privacy statement

1. Doel

Tijdens de bedrijfsuitoefening verzamelt HEMA via haar winkels, website(s), applicatie(s), speciale aanbiedingen, loyaltyprogramma en andere diensten persoonlijke informatie over klanten, websitebezoekers en personeelsleden. HEMA acht de beveiliging van persoonlijke gegevens van essentieel belang.

Dit document vormt de basis van HEMA's beleid ten aanzien van privacy, privacygevoelige informatie en gegevensbescherming. Om de privacy, privacygevoelige informatie en persoonlijke gegevens te beschermen heeft effectieve beveiliging de hoogste prioriteit bij HEMA. HEMA heeft derhalve adequate technische en organisatorische maatregelen genomen om persoonlijke gegevens te beschermen tegen verlies of onrechtmatige verwerking.

Het doel van dit privacybeleid is het voorzien in tools die ervoor zorgen dat iedereen die voor HEMA werkt, zich houdt aan de verschillende regels omtrent privacy- en gegevensbescherming.

 

2. Context

Behalve aan nationale wet- en regelgeving moeten de landen in de Europese Unie zich ook houden aan de privacywetgeving die binnen de EU geldt. Voorbeelden hiervan zijn het Europese Verdrag tot bescherming van de rechten van de mens (iedereen heeft er recht op dat zijn/haar privéleven wordt gerespecteerd) en de Algemene Verordening Gegevensbescherming (AVG). Deze verordening voorziet in nieuwe en strengere regels ten aanzien van privacy en hoe deze dient te worden beschermd.

 

3. Definities

AP

Autoriteit Persoonsgegevens, de Nederlandse autoriteit die toeziet op naleving van de privacywetgeving en boetes oplegt.

 

Data Breach

een beveiligingsincident waarbij Persoonlijke Gegevens worden gestolen, gelekt of gekopieerd.

 

Data Breach Response Team

het HEMA-team bestaande uit (i) Head Legal, Audit & Risk, (ii) de Privacy Officer en (iii) de Information Security Officer dat Data Breach‑meldingen beoordeelt en erop reageert.

 

Data Minimalisation

het algemene principe, zoals vastgelegd in de AVG, om de hoeveelheid persoonlijke gegevens die wordt verzameld en opgeslagen, tot een minimum te beperken.

 

Data Processing Agreement

Een overeenkomst tussen de verantwoordelijke partij (HEMA) en een partij die namens HEMA persoonlijke gegevens verwerkt.

 

Data Subject

de privépersoon van wie persoonlijke gegevens worden verwerkt.

 

Purpose Limitation

het algemene principe, zoals vastgelegd in de AVG, om persoonlijke gegevens uitsluitend te gebruiken voor het doel waarvoor ze zijn verstrekt.

 

Persoonlijke Gegevens

Alle gegevens die mogelijk informatie verschaffen over een identificeerbare persoon. Voorbeelden zijn: naam, adres, e-mailadres, klantenbestand, eigenschappen, meningen, acties van mensen, foto's en ander beeldmateriaal en bijzondere persoonlijke gegevens, zoals gegevens over godsdienst, levensovertuiging, ras, politieke voorkeur, gezondheid, seksleven, vakbondlidmaatschap, strafblad.

 

Privacy Statement

Het informatiedocument op www.hema.nl voor websitebezoekers en klanten waarin wordt beschreven hoe HEMA omgaat met persoonlijke gegevens van bezoekers en klanten. Het document wordt van tijd tot tijd aangepast wanneer nieuwe ontwikkelingen hiertoe aanleiding geven.

 

Security Incident

Elk incident dat heeft geresulteerd of zou kunnen hebben geresulteerd in verlies van of schade aan gegevens of dat een schending van de beveiligingsprocedures heeft veroorzaakt.

