Bollebus verwerkt (zoals elk bedrijf) persoonsgegevens om verschillende redenen zoals
- je bestelling op het gepaste adres leveren,
- je contacteren voor het maken van concrete afspraken,
- het voeren van een wettelijk correcte boekhouding,
- ons aanbod verbeteren,
- mensen op de hoogte houden van toevoegingen aan ons aanbod,
- …
Met de invoer van nieuwe wetgeving zoals GDPR en AVG zijn er veel strengere eisen gekomen over wat mag, wat niet mag en welk soort toestemming je daarvoor nodig hebt. Dit is onder meer de reden dat je in die periode heel wat mailtjes kreeg om je gegevens te vernieuwen en dat je sindsdien heel wat cookiebanners krijgt (of af en toe nog een pagina “niet beschikbaar voor inwoners van de EU”). Of dit alles een vooruitgang is of niet, dat laten we aan jou over om te beslissen. Hier willen we je enkel informeren over onze werkwijze en motivaties in deze context. Enerzijds natuurlijk omdat we vanuit de wet een verplichting opgelegd kregen om je te informeren, maar anderzijds ook omdat we overtuigd zijn van onze niet-standaard keuzes.
Welke data verwerken we bij …
(…en hoe doen we dat, mag dat wel, aan wie geven we dat door, hoe lang houden we die data en waarom allemaal?)
… het bezoeken van de website?
Eenvoudig, geen! Zo lang je zelf geen account aanmaakt, geen bestelling plaatst, ons niet volgt op social media, … dan zullen wij enkel en alleen kunnen zien dat er een bezoeker was op onze site. Onze webhost houdt namelijk bij hoe vaak onze site bezocht wordt.
… het plaatsen van een bestelling?
Waneer je een bestelling plaatst via de webshop of via e-mail of je ons contacteert voor een opdracht, dan houden wij de gegevens die je doorgeeft bij om
- je bestelling/opdracht te kunnen afhandelen,
- je eventueel later van dienst te kunnen zijn bij vragen, retours, …
- en een correcte boekhouding te kunnen voeren.
Dit is toegestaan volgens de AVG op basis van wettelijke verplichting en noodzaak voor de uitvoering van de overeenkomst.
We geven een deel van deze data (naam, adres, contactgegevens) door aan een verzenddienst (bpost, Mondial Relay, Sendcloud) en betaalprovider (Mollie) indien nodig, maar verder geven wij deze data niet aan derden door. Bij gelegenheid kunnen we mits expliciete toestemming echter wel je contactgegevens doorgeven aan een collega of dergelijke meer omdat je een vraag stelde waar wij niet mee konden helpen.
Tot slot, wat doen we daarmee? We printen dat misschien eens uit om aan je bestelling / opdracht te werken, we maken een factuur op, we praten eens over een specifieke vraag die je stelde, … weet je wel, normale dingen … en voor de rest wordt dat allemaal gewoon opgeslagen (in onze mailbox en/of de back-end van onze website en/of de facturenmap) tot we (ten vroegste) binnen 7 jaar eens grote kuis (kunnen) houden (als we de data niet meer moeten bijhouden).
… als je contact opneemt (via e-mail, social media, telefoon, …)?
Dan staat je bericht en je e-mailadres/accountnaam/… in onze inbox. We laten die daar staan omdat je wellicht een antwoord op je bericht wil en niet alles opnieuw wil uitleggen als je even later een vervolgvraag hebt.
Ook dit lijkt ons toegestaan onder de AVG gezien de “noodzaak voor de uitvoering van de overeenkomst” of misschien de “noodzakelijk voor de behartiging van onze gerechtvaardigde belang om te ondernemen”. In elk geval, wat jij en ik zouden noemen “redelijkheid”.
Merk echter op dat socialmediaplatformen hun eigen interpretaties van privacy hebben, dus wat zij met je berichten doen … daar kunnen wij niks aan doen. Wij geven je data in elk geval aan niemand anders door en doen daar niks spannends mee anders dan je vraag proberen beantwoorden.
… als je intekent op een nieuwsbrief?
Dan voegen we je e-mailadres en naam toe aan onze contactenlijst “nieuwsbrief” en sturen we je — je raadt het nooit — af en toe een nieuwsbrief, tot je je eventueel terug uitschrijft. Hier werken we onder de AVG met jouw toestemming.
