Privacy

Doel gegevensverwerking 

Als postorderbedrijf/webshop verwerkt Intersko in eerste instantie de NAW gegevens van haar klanten om producten toe te kunnen sturen die een klant heeft besteld. Er is derhalve sprake van een economische relatie. 

Op basis van die economische relatie stuurt Intersko regelmatig aanbiedingen en productinformatie naar haar klanten op basis van een gerechtvaardigd belang. Dus ook naar klanten die in een winkel gekocht hebben. In de praktijk worden de producten zowel opgestuurd naar klanten als door hen gekocht in een winkel. 

Het derde doel is de garantieregeling en productaansprakelijkheid. Intersko hanteert een garantietermijn van twee jaar maar in de praktijk komt het zeer regelmatig voor dat klanten na meer dan tien jaar terugkomen met schoenen. Dat kan dan gaan om (onterecht) beroep te doen op de garantieregeling, een reparatie van de schoen of om de vraag naar dezelfde of een vergelijkbaar model. Vanuit die reden worden de gegevens van een klant in principe niet verwijderd. 

Economische relatie op basis van vrijwilligheid 

Intersko noteert alleen persoonsgegevens op basis van een economische relatie. Dat betekent dus dat iemand een bestelling heeft gedaan bij Intersko of zelf het initiatief heeft genomen om een catalogus op te vragen. Er is dus altijd sprake van toestemming van de gebruiker.

Soort gegevens 

Intersko slaat de NAW gegevens van een klant op, alsmede de koophistorie. Naam, adres en woonplaats zijn als gezegd voor het versturen van de schoenen en van aanbiedingen en productinformatie. 

Daarnaast wordt een telefoonnummer genoteerd zodat een klant geïnformeerd kan worden over afwijkende zaken. Dat gaat bijvoorbeeld om een product dat niet meer op voorraad is, onduidelijkheden bij een schriftelijke bestelling, vertraging van een levering etc. etc. Het gaat dus puur om informatie, Intersko gebruikt de telefoonnummers nooit voor commerciële doeleinden. 

Intersko levert schoenen en aanverwante artikelen met betaling achteraf door middel van acceptgiro als betalingsvoorwaarde. Helaas leidt dat af en toe tot een incassoprocedure omdat een klant de rekening niet betaalt. In een dergelijke procedure is een geboortedatum noodzakelijk en dus vraagt Intersko die aan haar klanten. Wanneer een klant ervoor kiest vooraf te betalen, bijvoorbeeld via IDEAL, is een geboortedatum niet verplicht. 

Er is echter ook een gerechtvaardigd belang omdat Intersko haar klanten rond de verjaardag een felicitatie stuurt met een kortingsbon. Dit wordt zeer gewaardeerd door onze klanten want er wordt veelvuldig gebruik van gemaakt. 

De e-mailadressen worden opgeslagen zodat klanten na een bestelling een bevestiging kunnen ontvangen en informatie over het aanlevermoment. Daarnaast worden via nieuwsbrieven aanbiedingen gecommuniceerd. Ook dit gebeurt alleen op basis van een economische relatie. 

Het geslacht wordt genoteerd voor een juiste aanhef bij correspondentie en het eventueel specifiek aanbieden van bepaalde producten. 

Er worden door Intersko geen zogenaamd bijzondere, bijvoorbeeld medische, persoonsgegevens genoteerd. 

Aanlevering en opslag van klantgegevens

Intersko heeft verschillende distributiekanalen, te weten winkels, webshop en postorder. Er wordt voor de verwerking van persoonsgegevens geen verschil gemaakt tussen deze kanalen. Het maakt dus niet uit of een klant zijn of haar gegevens invult in de webshop, koopt in de winkel, een bestelkaart opstuurt of telefonisch een bestelling doorgeeft. In de praktijk worden alle kanalen door elkaar gebruikt, gelden dezelfde wettelijke regelingen met betrekking tot het bewaren van financiële gegevens, zijn er dezelfde garantietermijnen en worden in de praktijk dezelfde termijnen voor reparaties gehanteerd. 

Alle gegevens worden opgeslagen op een beveiligde server bij Intersko in het daarvoor bestemde ERP systeem. In de webshop worden de persoonsgegevens separaat opgeslagen, deze wordt extern gehost door Coöperatie Sition U.A.. Over de beveiliging van beide systemen staat hieronder meer.
 

