1. Wie zijn wij?
Deze privacyverklaring is van toepassing op alle persoonsgegevens die Secret Gifters V.O.F. verwerkt van klanten, websitebezoekers, medewerkers van zakelijke klanten en andere relaties. Wij hechten veel waarde aan de bescherming van jouw persoonsgegevens en gaan zorgvuldig met je gegevens om, conform de Algemene Verordening Gegevensbescherming (AVG).
Verwerkingsverantwoordelijke
Secret Gifters V.O.F.
Groot Hertoginnelaan 47A, 2517 EC ’s-Gravenhage
E-mail: info@secretgifters.nl
Telefoon: +31 6 130 30 40 6
KvK: 86189131 · BTW: NL863889840B01
Onze rol per situatie
Voor verschillende soorten gegevens hebben wij een verschillende rol:
- Verwerkingsverantwoordelijke voor: gegevens van zakelijke klanten, websitebezoekers, nieuwsbriefabonnees en sollicitanten.
- Verwerker voor: gegevens van werknemers van onze zakelijke klanten. Deze gegevens worden door de zakelijke klant aangeleverd. De zakelijke klant blijft verantwoordelijk voor het rechtmatig verkrijgen ervan; wij verwerken ze uitsluitend in opdracht van de klant. Met elke zakelijke klant sluiten wij hierover een verwerkersovereenkomst.
2. Welke persoonsgegevens verwerken wij?
2.1 Van zakelijke klanten en relaties
| Situatie | Gegevens | Grondslag & bewaartermijn |
|---|---|---|
| Contact & afspraken | Bedrijfsnaam, naam, e-mail, telefoon, adres | Gerechtvaardigd belang · niet langer dan nodig |
| Offerte & overeenkomst | Bedrijfsgegevens, contactpersoon, adres, KvK | Uitvoering overeenkomst · max. 7 jaar |
| Account & portaal | Bedrijfs- en contactgegevens, bankgegevens, logo, optioneel CRM-API-sleutel (versleuteld) | Uitvoering overeenkomst · tot einde overeenkomst + 30 dagen |
| Facturatie | Bedrijfsgegevens, KvK, BTW, bankgegevens | Wettelijke verplichting · max. 7 jaar |
| Nieuwsbrief | Naam, e-mail | Toestemming · zolang je ingeschreven bent |
| Reviews & feedback | Naam, e-mail, bedrijfsnaam | Toestemming · zolang wij publiceren |
2.2 Van werknemers van zakelijke klanten
In opdracht van onze zakelijke klanten verwerken wij van hun werknemers:
| Categorie | Voorbeelden |
|---|---|
| Identificatie | Voor- en achternaam |
| Contact | E-mailadres, optioneel telefoonnummer |
| Levensfase | Geboortedatum, datum in dienst |
| Logistiek | Woon- of kantooradres voor verzending |
Bewaartermijn: zolang de zakelijke klant de gegevens niet verwijdert. De zakelijke klant kan via het portaal werknemers verwijderen of via de “data verwijderen”-functie alle werknemer-data anonimiseren.
2.3 Bestellingen en verzending
Bij verzending verwerken wij: naam ontvanger, afleveradres, eventueel persoonlijk bericht. Bewaartermijn: max. 7 jaar (fiscale bewaarplicht).
2.4 Technische gegevens (audit log)
Bij gebruik van het portaal verzamelen wij voor beveiligingsdoeleinden: IP-adres, browser-type en versie, en tijdstip en aard van portaal-handelingen. Deze gegevens worden 12 maanden bewaard en uitsluitend gebruikt voor fraudedetectie, incidentonderzoek en security-audits.
3. Waarom verwerken wij deze gegevens?
| Doel | Grondslag (AVG art. 6) |
|---|---|
| Levering van het Secret Gifters platform | Uitvoering van de overeenkomst |
| Versturen van facturen en bewaren ervan voor 7 jaar | Uitvoering overeenkomst + wettelijke verplichting |
| Cadeaus correct verzenden naar werknemers van zakelijke klanten | Uitvoering overeenkomst (van klant) |
| Beveiliging en fraudedetectie via audit log | Gerechtvaardigd belang |
| Marketingmail en nieuwsbrief | Toestemming |
4. Met wie delen wij gegevens?
Persoonsgegevens worden niet aan derden gegeven, tenzij dit nodig is voor onze dienstverlening of wettelijk verplicht. Wij hebben met al onze sub-verwerkers verwerkersovereenkomsten gesloten.
| Sub-verwerker | Doel | Locatie data |
|---|---|---|
| Shopify International Ltd. | Webwinkel, betaalafhandeling, klantaccounts | EU + Verenigde Staten (SCCs) |
| Airtable Inc. | Database voor bedrijfs- en medewerkergegevens | EU (Frankfurt) |
| Make.com (Celonis SE) | Procesautomatisering | EU |
| Render Inc. | Server voor de beveiligde portaal-proxy | EU (Frankfurt) |
| UptimeRobot | Externe uptime-monitoring (alleen serverstatus) | Wereldwijd |
| Bezorgdiensten (PostNL, DHL, vergelijkbare) | Levering van cadeaus | NL/EU |
| Boekhouder/accountant | Verwerking van facturen | NL |
| E-mailprovider | Transactionele e-mails en nieuwsbrieven | NL/EU |
| Cadeauleveranciers | Personalisatie en verzending | NL/EU |
Gegevens worden nooit doorverkocht.
