MediaCenter is gespecialiseerd in oplossingen voor on- en offline communicatiecampagnes en strategieën. In een totaal traject – van idee tot executie en evaluatie – wordt gestreefd naar het optimale resultaat. Om dit optimale resultaat te kunnen behalen wordt bij mailingcampagnes veelal gebruik gemaakt van persoonsgegevens. Onder andere in die hoedanigheid hebben we vaak te maken met databestanden met persoonsgegevens. Voor uw en onze eigen veiligheid is het proces rondom de verwerking van de persoonsgegevens dan ook streng beveiligd. In deze privacyverklaring zijn deze afspraken vastgelegd zodat u kunt zien welke maatregelen wij hebben getroffen. Wij houden ons in alle gevallen aan de toepasselijke wet- en regelgeving, waaronder de Algemene Verordening gegevensbescherming (AVG). Dit brengt met zich mee dat wij in ieder geval:

• Persoonsgegevens verwerken in overeenstemming met het doel waarvoor deze zijn verstrekt, deze doelen en type persoonsgegevens zijn beschreven in deze Privacy Policy;
• Verwerking van persoonsgegevens beperkt is tot enkel die gegevens welke minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt;
• Vragen om uitdrukkelijke toestemming als wij deze nodig hebben voor de verwerking van persoonsgegevens;
• Passende technische- en organisatorische maatregelen hebben genomen zodat beveiliging van persoonsgegevens gewaarborgd is;
• Geen persoonsgegevens doorgegeven worden aan andere partijen, tenzij dit nodig is voor uitvoering van de doeleinden waarvoor ze zijn verstrekt;
• Op de hoogte zijn van rechten omtrent persoonsgegevens, onze klanten hierop willen wijzen en deze respecteren.

Definities
Klant = relatie; partij die ons databestanden aanlevert
Database = afdeling die verantwoordelijk is voor de verwerking van de databestanden; sortering, koppeling met briefteksten en/of drukbestanden
Relatiemanager = contactpersoon binnen MediaCenter die de productie van de opdracht begeleidt
Printoperator = persoon die de gepersonaliseerde opdracht produceert
Subverwerker = externe partij die voor MediaCenter de productie uitvoert
Functionaris voor gegevensverwerking = contactpersoon binnen MediaCenter die verantwoordelijk is voor het naleven van de beveiligingsregels vastgelegd in ISO27001

Doel van gegevens vastlegging
Regelmatig ontvangen wij nieuwe contactgegevens door middel van het uitwisselen van visitekaartjes, ingevulde contactformulieren, e-mail of persoonlijk (telefonisch) contact. We gaan discreet om met elk contact en de gegevens die hier uit voortkomen.

De contactgegevens van al onze prospects, klanten en leveranciers hebben wij opgenomen in onze CRM software. Deze gegevens gebruiken wij voor administratieve doeleinden en het dagelijkse contact dat wij hebben met deze relaties. Daarnaast houden wij klanten op de hoogte van onze services door middel van digitale- of analoge informatieberichten. Dit gebeurt uitsluitend na akkoord van desbetreffende personen. De gegevens die wij opslaan zijn:

o Naam, adres, woonplaats, land
o Telefoonnummers
o E-mailadres, website
o Geslacht
o Beroep
o Bedrijfsgegevens (rekeningnummer, KVK en BTW nummer)
o Gegevens betreffende transacties, aankoopgeschiedenis, betalingen, facturen
o Contractafspraken

Wij hebben klant specifieke webportalen voor het maken en bestellen van POD-, print- en voorraadproducten. De toegang tot deze webportalen wordt alleen verleend op verzoek van de eigenaar/klant. Een gebruiker krijgt dan een persoonlijke gebruikersnaam en wachtwoord toegewezen waarmee toegang wordt verleend tot een webportaal. Deze wachtwoorden kunnen uitsluitend op verzoek van de klant worden opgeslagen. Autorisaties binnen de webportalen worden in overleg met de klant vastgelegd en gekoppeld aan de gebruiker. In deze portalen worden specifieke gegevens van de besteller opgeslagen voor de levering en bestelhistorie van de bestellingen. Deze gegevens worden niet gebruikt voor andere doeleinden. Het bestelgedrag van de bestellers is alleen inzichtelijk voor de klant waar het webportaal voor is gebouwd. Wij voeren hier zonder toestemming geen analyses op uit. In geval van directe afrekening van de bestelling in het bestelportal gebruiken wij de bankgegevens en daarbij behorende andere persoonsgegevens alleen voor de afwikkeling van de betaling en worden de gegevens niet separaat opgeslagen.

