Directe contact met klanten. Gedeelde data betreft: naam, telefoonnummer(s), adres, e-mail(s)
Privacy statement
Wij hechten grote waarde aan de privacy van onze gebruikers. Derk Integrated Systems en Ysbrandt z (onderdeel van Grancept umbrella hierna te noemen Grancept) respecteert en beschermt de privacy van alle bezoekers van haar websites en applicaties derk.one, derkwerkt.nl, ysbrandt.nl en grancept.nl als wel de gebruikers van deze applicaties.
De rechtsverhouding tussen u en Grancept wordt beheerst door Nederlands recht en de verwerking van persoonsgegevens geschiedt dan ook in overeenstemming met toepasselijke Nederlandse wet- en regelgeving op het gebied van privacy, met name de Wet bescherming persoonsgegevens.
Opslag van persoonlijke informatie
Grancept (onder Derk) levert online boekhoudsoftware en bijbehorende diensten. Om deze diensten te kunnen leveren slaat Grancept zowel persoonlijke data als niet-persoonlijk identificeerbare data op over de bedrijven en individuen die haar diensten gebruiken. Deze data kan persoonsgegevens bevatten zoals een naam, e-mailadres, telefoonnummer en bankrekeningnummer. Grancept verzamelt persoonsgegevens wanneer u:
- Zich aanmeldt voor Grancept via de website of applicatie;
- Gebruik maakt van Grancept;
- Contact opneemt met de support van Grancept;
U bent als gebruiker niet verplicht deze gegevens achter te laten maar zonder deze gegevens zijn onze diensten en/of support beperkt bruikbaar.
Grancept verzamelt, bewaart en gebruikt uw persoonlijke informatie zodat u gebruik kunt maken van onze applicatie en bijbehorende diensten. Specifieker worden uw persoonlijke gegevens gebruikt voor de volgende doeleinden:
- Aanmelden voor de applicatie op basis van naam, e-mailadres en wachtwoord;
- Leveren van diensten voor het maken en versturen van facturen, offertes en overige diensten binnen de applicatie;
- Het leveren van ondersteuning indien gewenst;
- Indien hiervoor aangemeld worden naam en e-mailadres gebruikt om de nieuwsbrief en/of een e-mailservice te kunnen verzenden;
- Indien hiervoor aangemeld, het verifiëren van gegevens. Om gebruik te maken van bepaalde functionaliteit en het waarborgen van een veilige omgeving binnen Grancept geven we gebruikers de mogelijkheid verschillende gegevens te verifiëren zoals KvK-nummer en IBAN. U kunt zich op ieder moment afmelden voor de nieuwsbrief door gebruik te maken van de afmeldlink in de nieuwsbrief.
Wij vinden het belangrijk onze diensten zo goed mogelijk aan te laten sluiten op de wensen van onze gebruikers. Wij zijn dan ook constant bezig onze diensten te verbeteren. Daarom slaan we behalve persoonlijke informatie ook geaggregeerde geanonimiseerde informatie over onze gebruikers op. Deze informatie is niet te herleiden naar een individu en helpt ons om:
- Beter te begrijpen hoe onze applicatie wordt gebruikt;
- Verkrijgen van globale bedrijfstrends en statistieken;
- Het op elke andere wijze verbeteren van onze diensten.
Door het gebruik van onze diensten is het tevens mogelijk dat we via onze gebruikers persoonlijke gegevens opslaan van derden, bijvoorbeeld klanten van onze directe gebruikers. U bent als afnemer van onze diensten zelf verantwoordelijk voor de keuze van de gegevens die u toevoegt en het daadwerkelijk toevoegen van deze gegevens. Zorgt u er als afnemer van onze diensten voor dat de desbetreffende individuen op de hoogte zijn van ons Privacy Statement, inbegrepen het feit dat ze zich bewust zijn van de opslag van de door u toegevoegde persoonlijke gegevens, de doeleinden waarvoor deze gegevens worden opgeslagen en de wijze waarop Derk deze heeft beveiligd. Derk bewaart uw persoonlijke gegevens niet langer dan nodig voor de benoemde doeleinden. Bij annulering van uw account worden uw persoonlijke gegevens 3 maanden na het stopzetten van uw account verwijderd tenzij u heeft aangegeven de nieuwsbrief nog te willen ontvangen. Uw geanonimiseerde data wordt langer bewaard in verband met statistische doeleinden.
