MediaCenter is gespecialiseerd in oplossingen voor on- en offline communicatiecampagnes en strategieën. In een totaal traject – van idee tot executie en evaluatie – wordt gestreefd naar het optimale resultaat. Om dit optimale resultaat te kunnen behalen wordt bij mailingcampagnes veelal gebruik gemaakt van persoonsgegevens. Onder andere in die hoedanigheid hebben we vaak te maken met databestanden met persoonsgegevens. Voor uw en onze eigen veiligheid is het proces rondom de verwerking van de persoonsgegevens dan ook streng beveiligd. In deze privacyverklaring zijn deze afspraken vastgelegd zodat u kunt zien welke maatregelen wij hebben getroffen. Wij houden ons in alle gevallen aan de toepasselijke wet- en regelgeving, waaronder de Algemene Verordening gegevensbescherming (AVG). Dit brengt met zich mee dat wij in ieder geval:
Klant = relatie; partij die ons databestanden aanlevert
Database = afdeling die verantwoordelijk is voor de verwerking van de databestanden; sortering, koppeling met briefteksten en/of drukbestanden
Relatiemanager = contactpersoon binnen MediaCenter die de productie van de opdracht begeleidt
Printoperator = persoon die de gepersonaliseerde opdracht produceert
Subverwerker = externe partij die voor MediaCenter de productie uitvoert
Functionaris voor gegevensverwerking = contactpersoon binnen MediaCenter die verantwoordelijk is voor het naleven van de beveiligingsregels vastgelegd in ISO27001
Regelmatig ontvangen wij nieuwe contactgegevens door middel van het uitwisselen van visitekaartjes, ingevulde contactformulieren, e-mail of persoonlijk (telefonisch) contact. We gaan discreet om met elk contact en de gegevens die hier uit voortkomen.
De contactgegevens van al onze prospects, klanten en leveranciers hebben wij opgenomen in onze CRM software. Deze gegevens gebruiken wij voor administratieve doeleinden en het dagelijkse contact dat wij hebben met deze relaties. Daarnaast houden wij klanten op de hoogte van onze services door middel van digitale- of analoge informatieberichten. Dit gebeurt uitsluitend na akkoord van desbetreffende personen. De gegevens die wij opslaan zijn:
o Naam, adres, woonplaats, land
o Telefoonnummers
o E-mailadres, website
o Geslacht
o Beroep
o Bedrijfsgegevens (rekeningnummer, KVK en BTW nummer)
o Gegevens betreffende transacties, aankoopgeschiedenis, betalingen, facturen
o Contractafspraken
Wij hebben klant specifieke webportalen voor het maken en bestellen van POD-, print- en voorraadproducten. De toegang tot deze webportalen wordt alleen verleend op verzoek van de eigenaar/klant. Een gebruiker krijgt dan een persoonlijke gebruikersnaam en wachtwoord toegewezen waarmee toegang wordt verleend tot een webportaal. Deze wachtwoorden kunnen uitsluitend op verzoek van de klant worden opgeslagen. Autorisaties binnen de webportalen worden in overleg met de klant vastgelegd en gekoppeld aan de gebruiker. In deze portalen worden specifieke gegevens van de besteller opgeslagen voor de levering en bestelhistorie van de bestellingen. Deze gegevens worden niet gebruikt voor andere doeleinden. Het bestelgedrag van de bestellers is alleen inzichtelijk voor de klant waar het webportaal voor is gebouwd. Wij voeren hier zonder toestemming geen analyses op uit. In geval van directe afrekening van de bestelling in het bestelportal gebruiken wij de bankgegevens en daarbij behorende andere persoonsgegevens alleen voor de afwikkeling van de betaling en worden de gegevens niet separaat opgeslagen.
Daarnaast zijn er klanten waarbij wij vanuit het verleden en de intensieve relatie die we hebben ook aanvullende informatie hebben zoals:
o Geboortedatum;
o Interesses
o Gegevens verkregen uit sociale profielen (LinkedIn, Twitter-accounts, Facebook e.d.)
Deze gegevens gebruiken wij uitsluitend om ze te verrassen met leuke passende acties.
Uitsluitend op verzoek van de klant zullen wij informatie geven over de in ons bezit zijnde persoonsgegevens om deze te kunnen raadplegen, rectificeren of wissen. De communicatie hieromtrent dient altijd vanuit de door relatie opgegeven contactpersoon of persoon zelf te lopen.
Daarnaast werken wij mee indien het gewenst is de in ons bezit zijnde gegevens over te dragen aan de rechtmatige eigenaar of derden, hierbij zullen wij altijd vragen om legitimatie voor identificatie en rechtmatigheid van dit verzoek.
We gebruiken cookies en vergelijkbare tracking technologieën om activiteiten op onze website te monitoren en bepaalde informatie op te slaan. Cookies zijn kleine gegevensbestanden die op jouw apparaat worden opgeslagen. Je kunt de browser instrueren alle cookies te weigeren of aan te geven wanneer een cookie wordt verzonden. Als je geen cookies accepteert, kan je mogelijk niet alle delen van onze website gebruiken.