Daarnaast zijn er klanten waarbij wij vanuit het verleden en de intensieve relatie die we hebben ook aanvullende informatie hebben zoals:
o Geboortedatum;
o Interesses
o Gegevens verkregen uit sociale profielen (LinkedIn, Twitter-accounts, Facebook e.d.)
Deze gegevens gebruiken wij uitsluitend om ze te verrassen met leuke passende acties.

Verzoek tot opvragen, rectificeren of wissen van persoonsgegevens
Uitsluitend op verzoek van de klant zullen wij informatie geven over de in ons bezit zijnde persoonsgegevens om deze te kunnen raadplegen, rectificeren of wissen. De communicatie hieromtrent dient altijd vanuit de door relatie opgegeven contactpersoon of persoon zelf te lopen.
Daarnaast werken wij mee indien het gewenst is de in ons bezit zijnde gegevens over te dragen aan de rechtmatige eigenaar of derden, hierbij zullen wij altijd vragen om legitimatie voor identificatie en rechtmatigheid van dit verzoek.

Cookiepolicy
Wij maken bij het gebruik van online toepassingen gebruik van cookies. Bij een bezoek aan onze website wijzen wij de bezoeker op deze cookies. Op onze website maken wij gebruik van analytische cookies om het bezoek aan onze website te kunnen analyseren. Daarmee kunnen we het bezoek aan onze website optimaliseren maar verzamelen hiermee geen persoonsgegevens. Daarnaast maken wij gebruik van Tracking cookies om sociale media pagina’s te kunnen delen en optimaliseren en nieuws feeds te kunnen optimaliseren. Wij gebruiken Sharethis (https://www.sharethis.com/privacy/) Facebook Connect en Impressions (https://www.facebook.com/privacy/explanation). Derden partijen kunnen hiermee uw gegevens verzamelen. Eenieder dient zich er bewust van te zijn dat wij niet verantwoordelijk zijn voor het privacy beleid van deze andere sites/apps.

Extern aangeleverde persoonsgegevens
De door klanten aangeleverde databestanden worden door ons gebruikt t.b.v. personalisatie van de te produceren en verzenden mailingen, digitaal of op fysieke exemplaren, conform opdracht van de klant. Hierbij wordt gebruikt gemaakt van databaseverwerkingsprogrammatuur. Voor de verwerking van databestanden van onze klanten hebben wij met hen een verwerkersovereenkomst opgesteld.

Aangezien wij niet verantwoordelijk zijn voor de extern aangeleverde bestanden, kunnen we op voorhand niet voorspellen welke persoonsgegevens hierin aanwezig zijn. Wij hebben dan ook standaard richtlijnen opgesteld waaraan wij voldoen om de veiligheid van de informatie te waarborgen. Mochten de gegevens van specifieke klanten een hoog risico met zich meedragen dan zijn daarover in de verwerkersovereenkomst aanvullende afspraken gemaakt. Bij vragen over zulke specifieke gevallen raden wij aan om de originele partij (onze klant) te raadplegen.

Beveiliging
Wij nemen de bescherming van persoonsgegevens serieus. Wij hebben passende technische en organisatorische maatregelen genomen om persoonsgegeven te beschermen tegen onrechtmatige verwerking, misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijzigingen. Al deze maatregelen zijn vastgelegd in onze ISO27001 normeringen. Deze maatregelen worden regelmatig getoetst en gecontroleerd in de daarbij behorende audits. Daarnaast hebben wij met al onze medewerkers een geheimhoudingsovereenkomst afgesloten zodat de mensen die inzage hebben in de gegevens hier vertrouwelijk mee om gaan. Daarnaast brengen we het belang van de bescherming van persoonsgegevens regelmatig onder de aandacht van onze medewerkers zodat ze zich continue bewust zijn van de waarde hiervan.