Beveiliging van uw gegevens
Grancept draagt zorg voor passende technische en organisatorische maatregelen om uw persoonsgegevens te beveiligen tegen verlies en tegen enige vorm van onrechtmatige verwerking. Grancept maakt gebruik van Amazon Web Services en TRUE voor hosting en opslag van gegevens. Grancept beschikt tevens over een goede firewall en wordt het netwerkverkeer zorgvuldig bewaakt. Alle verbindingen naar de Grancept web-applicatie, smartphone/tablet applicatie of middels een API-koppeling gaan via een beveiligde SSL verbinding. Het is mogelijk om binnen de applicatie van Grancept gebruikers op specifieke onderdelen toegang geven, zodat ze geen inzicht krijgen in gegevens waarvan u dat niet wilt. Natuurlijk worden de wachtwoorden van gebruikers veilig opgeslagen, met gebruik van hashing algoritmes.
Verstrekken van uw gegevens aan derden
Grancept zal uw persoonlijke gegevens nooit verkopen of verhuren. Grancept zal uw gegevens niet aan derden verstrekken zonder uw voorafgaande toestemming, tenzij zij daartoe gehouden is op grond van een wettelijke bepaling. De website van Grancept bevat links naar websites van derden. Grancept is niet verantwoordelijk voor de naleving van de privacywetgeving door deze derden. Grancept behoudt zich het recht voor (een deel van) uw gegevens te verstrekken in geval van eigendomsoverdracht, bijvoorbeeld door een fusie of overname door een andere onderneming. Grancept zal zich inspannen, indien uw gegevens aan de verkrijgende onderneming worden verstrekt, u hiervan op de hoogte te stellen, bijvoorbeeld per e-mail, door een bericht op de website of een advertentie in een landelijk dagblad.
Gebruik van Cookies
Op de websites van Grancept wordt gebruik gemaakt van cookies. Een cookie is een klein tekstbestandje dat op uw computer wordt geplaatst door het systeem van de website die u bezoekt. Een cookie bevat informatie over uw bezoek aan de website. De cookies die Grancept plaatst op uw computer worden gebruikt voor de volgende doelen: Het onthouden van sessies en gebruikersnamen; Het verbeteren van de website door inzicht te krijgen in het gebruik van de website; De mogelijkheid verschaffen delen van de website te delen via sociale media; Verbeteren van onze marketingactiviteiten. Het beschermen tegen geautomatiseerde aanmeldingen. Het is mogelijk om cookies te blokkeren of om geen toestemming te geven voor het gebruik van cookies. De wijze waarop u dit kunt doen is afhankelijk van uw browser, zie bijvoorbeeld de uitleg van de consumentenbond. Door het uitschakelen van cookies zullen bepaalde delen van de Grancept website minder goed of niet meer functioneren.
Analytics
Grancept maakt gebruik van een eigen analytics systeem (analyse.derk.one). Hierdoor komen persoonsgegevens en bezoekersinformatie niet bij een grootte derde partij terecht. Al deze data is in eigen beheer van Grancept. Deze data wordt alleen gebruikt om bezoekers aantallen en bezoekers gedrag te monitoren. Deze data blijft in eigen beheer en zal niet worden verkocht aan derde. Deze data kan op verzoek worden verwijderd.
Toegang tot uw persoonlijke gegevens
U heeft het recht Grancept te vragen welke persoonsgegevens zij van u verwerkt. Grancept zal op dit verzoek schriftelijk in ieder geval binnen vier weken reageren. Vervolgens kunt u Grancept verzoeken deze gegevens aan te vullen, te verbeteren, te verwijderen of af te schermen, waarbij u in uw verzoek dient aan te geven welke wijzigingen u wenst. Ook op dit verzoek zal Grancept in ieder geval binnen vier weken reageren.
