Infrastructuur en data-opslag. Alle data wordt opgeslagen in EU-regio's (europe-west4, Nederland).
Legal basis: Standard Contractual Clauses (SCCs) + EU-US Data Privacy Framework
Privacy policySecurity & Privacy
Hoe we met jouw data, en die van je klanten, omgaan.
It Goes Forward is een AVG-conforme verwerker onder Nederlands recht. Deze pagina legt precies uit welke data we verzamelen, wie die verwerkt, hoe die beschermd wordt en welke rechten van toepassing zijn.
De korte versie
- Adressen van consumenten zijn nooit voor elkaar zichtbaar: de verzender ziet het adres van de koper niet, en de koper ziet het adres van de verzender niet.
- Wij zijn een AVG artikel 28-conforme verwerker. Een ondertekende verwerkersovereenkomst (DPA) is van kracht bij alle klanten.
- We gebruiken drie subverwerkers: Google Cloud Platform (opslag), Mollie (betalingen) en Postmark (transactionele e-mail). Allen opereren onder het EU-US Data Privacy Framework of Standard Contractual Clauses.
- We verkopen, delen of gebruiken consumentendata niet voor andere doeleinden dan het leveren van de Forwarding-dienst voor jouw webshop.
AVG-rollen
Jouw webshop (Verwerkingsverantwoordelijke)
Jouw webshop is verwerkingsverantwoordelijke. Jij bepaalt de doelen en middelen van de verwerking van consumentendata. Jij bent verantwoordelijk voor je eigen retourbeleid, de privacyverklaringen naar consumenten en de rechtmatige grondslag voor het delen van consumentendata met ons.
It Goes Forward (Verwerker)
It Goes Forward is verwerker. We verwerken consumentendata uitsluitend op basis van jouw gedocumenteerde instructies, alleen voor het leveren van Forwarding en niet langer dan nodig. We gebruiken consumentendata voor geen enkel ander doel.
Een AVG artikel 28-conforme verwerkersovereenkomst regelt deze relatie. De DPA dekt: de reikwijdte en het doel van de verwerking, de verplichtingen van subverwerkers, rechten van betrokkenen, meldingsplicht bij datalekken, teruggave en verwijdering van data en auditrechten. Op verzoek beschikbaar.
Vraag de DPA aanWelke data we verwerken en waarom
| Data | Doel | Bewaartermijn |
|---|---|---|
| Naam en e-mailadres consument | Verzenden van transactiemeldingen (match tot stand gekomen, label uitgegeven, terugbetaling geactiveerd) via Postmark | Duur van de transactie + 30 dagen |
| Postcode consument (verzender) | Matching-algoritme: om geografisch nabijgelegen kopers te vinden en de transportafstand te minimaliseren | Duur van de listing |
| Postcode consument (ontvanger) | Generatie van het verzendlabel: doorgegeven aan de vervoerder, nooit getoond aan de verzender | Duur van de zending |
| Productgegevens (SKU, naam, prijs) | Aanmaken van de listing, matchen met bestellingen van kopers, genereren van de korting | Duur van de listing |
| Retourreden | Toelatingscheck: artikelen met reden 'beschadigd' worden uitgesloten van Forwarding | Niet bewaard na de toelatingscheck |
| Beoordeling en feedback koper | Activeren van terugbetaling, gedragsfiltering van kwaadwillenden | 12 maanden |
| CO₂-besparing per transactie | Rapportage aan de retailer, impactberekening volgens ISO-standaard | Onbeperkt; gebruikt voor geaggregeerde rapportage |
Volledige adressen (straat, huisnummer) worden alleen doorgegeven aan de vervoerder voor het genereren van het label. Ze worden door It Goes Forward niet bewaard buiten de levenscyclus van de zending en zijn nooit zichtbaar voor de andere consument.
Subverwerkers
We gebruiken drie subverwerkers. Allen zijn contractueel gebonden aan AVG-equivalente databeschermingsnormen.
Mollie
Betalingsverwerking voor koperstransacties. Mollie is een Nederlandse betaaldienstverlener onder toezicht van De Nederlandsche Bank.
Legal basis: AVG-conform. Gereguleerde EU-financiële instelling.
Privacy policyPostmark
Bezorging van transactionele e-mail. Gebruikt voor matchmeldingen, e-mails met verzendlabels en terugbetalingsbevestigingen aan consumenten.
Legal basis: EU-US Data Privacy Framework of Standard Contractual Clauses
Privacy policyWe melden wijzigingen in subverwerkers minimaal 30 dagen van tevoren aan klanten, in lijn met onze DPA. Klanten kunnen bezwaar maken tegen nieuwe subverwerkers.
Consumentenprivacy zit in het product, niet erbovenop.
