Artikel • 4 min read
Gegevensoverdracht EU-VS volgens Schrems II
Door Shanti Ariker, SVP, General Counsel and Maarten Van Horenbeeck, SVP & Chief Information Security Officer
Laatst gewijzigd 10 november 2022
Hier bij Zendesk geloven we dat vertrouwen de kern is van al onze interacties met onze klanten. Wij erkennen het belang van klantenvertrouwen en van de privacy van klanten en de veiligheid van hun gegevens. De wereldwijde privacyregelgeving ontwikkelt zich razendsnel en wij richten ons op het aanbieden van de hulpmiddelen die onze klanten nodig hebben om naleving mogelijk te maken. Als klant is het belangrijk te begrijpen hoe verkopers uw gegevens gebruiken en beveiligen. Daarom streven wij ernaar transparant te zijn over de Dienstgegevens die door onze producten en diensten worden verwerkt, over de vraag of er sprake is van internationale overdracht van gegevens en over de risico's die verbonden zijn aan het soort gegevens of de betrokken verwerking. Sinds het Schrems II-besluit in juli 2020, betreffende de wettigheid van transatlantische gegevensoverdrachten, hebben wij de volgende stappen ondernomen om grensoverschrijdende overdrachten van persoonsgegevens in overeenstemming met de EU-privacyvoorschriften mogelijk te maken:
Bindende bedrijfsvoorschriften en modelcontractbepalingen
Wij bieden EU-bindende bedrijfsvoorschriften (Binding Corporate Rules, "BCR") voor zowel de Verwerkingsverantwoordelijke als de Verwerker aan, die worden beschouwd als de "gouden standaard" voor internationale gegevensoverdrachten. BCR's zijn bedrijfsbrede beleidslijnen inzake gegevensbescherming die voor gegevensoverdrachten zijn goedgekeurd door onze Gegevensbeschermingsautoriteit. Wij bieden een Data Processing Agreement(DPA) aan, waarin onze EU-BCR's en de nieuwe Modelcontractbepalingen (Standard Contractual Clauses, SCC's) van juni 2021 zijn opgenomen. Onze DPA biedt ook extra waarborgen ten opzichte van bijlage II van de nieuwe DPA/SCC's en biedt nadere details over onze controles op de toegang tot systemen, controles op de toegang tot gegevens, controles op de transmissie en netwerkarchitectuur en -beveiliging.
Gids voor transfer impact assessment
Wij bieden ook een Gids voor Transfer Impact Assessment aan, die u kan helpen uw overdrachten te kennen en u in staat te stellen de vereiste privacy impact assessment en analyse geval per geval uit te voeren (op verzoek).
Transparantierapport
Als het om overheidstoezicht gaat, vinden wij dat rechtshandhavingsinstanties en nationale veiligheidsdiensten eerst de klanten moeten aanspreken en niet de dienstverleners. Wij hebben in de loop der jaren zeer weinig rechtshandhavingsverzoeken ontvangen, zoals blijkt uit ons transparantierapport, dat wij om de zes maanden bijwerken. Wij hebben geen achterdeuren ingebouwd waarmee overheidsinstanties onze veiligheidsmaatregelen kunnen omzeilen en zullen dat ook niet doen.
Certificeringen
Wij onderwerpen ons regelmatig aan zelfevaluatie en onafhankelijke, externe tests en certificatie. Onze beveiligingscertificaties van externe auditors omvatten SOC 2 Type II, ISO 27001:2013 en ISO 27018:2014.
Regionale data hosting opties
Wij bieden ook een manier om uw gegevens op regionale basis op te slaan. U hebt de mogelijkheid om uw dienstgegevens voor bepaalde gedekte functionaliteit te laten hosten in de Verenigde Staten, de Europese Economische Ruimte (EER), Japan (JP) of Australië (AU). Een volledige beschrijving van welke diensten kunnen worden gehost in de door u gekozen regio vindt u op onze regionale data hosting beleids.
Vooruitblik: het stappenplan van Zendesk voor toekomstige vertrouwensfuncties
In dit snel veranderende regelgevingskader hebben wij ons ertoe verbonden extra functies te ontwikkelen om onze klanten een hoger beschermingsniveau te bieden. In 2022 werkt Zendesk aan de volgende privacy- en gegevensbeschermingsfuncties om klanten te ondersteunen:
- Versleuteling op basis van "bring your own key" (BYOK), waarmee klanten hun dienstgegevens kunnen versleutelen met behulp van hun eigen systeem voor het beheer van bedrijfssleutels
- Ondersteuning van Datacenterlocaties voor alle Agent Workspace-functies
- Verbeterde functies voor het wissen van gegevens, toegangscontrole en auditing van klantgegevens
- Een aanbod om uitsluitend in de EU gevestigde klantenondersteuning te bieden om de locatie van klantenvertegenwoordigers met toegang tot uw dienstgegevens te beperken
Zendesk zet zich in om onze klanten te ondersteunen bij het navigeren door nieuwe regelgeving op het gebied van gegevensbescherming en privacy. Wij vinden de lopende besprekingen tussen de Europese Commissie en de overheid van de Verenigde Staten om een nieuw kader op te zetten voor de persoonsgegevens van Europeanen die naar de Verenigde Staten worden overgedragen, bemoedigend. Heb je een vraag? Neem dan contact op met uw Zendesk account executive of ons privacy team op euprivacy@zendesk.com.
Voor meer informatie over ons privacy- en veiligheidsprogramma, zie de onderstaande bronnen:
Schrems II – Gids met veelgestelde vragen (FAQ)
Addendum gegevensverwerking met nieuwe SCC's
Regionale data hosting beleid
Transparantierapport
Hoe wij uw dienstgegevens beschermen
Informatie over de White Paper over Amerikaanse Privacywaarborgen van het Amerikaanse Dept. of Commerce Dept. of Commerce