Wij hanteren een gebruikersnaam en wachtwoordbeleid op al onze systemen en verlenen alleen toegang tot gevoelige informatie aan de mensen die hier daadwerkelijk wat mee moeten doen.

Voor elke klant waar wij een verwerkersovereenkomst mee hebben afgesloten wordt een dedicated sftp (Secure Shell File Transfer Protocol) omgeving aangemaakt. Deze omgeving wordt beveiligd met een persoonlijke inlog welke eenmalig wordt uitgereikt aan de klant.
Voor de verwerking van het bestand is een geautomatiseerd systeem gekoppeld die er zorg voor draagt dat de bestanden op een zo veilig mogelijke manier door het productieproces worden geleid en waarbij onnodig downloaden en opslaan van de data wordt voorkomen.
De handelingen die in dit systeem worden uitgevoerd worden bijgehouden in een logbestand zodat historie in geval van calamiteiten kan worden geraadpleegd.

Back-up
Er worden geen back-ups gemaakt van de locaties waar databestanden worden opgeslagen. Er vanuit gaande dat de databestanden te allen tijde worden aangeleverd door klant, zijn zij verantwoordelijk voor een back-up van die gegevens.

Bewaartermijn persoonsgegevens
Na verwerking van de databestanden door Printoperator of Subverwerker worden deze direct verwijderd van de werkstations. Omdat dit om een handmatige handeling gaat worden alle werkstations hier één keer per maand op gecontroleerd. De map op de sftp wordt geautomatiseerd één keer per maand geschoond. Zo bedraagt de maximale bewaartermijn van databestanden die ook is vastgelegd in ons ISO27001 protocol, maximaal één maand.
Verder bewaren wij de gegevens voor het relatiebeheersysteem en de financiële administratie conform de wettelijke richtlijnen 7 jaar.

Waarborging correcte verwerking van gegevens
Onze werkwijze voor het verwerken van de gegevens en daarbij behorende integriteit zijn vastgelegd in onze ISO27001 procedures voor informatiebeveiliging.

Wij verwerken alleen persoonsgegevens van minderjarigen (personen jonger dan 16 jaar) indien daarvoor schriftelijk akkoord is gegeven door de ouder, verzorger of wettelijk vertegenwoordiger. Wij kunnen echter niet controleren of de verstrekker van gegevens ouder dan 16 jaar is, als de geboortedatum niet nodig is voor communicatiedoeleinden. Wij raden ouders dan ook aan betrokken te zijn bij de online activiteiten van hun kinderen, om zo te voorkomen dat er gegevens over kinderen verzameld worden zonder ouderlijke toestemming.

Subverwerkers
De gegevens die klanten aan ons geven kunnen wij aan derde partijen verstrekken indien dit noodzakelijk is voor de uitvoering van de communicatieproducties. Wij werken samen met een vaste groep subverwerkers welke in de verwerkersovereenkomsten zijn vastgelegd. Met deze subverwerkers hebben wij afspraken gemaakt en subverwerksovereenkomsten opgesteld. Deze voldoen minimaal aan onze beveiligingseisen die we hebben vastgelegd in ons ISO27001 protocol en de specifieke afspraken die zijn gemaakt met klanten indien er spraken is van gegevens met hoog risico.

Voorbeelden van werkzaamheden waarvoor wij subverwerkers kunnen inschakelen zijn:
o Het verzorgen van de hosting en het beheer van onze online-, web- of cloudoplossingen;
o Technische ondersteuning bij de gegevensverwerking van onze inhouse ICT-toepassingen
o Analyse van het gedrag van bezoekers (Google Analytics)
o (Sub)verwerkers voor de realisatie van opdrachten t.b.v. gepersonaliseerd drukwerk en/of bezorging;
o Salarisadministratie
o Organisaties ten behoeve van verzuim en re-integratie
o Verzekeraars
o Financiële administratie
o Het verzorgen van nieuwsbrieven en uitnodigingen

Wij zullen de bij ons bekende gegevens niet aan andere partijen verstrekken, tenzij dit wettelijk verplicht en toegestaan is of dat hier door de klant/eigenaar van de persoonsgegevens toestemming voor is gegeven. Bovendien verstrekken wij geen persoonsgegevens aan partijen welke gevestigd zijn buiten de EU.