Data Protection Officer
Bij Grancept hebben we veilig werken erg hoog onder de aandacht. Om deze reden hebben beide partners volledige weet van waar welke documentatie wordt opgeslagen. Ook wordt er zorgvuldig gekeken waar de welke documentatie het best kunnen opslaan en met welke mate van beveiliging dit moet gebeuren.
AVG Data-map
Gegevens van email en contact formulieren
Contact over (potentiële) opdrachten, projecten en/of producten. Persoonlijk contact met de betreffende klant.
Deze gevens staan op eigen server (Derkhosting) opgeslagen onder de e-mail-server (en in handen van klant zelf).
Gegevens worden verwijderd aan het einde van een gesprek, project en/of als de klant hier naar vraagt.
Toestemming verkregen
Ouder dan 13
Kritische gegevens
Gevoelige gegevens
Gegevens in onze applicatie
Gegevens die onze klanten invoeren in het systeem, van andere (derde).
Gegevens die door onze klant gebruikt wordt als adresboek of andere doeleinde binnen de rechten van ons contract.
Deze gegevens staan in de database van de applicatie, met digitale afscherming voor onbevoegde.
Gegevens kunnen te allen tijde door onze klant worden verwijderd. Einde contract met onze klant worden deze vernietigt van de server.
Toestemming verkregen
Ouder dan 13
Kritische gegevens
Gevoelige gegevens
Klant gegevens
Onze klant gegevens. Opgeslage data betreft: naam, telefoonnummer(s), adres, e-mail(s), factuur geschiedenis
Gegevens die gebruikt worden om contact te onderhouden en voor mogelijke volg opdrachten en facturatie.
Deze gegevens staan in de database van ons administratie programma, met digitale afscherming voor onbevoegde.
Gegevens kunnen te allen tijde verijderd worden op aanvraag van de eigenaar van de gegevens.
Toestemming verkregen
Ouder dan 13
Kritische gegevens
Gevoelige gegevens
Klant gegevens webshop
Onze klant gegevens. Opgeslage data betreft: naam, telefoonnummer(s), adres, e-mail(s), factuur geschiedenis
Gegevens die gebruikt worden om contact te onderhouden en voor mogelijke volg opdrachten en facturatie.
Deze gegevens staan in de database van ons administratie programma, met digitale afscherming voor onbevoegde.
Gegevens kunnen te allen tijde verijderd worden op aanvraag van de eigenaar van de gegevens.
Toestemming verkregen
Ouder dan 13
Kritische gegevens
Gevoelige gegevens
Inschrijfformulieren
Potentiële klanten Naam, e-mail(s)
Marketing
Opgeslagen bij derde partij (mail chip)
Gegevens kunnen te allen tijde verijderd worden op aanvraag van de eigenaar van de gegevens.
Toestemming verkregen
Ouder dan 13
Kritische gegevens
Gevoelige gegevens
Data opslag en routing
De opslag van gegevens en data voeren wij bij Grancept zorgvuldig uit. We hebben verschillende plekken van opslag, voor verschillende documentatie en gegevens. Op deze manier houden we de workflow overzichtelijk, maar nog veel belangrijker de veiligheid van onze data goed beveiligd. Hieronder is een overzicht te vinden van de data stroom, en opslag locaties die wij hanteren binnen Grancept.
Klant gegevens
Grancept kluis
Alle klant gegevens staan verwerkt in een eigen ontwikkeld systeem op eigen server. Deze omgeving is goed beveiligd en de data zal niet worden gedeeld buiten Grancept.
Facturatie gegevens
Grancept kluis
Alle factuur informatie en gegevens staan verwerkt in een eigen ontwikkeld systeem op eigen server. Deze omgeving is goed beveiligd en de data zal niet worden gedeeld buiten Grancept.
Bedrijfsdocumentatie
Grancept kluis
Alle documenten, informatie en gegevens (waaronder ook gegevens van derde) staan opgeslagen in een eigen ontwikkeld systeem op eigen server. Deze omgeving is goed beveiligd en de data zal niet worden gedeeld buiten Grancept.