We gebruiken de informatie die we verzamelen op verschillende manieren, waaronder:
De door klanten aangeleverde databestanden worden door ons gebruikt t.b.v. personalisatie van de te produceren en verzenden mailingen, digitaal of op fysieke exemplaren, conform opdracht van de klant. Hierbij wordt gebruikt gemaakt van databaseverwerkingsprogrammatuur. Voor de verwerking van databestanden van onze klanten hebben wij met hen een verwerkersovereenkomst opgesteld.
Aangezien wij niet verantwoordelijk zijn voor de extern aangeleverde bestanden, kunnen we op voorhand niet voorspellen welke persoonsgegevens hierin aanwezig zijn. Wij hebben dan ook standaard richtlijnen opgesteld waaraan wij voldoen om de veiligheid van de informatie te waarborgen. Mochten de gegevens van specifieke klanten een hoog risico met zich meedragen dan zijn daarover in de verwerkersovereenkomst aanvullende afspraken gemaakt. Bij vragen over zulke specifieke gevallen raden wij aan om de originele partij (onze klant) te raadplegen.
Wij nemen de bescherming van persoonsgegevens serieus. Wij hebben passende technische en organisatorische maatregelen genomen om persoonsgegeven te beschermen tegen onrechtmatige verwerking, misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijzigingen. Al deze maatregelen zijn vastgelegd in onze ISO27001 normeringen. Deze maatregelen worden regelmatig getoetst en gecontroleerd in de daarbij behorende audits. Daarnaast hebben wij met al onze medewerkers een geheimhoudingsovereenkomst afgesloten zodat de mensen die inzage hebben in de gegevens hier vertrouwelijk mee om gaan. Daarnaast brengen we het belang van de bescherming van persoonsgegevens regelmatig onder de aandacht van onze medewerkers zodat ze zich continue bewust zijn van de waarde hiervan.
Wij hanteren een gebruikersnaam en wachtwoordbeleid op al onze systemen en verlenen alleen toegang tot gevoelige informatie aan de mensen die hier daadwerkelijk wat mee moeten doen.
Voor elke klant waar wij een verwerkersovereenkomst mee hebben afgesloten wordt een dedicated sftp (Secure Shell File Transfer Protocol) omgeving aangemaakt. Deze omgeving wordt beveiligd met een persoonlijke inlog welke eenmalig wordt uitgereikt aan de klant.
Voor de verwerking van het bestand is een geautomatiseerd systeem gekoppeld die er zorg voor draagt dat de bestanden op een zo veilig mogelijke manier door het productieproces worden geleid en waarbij onnodig downloaden en opslaan van de data wordt voorkomen.
De handelingen die in dit systeem worden uitgevoerd worden bijgehouden in een logbestand zodat historie in geval van calamiteiten kan worden geraadpleegd.
Er worden geen back-ups gemaakt van de locaties waar databestanden worden opgeslagen. Er vanuit gaande dat de databestanden te allen tijde worden aangeleverd door klant, zijn zij verantwoordelijk voor een back-up van die gegevens.
We zullen je persoonlijke gegevens alleen bewaren zolang als nodig is om de doeleinden die in dit privacybeleid zijn uiteengezet te vervullen. De bewaartermijn wordt bepaald door:
Na verwerking van de databestanden door Printoperator of Subverwerker worden deze direct verwijderd van de werkstations. Omdat dit om een handmatige handeling gaat worden alle werkstations hier één keer per maand op gecontroleerd. De map op de sftp wordt geautomatiseerd één keer per maand geschoond. Zo bedraagt de maximale bewaartermijn van databestanden die ook is vastgelegd in ons ISO27001 protocol, maximaal één maand.
Verder bewaren wij de gegevens voor het relatiebeheersysteem en de financiële administratie conform de wettelijke richtlijnen 7 jaar.
Onze werkwijze voor het verwerken van de gegevens en daarbij behorende integriteit zijn vastgelegd in onze ISO27001 procedures voor informatiebeveiliging.
Wij verwerken alleen persoonsgegevens van minderjarigen (personen jonger dan 16 jaar) indien daarvoor schriftelijk akkoord is gegeven door de ouder, verzorger of wettelijk vertegenwoordiger. Wij kunnen echter niet controleren of de verstrekker van gegevens ouder dan 16 jaar is, als de geboortedatum niet nodig is voor communicatiedoeleinden. Wij raden ouders dan ook aan betrokken te zijn bij de online activiteiten van hun kinderen, om zo te voorkomen dat er gegevens over kinderen verzameld worden zonder ouderlijke toestemming.