Cookies

Cookies verzamelen informatie die nodig is voor het juist functioneren van een website. Cookies van Intersko zijn veilig. Ze kunnen geen persoonlijke informatie verzamelen en zijn veilig voor je pc, laptop, telefoon of tablet. 

Wij verzamelen gegevens voor onderzoek om zo een beter inzicht te krijgen in wat onze klanten willen, zodat wij onze website en onze diensten hierop kunnen afstemmen. Wij gebruiken deze informatie om bij te houden hoe u de website gebruikt, om rapporten over de website-activiteit op te stellen en zodoende andere diensten aan te bieden gebaseerd op de website-activiteit en het internetgebruik. Er wordt geen bezoekersprofiel van u opgesteld en/of bijgehouden op basis van uw surfgedrag op de website. 

Cookies zorgen ervoor dat: 

· u ingelogd blijft en ongestoord kunt winkelen; 

· artikelen in uw winkelwagentje bewaard blijven; 

· u veilig winkelt bij Intersko; 

· de website snel is; 

· fouten en ongemak op de website worden opgespoord; 

· verbeteringen kunnen worden getest

De door de cookies gegenereerde informatie over uw gebruik van de website kan worden overgebracht naar eigen beveiligde servers van Intersko of die van een derde partij. De meeste cookies van Intersko verdwijnen als u de browser sluit. Sommige cookies blijven enkele dagen tot enkele jaren staan. U kunt ze zelf op elk moment via uw browser verwijderen. 

De meeste browsers zijn standaard ingesteld om cookies te accepteren, maar u kunt uw browser opnieuw instellen om alle cookies te weigeren of om aan te geven wanneer een cookie wordt verzonden. Het is echter mogelijk dat sommige functies en –services, op onze en andere websites, niet correct functioneren als cookies zijn uitgeschakeld in uw browser. Uitleg over het aanpassen van de cookie-instellingen vindt u onder ‘Help’ in de meeste browsers. 

Partners 

Voor het versturen van mailingen werkt Intersko samen met partners. Intersko deelt de gegevens van haar klanten met deze partners zodat zij hun werk kunnen doen. Met ieder van hen heeft Intersko een verwerkersovereenkomst. DHL is verantwoordelijk voor de logistieke afhandeling van pakketten. Zij verwerken de persoonsgegevens niet maar controleren ze slechts waardoor er in dit geval geen verwerkersovereenkomst nodig is. 

Op het moment dat u klant wenst te worden, kunnen wij uw gegevens aan Economic Data Resources B.V. (EDR) verstrekken. EDR zal op basis van deze gegevens een advies geven over uw kredietwaardigheid. EDR gebruikt uw gegevens voor onderzoek naar uw kredietwaardigheid en contactgegevens. Als u bezwaar wilt maken of informatie wenst over het gebruik van uw persoonsgegevens door EDR, zie: https://www.edrcreditservices.nl/privacy-statement/. 

Duur 

Als eerder gezegd blijven de gegevens opgeslagen. Financiële gegevens moeten op wettelijke gronden zeven jaar bewaard blijven. De koopgeschiedenis en houdbaarheid van het product gaan nog veel langer. Met grote regelmaat komen klanten met schoenen van meer dan tien jaar oud terug voor een klacht, vraag om een vervangend paar of voor reparatie. We leveren een hoogwaardig product dat heel lang meegaat. 

Een andere reden om klantgegevens te bewaren zijn negatieve ervaringen met betalingen, oftewel incassoprocedures. 

Verhuur aan derden 

Intersko verhuurt af en toe de adressen van haar klanten aan derden. Voor het verzenden van reclame aan post- en woonadressen is geen opt-in vereist. Deze gegevens kunnen door Intersko worden verstrekt aan een derde, zonder dat hiervoor op voorhand toestemming moet worden gegeven door de betrokkene. Er staat namelijk in de AVG dat “persoonsgegevens mogen worden verwerkt als dit noodzakelijk is voor de behartiging van het gerechtvaardigd belang van de Verwerkingsverantwoordelijke of een derde, mits de belangen, rechten en vrijheden van de betrokkenen niet zwaarder wegen. De gevoeligheden van de verwerkte gegevens spelen daarbij een rol.” 

Als eerder gezegd verwerkt Intersko geen gevoelige gegevens maar slechts NAW, leeftijd en sexe. Bij de overweging voor het leveren van adressen aan derden maakt Intersko een zorgvuldige afweging en levert uitsluitend aan charitatieve instellingen of aan bedrijven die een aanvullende dienst of product leveren. Dit is derhalve een maatschappelijk belang of een gerechtvaardigd belang van de klant. 

