Stichting WebwinkelKeur
Stichting WebwinkelKeur
verwerkersovereenkomst
Als je bent aangesloten bij Stichting WebwinkelKeur, dan beoordelen wij de betrouwbaarheid van je webwinkel. Vervolgens informeren wij met ons oordeel de klanten, bezoekers en anderzijds geïnteresseerden over je betrouwbaarheid.
Om de betrouwbaarheid van je webwinkel te kunnen beoordelen verwerken wij persoonsgegevens die je bij ons aanlevert. In deze verwerkingsovereen- komst is vastgelegd hoe wij omgaan met de persoonsgegevens die je bij ons aanlevert, deze verwerkersovereenkomst is onderdeel van de hoofdovereenkomst. De hoofdovereenkomst is de overeenkomst op basis waarvan de persoonsgegevens worden verwerkt.
Wat verstaan we onder persoonsgegevens?
-
ceert zou kunnen worden. Denk bijvoorbeeld aan een naam,
Wie heeft welke rol?
De consument, medewerker, of bijvoorbeeld medewerker van een leverancier is, de betrokkene. Ieder natuurlijk persoon op wie de te verwerken persoonsgegevens betrekking heeft.
Jij (de webwinkel) is,
de verwerkingsverantwoordelijke. Jij stelt het doel van en de middelen voor de verwerking van persoonsgegevens vast.
Wij (Stichting WebwinkelKeur) zijn,
de verwerker. Wij verwerken persoonsgegevens ten behoeve van de webwinkel.
Onze partners zijn,
sub-verwerker. Partijen die in opdracht van WebwinkelKeur persoonsgege- vens ten behoeve van de webwinkel verwerken op basis van de hoofdovereenkomst.
Wanneer is deze verwerkersovereenkomst geldig?
Deze verwerkersovereenkomst is een aanvulling op de hoofdovereenkomst tussen de webwinkel en Stichting WebwinkelKeur.
Als de hoofdovereenkomst tussen de webwinkel en Stichting WebwinkelKeur, inclusief de toepasselijke algemene voorwaarden, al bepalingen bevat ten aanzien van de bescherming en verwerking van persoonsgegevens
en/of databeveiliging, vervalt de toepasselijkheid daarvan en komt het in deze verwerkersovereenkomst bepaalde daarvoor in de plaats.
Deze verwerkingsovereenkomst gaat in op het moment van (digitale) ondertekening en duurt voort zolang er persoonsgegevens worden verwerkt op grond van het doel van de hoofdovereenkomst. Ook is deze
overeenkomst geldig bij inschrijving voor onze dienst en het akkoord gaan op onze hoofdovereenkomst. In het geval dat de hoofdovereenkomst ten einde komt zullen gegevens worden verwijderd tenzij er een toepasselijke bewaartermijn voor gegevens aanwezig is. Zo’n bewaartermijn kan bijvoorbeeld voortvloeien uit ons doel de betrouwbaarheid van een webwinkel te beoordelen zelfs nadat een hoofdovereenkomst met deze webwinkel ten einde is gekomen. Op verzoek kunnen gegevens dan geanonimiseerd worden.
Met welk doel verwerken wij persoonsgegevens? En hoe doen wij dat?
De persoonsgegevens welke wij van je ontvangen verwerken wij met het doel om de betrouwbaarheid van je webwinkel te beoordelen en de consument en geïnteresseerden daarover te informeren. In dit kader kunnen we een viertal hoofdprocessen onderscheiden:
• Een keuring uitvoeren over de webwinkel met als basis de Europese wetgeving.
• Een register waarin wij alle gekeurde webwinkels opnemen voor het beheer van het keurmerk
• Wij verzamelen, publiceren en modereren klantbeoordelingen over je webwinkel.
• We bemiddelen en documenteren bij geschillen tussen jou en je klant.
•
bent houden we bij of je winkel is gecontroleerd en of je lidmaatschap nog actief of geldig is.
• Persoonsgegevens die wij in dit register opslaan zijn: de naam van de contactpersoon, het kvk- nummer, het btw- nummer, het bedrijfs- adres, telefoonnummer en het e-mail adres.
• Deze persoonsgegevens verwerken wij ter uitoefening van de hoofdoverkomst met jou.
• Wij vinden het risico van de verwerking van deze persoonsgegevens laag.
• Correspondentie wordt verzonden via e-mail (partners: SupportBee & Mailchimp). Facturen versturen wij via een boekhoudprogramma
server staat in Nederland.
• Wij bewaren deze gegevens oneindig. Dat achten wij noodzakelijk vanuit het oogpunt van informatievoorziening aan de consument over de geldigheid van het keurmerk. Op verzoek kunnen wij de persoons gegevens uit het register anonimiseren.
