Privacybeleid

Beveiliging als topprioriteit

Veiligheid begint bij goed georganiseerd zijn. We werken volgens de internationale ISO27001-norm voor informatiebeveiliging. Niet omdat het moet, maar omdat we het belangrijk vinden. Deze norm zorgt ervoor dat we continu alert blijven en ons beveiligingsbeleid steeds verder verbeteren. Van onze eigen medewerkers tot onze leveranciers: iedereen krijgt regelmatig training over hoe om te gaan met vertrouwelijke informatie.

En natuurlijk hebben we met alle IT-leveranciers afspraken op papier staan over hoe zij met jouw gegevens omgaan. Want ook zij moeten zich houden aan onze hoge eisen.

Waar staan jouw gegevens eigenlijk?

Jouw persoonsgegevens blijven gewoon lekker in Europa. We slaan niets op buiten de EU. Bovendien werken we alleen samen met hostingpartijen die zelf ook ISO27001-gecertificeerd zijn. Veiligheid in het kwadraat dus.

Ons netwerk is zo ingericht dat je gegevens alleen toegankelijk zijn voor mensen die er echt bij moeten kunnen. Probeer je vanaf een ander netwerk in te loggen? Dan kom je er niet in. Zo simpel is het. Plus: iedereen die toegang heeft, werkt met twee-factor-authenticatie. Geen wachtwoord alleen, maar altijd een extra verificatiestap.

Toegang alleen wanneer nodig

We hanteren een simpel principe: je krijgt alleen toegang tot gegevens als je die écht nodig hebt voor je werk. Niet meer, niet minder. En alle toegang wordt gelogd en periodiek gecontroleerd. Zo houden we precies bij wie wanneer waar is geweest.

Als iemand uit dienst gaat of van functie verandert? Dan worden toegangsrechten direct aangepast. Want oude accounts die nog actief zijn, dat willen we niet.

Met wie delen we jouw gegevens?

Om je bestelling netjes af te kunnen leveren, werken we samen met verschillende gespecialiseerde partijen. Je naam en adres gaan bijvoorbeeld naar PostNL voor de bezorging, en naar Sendcloud die onze verzendlabels verzorgt. Voor onze giftcards werken we samen met leveranciers zoals Intersolve, TCS en Blackhawk. En natuurlijk gebruiken we een ERP-systeem (Odoo) om alles goed te organiseren.

Daarnaast hebben we partners die ons helpen met de technische kant: Fonkel Media voor onze webshop, Microsoft voor e-mail en opslag, Pixelbyte voor ons netwerk, en Printfactory voor het drukwerk van fysieke vouchers. Met al deze partijen hebben we waterdichte afspraken gemaakt over hoe zij met jouw gegevens omgaan. Ze mogen ze alleen gebruiken voor het doel waarvoor wij ze inhuren, en moeten zich aan dezelfde strenge beveiligingseisen houden als wijzelf.

Automatisch opruimen

We bewaren je gegevens niet langer dan noodzakelijk. Bestellingen uit onze webshops bewaren we precies één jaar. Daarna anonimiseren we alle klantgegevens die we niet meer nodig hebben. Dan zijn je persoonsgegevens definitief verdwenen uit onze systemen. Netjes opgeruimd, zoals het hoort.

Als iemand uit dienst gaat of van functie verandert? Dan worden toegangsrechten direct aangepast. Want oude accounts die nog actief zijn, dat willen we niet.

Testen, testen, testen

Vertrouwen is goed, controle is beter. Daarom laten we jaarlijks door een onafhankelijke partij penetratietesten uitvoeren op onze webshop en API’s. Zij proberen op allerlei manieren binnen te dringen in onze systemen. Tot nu toe zijn we telkens met vlag en wimpel geslaagd: geen enkele dreiging gevonden.

Mochten er toch zwakke plekken opduiken? Dan worden die direct verholpen volgens ons wijzigingsbeheerproces.

Voor het onverhoopte geval

Stel dat er onverhoopt iets misgaat met onze systemen. Ook dan zijn je gegevens veilig. We maken automatisch versleutelde back-ups die we verspreid opslaan over meerdere datacenters en zelfs verschillende continenten. En die back-ups? Die testen we elk jaar grondig om zeker te weten dat we alles kunnen terughalen als dat nodig is.