De gegevens die klanten aan ons geven kunnen wij aan derde partijen verstrekken indien dit noodzakelijk is voor de uitvoering van de communicatieproducties. Wij werken samen met een vaste groep subverwerkers welke in de verwerkersovereenkomsten zijn vastgelegd. Met deze subverwerkers hebben wij afspraken gemaakt en subverwerksovereenkomsten opgesteld. Deze voldoen minimaal aan onze beveiligingseisen die we hebben vastgelegd in ons ISO27001 protocol en de specifieke afspraken die zijn gemaakt met klanten indien er spraken is van gegevens met hoog risico.
Voorbeelden van werkzaamheden waarvoor wij subverwerkers kunnen inschakelen zijn:
o Het verzorgen van de hosting en het beheer van onze online-, web- of cloudoplossingen;
o Technische ondersteuning bij de gegevensverwerking van onze inhouse ICT-toepassingen
o Analyse van het gedrag van bezoekers (Google Analytics)
o (Sub)verwerkers voor de realisatie van opdrachten t.b.v. gepersonaliseerd drukwerk en/of bezorging;
o Salarisadministratie
o Organisaties ten behoeve van verzuim en re-integratie
o Verzekeraars
o Financiële administratie
o Het verzorgen van nieuwsbrieven en uitnodigingen
Wij zullen de bij ons bekende gegevens niet aan andere partijen verstrekken, tenzij dit wettelijk verplicht en toegestaan is of dat hier door de klant/eigenaar van de persoonsgegevens toestemming voor is gegeven. Bovendien verstrekken wij geen persoonsgegevens aan partijen welke gevestigd zijn buiten de EU.
Indien de klant een opdracht uitzet met een beschermingseffectbeoordeling met een hoog risico, stemmen we vooraf af welke extra beveiligingsmaatregelen er dienen te worden genomen. Standaard maakt MediaCenter een onderscheid tussen;
– Standaard = databestanden met alleen NAW gegevens
– Hoog = databestanden met persoonsgebonden informatie in combinatie met NAW gegevens
Indien er sprake is van een (vermoedelijke) datalek dan stelt verwerker verwerkingsverantwoordelijke daarvan op zo kort mogelijke termijn op de hoogte, maar in ieder geval binnen maximaal 18 uur na het ontdekken van het (vermoedelijke) datalek. Verwerker voorziet daarbij in de informatie die redelijkerwijs benodigd is om de Verwerkingsverantwoordelijke zodanig te informeren dat deze – indien nodig – een juiste en volledige melding kan doen aan de autoriteit persoonsgegevens en eventueel de betrokkene(n) in het kader van de meldplicht datalekken in verband met persoonsgegevens. Verwerker stelt verwerkingsverantwoordelijke tevens schriftelijk op de hoogte, en benoemd de maatregelen die verwerker neemt om herhaling van het datalek op de persoonsgegevens in de toekomst te voorkomen. De registratie van het datalek wordt vastgelegd conform ons ISO27001 protocol.
Wij vernemen het graag als iemand het idee heeft dat zijn of haar gegevens niet goed zijn beveiligd of er aanwijzingen zijn van een datalek. Indien dit het geval is of er klachten zijn over onze verwerking van persoonsgegevens dan verzoeken wij een ieder om in eerste instantie direct contact met ons op te nemen. Wij zullen de klacht serieus nemen en er alles aan doen om samen tot een oplossing te komen. Mocht dit niet naar tevredenheid verlopen is er altijd de vrijheid om de klacht neer te leggen bij de Autoriteit persoonsgegevens (AP), dit is de toezichthoudende autoriteit op het gebied van privacybescherming.
1x per jaar wordt er een penetratietest uitgevoerd op onze webomgeving waar onze website, portals en online applicaties onder draaien. Op verzoek kan de meest recente rapportage verstrekt worden. Veiligheidslekken worden direct opgepakt en aangepast waarna een nieuwe test zal worden gedaan tot het systeem veilig wordt bevonden.
Als onderdeel van onze veiligheidsmaatregelen maken we in ons pand gebruik van camera’s om diefstal of beschadiging te voorkomen en om fraude bij het verwerken bijvoorbeeld examens tegen te gaan. Om de inbreuk op de privacy zoveel mogelijk te beperken hangen de camera’s niet in toilet of kleedhokjes en worden er geen geluidsopnames gemaakt.
De beelden worden conform de wettelijke richtlijnen maximaal 4 weken bewaard. De beelden worden alleen opgevraagd en bekeken indien er een incident is vastgelegd, zoals diefstal. Bij uitzondering zullen de bestanden dan worden bewaard tot dit incident is afgehandeld.
Conform de AVG heeft iedere bezoeker of medewerker van ons pand de volgende privacy rechten:
o Het recht om gegevens (camerabeelden) in te zien;
o Het recht om vergeten te worden;
o Het recht op beperking van de verweking;
o Het recht om bezwaar te maken tegen het gebruik van persoonsgegevens.
Heb je vragen over onze privacy verklaring en onze werkwijzen, neem dan gerust contact met ons op.
MediaCenter Rotterdam BV
Metaalhof 27
3067 GM Rotterdam
Tel. 010 321 1818
Info@mediacenterrotterdam.nl
www.mediacenterrotterdam.nl