Privacyverklaring

Hoe gaan wij om met uw persoonsgegevens?

Vanaf 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming AVG in werking. Deze privacyregels zijn van toepassing op alle lidstaten van de EU. Dit overzicht legt uit hoe er omgegaan wordt met persoonsgegevens van partners, klanten en andere betrokkenen van Schiet7Kleuren en Jimmy Israel (verslaggever en fotograaf; vanaf hier vernoemd als organisatie).

Rechten van betrokkenen

U hebt het recht tot inzage, correctie, verwijdering en dataportabiliteit van uw persoonsgegevens. De organisatie zal zich voldoende inspannen om binnen redelijke tijd deze (persoons)informatie te verschaffen en/of te wijzigen. Overdracht van persoonsgegevens vindt plaats na overleg, waarbij het auteursrecht van de organisatie in acht wordt genomen.

Overzicht verwerkingen

De organisatie verwerkt (een deel) van de onderstaande persoonsgegevens:

E-mailadressen en telefoonnummers
Doel: communicatie binnen eigen kanalen, facturering*

Post- en vestigingsadressen
Doel: communicatie binnen eigen kanalen, levering en facturering

Beeldmateriaal
Doel: Dit digitaal medium is het product van de organisatie. Een herkenbare afbeelding van een persoon is een persoonsgegeven en de organisatie zal deze als zodanig behandelen. Voor de verwerking is het nodig dat deze persoonsgegevens op een medium (fysiek of in de cloud) bewaard moeten worden.

Persoonlijke verhalen (schrift en audio)
Doel: Als verslaggever verzamelt de organisatie verhalen middels interviews. Deze worden genotuleerd op papier en/of opgenomen op een geluidsdrager. Uiteindelijk worden deze aantekeningen verwerkt tot het definitieve artikel.

*Iedere ondernemer is wettelijk verplicht zijn administratie zeven jaar te bewaren (fiscale bewaarplicht). Om deze redenen zullen de gegevens op de factuur voor tenminste zeven jaren worden opgeslagen (fysiek en digitaal).

Data protection impact assessment

De organisatie heeft niet als dienst op grote schaal persoonsgegevens van betrokkenen te verwerken. De opdrachten van cliënten zijn vooraf goed ingekaderd als het gaat om wie er op het beeldmateriaal staat of een interview ondergaat. Mocht een DPIA nodig blijken, dan is de organisatie uiteraard bereid hieraan mee te werken.

Privacywaarborging

De organisatie verwerkt persoonsgegevens in veruit alle gevallen op een eenzijdige manier. In deze volgorde is er sprake van persoonsgevensregistratie:

  1. Klantencontact verloopt doorgaans digitaal (e-mail). Hierin wordt afgesproken welke criteria de opdracht bevat.
  2. Tijdens het uitvoeren van de werkzaamheden wordt beeldmateriaal verzameld en/of een interview afgenomen.
  3. De gegevens worden opgeslagen op een fysiek medium en/of de cloud en verwerkt op een computer.
  4. Via een digitale dienst die voldoet aan de AVG normen wordt het product aan de klant geleverd.
  5. Voor facturering (eventueel vooraf ook in de offerte) worden naam, adres, telefoonnummer, e-mailadres en website geregistreerd in een factureringsdatabase (Ninox).

Hierbij zal de organisatie zich zo goed mogelijk inspannen om te voorkomen dat uw persoonsgegevens veilig bewaard worden. Dit betekent dat de fysieke media, zoals harde schijven goed beveiligd zijn en er samengewerkt wordt met betrouwbare partijen (zie ook paragraaf ‘bewerkersovereenkomsten’). De organisatie verzamelt geen cookies via de websites schiet7kleuren.nl en jimmyisrael.nl. Ook worden er geen nieuwsbrieven verstuurd en is er derhalve ook geen sprake van een mailinglist waarin deze persoonsgegevens worden opgeslagen.

Functionaris voor de gegevensbescherming

De organisatie bestaat uit één zelfstandig ondernemer en is zelf verantwoordelijk voor de gegevensbescherming.

Meldplicht datalekken

De organisatie is zich ervan bewust dat ongeoorloofde toegang tot persoonsgegevens van betrokkenen gedocumenteerd en gemeld moet worden. Dit zal overlegd worden aan de autoriteit persoonsgegevens indien daar een verzoek voor wordt ingediend.