Keurmerk – informatievoorziening
• Om je te helpen de betrouwbaarheid van je webwinkel te verhogen en up to date te houden met nieuwe wetgeving brengen wij maande- lijks een nieuwsbrief uit.
• Voor het verzenden van de nieuwsbrief verwerken wij de volgende persoonsgegevens: je naam en je e-mailadres.
• Deze persoonsgegevens verwerken wij ter uitoefening van de hoofdoverkomst met jou.
• Wij vinden het risico van de verwerking van deze persoonsgegevens laag.
• Correspondentie wordt verzonden via e-mail (partner: MailChimp).
• Wij bewaren deze gegevens voor zolang de aanmelding voor onze nieuwsbrief loopt. Je kunt je in de ontvangen e-mail afmelden voor onze nieuwsbrief.
Klantbeoordelingen – de uitnodiging
• Om de consument te kunnen informeren over de kwaliteit van je webwinkel kan je klanten uitnodigen om een beoordeling over je webwinkel achter te laten. Wij versturen dan namens jou een e-mail naar je klanten en publiceren vervolgens de beoordeling. Dit kan, doormiddel van instellingen, via ons e-mailadres of een door jou gekozen e-mailadres.
• Voor het verzenden van de uitnodiging verwerken wij de volgende persoonsgegevens: naam van de consument, e-mailadres en order- nummer. Optioneel kunnen ook het telefoonnummer en bestelde producten verwerkt worden, bijvoorbeeld voor het verzenden van een mobiele uitnodiging en/of het verzamelen van product reviews.
• Jij bent verplicht je klanten erop te wijzen dat je voor het verzenden van de uitnodigingen persoonsgegevens met ons deelt.
• Wij vinden het risico van de verwerking van deze persoonsgegevens gemiddeld.
• Uitnodigingen worden verzonden via e-mail (partner: Xxxxxxxx). Deze gegevens bewaren wij op een beveiligde database, de server staat in Nederland. Een velige backup staat in Zwitserland.
• Wij bewaren deze gegevens 3 jaar. Dat achten wij noodzakelijk om jouw statistieken te kunnen geven over de verzonden uitnodigingen en om te voorkomen dat een enkele consument meerdere beoordelin- gen schrijft over je webwinkel. Op deze manier proberen wij je ook te beschermen van beoordelingen door jouw concurrenten.
Klantbeoordelingen – de beoordeling
• De beoordelingen over je webwinkel die afgegeven zijn door je klan ten publiceren wij op je ledenpagina. Indien een opmerkelijke of kwetsende review is achtergelaten kan je ons vragen om de review aan te passen of te verwijderen doormiddel van een moderatieverzoek. Als je dit doet nemen we namens jou in de meeste gevallen contact op met de persoon die de review heeft achtergelaten.
• Voor het publiceren en beheren van de beoordelingen verwerken wij de volgende persoonsgegevens: beoordelingstekst, naam van de consument, ip adres, e-mailadres. Optioneel kunnen ook het telefoon- nummer en bestelde producten verwerkt worden. Een order-
nummer wordt gevraagd maar is niet verplicht.
• De consument geeft ons toestemming voor het verwerken en publice- ren van deze persoonsgegevens bij het afgeven van de beoordeling.
• Wij vinden het risico van de verwerking van deze persoonsgegevens gemiddeld.
• Correspondentie wordt verzonden via e-mail (partners: Xxxxxxxx & SupportBee). Deze gegevens bewaren wij op een beveiligde database, de server staat in Nederland. Een veilige backup staat in Zwitserland.
• Wij bewaren deze gegevens voor onbepaalde tijd. Dat achten wij noodzakelijk vanuit het oogpunt van informatievoorziening aan de consument over de betrouwbaarheid van je webwinkel. Op verzoek van de consument kunnen wij de beoordeling verwijderen. De consu- ment is in staat zelf zijn/haar beoordeling aan te passen of te verwij- deren.
Bemiddelen in geschillen
• Soms bemiddelen wij tussen jou en je klant. Wij nemen contact op met beide partijen met het doel een gezamenlijke oplossing te bereiken voor het geschil. Lukt dat niet, dan krijgt de consument de keuze het geschil te melden bij een onafhankelijke jurist van Digi- Dispuut. In dat geval delen wij alle beschikbare informatie van jou en jouw klant met DigiDispuut om een oordeel uit te spreken, alvorens deze informatie wordt gedeeld met DigiDispuut nemen wij hierover contact met jou en jouw klant.
