Voor het laatst bijgewerkt op 19-10-2018

U vertrouwt ons uw betalings- en persoonsgegevens toe. We hechten veel waarde aan dat vertrouwen. Hier beschrijven we hoe we zorgen voor de bescherming van uw persoonsgegevens.

Wij zorgen al decennia voor uw betaalgegevens en van die van miljoenen andere Nederlanders. Daarom voldoen wij aan:

• de Wet Financieel Toezicht
• de Wet ter voorkoming van Witwassen en Financieren van Terrorisme
• de Telecommunicatiewet
• de Europese Algemene Verordening Gegevensbescherming
• de Uitvoeringswet Algemene Verordening Gegevensbescherming

Onze werkprocessen zijn helemaal ingericht op de strenge eisen van al deze wetten. En ons dataverkeer is robuust beschermd. Zo verzekeren wij u van uw privacy en die van uw klanten.

Basisprincipes van privacy
Dat we aan deze wetten voldoen, betekent kort door de bocht dat we ons aan deze basisprincipes houden:

We vertellen u over uw rechten en handelen pas als u toestemming geeft om uw gegevens te verwerken

• We gebruiken uw persoonsgegevens uitsluitend voor de uitvoering van ons werk.
• We verzamelen alleen de gegevens die voor ons werk noodzakelijk zijn.
• We zorgen dat uw persoonsgegevens correct zijn en blijven.
• We bewaren uw persoonsgegevens niet langer dan noodzakelijk.
• We beschermen uw persoonsgegevens tegen toegang door onbevoegden, verlies of vernietiging.
• We kunnen aantonen aan deze regels te voldoen.

Databeheerder én dataverwerker

Op het gebied van privacy hebben wij juridisch gezien een dubbelrol. We registreren en beheren persoonsgegevens van onze klanten, uw klanten en onze medewerkers. In die zin zijn we officieel databeheerder en aansprakelijk voor de zorgvuldige omgang met data.
Daarnaast behandelen we betalingsgegevens namens onze klanten, zoals ING, Equens, ACI en Bancontact. In die situatie zijn wij dataverwerker. Onze klanten zijn databeheerder en aansprakelijk voor de omgang met gegevens. Zij stellen specifieke eisen aan onze omgang met uw data, die we vastleggen in een samenwerkingsovereenkomst. Deze voeren wij nauwgezet uit. In beide rollen zorgen we dat uw privacy zorgvuldig is beschermd.

Persoonsgegevens verwijderen

Je hebt het recht ons te vragen om je persoonsgegevens te laten verwijderen als je persoonsgegevens onrechtmatig zijn verwerkt, niet langer nodig zijn voor het doel waarvoor ze zijn verwerkt, óf omdat je jouw toestemming hebt ingetrokken en CCV Shop geen andere geldige reden meer heeft voor de verwerking van je gegevens. Stuur hiervoor een e-mail met jouw verzoek naar support@salespos.io.

Wij gaan zo zorgvuldig en veilig mogelijk om met uw gegevens. Als u dat wilt nagaan, is het goed te weten dat u – als eigenaar van uw persoonsgegevens – diverse rechten heeft.

Recht op informatie
U heeft het recht geïnformeerd te worden over onze werkprocessen waarin uw persoons- en betalingsgegevens rond gaan.

Recht op inzage
U heeft het recht de persoonsgegevens in te zien die wij van u hebben. Wilt u gebruik maken van dit recht? Geen punt. Wel verifiëren we eerst uw identiteit, waarna we al uw gegevens opzoeken. Alle data die we van u hebben, sturen we u toe. En we informeren u over de details van ons verwerkingsproces, zoals het doel, de bewaartermijn, met wie de gegevens worden gedeeld, en hoe de gegevens zijn verkregen. We streven ernaar u binnen een maand inzage te geven. Wanneer dit langer gaat duren, informeren we u daarover.
Dien een verzoek in om uw gegevens in te zien >>

