auf den Servern von SimplyBook.me gespeichert. Stellen Sie sicher, dass Computer gut gesichert sind, so dass potentielle Diebe keinen einfachen Zugriff auf die Festplatte haben. Gleiches gilt für USB-Laufwerke. Auch diese können mit einem Code verschlüsselt werden, den nur Sie kennen.

    HIPAA-Funktion: Für Nutzer, die ein noch höheres Sicherheitsniveau anstreben, gibt es die HIPAA-Funktion, die für Standard- und Premium-Lizenzen zur Verfügung steht. Mit dieser Funktion können Nutzer eine automatische Systemabmeldung einrichten, welche nach einer bestimmten Zeit, etwa nach 20 Minuten der Inaktivität, eintritt. Nutzer erhalten außerdem eine Meldung, wenn ein Systemzugriff erfolgt. Diese Funktion verhindert auch das Versenden von personenbezogenen Daten per E-Mail oder SMS. Daten von Kunden und Dienstleistungen werden in diesen Benachrichtigungen entfernt, wodurch es Unberechtigten weiter erschwert wird personenbezogene Daten einzusehen.

  • Products promotions icon

    Right to withdraw consent to processing of Personal Data

    Alle E-Mails enthalten einen Link zur Abmeldung. Solch ein Link wurde nun auch den Promotion-E-Mails hinzugefügt, so dass Kunden keine weiteren Informationen mehr enthalten, wenn sie sich vom Erhalt von Nachrichten abgemeldet haben. Dies ist aber bisher erfreulicherweise kein Problem, da sich Kunden in der Regel freuen Sonderangebote von ihren bevorzugten Anbietern zu erhalten.

How can we help you comply with the GDPR?

As you will have the responsibility to ensure the protection of your clients’ personal data, we have made key changes to our system, in order to make sure you can comply with the GDPR. Specifically, some changes make the security enhanced - and you are better protected in case someone gets hold of their equipment while some other features in the system make the user’s permission for client’s data and communication better. Check illustrations below for more information on this.

4 individuelle Funktionen sind jetzt für alle Nutzer gratis verfügbar:

  • Google authenticator icon

    Doppelte Authentifizierung

    für einen noch sichereren Systemzugriff. Wir können den Nutzern nur dazu raten, von dieser Funktion Gebrauch zu machen, da sich die meisten Datenschutzverletzungen daraus ergeben, dass Unbefugte physischen oder virtuellen Zugriff auf die Systeme und Daten erhalten.

  • Delete history icon

    Verlauf löschen

    wodurch Nutzer die Möglichkeit haben festzulegen, wie lange Daten mit Bezug auf betroffene Personen, welche Buchungen getätigt haben, gespeichert werden müssen. Falls keine Verpflichtung zur längeren Speicherung der Daten besteht, ist diese Funktion bestens geeignet um eine automatische Löschung der Daten nach 30 Tagen (abhängig von den Nutzereinstellungen)durchführen zu lassen. Wenn Nutzer die Funktionen Kunden-Login, Mitgliedschaft oder dergleichen aktiviert haben, sollte Verlauf löschen nicht genutzt werden

  • Terms and conditions icon

    AGB-Modul

    mit welcher Nutzer ihre eigenen AGB und ihre eigene Datenschutzrichtlinie festlegen können, in denen sie in verständlicher Sprache (nicht in hochtrabendem Rechtsjargon) darlegen können, wie die Daten genutzt werden

  • Cancellation policy icon

    Stornierungsbedingungen

    mit denen Nutzer beschreiben können, unter welchen Bedingungen Stornierungen erfolgen können

Admin interface:
Access to 3 groups of personal data

Personenbezogene Daten

  • Unternehmensdaten

    usually publicly available on the internet in order for clients to be able to book.

  • Daten der Systemnutzer

    in der Regel öffentlich im Internet einsehbar, um Kunden eine Buchung zu ermöglichen

  • Kundendaten

    Nie im Internet und nur für Systemnutzer einsehbar

Jede dieser Gruppen hat eine benutzerfreundliche Bedienoberfläche, in der alle entsprechend dieser Gruppe im SimplyBook.me-System gespeicherten Daten auf dem Bildschirm angezeigt oder alternativ als JSON-Bericht ausgegeben werden können. Zusätzlich können alle Kundendaten mit nur einem Eingabebefehl gelöscht werden.

Diese Aufzeichnungen können von Nutzern nach einer einfachen Authentifizierung mit ihrem Passwort eingesehen werden. Falls die doppelte Authentifizierung aktiviert ist, wird ein Bestätigungscode abgefragt, um den Zugriff zu gewähren.

Da Kundendaten oft Teil statistischer Verkaufs- und Buchungsinformationen sind, werden die Daten nicht komplett gelöscht, sondern vollständig anonymisiert, so dass sie weiterhin für statistische Erhebungen genutzt werden können.

Some friendly advice on your compliance with GDPR

  • Enhance your security

    Wir empfehlen Nutzern zudem die Sicherheit auf ihren mobilen Endgeräten zu verbessern, indem sie lange Passwörter nutzen und die automatische Löschung von Telefondaten aktivieren, die automatisch Eintritt, wenn ein Passwort mehrfach falsch eingegeben wird. So können Diebe die Zugangscodes zur doppelten Authentifizierung nicht stehlen.

    Alle Nutzer sollten die automatische Bildschirmsperre aktivieren, um ein Ausspionieren am Arbeitsplatz zu vermeiden. Hier finden Sie eine Beschreibung, wie Sie dies auf einem Windows-Computer vornehmen können.

  • You as Data Controller

    Remember that you are responsible to draft, maintain and operate in accordance with a privacy policy towards your own clients and no one can make this for you, as this is something you decide. Get professional advice or check your local data protection authority/body on this document and make it in a clear, concise manner.

    Sie sollten auch einen Link zur Datenschutzerklärung von SimplyBook.me einfügen, unter dem wir detailliert beschreiben, wie wir die Daten der betroffenen Personen für unsere Nutzer verarbeiten und welche Weitergaben erfolgen.

Neu bei SimplyBook.me?

Möchten Sie mehr darüber erfahren, wie SimplyBook.me Ihnen bei der Verwaltung Ihrer Online-Buchungen helfen kann? Dann sehen Sie sich das Video an und erfahren Sie, worum es bei unserer Planungssoftware geht.

Video tutorial illustration Es ist wirklich einfach