5. Doorgifte buiten de EER
Wij verwerken gegevens waar mogelijk binnen de EER. Voor doorgifte naar landen buiten de EER (zoals de Verenigde Staten via Shopify) passen wij standaard contractbepalingen (SCCs) van de Europese Commissie toe als waarborg.
6. Hoe beveiligen wij jouw gegevens?
Wij hebben passende technische en organisatorische maatregelen getroffen:
- Versleutelde verbindingen — alle dataverkeer via HTTPS (TLS 1.2 of hoger)
- Server-side proxy — toegang tot onze database verloopt uitsluitend via een beveiligde server in Frankfurt; API-tokens komen nooit in een browser terecht
- Klant-isolatie via Shopify HMAC — elke klant kan uitsluitend zijn eigen gegevens bekijken; isolatie wordt server-side afgedwongen op basis van een door Shopify ondertekende identifier en is niet door de browser te omzeilen
- Encryptie at-rest van gevoelige velden — CRM-API-sleutels worden versleuteld opgeslagen via AES-256-GCM
- Audit log — alle mutaties worden gelogd met tijdstip, IP-adres en uitvoerder
- Tweestapsverificatie en sterke wachtwoorden voor alle medewerkers met productietoegang
- Toegang op ‘need-to-know’-basis — maximaal drie personen met productiesysteem-toegang
- Reguliere back-ups en pseudonimisering waar passend
- Externe uptime-monitoring via UptimeRobot, met automatische alerts bij downtime
- Rate limiting op alle portaal-API's om misbruik te voorkomen
- Periodieke security-audits, minimaal jaarlijks
7. Cookies en lokale opslag
Op de website gebruiken wij functionele en analytische cookies om de winkel te laten werken en het gebruik te begrijpen. Voor details verwijzen wij naar onze cookieverklaring.
Bij gebruik van het portaal worden door Shopify session-cookies geplaatst voor authenticatie. Deze worden uitsluitend gebruikt om je ingelogde sessie te herkennen en zijn nodig voor de werking van het portaal.
8. Geautomatiseerde besluitvorming
Wij maken geen gebruik van geautomatiseerde besluitvorming met juridische gevolgen voor betrokkenen.
9. Jouw rechten
Onder de AVG heb je recht op:
- Inzage — opvragen welke gegevens wij van jou hebben. Zakelijke klanten kunnen dit zelf via het portaal: Instellingen → “Mijn gegevens downloaden”. Werknemers van zakelijke klanten kunnen dit verzoeken bij hun werkgever.
- Rectificatie — onjuiste gegevens laten corrigeren.
- Wissing — gegevens laten verwijderen. Zakelijke klanten kunnen hun account zelf laten verwijderen via Instellingen → “Account opzeggen → Volledig verwijderen”. Facturen blijven om wettelijke redenen 7 jaar bewaard, maar worden geanonimiseerd.
- Beperking — verwerking (tijdelijk) laten stopzetten.
- Bezwaar — bezwaar maken tegen verwerking voor marketing-doeleinden.
- Overdraagbaarheid — gegevens in gangbaar JSON-formaat ontvangen.
- Toestemming intrekken — eerder gegeven toestemming intrekken.
Rechten kunnen uitgeoefend worden via info@secretgifters.nl. Reactie volgt binnen 30 dagen. Je kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens.
10. Datalek-procedure
Bij een ontdekt datalek met mogelijk hoog risico voor betrokkenen handelen wij als volgt:
- Wij melden het binnen 72 uur bij de Autoriteit Persoonsgegevens, conform AVG artikel 33.
- Wij informeren betrokken zakelijke klanten binnen 24 uur.
- Werknemers van zakelijke klanten worden door hun werkgever geïnformeerd, omdat wij geen rechtstreekse contactrelatie met hen hebben.
- Wij houden een register bij van alle datalekken, ook diegene die niet meldingsplichtig waren.
11. Wijzigingen
De privacyverklaring kan worden aangepast bij wijzigingen in dienstverlening of wetgeving. De actuele versie staat altijd op deze pagina. Ingrijpende wijzigingen worden actief aan onze zakelijke klanten medegedeeld.