Privacy

Samenvatting

Privacy, en dan met name als het gaat om de opslag van persoonsgegevens, is al enige tijd een hot item. Nieuwe wetgeving, de z.g. Algemene Verordening Gegevensbescherming die vanaf 25 mei 2018 van kracht is, legt organisaties de nodige regels op.
Bretagne aan Tafel informeert u graag over welke gegevens wij verzamelen en waarom. Maar ook over hoelang we gegevens (moeten) bewaren, en hoe serieus we onze beveiliging nemen.

Heel kort samengevat: wij verzamelen alleen persoonsgegevens die we nodig hebben om een bestelling uit de webshop te kunnen verwerken, of om de nieuwsbrief toe te sturen, of om u antwoord te kunnen geven als u ons een vraag stelt via email. Wij verkopen geen gegevens door, gebruiken ze niet voor marketingdoeleinden en bewaren ze zo kort mogelijk.
U heeft altijd de mogelijkheid om uw gegevens in te zien, te wijzigen of te corrigeren. En, zeker niet het minst belangrijk: wij doen alles wat wettelijk verplicht is en organisatorisch mogelijk om uw gegevens zo veilig mogelijk te bewaren.

Wilt u meer weten? Hieronder licht Bretagne aan Tafel haar privacybeleid uitgebreid toe.

Inleiding

De Algemene Verordening Gegevensbescherming’ (AVG), in het Engels: General Data Protection Regulation (GDPR), vervangt de huidige Nederlandse Wet bescherming persoonsgegevens (Wbp). De AVG is vanaf 25 mei 2018 van toepassing, ook op de webshop van Bretagne aan Tafel (BAT).
Met dit document wordt tegemoet gekomen aan de verplichting om als onderneming transparant te zijn over de persoonsgegevens die BAT verzamelt, wat daarmee gebeurt (de verwerking) en hoe die gegevens beveiligd worden.

Persoonsgegevens en Bretagne aan Tafel

De privacywetgeving is enkel van toepassing op persoonsgegevens. Dit zijn alle gegevens die direct of indirect tot een persoon herleidbaar zijn, denk aan naam, adres en e-mail, maar ook IP-adressen, locatiegegevens of bankgegevens. Er is sprake van ‘verwerken’ wanneer je gegevens verzamelt, vastlegt, ordent, opslaat, wijzigt, opvraagt, raadpleegt, gebruikt of wist. BAT verzamelt persoonsgegevens op basis van 2 grondslagen uit de AVG, te weten ‘toestemming’ en ‘uitvoering overeenkomst’.

Concreet betekent dat het volgende:

  • Uw toestemming wordt vrijelijk gegeven, d.w.z. zonder druk.
  • Uw toestemming is ondubbelzinnig, er wordt bv. ook geen gebruik gemaakt van voor-aangevinkte vakjes.
  • Uw toestemming is geïnformeerd, d.w.z. dat de identiteit van BAT, en het doel waarvoor uw gegevens worden gevraagd helder zijn. Ook wordt (middels deze privacyverklaring die u op de site aantreft) duidelijk welke gegevens worden verzameld, en wordt uw recht toegelicht om de toestemming om uw gegevens te gebruiken ook weer in te trekken.
  • Uw toestemming is specifiek, d.w.z. dat deze geldt voor een specifiek doel (bv. het toesturen van uw bestelling of het beantwoorden van uw vraag om info).
  • Het gebruik van het bestelformulier, resp. het inschrijven voor de nieuwsbrief, en het invullen van het contactformulier en/of (het voldoen van) de factuur van BAT gelden als bewijs voor geldige toestemming om uw persoonsgegevens voor de aangegeven doelen te gebruiken.

Gaat het om de uitvoering van een overeenkomst (een bestelling die u bij BAT doet), dan worden uw persoonsgegevens uitsluitend daarvoor gebruikt en niet voor een ander doel (zoals bv. het analyseren van uw koopgedrag).

Welke persoonsgegevens verzamelt Bretagne aan Tafel?

BAT vraagt u alleen persoonsgegevens te verschaffen

  • die betrekking hebben op de afwikkeling van aankopen uit de webshop
  • of om antwoord te geven op vragen die via het contactformulier worden gesteld.
  • of om voor het – op uw verzoek – toesturen van de nieuwsbrief.