Wij geven je e-mailadres in elk geval aan niemand anders door en doen daar verder niks mee. Op heden hebben wij een mailinglijst waar naarmate er iets interessants te vertellen valt een e-mail naar uitgestuurd wordt. Deze nieuwsbrieven zijn dan ook infrequent. Als het in de toekomst mogelijk wordt om frequentere updates te ontvangen, zullen we je op de hoogte stellen en zo nodig vragen hoe vaak je van ons wil horen.
… het leveren van een dienst (maatwerk, workshop, …)?
Gezien de veelheid aan mogelijke invullingen moeten we het hier wat vaag houden. Enerzijds zijn er algemene gegevens die we bijhouden om boekhoudkundige redenen, eventueel zijn er gegevens die aan onze betaalprovider (Mollie) en verzendbedrijf (bpost, Mondial Relay, Sendcloud of andere) worden doorgegeven in kader van betaling en levering, en sowieso zullen conversaties die de opdracht bespreken en/of vastleggen bewaard worden om de opdracht uit te voeren en om bij eventuele discussies naar terug te verwijzen. Hier werken we steeds met dezelfde filosofie (net als in alle bovenstaande gevallen): we verzamelen enkel de gegevens die we nodig hebben om de opdracht uit te voeren, en houden deze bij gezien deze relevant zijn bij eventuele geschillen en om met wettelijke verplichting in orde te zijn. Willen we andere zaken gebruiken, dan vragen we je toestemming.
Nieuwe elementen bij diensten, zijn echter designs en beeldmateriaal. We schetsen hier dan ook kort hoe we daar plannen mee om te gaan. Concrete details zijn natuurlijk voer voor de specifieke overeenkomsten.
- Bij aanleveren van een design door de klant voor een product op maat:
- wordt dit design gebruikt voor deze opdracht,
- wordt dit design indien mogelijk en wenselijk (e.g. met oog op eventuele vervolgopdrachten) bewaard (om consistentie te verzekeren en de verschillende aanpassingen, conversies, … niet nodeloos te moeten herhalen),
- wordt dit design nooit zonder toestemming (opt-in) gedeeld met anderen of voor eigen projecten en/of andere klanten gebruikt. We maken hierbij echter een uitzondering voor drukkers en gelijkaardige externe firma’s met een gelijkaardige policy, waar we met een opt-out visie werken in gevalle we zekere technieken niet in-house ter beschikking hebben. Dit wordt desgevallens natuurlijk wel medegedeeld.
- vragen we de klant om toestemming indien we het process willen documenteren op onze blog met herkenbare elementen of beeldmateriaal van het resultaat willen toevoegen aan ons portfolio. We geven hierbij steeds credit en verwijzen, indien de klant dit wenst, graag naar een webpagina of contactgegevens van deze klant.
- Wanneer we een design ontwerpen op vraag van een klant:
- wordt dit design gebruikt voor deze opdracht,
- wordt dit design indien mogelijk en wenselijk (e.g. met oog op eventuele vervolgopdrachten en voor onze eigen inspiratiemap/portfolio) bewaard,
- worden indien nodig concrete afspraken gemaakt over hergebruik, delen en documenteren (e.g. een logo-ontwerp zal exclusief voor de klant zijn, een kaartje zal misschien al eens zijn weg vinden naar versie voor onze webwinkel). Bij gebrek aan concretere afspraken behouden wij alle rechten m.b.t. hergebruik, delen en documenteren die de belangen van de klant niet rechtstreeks ondermijnen. Ook hier geven we met plezier credit en een verwijzing naar de klant in kwestie indien van toepassing.
- Bij een workshop:
- zijn de gebruikte designs niet exclusief voor deze klant, tenzij expliciet anders besproken,
- wordt er op voorhand besproken wie/wat herkenbaar op beeld wil/mag komen. Er wordt toestemming gevraagd aan de klant en (eventueel via deze klant) aan de deelnemers (of bij kinderen, hun ouders) alvorens beeldmateriaal (waarop zij herkenbaar zijn) wordt gedeeld op onze site of socials. Tijdens een workshop of evenement streven wij er steeds naar geen deelnemers herkenbaar op beeld vast te leggen zonder hun toestemming. Zouden we achteraf echter merken dat iemand onbedoeld toch in een foto of video belandde, dan gebruiken wij dit beeldmateriaal uiteraard niet, en wissen we dit binnen een redelijke termijn (nazien e.d.).