Recht op correctie, beperking en verwijdering
U heeft het recht om de persoonsgegevens die wij van u hebben, te corrigeren of aan te vullen. Of om een deel van uw gegevens te verwijderen, zodat we met beperkte gegevens verder gaan. En u heeft het zogeheten ‘recht op vergetelheid’, wat betekent dat u alle gegevens die wij van u hebben, kunt laten verwijderen. De wet verplicht ons overigens bepaalde gegevens wel te bewaren. Die kunnen we dus niet verwijderen.
Verzoek ons om data te wijzigen of te verwijderen >>

Recht op bezwaar
Als u vindt dat wij ten onrechte persoonsgegevens van u verwerken, dan nodigen we u uit dat aan ons kenbaar te maken. Als uw bezwaar terecht is, zullen wij de verwerking van uw persoonsgegevens stoppen. Ook kunt u een officiële klacht indienen als u vindt dat wij onzorgvuldig met uw gegevens omgaan. Wanneer u ons dat meldt, zullen we onze processen kritisch nalopen en eventuele tekortkomingen wegnemen. We streven ernaar uw klacht binnen vijf werkdagen af te handelen. Mocht dit langer duren, informeren we u daarover. Komen we er samen niet uit, dan kunt u een signaal afgeven bij de Autoriteit Persoonsgegevens.
Dien een klacht bij ons in >>
Dien een klacht in bij Autoriteit Persoonsgegevens >>

Met allerlei technische en organisatorische maatregelen beschermen we uw privacy zo goed mogelijk. Met certificeringen door nationale en internationale kwaliteits- en veiligheidsstandaarden laten we zien hoe serieus we dat nemen. Bijvoorbeeld met de Payment Card Industry Data Security Standard (PCI DSS). Lees hoe we uw privacy in onze werkprocessen beschermen.

Drievoudige bescherming van data

• De verantwoordelijkheid voor een zorgvuldige omgang met data ligt allereerst bij onze collega’s die dagelijks persoonsgegevens verwerken. Zij zitten middenin dataverwerkingsprocessen en zien de inhoud van applicaties. Zij beoordelen dan ook iedere dag of alle processen correct functioneren.
• De afdeling risicomanagement en de functionaris gegevensbescherming ondersteunen en adviseren daarbij. Ze stellen beleid op, voeren risicoanalyses uit, en toetsen of de werkprocessen inderdaad voldoen aan de regelgeving.
• Tot slot controleren onze onafhankelijke interne auditafdeling en de functionaris gegevensbescherming of de samenwerking tussen bovengenoemde collega’s goed functioneert. En of we inderdaad onze wettelijke en zakelijke verplichtingen waarmaken.

Werkprocessen bewaken
Soms kan een nieuw werkproces risico’s betekenen voor uw persoonsgegevens. Daarom toetsen we elk nieuw werkproces eerst aan de Data Protection Impact Assessment (DPIA). Ook voeren we een risicoanalyse en een technische controle uit. Zo weten we zeker dat het autorisatieproces, de beveiliging en de administratie correct verlopen. 

Administratie van activiteiten
Elke activiteit die we uitvoeren in het dataverwerkingsproces, houden we nauwkeurig bij zodat we altijd kunnen achterhalen wat er gebeurt met uw persoonsgegevens. Onze functionaris gegevensbescherming ziet erop toe dat deze administratie volledig en actueel is en blijft. Deze administratie is openbaar toegankelijk. 
Bekijk het register van verwerkingen >>

Doel van datagebruik

Persoonsgegevens van medewerkers gebruiken we alleen voor de uitvoering van onze plichten als werkgever. Persoonsgegevens van klanten alleen voor de uitvoering van onze diensten, bijvoorbeeld voor het:

• sluiten of wijzigen van overeenkomsten,
• verwerken en analyseren van betaaltransacties,
• oplossen van geschillen en betwiste betaaltransacties,
• voorkomen en bestrijden van fraude en andere criminele activiteiten,
• analyseren van data om onze dienstverlening te verbeteren,
• initiëren, coördineren en uitbesteden van werkprocessen,
• en gerichte marketingactiviteiten.