Adressen worden nooit gedeeld
De verzender ziet het adres van de koper nooit. De koper ziet het adres van de verzender nooit. Het verzendlabel wordt gegenereerd door It Goes Forward en rechtstreeks doorgegeven aan de vervoerder; geen van beide partijen ziet de locatie van de ander.
Alleen retouren van één artikel
Forwarding is alleen beschikbaar voor retouren van één artikel. Dit is een bewuste privacy- en kwaliteitskeuze: de originele verpakking kan hergebruikt worden en verwisseling van artikelen tussen consumenten is uitgesloten.
Geen consumentenaccount nodig
Consumenten hoeven geen account bij It Goes Forward aan te maken. Alle interacties gebeuren binnen de bestaande retourflow van jouw webshop, met jouw bestaande consumentenauthenticatie.
Technische en organisatorische beveiligingsmaatregelen
Alle data in transit versleuteld via TLS 1.2+
Alle data at rest versleuteld (AES-256) op Google Cloud Platform
API-authenticatie via API-key, gescopet per retailer
Test- en productieomgevingen zijn volledig gescheiden
Geen volledige adressen van consumenten bewaard buiten de levenscyclus van de zending
Toegang tot productiedata beperkt tot geautoriseerde engineers
Melding van datalekken aan klanten binnen 72 uur na ontdekking, conform AVG artikel 33
Data-export op verzoek beschikbaar voor klanten
Verwijdering van data bij contractbeëindiging, schriftelijk bevestigd
Auditrechten beschikbaar voor klanten onder de DPA
Rechten van consumenten onder de AVG
Consumenten wier data we verwerken hebben de volgende rechten onder de AVG: inzage, rectificatie, verwijdering, beperking van verwerking, dataportabiliteit en het recht van bezwaar. Als verwerkingsverantwoordelijke is jouw webshop verantwoordelijk voor het ontvangen en afhandelen van verzoeken van betrokkenen. Wij ondersteunen bij verzoeken waarvoor actie in onze systemen nodig is, binnen de door de AVG vereiste termijnen.
Om een verzoek van een betrokkene in te dienen met betrekking tot de verwerking door It Goes Forward: privacy@itgoesforward.com
Security & privacy FAQ
Hebben jullie een verwerkersovereenkomst (DPA)?
Ja. Een AVG artikel 28-conforme verwerkersovereenkomst is van kracht bij alle klanten. Die dekt de verplichtingen van subverwerkers, meldingsplicht bij datalekken, bewaartermijnen, verwijdering en auditrechten. Op verzoek beschikbaar vóór contractondertekening; neem contact op.
Waar wordt consumentendata opgeslagen?
Alle data wordt opgeslagen op Google Cloud Platform in EU-regio's (europe-west4, Nederland). Geen consumentendata wordt buiten de EU opgeslagen.
Kan de verzender het adres van de koper zien, of omgekeerd?
Nee. Dit is een fundamentele ontwerpbeslissing van het product. Geen van beide partijen ziet ooit het adres van de ander. Verzendlabels worden door It Goes Forward gegenereerd en als URL aan de verzender geleverd; de vervoerder verzorgt de levering zonder het adres van de ontvanger bloot te geven.
Wat gebeurt er met consumentendata als ons contract eindigt?
Bij contractbeëindiging leveren we een data-export en verwijderen we vervolgens alle consumentendata uit onze systemen binnen 30 dagen. De verwijdering wordt schriftelijk bevestigd. Geaggregeerde, geanonimiseerde rapportagedata (bijv. totaal bespaarde CO₂) mogen we voor eigen registratie bewaren.
Voeren jullie penetration tests of security audits uit?
Security audits staan op onze roadmap, onder andere via het NLnet/Radically Open Security-programma. Samenvattingen van auditresultaten publiceren we op deze pagina zodra beschikbaar.
Zijn jullie ISO 27001-gecertificeerd?
Nog niet. ISO 27001-certificering staat op onze roadmap. We werken volgens de technische en organisatorische maatregelen die op deze pagina zijn beschreven, die ook contractueel zijn vastgelegd in onze DPA.
Hoe handelen jullie een datalek af?
Bij een datalek dat consumentendata betreft die we namens jou verwerken, melden we dit aan jou binnen 72 uur na ontdekking, conform AVG artikel 33. Onze DPA beschrijft de meldingsprocedure in detail.
Documentatie nodig voor je procurement- of legal-team?
We kunnen leveren: onze getekende DPA-template, een ingevulde security-questionnaire, onze subverwerkerslijst met contractuele basis en documentatie over onze CO₂-berekeningsmethodologie. De meeste procurement-vragen zijn zonder gesprek te beantwoorden; stuur je questionnaire door en we vullen 'm in.
Stuur ons je security-questionnaireEnterprise-inkoopdocumentatie is verpakt en klaar. Enterprise-details →