Bewerkersovereenkomsten

De organisatie maakt gebruik van diensten die voldoen aan de nieuwe AVG. De volgende partijen verwerken persoonsgegevens van betrokkenen die de organisatie registreert:

Neostrada webhosting
Het webhostingbedrijf beheert de servers waarop de website van de organisatie is gehuisvest. Op deze servers vindt ook opslag van e-mails plaats. Neostrada verklaart hetvolgende:

“GDPR/AVG privacy wetgeving en verwerkersovereenkomst

Op 25 mei 2018 treedt de General Data Protection Regulation (GDPR) ook bekend als AVG, de nieuwe Europese wet voor databescherming, in werking. Dit heeft gevolgen voor Europese marketeers en marketeers in het algemeen die gegevens verwerken van Europese consumenten. De nieuwe wet verscherpt regels uit de huidige Wet Bescherming Persoonsgegevens, maar voegt ook een aantal nieuwe verplichtingen toe. Het is van belang om te zorgen dat je website voldoet aan deze wetgeving. 

Verwerkersovereenkomst afsluiten met Neostrada

Met meer dan 50.000 klanten is het voor ons onmogelijk om met iedereen een losse verwerkersoverenkomst te sluiten. We hebben daarom in samenwerking met een gespecialiseerde partij een bijlage toegevoegd aan onze algemene voorwaarden met de verwerkersovereenkomst (bijlage gegevensverwerking).”

bron: https://www.neostrada.nl/support/artikel/gdpravg-privacy-wetgeving-en-verwerkersovereenkomst.html (geraadpleegd op 24 mei 2018)

WeTransfer

Deze on-line dienst maakt het mogelijk grote hoeveelheden bestanden te versturen naar betrokken partijen. De organisatie maakt gebruik van deze dienst om de producten (afbeeldingen, teksten etc.) te leveren. WeTransfer verklaart hetvolgende over hun AVG/GDPR-implementatie:

WeTransfer <3 GDPR

Yet another GDPR update, you must be dreading them by now. They are important though. The GDPR was designed to give you, as consumers and citizens, more control over your personal data. Here's what we here at WeTransfer did to get GDPR compliant, in layman's terms:

          • Keeping your data safe has always been our main priority, and we upped our game! Transfers uploaded from within the EU are stored in the EU, on GDPR compliant servers hosted by AWS. This includes the metadata attached to transfers, like your email address and IP address. 
          • We also made sure our own databases got an upgrade to ensure they handle personal data in a GDPR-friendly way, and we set tighter retention periods for all user data.
          • We built a brand new analytical database that only stores data in a pseudonymized form. That means there is no directly identifiable data stored in there, and our teams work with pseudonyms instead of plain data.
          • We zoomed into how we use your data to improve our service, and found that we weren't using it to our best abilities. So, we got rid of a couple redundant cookies and added a new analytical cookie (Snowplow) that lets us store user data on our own domain instead of using an external partner. To complete the process, we updated the Privacy Statement to reflect all the changes we made.
          • Internally, we assessed each team, to 1. identify and fix gaps in their workflow, and 2. create an extensive datamap, so we understand where data goes and why. Then we evaluated if we were happy with where data went, and adjusted where necessary. Sounds cryptic, it basically means we chucked out a couple of the tools we used and replaced them with GDPR compliant tools.

Just a reminder; all improvements and changes were done for all our users. We're GDPR compliant for our Plus users, and just as compliant for everyone using the free service. All WeTransfer users are equally well-protected.

bron: https://wetransfer.zendesk.com/hc/en-us/articles/360000780226-WeTransfer-3-GDPR (geraadpleegd op 24 mei 2018)

Leidende toezichthouder

De organisatie bestaat uit één zelfstandig ondernemer en heeft slechts één vestiging in Nederland, waar de toezichthouder zich bevindt.

Toestemming

De AVG stelt strenge eisen als het gaat om verkrijging van toestemming tot het verwerken van persoonsgegevens. Bij het sluiten van een overeenkomst met de organisatie gaat u akkoord dat uw gegevens op de bovenstaande manier worden verwerkt. U bent uiteraard vrij om niet akkoord te gaan met deze privacyvoorwaarden, met het gevolg dat er geen overeenkomst wordt aangegaan.