Concreet betekent dat het registreren van:

  • voor- en achternaam
  • adresgegevens (factuur- en verzendgegevens)
  • E-mailadres
  • Telefoonnummer
  • IP-adres
  • en – bij bestellingen – de bank en het IBAN-nummer van de klanten.
  • uw wachtwoord (als u een account heeft aangemaakt)

 

Kort samengevat: Bretagne aan Tafel verzamelt uitsluitend gegevens die noodzakelijk zijn voor het doel van de verwerking, en geen ‘nice to haves’.

 

Met welk doel verzamelt BAT persoonsgegevens?

Doel is om

  • de aankopen naar u toe te kunnen sturen (via koerier of PostNL), resp. afspraken te maken over het ophalen of bezorgen van uw bestelling
  • de afhandeling van de betaling mogelijk te maken
  • om u de mogelijkheid te geven om een account aan te maken
  • om de nieuwsbrief waarvoor u zich heeft ingeschreven naar u te mailen
  • om antwoord te geven op vragen die u via het contactformulier aan Bretagne aan Tafel heeft gesteld.
  • om verantwoording te kunnen afleggen aan de Belastingdienst

In geen enkel geval worden persoonsgegevens verkocht aan derden of gebruikt voor direct mail. Toegang, resp. het delen van persoonsgegevens geschiedt alleen t.b.v. de bovengenoemde doelen en dan alleen voor zover een eventuele contractpartner (bv. PostNL of koeriersdienst) voor de uitvoering van de door u gegeven opdracht/bestelling hierover moet kunnen beschikken.
Bretagne aan Tafel houdt zich daarnaast aan de geldende (belasting)wetgeving, inclusief de daarvoor geldende bewaartermijnen van de administratie (7 jaar).

Bretagne aan Tafel heeft niet de intentie gegevens te verzamelen over websitebezoekers die jonger zijn dan 16 jaar. Wij kunnen dit echter niet controleren. Als u ervan overtuigd bent dat BAT zonder ouderlijke toestemming persoonlijke gegevens van een minderjarige heeft opgeslagen, neem dan contact op met info@bretagne-aan-tafel.nl, dan worden die gegevens verwijderd.

Er worden geen profielen van gebruikers van de website gemaakt.

Informatie over de wijze van inzage, correctie of verwijdering van persoonsgegevens

Als u als klant, nieuwsbriefabonnee of persoon die om informatie vraagt daartoe schriftelijk een verzoek indient, zal BAT u schriftelijk een overzicht aanleveren van de persoonsgegevens die ons van u bekend zijn. Mocht blijken dat deze correctie behoeven, dan zal deze correctie worden aangebracht en aan u worden bevestigd. U zal wel worden gevraagd zich te legitimeren.

Bretagne aan Tafel zal eveneens – op uw schriftelijk verzoek en na legitimering – persoonsgegevens verwijderen met uitzondering van die welke t.b.v. de uitvoering van de geldende (belasting)wetgeving noodzakelijk zijn. Ook hiervan zult u schriftelijk in kennis worden gesteld.

Indien u dat wenst, zal ook aan de organisaties die uw gegevens t.b.v. de verwerking hebben ontvangen worden gevraagd uw gegevens te verwijderen.

U kunt altijd, als u het gevoel heeft dat dit noodzakelijk is omdat uw rechten of vrijheden onvoldoende zouden worden gewaarborgd, een onderbouwde klacht indienen bij de Autoriteit Persoonsgegevens.