Merk op: wie zijn/haar toestemming wil intrekken, kan dit steeds melden en dan halen we de nodige materialen en beelden weg. Wij zijn echter niet verantwoordelijk voor onrechtmatig delen door derden (i.e. kopies waar we geen toestemming voor gegeven hebben en die in tegenstelling tot gedeelde links/social posts niet mee met het origineel gewist worden). We helpen je desgevallens wel zo goed mogelijk om de betrokken personen aan te spreken.
… als je met onze site of social accounts interageert (commentaar, reviews, …)?
Naast ons direct contacteren (contactformulier, e-mail, telefoon, social media privébericht, …) kun je ook publiek, semipubliek en anoniem met ons interageren. We berperken ons hier tot het bespreken van functionaliteit op onze site. Hoe dergelijke publieke reacties verwerkt worden door de verschillende socialmediaplatformen kun je in hun policy lezen. Wij hebben namelijk geen enkel plan om deze gegevens te downloaden en buiten het platform bij te houden.
- Reacties op posts en reviews worden steeds door ons nagelezen alvorens ze live op de site terechtkomen. Je e-mailadres wordt niet op de site gezet, maar vragen wij wel (enkel) om je bij eventuele vragen of bemerkingen te kunnen contacteren. De naam die je opgeeft komt wel op de site, maar het staat je natuurlijk vrij hier een schuilnaam op te geven. N.a.v. de strenge GDPR regels hebben we ook de default IP-capture uitgezet. Naarmate onze site groeit zullen wij de privacy van onze bezoekers en de nood aan spambestrijding moeten blijven afwegen, dus mogelijks wijzigt deze policy in de toekomst.
- Laat je ons iets weten via ons formulier voor anonieme feedback, dan vragen we helemaal geen persoonlijke data van je.
- Gezien elke bezoeker uit deze twee opties kan kiezen, gaan we ervan uit dat diegene die de eerste optie kiezen uit eigen beweging (en dus met toestemming tot gebruik) hun e-mailadres doorgeven. Dit e-mailadres wordt ook enkel gebruikt voor het opvolgen van hun reactie of review.
Wat kan jij doen?
Voor gebruik/verwerking van data waarvoor we je toestemmig gevraagd hebben, kan je die toestemming steeds intrekken. Concreet:
- Je kan je uitschrijven van de nieuwsbrief. Dit door een simpel verzoek naar info@bollebus.be. Dit kan eenvoudigweg zijn door terug te mailen “uitschrijven graag”.
- Als we je toestemming gevraagd hebben om een foto te gebruiken die we maakten bij het uitvoeren van een dienst of die jij met ons deelde, dan kan je ons vragen deze weg te halen. Wij proberen dit in de mate van het mogelijke te doen, echter indien iemand je foto leuk vond, opgeslagen heeft en later op Pinterest post, dan kunnen wij daar echt niks aan doen. In zo’n geval moet je de persoon in kwestie aanspreken over zijn gebruik van jouw foto zonder toestemming.
Bij interacties op externe platformen (bijvoorbeeld berichten op social media) en gegevens die door derden verwerkt werden (in kader van betaling en/of verzending), verwijzen we door naar hun privacy policies. Dit betreft in principe enkel de bedrijven bpost N.V., Mondial Relay ,Sendcloud B.V., Mollie B.V., ING België N.V. en/of je eigen bank maar kan andere bedrijven omvatten volgens je eigen keuzes en handelingen. In alle andere gevallen heb je ook nog steeds het “recht om vergeten te worden”, maar kunnen wij je niet altijd even goed helpen. Zo moeten wij bijvoorbeeld gegevens van leveranciers en klanten minstens 7 jaar bijhouden om een correcte boekhouding te voeren. Cfr. de wetgeving heeft deze verplichting voorrang op jouw “recht om vergeten te worden”.
Wat kunnen we in die gevallen desgewenst wel doen?
- In het geval het meer dan 7 jaar geleden is en/of je nooit effectief iets kocht bij ons, kunnen we je gegevens (behoudens nieuwe wetgeving) volledig gaan wissen. Afhankelijk van onze precieze interacties kan dit vrij vlot gaan (e.g. het wissen van enkele e-mails) of kan dit enige tijd in beslag nemen (e.g. het terugzoeken van papieren facturen van 7+ jaar terug).
