Beveiliging en privacy II: welke gegevens slaan jullie op en hoe lang?

Ons bedrijfsdoel is het doorzetten van verkopen naar de boekhouding. Wij zetten derhalve verkoop informatie, inclusief debiteur-, artikel-, en  prijsinformatie door. Alle communicatie tussen webwinkel-, kassa- en boekhoudsystemen en ons platform is altijd encrypted door het gebruik van SSL certificaten. Uit principe slaan we zo weinig mogelijk data op. Specifiek slaan we de volgende gegevens op:

Credentials: Voor het ophalen van informatie uit webwinkels en het doorsturen van de gegevens naar het boekhoudsysteem hebben we credentials nodig voor het leggen van de koppelingen. Bij voorkeur werken we hier met API sleutels of OAuth. Deze credentials worden opgeslagen tijdens de contract-duur. Twee maanden na het beeindigen van de contractduur worden deze credentials verwijderd.

Verkoopinformatie: Om te voorkomen dat bestellingen dubbel worden doorgegeven aan het boek-houdsysteem slaan we van iedere verkoop een identificatie sleutel op, het bedrag excl BTW en het bedrag incl BTW.

Klantinformatie: Hier maken we een onderscheid tussen de gegevens van onze klanten en de klanten van onze klanten. Deze laatste groep noemen we debiteuren. Voor het synchroniseren van debiteuren tussen de webwinkel / kassa en het boekhoudsysteem slaan we van iedere debiteur een klant identificatienr op en het emailadres. Bij deze gegevens staat geen koopinformatie. We slaan dus niet op wat de debiteur wanneer in de kassa of webwinkel gekocht heeft.

Voor onze eigen klanten slaan we NAW gegevens op, incl het IBAN- en BTWnummer, en de factuurhistorie en houden we bij welke abonnementen en diensten van webwinkelfacturen zijn afgenomen. We bewaren factuurinformatie minimaal de wettelijke termijn die de belastingdienst oplegt, en verwijderen deze maximaal na 3 maanden indien mogelijk.

Logfiles: Voor alle acties op ons platform worden logfiles bijgehouden. We gebruiken de loginformatie voor troubleshooting. Loginformatie wordt na 1 maand automatisch verwijderd.

Foutmeldingen: Voor bestellingen die niet kunnen worden doorgezet bewaren wij specifieke foutmeldingen. Na een periode van twee maanden worden alle elementen die specifiek zijn voor een eind-debiteur (zoals bijvoorbeeld een ongeldig eind-debiteur emailadres) verwijderd uit de foutmelding.

Website/cookies: Op onze website maken we gebruik van Matomo (Piwik) als vervanger van Google Analytics. Matomo waarborgt de privacy van website-bezoekers beter. We hebben Matomo zo ingesteld dat alleen de eerste 3 cijfers van het IP adres worden opgeslagen en onze rapporten na 180 dagen verwijderd worden. Bezoekers met de 'do not track' instelling worden niet geteld.

Privacy van klanten is dus by design optimaal en formeel benoemd in de algemene voorwaarden en verwerkersovereenkomst.

Tot slot:

1. Op de koppeling is een dashboard beschikbaar. De inloggegevens zijn een combinatie van een emailadres, een sleutel (32 characters) en een sterk wachtwoord dat moet voldoen aan de volgende eisen: minimaal lengte 10 en bestaan uit minstens:  1 hoofdletter, 1 kleine letter, 1 cijfer en 1 speciale letter, zoals !, ?, @, $, ^, &, *, - of %.

2. Voor het leveren van support gebruiken wij twee geweldige tools: zendesk en slack. Deze partijen hebben hun privacy  geregeld en beschreven op 'lees meer over privacy slack' en 'lees meer over privacy zendesk'. Het archief van zendesk is essentieel voor het leveren van goede support en gaat jaren terug. Wij proberen zo weinig mogelijk gevoelige data te sturen en raden klanten aan hetzelfde te doen. Als je ooit een wachtwoord stuurt dient dit, indien en zodra mogelijk, gewijzigd te worden. Vertrouwelijke informatie dient gestuurd te worden naar een apart emailadres waarvan wij de data direct verwijderen.

3. Voor sommige systemen die via onze API koppelen (ipv dat wij de data ophalen) bewaren we soms tijdelijk data om deze te kunnen doorzetten. Daarna wordt uiteraard de merchant data verwijderd. Zie hier meer voor details.

4. Mocht je vragen hebben of een beveiligings zorg willen melden, kan dat via deze link.

5. Wij behouden ons het recht voor deze pagina te wijzigen en adviseren je deze pagina regelmatig te bekijken zodat je altijd op de hoogte bent van de laatste wijzigingen.

Labels: AVG, Beveiliging