Onze aanpak

Goedgemerkt hanteert de volgende uitgangspunten: wij verwerken alleen persoonsgegevens die nodig zijn voor onze dienstverlening, wettelijke verplichtingen, beveiliging, klantenservice of wanneer toegestaan voor analyse en marketing. Wij gebruiken persoonsgegevens alleen voor duidelijke en gerechtvaardigde doeleinden. Wij slaan geen betaalkaartgegevens op in onze eigen systemen. Betalingen verlopen via een externe, beveiligde betaalomgeving van Stripe. Toegang tot klantgegevens is beperkt tot medewerkers en dienstverleners die deze gegevens nodig hebben. Wij passen technische en organisatorische beveiligingsmaatregelen toe. Onze systemen worden gemonitord, getest en beoordeeld op kwetsbaarheden. Wij gebruiken AI alleen ondersteunend binnen de klantenservice. Persoonsgegevens worden niet gebruikt om externe AI-modellen te trainen. Klanten kunnen hun privacyrechten uitoefenen volgens de AVG.

Goedgemerkt claimt geen zelfstandige ISO 27001-certificering, tenzij dit expliciet op deze pagina wordt vermeld.

Goedgemerkt.nl wordt beheerd door Goedgemerkt B.V., gevestigd aan de Cobolweg 3, 3821 BJ te Amersfoort, Nederland.

Het KvK-nummer is 32119030 en het btw-nummer is NL817123015B01. Voor algemene vragen kun je contact opnemen via info@goedgemerkt.nl. Voor privacygerelateerde vragen kun je terecht bij Desanne Valkenberg via desanne@goedgemerkt.nl. Voor securitygerelateerde meldingen of vragen kun je contact opnemen met Bas Koesveld via bas@goedgemerkt.nl.

Voor de verwerkingen die op deze pagina worden beschreven, is Goedgemerkt de verwerkingsverantwoordelijke in de zin van de Algemene verordening gegevensbescherming (AVG).

Voor vragen over privacy, beveiliging of persoonsgegevens kun je contact opnemen via info@goedgemerkt.nl, telefonisch via +31 (0)33 461 5834 of via onze website: www.goedgemerkt.nl.

Goedgemerkt is onderdeel van CCL Industries, een internationaal beursgenoteerd bedrijf. Binnen de bredere CCL-groep wordt gewerkt met security governance, controles en processen die gericht zijn op betrouwbare en veilige bedrijfsvoering.

Persoonsgegevens worden niet breder binnen de groep gedeeld dan noodzakelijk is voor bijvoorbeeld hosting, beveiliging, beheer, compliance, administratie of dienstverlening.

Binnen Goedgemerkt werken wij met interne verantwoordelijkheden voor privacy, security en gegevensbescherming. Toegang tot persoonsgegevens is beperkt tot medewerkers of dienstverleners die deze gegevens nodig hebben voor hun werkzaamheden.

Wij verwerken persoonsgegevens die nodig zijn om onze producten en diensten te leveren.

Dit kan onder andere gaan om naam en adresgegevens, e-mailadres, telefoonnummer, bestelgegevens, factuurgegevens, personalisatiegegevens zoals namen, teksten of andere invoer die op labels worden gedrukt, communicatie met onze klantenservice, technische gegevens zoals IP-adres, browsergegevens, cookiegegevens en websitegebruik, en marketingvoorkeuren, bijvoorbeeld wanneer je je inschrijft voor onze nieuwsbrief.

Omdat onze producten vaak voor kinderen worden besteld, kunnen personalisatiegegevens ook namen of teksten bevatten die betrekking hebben op kinderen. Wij gebruiken deze gegevens alleen voor productie, levering, klantenservice en eventuele herhaalbestellingen.

Wij vragen klanten om geen onnodige gevoelige persoonsgegevens in personalisatievelden in te voeren, zoals medische informatie, religieuze informatie of andere bijzondere persoonsgegevens, tenzij dit echt nodig is voor het gekozen product.

Goedgemerkt verwerkt niet meer persoonsgegevens dan nodig is voor het doel waarvoor de gegevens zijn verstrekt.