 

4. Richtlijnen

Wanneer je voor HEMA werkt en toegang hebt tot persoonlijke gegevens, is het van groot belang dat je je aan de volgende richtlijnen houdt:

  1. Houd het verzamelen van persoonlijke gegevens tot een minimum beperkt à Data Minimalisation
  2. Gebruik persoonlijke gegevens uitsluitend voor van tevoren vastgestelde doelen à Purpose Limitation
  3. Bewaar de persoonlijke gegevens zo kort mogelijk
  4. Deel of verschaf toegang tot persoonlijke gegevens op een strikte 'need to know'-basis
  5. Houd persoonlijke gegevens vertrouwelijk
  6. Deel geen inloggegevens of wachtwoorden
  7. Gebruik bij het verwerken van persoonlijke gegevens uitsluitend het HEMA-netwerk, dus geen USB-sticks of persoonlijke clouddiensten, enz.
  8. Wanneer aan derden toegang wordt verschaft tot persoonlijke gegevens is een Data Processing Agreement (DPA) vereist. Neem contact op met de Legal-afdeling voor het opstellen van een DPA
  9. Overweeg altijd encryptie, anonimisering of pseudonimisering bij het verwerken van persoonlijke gegevens

 

5. Verantwoordelijkheden

HEMA vindt het belangrijk dat haar diensten transparant en betrouwbaar zijn. Daarom volgen hier de verschillende verantwoordelijkheden aangaande privacy en gegevensbescherming:

De persoon die met privacygevoelige gegevens werkt (medewerker klantenservice, HR-afdeling, e‑commerce-afdeling, enz.), is verantwoordelijk voor het naleven van de richtlijnen teneinde de veiligheid van deze gevoelige informatie te garanderen.

De persoon die een data breach ontdekt, is verantwoordelijk voor het informeren van het Data Breach Response Team.

Het Data Breach Response Team is verantwoordelijk voor rapportage aan de AP.

De Privacy Officer is verantwoordelijk voor het privacybeleid van HEMA.

De afdeling Information Management is verantwoordelijk voor de beveiliging van het HEMA-netwerk en de HEMA-systemen.

De Information Security Officer is verantwoordelijk voor het bewaken van de beveiliging van het HEMA‑netwerk en de HEMA-systemen.

 

6. Data Breach / Security Incident

Security incident / Data breach

Een security incident wordt een data breach wanneer persoonlijke gegevens (naam, adres, e-mailadres, telefoonnummers, IP-adressen, enz.) verloren gegaan zijn of verwijderd of gehackt werden, of indien ongeoorloofde toegang tot of inzage in deze persoonlijke gegevens mogelijk werd. Voorbeelden zijn: verlies van een USB-stick of mobiel apparaat, malware op pc's die zijn aangesloten op het HEMA‑netwerk, het e-mailen van bestanden met persoonlijke gegevens naar onbedoelde ontvangers. Ook het verlies van alle gegevens (bijvoorbeeld bij een brand, zonder dat er een back-up is) wordt beschouwd als een data breach.

HEMA neemt adequate maatregelen ter voorkoming van data breaches, bijvoorbeeld door het toepassen van encryptie.

Incidenten met andere gegevens dan persoonlijke gegevens worden niet beschouwd als data breaches.

 

Hoe te handelen bij een data breach?

In de AVG staat dat bedrijven onmiddellijk de autoriteiten moeten informeren wanneer sprake is van een data breach. Dus als je een data breach ontdekt:

  1. neem je onmiddellijk contact op met de Audit & Risk-afdeling (Security Officer) + de Legal-afdeling (Privacy Officer)
  2. start het Data Breach Response Team het protocol
  3. handel je snel en verleen je je medewerking; de AP moet binnen 72 uur door ons op de hoogte worden gesteld
  4. Indien bij een bedrijf sprake is van een data breach en dit niet op tijd wordt gemeld bij de autoriteiten, kan een boete van 2% van de jaaromzet of EUR 10.000.000,- worden opgelegd!

 

7. Contactlijst

Dit privacybeleid wordt beheerd door de Legal-afdeling. Heb je vragen, wil je meer informatie of wil je een security incident melden, neem dan contact met ons op: privacy@hema.nl.

 

© HEMA - februari 2017