- Als we wettelijk gezien je gegevens moeten blijven bijhouden, maar je dit absoluut tot een minimum beperkt wil zien, dan kunnen we alle niet-noodzakelijke communicatie/gegevens wissen. Dit zal er in de meeste gevallen uit bestaan om die e-mails/berichten te wissen die geen recente bevestigingen, klachten, … met bewijskracht bij betwistingen bevatten.
Als je het ons vraagt, dan raak je eerlijk waar sneller vergeten door ons met rust te laten dan door ons te vragen alles van de laatste 7 jaar op te graven en te analyseren of we dit mogen wissen/vernietigen, maar hoe dan ook houden wij ons aan de wet, dus de keuze is aan jou.
Daarnaast heb je ook recht van inzage en verbetering. Wij zien hier persoonlijk weinig reden toe gezien wij geen samenvattende database maken, tenzij een lijst van factuurgegevens voor terugkerende professionele klanten. Wat houden wij wel bij, dat is een archief aan transacties.
- Facturen en bestellingen houden we ook na afronden van een bestelling bij om boekhoudkundige redenen.
- Mails/berichten/interacties wissen we niet automatisch. Dit voornamelijk zodat we bij een eventuele vervolgvraag of terugkerende opdracht kunnen terugzoeken welke informatie we al eerder kregen/gaven aan een klant. Bovendien kan er bij discussies in de toekomst ook naar teruggegrepen moeten worden.
Ook houden we een groep contacten in onze mailbox bij zodat we onze nieuwsbrief kunnen uitsturen. Wil je in dat laatste geval je e-mailadres wijzigen, dan kan je dat net zoals uitschrijven bekomen door eenvoudigweg een mailtje te sturen met je nieuwe e-mailadres.
Wat we wel samenvattend bijhouden, zijn lijstjes zoals ontvangen suggesties en klachten. We hebben echter besloten om dit geanonimiseerd te doen om alle GDPR/AVG-gerelateerde complicaties te vermijden.
Tot slot kan u desgewenst ook steeds een klacht indienen bij de Commissie voor de Bescherming van de Persoonlijke Levenssfeer (Drukpersstraat 35, 1000 Brussel — commission@privacycommission.be).
Waarom geen cookiebanner?
Eerlijk? Omdat we een gloedhekel hebben aan die dingen!
Oké, nee, even serieus; wij hebben besloten dat we geen ‘niet strikt noodzakelijke’ cookies zouden gebruiken. Op die manier hoeven we jouw beleving van onze site niet te verstoren met een vervelende banner en zijn we toch netjes in orde met de wetgeving.
Welke cookies gebruiken wij dan wel?
- Ons winkelmandje gebruikt cookies achter de schermen om dit technisch mogelijk te maken.
- Betaalproviders gebruiken cookies om te garanderen dat je veilig online kan betalen, dus als je afrekent bij ons zal er een cookie geplaatst worden. (Bij gebruik van Bancontact is dit een cookie van Mollie, bij overschrijving zal dit een cookie van jouw bank zijn, tenzij je je overschrijving aan een bankautomaat of loket gaat uitvoeren.)
- Wanneer je een reactie of review op onze site achterlaat, vraagt je gegevens te bewaren voor een volgend bezoek, worden er cookies gebruikt om dit mogelijk te maken.
Welke cookies hebben we bewust vermeden? Alle analytics cookies. Dit zijn cookies die proberen te achterhalen wie er hoe, hoe vaak, hoe lang, … op een site raakt. Dit is handige informatie om je site beter aan de man te brengen natuurlijk … maar de privacywetgeving stelt elk bedrijf hier voor volgend dilemma: hoe makkelijker je het maakt voor mensen om cookies te weigeren, hoe zinlozer de informatie is die je krijgt. Dus maak je het je bezoekers dan moeilijker (maar technisch gezien niet onmogelijk) om met de letter van de wet in orde te zijn? Of geef je je kans tot websiteoptimalisatie op om met de geest van de wet in orde te zijn?
Waarom kozen wij er persoonlijk voor om analytics volledig op te geven? Voornamelijk omdat we iedereen de frustratie willen besparen. Daarnaast ook omdat we hopen dat we onze bezoekers vanuit onze visie kunnen motiveren om uit eigen beweging feedback te geven. Daarom vind je onderaan onze website bijvoorbeeld een klein “Hoe vond je ons?“-hoekje.