We verstrekken uitdrukkelijk geen adressen aan bedrijven met een onduidelijke abonnement vorm of partijen die reclame maken met dubieuze kansspelen. 

Voor Intersko is er een gerechtvaardigd, namelijk financieel belang hetgeen indirect doorwerkt op de klanten van Intersko. Mede hierdoor vraagt Intersko geen verzendkosten die anders wel gerekend zouden moeten worden. 

De vrijheid van betrokkene is gegarandeerd want deze kan te allen tijde aangeven dat het adres niet aan derden mag worden doorgegeven en dan zal dat ook niet meer gebeuren. Verder is het van belang of het adres van de betrokkene staat ingeschreven bij Postfilter. Is dit het geval, dan is verzending aan dit adres verboden. Deze verantwoordelijkheid ligt bij degene die daadwerkelijk overgaat tot verzending van reclame aan het postadres. 

De adressen worden altijd geleverd via een listbroker die deze altijd vergelijkt en ontdubbelt met Postfilter. Met deze listbroker (EDM) heeft Intersko een verwerkersovereenkomst. 

Telefoonnummers en e-mailadressen worden niet gedeeld met derden omdat dit een grotere inbreuk maakt op de privacy van betrokkenen dan een poststuk. 

Recht van inzage en wijziging 

Ieder persoon heeft het recht om de gegevens die Intersko van hem of haar heeft opgeslagen in te zien. Desgevraagd zal Intersko zal Intersko die binnen tien werkdagen schriftelijk verstrekken. Vanuit privacy oogpunt kunnen we alleen een schriftelijke vraag om inzage in behandeling nemen. Daarbij dient een kopie van een legitimatiebewijs meegestuurd te worden. 

Een wijziging in de adresgegevens kan te allen tijde worden doorgegeven en zal per omgaande door Intersko worden verwerkt. Financiële gegevens kunnen uiteraard niet met terugwerkende kracht worden gewijzigd. 

Recht op blokkering, gezamenlijk belang 

Iedereen in het adresbestand van Intersko heeft ten alle tijde het recht om het postadres te blokkeren voor het toesturen van post, zowel van Intersko als van derden. Dat geldt uiteraard ook voor het mailadres voor nieuwsbrieven van Intersko. Een telefoontje of mailtje is daarvoor voldoende en daarmee is de klant de facto vergeten. 

Intersko hecht aan een goede relatie met haar klanten en heeft er geen enkel belang bij hen post te sturen waar de klant niet op zit te wachten. Dat levert naast ergernis bij de klant, Intersko een kostenpost op. 

Beveiliging 

De klantgegevens slaat Intersko op een beveiligde server op in de daarvoor bestemde ERP software. Het systeembeheer is uitbesteed aan Giant ICT. Vanuit beveiligingsgoogpunt wordt er dagelijks een backup gemaakt van het systeem. Deze wordt buiten het pand bewaard. Giant ICT verklaart het volgende omtrent haar werkzaamheden: 

01. De ICT omgeving wordt op reguliere basis voorzien van de laatste updates. 

02. Op vaste moment wordt er beheer op de omgeving uitgevoerd waarbij controles worden gedaan op antivirus componenten en patchlevels. 

03. Elk type incident wordt opgevolgd, gebruik makend van een incident management procedure. 

04. Er is een IT helpdesk beschikbaar als single point of contact voor de registratie, opvolging en coördinatie van service verzoeken en incidenten. 

05. Een geheimhoudingsverklaring is onderdeel van het arbeidscontract van alle medewerkers die voor Intersko werken. 

06. Kritische bedrijfsinformatiesystemen worden dagelijks geback-upt, opslagmedia worden extern opgeslagen. 

07. Er is een maandelijks overleg tussen directie, service delivery en information security consultant waarin verantwoording wordt afgelegd op het gebied van informatiebeveiliging (AVG, Incidenten, Strategie, Awareness). 