Bewaartermijn
We bewaren persoonsgegevens niet langer dan nodig voor het beoogde doel, en niet langer dan de wettelijke termijn ons voorschrijft. Die bewaartermijn bewaken we door termijn en de persoonsgegevens bij elkaar te bewaren.

Fraude bestrijden
We werken samen met banken, creditcardmaatschappijen en andere partijen die fraude bestrijden. Daarvoor is het soms nodig om gegevens met hen te delen. Dit gebeurt altijd volgens de wettelijke voorschriften en alleen als onze functionaris gegevensbeschermning zijn expliciete toestemming verleent.

Up-to-date blijven
Onze medewerkers zijn zich bewust van het belang van privacy. Zij zijn getraind in het beschermen van uw privacy en het beveiligen van informatie. We zorgen ervoor dat dit bewustzijn en deze kennis up-to-date blijven. Dat doen we onder meer met een e-learningprogramma en door intern regelmatig informatie te delen. Onze functionaris gegevensbescherming en de corporate information security officer houden dit in de gaten.

Hoe goed we ons werk ook doen, er bestaat altijd het risico van een datalek. Dat kan komen door een fout van ons of volledig buiten ons om gebeuren. In elke situatie waarin persoonsgegevens verloren gaan of in verkeerde handen vallen, is sprake van een datalek.

Wanneer we een datalek ontdekken, is directe actie nodig. Eerst onderzoeken we om welke persoonsgegevens het gaat. Is de inbreuk mogelijk van invloed op uw rechten en vrijheden, dan melden we het lek binnen 72 uur bij de Autoriteit Persoonsgegevens. Bij een hoog risico informeren we u ook meteen.

Daarnaast onderzoeken we het lek grondig. We achterhalen wat er precies is gebeurd, welke gegevens zijn blootgesteld aan gevaar, wie daar mogelijk achter kunnen zitten, en: hoe we dat in de toekomst kunnen voorkomen. Zodat we onze beveiliging kunnen aanscherpen. Bovendien leggen we al onze bevindingen over het datalek zorgvuldig vast, zodat we er ook op een later tijdstip nog van kunnen leren.

Datalek melden
Heeft u het vermoeden dat er sprake is van een datalek? Dan horen we dat graag direct. Inclusief de redenen of de signalen waarop u uw vermoeden op baseert.
Vermoeden van datalek melden >>

Persoonsgegevens
Alle informatie die gaat over een persoon, bijvoorbeeld een naam of e-mailadres. Ook gegevens die indirect iets over iemand zeggen, zijn persoonsgegevens. Denk aan een IP-adres, een pasnummer of transactiegegevens. In combinatie met andere gegevens zijn deze herleidbaar tot een persoon.

Algemene Verordening Gegevensbescherming (AVG)
Ook wel General Data Protection Regulation (GDPR) genoemd. Europese wetgeving over de zorgvuldige verwerking en het vrije verkeer van persoonsgegevens. Deze wet is van kracht in alle Europese lidstaten sinds mei 2016. Organisaties kregen tot 25 mei 2018 om te zorgen dat hun administratie en werkprocessen aan deze wet voldoen.

Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG)
Nederlandse wet die ervoor zorgt dat de Europese algemene verordening goed wordt toegepast. Deze uitvoeringswet vult de AVG aan, en zet ook delen uit de oude Wet Bescherming Persoonsgegevens voort.

Autoriteit Persoonsgegevens (AP)
De landelijke toezichthouder op het gebied van privacy. Wanneer u denkt dat CCV uw persoonsgegevens ten onrechte of onjuist verwerkt, en u komt er met ons niet uit, kunt u de Autoriteit Persoonsgegevens inschakelen.