Dataverwerking met een hoog risico
Indien de klant een opdracht uitzet met een beschermingseffectbeoordeling met een hoog risico, stemmen we vooraf af welke extra beveiligingsmaatregelen er dienen te worden genomen. Standaard maakt MediaCenter een onderscheid tussen;
– Standaard = databestanden met alleen NAW gegevens
– Hoog = databestanden met persoonsgebonden informatie in combinatie met NAW gegevens

Datalek meldingsprocedure
Indien er sprake is van een (vermoedelijke) datalek dan stelt verwerker verwerkingsverantwoordelijke daarvan op zo kort mogelijke termijn op de hoogte, maar in ieder geval binnen maximaal 18 uur na het ontdekken van het (vermoedelijke) datalek. Verwerker voorziet daarbij in de informatie die redelijkerwijs benodigd is om de Verwerkingsverantwoordelijke zodanig te informeren dat deze – indien nodig – een juiste en volledige melding kan doen aan de autoriteit persoonsgegevens en eventueel de betrokkene(n) in het kader van de meldplicht datalekken in verband met persoonsgegevens. Verwerker stelt verwerkingsverantwoordelijke tevens schriftelijk op de hoogte, en benoemd de maatregelen die verwerker neemt om herhaling van het datalek op de persoonsgegevens in de toekomst te voorkomen. De registratie van het datalek wordt vastgelegd conform ons ISO27001 protocol.

Wij vernemen het graag als iemand het idee heeft dat zijn of haar gegevens niet goed zijn beveiligd of er aanwijzingen zijn van een datalek. Indien dit het geval is of er klachten zijn over onze verwerking van persoonsgegevens dan verzoeken wij een ieder om in eerste instantie direct contact met ons op te nemen. Wij zullen de klacht serieus nemen en er alles aan doen om samen tot een oplossing te komen. Mocht dit niet naar tevredenheid verlopen is er altijd de vrijheid om de klacht neer te leggen bij de Autoriteit persoonsgegevens (AP), dit is de toezichthoudende autoriteit op het gebied van privacybescherming.

Web interface
1x per jaar wordt er een penetratietest uitgevoerd op onze webomgeving waar onze website, portals en online applicaties onder draaien. Op verzoek kan de meest recente rapportage verstrekt worden. Veiligheidslekken worden direct opgepakt en aangepast waarna een nieuwe test zal worden gedaan tot het systeem veilig wordt bevonden.

Cameratoezicht
Als onderdeel van onze veiligheidsmaatregelen maken we in ons pand gebruik van camera’s om diefstal of beschadiging te voorkomen en om fraude bij het verwerken bijvoorbeeld examens tegen te gaan. Om de inbreuk op de privacy zoveel mogelijk te beperken hangen de camera’s niet in toilet of kleedhokjes en worden er geen geluidsopnames gemaakt.

De beelden worden conform de wettelijke richtlijnen maximaal 4 weken bewaard. De beelden worden alleen opgevraagd en bekeken indien er een incident is vastgelegd, zoals diefstal. Bij uitzondering zullen de bestanden dan worden bewaard tot dit incident is afgehandeld.
Conform de AVG heeft iedere bezoeker of medewerker van ons pand de volgende privacy rechten:
o Het recht om gegevens (camerabeelden) in te zien;
o Het recht om vergeten te worden;
o Het recht op beperking van de verweking;
o Het recht om bezwaar te maken tegen het gebruik van persoonsgegevens.

Contact
Heb je vragen over onze privacy verklaring en onze werkwijzen, neem dan gerust contact met ons op.

MediaCenter Rotterdam BV
Metaalhof 27
3067 GM Rotterdam
Tel. 0104252600
Info@mediacenterrotterdam.nl
www.mediacenterrotterdam.nl