Ysbrandt webshop klant gegevens
Derk cms en Grancept kluis
Alle factuur en klant informatie en gegevens staan verwerkt in een eigen ontwikkeld cms-systeem op eigen server. Deze omgeving is goed beveiligd en de data zal niet worden gedeeld buiten Grancept. De data uit het cms wordt tevens ook gespiegeld naar Grancept kluis voor een overzichtelijke workflow.
Derk app klant gegevens
Derk app en Grancept kluis
Alle factuur en klant informatie en gegevens staan verwerkt in een eigen ontwikkeld applicatie op eigen server. Deze omgeving is goed beveiligd en de data zal niet worden gedeeld buiten Grancept. De data uit het cms wordt tevens ook gespiegeld naar Grancept kluis voor een overzichtelijke workflow.
Derk app gegevens van derde
Derk app
De Derk app is een administratie en archiveringssysteem. Hierdoor kunnen onze gebruikers ook gegevens invoeren. Deze gegeven staan structureel goed beveiligd. Derk is niet verantwoordelijk voor hoe de gebruiker om gaat met de data vanaf die zijde.
Digitale projecten archief
Gitlab
Alle lopende en afgeronde digitale projecten worden in Gitlab opgeslagen onder eigen account van Grancept. Alle mogelijke gevoelige informatie word geanonimiseerd voordat het naar de opslag verplaatst word.
Projecten archief
Dropbox
Alle werktekeningen en instructie tekeningen van alle producten (ook het maatwerk) van Ysbrandt staan opgeslagen in de Dropbox. Alle documenten bevatten alleen product gerelateerde informatie en geen persoons of klant gegevens.
Verslaglegging en verslagen archief
Dropbox paper
Verslaglegging binnen de digitale projecten gebeurd intern (readme.md), voor alle andere onderdelen van Grancept wordt Dropbox paper gebruikt. Ook hier worden alle persoonsgegevens geanonimiseerd.
Planning en workflow
Meistertask
Het inplannen van werkzaamheden gebeurd middel Meistertask. Binnen dit systeem worden alleen taken en projecten omschreven geen klant of persoonsgegevens.
Marketing en newsletters
Mailchip
Voor het versturen van nieuwsbrieven en reclame berichten maken we gebruik van Mailchip. Gegevens die worden opgeslagen binnen dit systeem zijn persoonsnamen en email adressen. De personen hebben hier toestemming voor gegeven en/of aangemeld.
Klantcontact (mail)
Mailspring
Voor communicatie met klanten maken wij gebruik van onze eigen mailserver. Als mail client gebruiken we Mailspring. Dit is alleen voor directe communicatie met de klant. Bij het delen van gevoelige informatie wordt de mail direct na het lezen verwijderd van de mailserver.
Klantcontact (chat)
Signal
Voor chat communicatie met klanten maken wij gebruik Signal als standaard chat programma. Als de klant een alternatief programma wilt gebruiken is Whatsapp ook een mogelijke optie. Chats met gevoelige informatie worden na het afronden verwijderd.
Klantcontact (telefoon)
Google Contacts
Telefoonnummers met naam worden opgeslagen binnen de applicatie van Google Contacts. Deze gegevens gaan niet verder dan nummer, naam en mogelijk bedrijfsnaam.
Alle boven genoemde Grancept en Derk onderdelen zijn beschermt met een two factor authentication of een beveiliging die gelijk staat aan two factor authentication, en geheel in eigen beheer.
Technical security
Zoals terug te vinden in het opslag protocol, gebruiken we voor de meeste opslag een derde partij. Deze partijen hebben een gedegen beveiliging voor de content die wij bij hun plaatsen. Onze eigen systemen zijn volledig maat gemaakt en hebben ook verschillende niveaus van beveiliging. Zo is er bijvoorbeeld een two factor authentication mogelijk. Het Grancept platform is het systeem waar onze klanten hun content kunnen plaatsen. Om deze reden dient het platform goed beveiligd te zijn. Dit systeem blijven we vernieuwen en innoveren om de veiligheid maximaal te kunnen garanderen.