08. IT taken worden enkel uitgevoerd door geautoriseerd en gekwalificeerd personeel. 

Naast het ERP systeem worden ook in de webshop klantgegevens opgeslagen. De hosting hiervan is uitbesteed aan coöperatie Sition U.A. waar Intersko een verwerkersovereenkomst mee heeft gesloten. Sition heeft de volgende beveiligingsmaatregelen genomen ter beveiliging van zijn product of dienst: 

Technische beveiligingsmaatregelen 

1) Up-to-date virusscan 

2) Unieke inlogcode en wachtwoord (regelmatig aanpassen) 

3) Versleutelde email 

4) Geen onbeveiligde externe harde schijven 

5) Geen onbeveiligde back ups maken 

6) Geen documenten op privé laptop op slaan 

7) Gebruik van wachtwoord manager 

Organisatorische beveiligingsmaatregelen 

8) Geheimhoudingsverklaringen voor medewerkers 

9) Procedure voor het rapporteren van datalekken 

10) Clean desk policy 

11) Laptop niet onbemand achterlaten 

12) Laptop nooit achterlaten in de auto 

13) Oude documenten op juiste manier vernietigen 

14) Zorgvuldig gebruikt van USB-sticks 

Datalekken en verzekering 

Mocht er ondanks de goede beveiliging toch sprake zijn van een datalek dan zal Intersko dat per omgaande melden bij de autoriteit persoonsgegevens. Tegelijkertijd wordt er alles aan gedaan om de gegevens terug te halen en verdere verspreiding tegen te gaan. Intersko hanteert daarbij het protocol in Bijlage A. 

Voor het afhandelen en herstel van een datalek heeft Intersko een verzekering afgesloten bij CHUBB. 

Werknemers van Intersko 

Alle medewerkers van Intersko zijn zich ervan bewust zijn dat ze omgaan met persoonsgegevens en dat zij daar zorgvuldig mee omgaan. 

De gegevens mogen op geen enkele wijze gekopieerd en verplaatst worden. 

Datum laatste wijziging:

Betreft:

Functionaris gegevensbescherming:
Ingrid Bleij
[email protected]

Bijlage A: protokol datalek 

1) Geef een samenvatting van het beveiligingslek / beveiligingsincident / datalek. Wat is er gebeurd? Vermeld hier ook de naam van het betrokken systeem. 

2) Welke typen persoonsgegevens zijn betrokken bij het beveiligingsincident? 

- Naam -, adres - en woonplaatsgegevens 

- Telefoonnummers 

- E - mailadressen of andere adressen voor elektronische communicatie 

- Toegangs - of identificatiegegevens (bijvoorbeeld
    inlognaam/wachtwoord of klantnummer) 

- Geslacht, geboortedatum en/of leeftijd 

3) Van hoeveel personen zijn de persoonsgegevens betrokken bij het beveiligingsincident? 

- Minimaal: (vul aan) 

- Maximaal: (vul aan) 

4) Omschrijving de groep personen om wiens gegevens het gaat. 

5) Zijn de contactgegevens van de betrokken personen bekend? Het kan zijn dat betrokkenen geïnformeerd moeten worden over het datalek, kunnen deze personen in dat geval bereikt worden? 

6) Wat is de oorzaak (root cause) van het beveiligingsincident? 

- Lezen (vertrouwelijkheid) 

- Kopiëren 

- Veranderen (integriteit) 

- Verwijderen of vernietigen (beschikbaarheid) 

- Diefstal 

- Nog niet bekend 

7) Op welke datum of in welke periode heeft het beveiligingsincident plaats kunnen vinden? 

- Op (datum) 

- Tussen (begindatum periode) en (einddatum periode) 

- Nog niet bekend 

8) Welke gevolgen kan de Inbreuk hebben voor de persoonlijke levenssfeer van de Betrokkenen? 

- Stigmatisering of uitsluiting 

- Schade aan de gezondheid 

- Blootstelling aan (identiteits)fraude 

- Blootstelling aan spam of phishing 

- Anders, namelijk (vul aan) 

9) Vervolgacties naar aanleiding van het Inbreuk in verband met Persoonsgegevens 

- Welke technische en organisatorische maatregelen zijn getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen? 

10) Technische beschermingsmaatregelen: 

- zijn de Persoonsgegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden? (Kies een van de volgende opties en vul waar nodig aan) 

1. Ja 

2. Nee 

3. Deels, namelijk: (vul aan) 

- Als de Persoonsgegevens geheel of deels onbegrijpelijk of ontoegankelijk zijn gemaakt, op welke manier is dit dan gebeurd? (Beantwoord deze vraag als bij de vorige vraag gekozen is voor optie 1 of optie 3. Als gebruik is gemaakt van encryptie, licht dan ook de wijze van versleutelen toe.)