• Voor geschilbemiddeling verwerken wij de volgende persoonsgege- vens: de naam van de contactpersoon, het adres, het telefoonnummer, het e-mailadres, inhoudelijke informatie over de aard van het geschil en de gewenste oplossing van het geschil.
• Deze persoonsgegevens verwerken wij ter uitoefening van de geschil- bemiddeling in opdracht van de consument. En zover het persoonsge- gevens van jou betreft ter uitoefening van de hoofdoverkomst met jou.
• Wij vinden het risico van de verwerking van deze persoonsgegevens bovengemiddeld.
• Correspondentie inclusief eventueel oordeel wordt verzonden via
e-mail (partners: SupportBee & Xxxxxxxx. In geval van een juridische uitspraak: DigiDispuut). Deze gegevens bewaren wij op een beveilig- de database, de server staat in Nederland. Een veilige backup
staat in Zwitserland.
• Wij bewaren deze gegevens oneindig. Dat achten wij noodzakelijk om in de toekomst een oordeel te kunnen geven over de betrouwbaarheid van je webwinkel. Op verzoek kunnen wij de persoonsgegevens anoni- miseren.
Delen van gegevens
De gegevens die je met ons deelt zijn belangrijk, en dat moeten onze part- ners ook inzien. Wij delen persoonsgegevens met de partners welke wij genoemd hebben in het voorgaande artikel. Xxxxx verwerken hun data alleen binnen de EU, nemen de nodige stappen voor adequate gegevens bescher-
hebben ze met ons een
modelcontract afgesloten (SCC's)
Zonder jouw expliciete schriftelijke toestemming mogen wij geen gegevens delen met een partner die de gegevens verwerkt in een land buiten de EU, geen adequate stappen voor gegevens beveiliging nemen of indien part-
geen modelcontract heeft afgesloten (SCC’s)
Zo zorgen wij ervoor dat de gegevens ook bij onze partners verwerkt worden op de juiste manier, en het nodige gedaan wordt om deze goed te beveiligen.
Beveiligingsmaatregelen
Wij gaan zorgvuldig om met de persoonsgegevens die wij verwerken. Om te voorkomen dat een verwerking plaatsvindt die niet past binnen het doel van deze overeenkomst hebben we minimaal de volgende beveiligingsmaatrege- len getroffen:
beveiligd.
• Indien er op afstand een verbinding tot stand wordt gebracht met een wordt de toegang beveiligd.
king plaatsvindt is beveiligd met een gebruikersnaam en wachtwoord.
• Wij handhaven een sterk wachtwoordbeleid. Ieder wachtwoord be-
informatie.
beschikken over een betrouwbare virusscanner die te allen tijde up-to- date is.
• Mobiele gegevensdragers worden, indien deze worden gebruikt, tegen uitlezen beschermd met behulp van een wachtwoord.
• Er worden geen persoonsgegevens opgeslagen op een privé computer.
• Backups worden standaard voor de termijn van één jaar beschikbaar gehouden. Onze backup-bestanden zijn niet direct uit leesbaar.
• Al onze medewerkers, stagairs, freelancers, partners en overige der- den worden door ons tot geheimhouding verplicht. Hier wordt alleen vanaf geweken na jouw uitdrukkelijke schriftelijke toestemming of als de wet ons verplicht om de gegevens te delen.
• Onbemande gegevensdragers worden opgeslagen in een kluis.
• Oude en onnodige documenten worden op een nauwkeurige manier vernietigd.
Controle door jou
Als je een redelijk vermoeden hebt dat wij niet omgaan met persoonsgege- vens zoals vermeld is in deze overeenkomst dan heb je het recht een audit te laten voeren.
van tevoren schriftelijk aan. Past de datum niet in onze planning dan zullen wij een alternatieve datum voorstellen.
De auditor dient lid te zijn van de Norea (beroepsorganisatie van IT-auditors), of dient te voldoen aan dezelfde kwaliteitsstandaarden die de Norea stelt aan haar leden.
De kosten van de auditor en de kosten van medewerkers van ons komen voor jouw rekening.
Data lekken
Indien zich toch een beveiligingsincident voordoet, dan melden wij dat zo spoedig mogelijk bij jou. Jij moet dit als verantwoordelijke melden bij de Autoriteit Persoonsgegevens. Van de volgende incidenten doen wij in ieder geval zo snel mogelijk een melding bij jou:
• De website met inloggegevens is gehackt of toegankelijk geworden voor derden.
• Het verlies van een gegevensdrager met daarop persoonsgegevens.
• Xxxxxxx dan wel e-mails met daarin persoonsgegevens zijn naar een onjuist adres gestuurd.
met daarop persoonsgegevens voorgedaan.