Bewaartermijn persoonsgegevens

De bewaartermijnen van de hierboven genoemde, door BAT geregistreerde gegevens worden bepaald door het belang van de gegevens voor de uitvoering van de eveneens hierboven genoemde doelstellingen. Dat betekent concreet het volgende:

  • Het bewaren van gegevens die zijn aangeleverd t.b.v. opdrachten en bestellingen worden bewaard cf. de bewaartermijnen van de geldende (belasting)wetgeving.
  • Persoonsgegevens die bij BAT binnenkomen op basis van het contactformulier, zonder dat het contact tot een bestelling of opdracht heeft geleid, worden na afwikkeling van het (contact)verzoek binnen 14 dagen verwijderd. Telefoonnummers van personen die telefonisch om een inlichting vragen worden na afloop van het telefoongesprek verwijderd tenzij er is afgesproken dat er nog follow up moet plaatsvinden. Is dat het geval dan wordt het telefoonnummer na de follow up verwijderd, tenzij er een overeenkomst (bestelling) uit volgt.
  • Emailadressen van personen voor de nieuwsbrief worden bewaard totdat de betrokkene zich afmeldt. In dat geval wordt het emailadres verwijderd bij de periodieke opschoning van de verzendlijst. Daarnaast wordt de verzendlijst periodiek gescreend t.b.v. het verwijderen van emailadressen waarvan verondersteld wordt dat zij spam zijn. Deze screening en opschoning vindt tweemaal per jaar plaats.
  • Emailadressen van personen voor de nieuwsbrief die de aanvraag niet hebben bevestigd via de link in de bevestigingsmail worden periodiek (tweemaal per jaar) verwijderd.
  • Accountgegevens blijven bewaard totdat de accounthouder een schriftelijk verzoek indient om deze te verwijderen.

Met welke derde partijen deelt Bretagne aan Tafel haar gegevens?

Uw persoonsgegevens – voor zover die nodig zijn voor het afwikkelen van een bestelling – worden gebruikt en gedeeld door:

  • Bretagne aan Tafel zelf
  • De financiële instellingen die betrokken zijn bij de afhandeling van uw bestelling.
  • De verzenders die betrokken zijn bij de afhandeling van uw bestelling.
  • De hostingmaatschappij van de website
  • De webmaster voor zover relevant voor het oplossen van technische problemen en in goede staat houden van de website, inclusief de beveiliging.
  • De boekhouder van BAT en de Belastingdienst (als die ernaar vraagt)

Daarnaast hebben alleen de BAT zelf, de hostingmaatschappij, en zo nodig de webmaster, toegang tot persoonsgegevens die noodzakelijk zijn voor het versturen van de nieuwsbrief of het afhandelen van een contactverzoek.
Om de beveiliging van de website te optimaliseren wordt gebruik gemaakt van de plug-in Wordfence. Wordfence verklaart zich compliant met de AVG.

Conform het bepaalde in de AVG heeft BAT een ‘register van verwerkingsactiviteiten’ opgesteld en ‘verwerkersovereenkomsten’ afgesloten met andere, waaronder een aantal van de hierboven genoemde, partijen die voor BAT persoonsgegevens verwerken.

Beveiliging

BAT neemt de beveiliging van uw gegevens serieus en neemt passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan.

De beveiliging van de persoonsgegevens verloopt via de fysieke beveiliging van de SSL-certificaten van de hostingmaatschappij, logische en fysieke (toegangs-)beveiliging en beveiliging van apparatuur. Er wordt gezorgd voor patch-management, geregelde updating van software en back ups, automatische verwijdering van verouderde gegevens en versleuteling van gegevens. De plugin Wordfence wordt gebruikt voor extra beveliging van de website en de verzamelde gegevens.
Met alle betrokken derden worden daarnaast de bovengenoemde verwerkingsovereenkomsten gesloten zoals voorzien in de AVG. Voor zover zij niet als ‘verwerker’ kunnen worden aangemerkt, hebben zij zich als ‘compliant aan de AVG’ verklaard.
Ook worden de organisatorische processen maximaal ingesteld op beveiliging.

Voor zover persoonsgegevens zich op papier bevinden worden zij na ommekomst van de bewaartermijnen vernietigd via een papierversnipperaar. Bij afwezigheid van de verwerkingsverantwoordelijke wordt de ruimte waarin de computer van BAT en de papieren archieven zich bevinden afgesloten.

Nieuwe aanmelders voor de nieuwsbrief krijgen voortaan een verzoek om hun inschrijving te bevestigen. Dit is tevens anti-spam.

Contactgegevens van Bretagne aan Tafel

U kunt Bretagne aan Tafel bereiken via de volgende contactgegevens:

info@bretagne-aan-tafel.nl
tel.nr. 06-21210036