Dat betekent onder andere dat wij alleen gegevens vragen die nodig zijn voor bestelling, levering, betaling, service of administratie. Daarnaast beperken wij de toegang tot klantgegevens, bewaren wij gegevens niet langer dan noodzakelijk en delen wij gegevens alleen met partijen wanneer dat nodig is voor onze dienstverlening, beveiliging of wettelijke verplichtingen.

Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens en systemen te beschermen tegen verlies, misbruik, onbevoegde toegang, wijziging of openbaarmaking.

Onze beveiligingsmaatregelen omvatten onder andere beveiligde verbindingen via HTTPS en TLS, versleutelde opslag van wachtwoorden, toegangsbeheer op basis van rollen en verantwoordelijkheden, toepassing van het least privilege-principe, firewallregels, bescherming tegen brute force-aanvallen, een Web Application Firewall, bescherming tegen DDoS-aanvallen via onder andere Cloudflare, logging en monitoring van verdachte activiteiten, vulnerability scanning, incident response-processen en periodieke beoordeling van beveiligingsrisico’s.

Wij beoordelen onze beveiligingsmaatregelen regelmatig en passen deze aan wanneer risico’s, technieken of wetgeving veranderen.

Om de veiligheid van onze systemen te verbeteren, maken wij gebruik van meerdere controlemechanismen.

Wij passen onder andere toe:

• Periodieke onafhankelijke penetratietesten op applicatie- en netwerkniveau;
• Periodieke penetratietesten door gespecialiseerde externe securitypartijen, waaronder Cyberlab;
• Vulnerability scanning van systemen en infrastructuur;
• Professionele securitytools voor monitoring en vulnerability management;
• Actieve monitoring van verdachte activiteiten en beveiligingsrisico’s;
• Interne processen voor detectie, analyse en opvolging van beveiligingsincidenten.

Wanneer een mogelijke kwetsbaarheid wordt gevonden, beoordelen wij deze op risico en impact. Daarna bepalen wij welke maatregelen nodig zijn en binnen welke termijn opvolging plaatsvindt.

Wij raden klanten aan om zelf ook een sterk en uniek wachtwoord te gebruiken en accountgegevens niet met anderen te delen.

Wij nemen maatregelen om klantaccounts en websitegegevens te beschermen.

Daarbij gebruiken wij onder andere HTTPS, TLS-encryptie, versleutelde wachtwoordopslag, rate limiting, firewallregels, bescherming tegen ongeautoriseerde toegang, beperkte toegang voor medewerkers en logging en monitoring waar passend.

Wij raden klanten aan om zelf ook een sterk en uniek wachtwoord te gebruiken en accountgegevens niet met anderen te delen.

Voor betalingen maken wij gebruik van Stripe als externe payment provider. Meer informatie vind je op Stripe

Dit betekent dat volledige betaalkaartgegevens niet door Goedgemerkt worden opgeslagen in onze eigen systemen. Betalingen verlopen via een beveiligde betaalomgeving van Stripe, dat veilige betaalverwerking volgens PCI DSS ondersteunt. Goedgemerkt ontvangt alleen de gegevens die nodig zijn om betaling, bestelling, administratie en klantenservice goed te kunnen verwerken.

PCI DSS is de internationale beveiligingsstandaard voor organisaties die kaartbetalingen verwerken. Door Stripe te gebruiken beperken wij de hoeveelheid betaalgegevens die binnen onze eigen omgeving wordt verwerkt.

Binnen onze klantenservice maken wij gebruik van AI-ondersteuning voor het beantwoorden van specifieke klantvragen en opzoeken van bestelinformatie.

AI kan helpen bij het formuleren, structureren of versnellen van antwoorden op klantvragen. AI neemt geen zelfstandige beslissingen over klanten, bestellingen, betalingen, retouren of klachten.

Hierbij gelden de volgende waarborgen:

• AI heeft geen zelfstandige toegang tot volledige klantprofielen;
• Medewerkers blijven verantwoordelijk voor de uiteindelijke beoordeling en communicatie;
• Gevoelige persoonsgegevens worden niet actief gedeeld met AI-systemen;
• Gegevens worden niet gebruikt om externe AI-modellen te trainen;
• AI wordt niet gebruikt voor geautomatiseerde besluitvorming met rechtsgevolgen of vergelijkbare aanzienlijke gevolgen voor klanten;
• Wij delen alleen informatie die noodzakelijk is om een klantvraag goed te kunnen beantwoorden.