Wet Financieel Toezicht (WFT)
Nederlandse wet die bewaakt dat de financiële markten efficiënt werken en het hele systeem stabiel blijft. Ook beschermt de wet consumenten en ondernemers tegen een faillissement of ontoelaatbaar gedrag van financiële instellingen.

Wet ter voorkoming van Witwassen en Financieren van Terrorisme (WWFT)
Nederlandse wet die voorkomt dat ondernemingen bewust of onbewust betrokken raken bij het witwassen van geld.

Autoriteit Financiële Markten (AFM)
De landelijke toezichthouder op deelnemers aan de financiële markten.

Telecommunicatiewet (TW)
Nederlandse wet die onder meer de veiligheid van online netwerken waarborgt. En toeziet op consumenten- en privacybescherming.

Data Protection Impact Assessement (DPIA)
Soms kan een nieuw werkproces risico’s betekenen voor uw persoonsgegevens. Daarom toetsen we elk nieuw werkproces eerst aan de Data Protection Impact Assessment (DPIA). In de Algemene Verordening Gegevensbescherming (AVG) staan de eisen waaraan deze toets moet voldoen. 

Databeheerder
Een persoon of organisatie die – individueel of in samenwerking met derden – persoonsgegevens registreert of beheert. De databeheerder is ook verantwoordelijk voor de inrichting en het functioneren van het dataverwerkingsproces. Wij zijn databeheerder van de persoonsgegevens van onze klanten.

Dataverwerker
Een persoon of organisatie die persoonsgegevens verwerkt namens de databeheerder. Wij zijn dataverwerker van betalingsgegevens namens een aantal klanten. Een dataverwerker en -beheerder sluiten altijd een overeenkomst af. Daarin staan voorwaarden om de beveiliging van persoonsgegevens te garanderen.

Klant
Een persoon die een relatie aangaat met ons. Dat kan een bezoeker zijn van onze website, een afnemer van onze diensten of producten, een leverancier of een samenwerkingspartner.

Marktonderzoek & consumentenfeedback
CCV werft constant nieuwe klanten, leveranciers, sprekers voor evenementen, experts voor inspiratiesessies en nieuwe collega’s en verwerkt hiervoor persoonsgegevens. Voor de verbetering van onze dienstverlening verwerken wij ook persoonsgegevens, zoals bijvoorbeeld het klikgedrag op de website om te analyseren welke artikelen het meest gelezen worden en open rates om te zien of onze nieuwsbrieven relevant zijn.

CCV gebruikt cookies voor het analyseren van het klikgedrag op de website. Middels een banner vraagt zij om toestemming.

Om contact te onderhouden verwerken wij contactgegevens en interessegebieden. Voor CCV-campagnes, evenementen en bijeenkomsten verwerken we ook persoonsgegevens, zoals IP-adres, cookie ID, social ID en/of surfgedrag. Dit doen we om op de juiste plekken de meest relevante advertenties te kunnen laten zien. Ook maken wij gebruik van ‘aangepaste doelgroepen’ via social media platforms. Dit doen wij onder andere via Facebook, Twitter, Instagram, YouTube en via LinkedIn targeting. Op deze platforms kunnen (gepersonaliseerde) advertenties worden getoond. Hiervoor vragen wij in de cookiebanner toestemming. Indien er iets is misgegaan en er per abuis advertenties worden getoond, kun jij ons hierop aanspreken via support@salespos.io.

Wij kunnen gebruikmaken van informatie die deel uitmaakt van je profiel op een extern sociaal netwerk waarvoor je het sociale netwerk de toestemming hebt gegeven om ze met ons te delen. Je kunt de toestemming bij deze netwerken intrekken op hun afzonderlijke pagina’s, zoals Facebook, Twitter, Instagram, YouTube en LinkedIn.

Bij gebruik van sociale netwerken, zijn naast het privacystatement en de cookieverklaring van CCV, ook het privacystatement en de cookieverklaring van die netwerken van toepassing.