Contact met klanten en contacten gebeurd veel over de mail. Vanuit de kant van Grancept is dit mail verkeer veilig (geverifieerd via ondmarc.com). Nu kunnen wij de ndere zijde van het verkeer niet garanderen. Om deze reden worden gevoelige data en informatie niet via deze manier gedeeld. De content van de meeste e-mails betreffen over het algemeen project details, wijzigingen en aanpassingen. Ook voor hardware gebruik hebben we als Grancept bepaalde afspraken. Alle hardware is beveiligd, en zal ook niet op- onbeheerd staan.
Handelen bij ongeval
Mocht het voorkomen dat er een data-lek is ontstaan, of er een succesvolle inbraak is geweest op de server, zal Grancept de data nalopen en de getroffen data / personen op de hoogte stellen van deze inbreuk. Ook zal hierbij vermeld worden welke data getroffen is van die betreffende persoon/personen.
Contract bij afsluiten
Als klanten een account willen aanmaken / aanschaffen bij het Grancept platform worden zij geacht de algemene voorwaarden van Grancept te lezen. Hierin wordt vermeld wat Grancept met de data doet en niet zal doen. Maar ook staat hier omschreven welke date de klant mag verwerken in het platform en hoe zij met het platform om dienen te gaan. Na het aanmaken van een account heeft de klant tevens ook meteen inzagen in alle gegevens die Grancept van hun heeft. Op deze manier proberen wij zo transparant mogelijk te zijn naar de gebruiker toe. Ook heeft de klant de mogelijkheid deze gegevens bij te werken en aan te passen. Bij het opzeggen of beëindigen van een contract zal alle data van een klant geanonimiseerd worden. Op deze manier heeft Grancept nog wel de data om de diensten te verbeteren, maar is niet meer in de gelegenheid te bepalen van wie deze data oorspronkelijk was geweest.
Transparantie
De klant kan met een simpele (geverifieerde) aanvraag Alle data opvragen die Grancept van deze persoon of bedrijf heeft. Volgens de AVG-norm zouden wij deze gegevens middels eenzelfde aanvraag naar een derde partij moeten kunnen sturen. Dit doen wij niet. Grancept kan in zo`n situatie wel aan de derde partij vragen hoe zij deze data aangeleverd willen hebben. Maar de documentatie hiervan wordt te allen tijde direct naar de klant zelf gestuurd. Zij kunnen deze data dan zelf door spelen naar de derde partij. Grancept wijkt hier af van de regel om te voorkomen dat er valse aanvragen worden gepleegd vanuit niet gerelateerde bedrijven. Grancept heeft data veiligheid hoog staan, en wij willen op deze manier voorkomen dat er misbruik gemaakt word van data vergaringen.
Informeren van klanten
Als er iets gewijzigd wordt binnen Grancept zoals bijvoorbeeld de Algemene voorwaarden of het Privacy Statement zullen alle bestaande klanten hier ook over worden geïnformeerd.
Data protection impact assessment (DPIA)
Gezien de sector en het product van Grancept zullen wij met enige regelmaat een DPIA uit moeten voeren. Hieronder staan drie criteria`s die wij hanteren om en DPIA uitvoeren op bepaalde data.
1. Geautomatiseerde beslissingen
Het gaat hierbij om beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben. Zo’n gegevensverwerking kan er bijvoorbeeld toe leiden dat mensen worden uitgesloten of gediscrimineerd. Gegevensverwerkingen met geringe of geen gevolgen voor mensen vallen niet onder dit criterium. In de aankomende WP29-guidelines over profiling volgt hierover meer uitleg.
2. Grootschalige gegevensverwerkingen
De AVG geeft geen definitie van ‘grootschalige gegevensverwerkingen’. WP29 adviseert om met de volgende criteria te bepalen of hiervan sprake is:
- de hoeveelheid mensen van wie gegevens worden verwerkt;
- de hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt;
- de tijdsduur van de gegevensverwerking;
- de geografische reikwijdte van de gegevensverwerking.
3. Gebruik van nieuwe technologieën
De AVG is er duidelijk over dat een DPIA nodig kan zijn bij het gebruik van een nieuwe technologie. De reden hiervoor is dat dit gebruik gepaard kan gaan met nieuwe manieren om gegevens te verzamelen en gebruiken, met mogelijk grote privacyrisico’s.