Wanneer een klantvraag persoonlijke of gevoelige informatie bevat, beoordelen wij zorgvuldig welke gegevens nodig zijn om de vraag te behandelen.

Wij maken gebruik van cookies en vergelijkbare technieken om onze website goed te laten functioneren, te verbeteren en wanneer je daarvoor toestemming geeft marketing en advertenties te personaliseren.

Wij gebruiken functionele cookies, bijvoorbeeld voor winkelwagen en login, analytische cookies om websitegebruik te meten en te verbeteren, en marketingcookies voor advertentiemeting en personalisatie.

Voor functionele cookies en beperkt privacyvriendelijke analytische cookies is niet altijd toestemming nodig. Voor marketingcookies, trackingcookies en analytische cookies met meer dan geringe privacy-impact vragen wij vooraf toestemming. Je kunt je cookievoorkeuren op ieder moment aanpassen of intrekken via de cookie-instellingen op onze website.

Meer informatie staat in onze cookieverklaring.

Waar mogelijk slaan wij persoonsgegevens op binnen de Europese Unie of de Europese Economische Ruimte.

Wanneer persoonsgegevens buiten de Europese Economische Ruimte worden verwerkt of toegankelijk zijn, doen wij dit alleen wanneer passende waarborgen zijn getroffen. Dit kan bijvoorbeeld door middel van verwerkersovereenkomsten, standaardcontractbepalingen, aanvullende technische en organisatorische maatregelen of andere wettelijk toegestane doorgiftemechanismen.

Wij beoordelen per dienstverlener welke gegevens worden verwerkt, waar verwerking plaatsvindt en welke beveiligings- en privacywaarborgen van toepassing zijn.

Wij hebben interne processen voor het herkennen, beoordelen en opvolgen van beveiligingsincidenten en mogelijke datalekken.

Wanneer sprake is van een mogelijk datalek, onderzoeken wij wat er is gebeurd, beoordelen wij welke persoonsgegevens betrokken zijn en welk risico dit oplevert voor betrokken personen. Daarnaast nemen wij maatregelen om eventuele schade te beperken, registreren wij het incident waar nodig, melden wij het datalek aan de Autoriteit Persoonsgegevens wanneer dat wettelijk verplicht is en informeren wij betrokken personen wanneer dat wettelijk vereist is.

Volgens de AVG heb je onder andere de volgende rechten:

• Recht op inzage;
• Recht op correctie;
• Recht op verwijdering;
• Recht op beperking van verwerking;
• Recht op dataportabiliteit;
• Recht om bezwaar te maken tegen verwerking;
• Recht om toestemming in te trekken;
• Recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Wil je gebruikmaken van je rechten? Neem dan contact met ons op via: info@goedgemerkt.nl

Wij reageren zo snel mogelijk en uiterlijk binnen de wettelijke termijn. In de meeste gevallen proberen wij binnen één week inhoudelijk te reageren. Bij complexe verzoeken of meerdere verzoeken tegelijk kan de wettelijke termijn worden verlengd. Wanneer dat gebeurt, informeren wij je daarover.

Om je gegevens goed te beschermen, kunnen wij vragen om aanvullende verificatie als dat nodig is om je identiteit te bevestigen.

Denk je een kwetsbaarheid te hebben gevonden in onze website, systemen of processen? Dan vragen wij je om dit verantwoord bij ons te melden.

Je kunt een melding sturen naar it@goedgemerkt.nl of telefonisch contact opnemen via +31 (0)33 461 5834. Vermeld daarbij als onderwerp: Security melding.

Wij vragen je om voldoende informatie te geven zodat wij de kwetsbaarheid kunnen onderzoeken, geen misbruik te maken van de kwetsbaarheid, geen gegevens van anderen te bekijken, wijzigen, kopiëren of verwijderen, geen systemen te verstoren en de kwetsbaarheid niet openbaar te maken voordat wij deze hebben onderzocht en waar nodig opgelost.

Wij behandelen securitymeldingen zorgvuldig en geven waar mogelijk een terugkoppeling.

Voor meer informatie verwijzen wij naar:

• Privacyverklaring
• Cookieverklaring
• Algemene voorwaarden
• Retourbeleid
• Contactpagina