Ongeldigheid Privacyschild en praktijken van Zendesk

Door Rachel Tobin, AGC EMEA (Global Privacy Counsel)

Gepubliceerd 17 juli 2020
Laatst gewijzigd 29 oktober 2020

Op 16 juli 2020 maakte het Gerechtshof van de Europese Unie (“CJEU”) haar besluit kenbaar in de zaak C-311/18, ook wel bekend als Schrems II. Het besluit van het CJEU bevestigde de geldigheid van de Standaard Contractuele Clausules (“SCC’s”) van de Verwerkingsverantwoordelijke-Verwerker van de Europese Unie, terwijl tegelijkertijd het kader van het EU-VS Privacyschild ongeldig werd verklaard als mechanisme om persoonsgegevens over te dragen van de EU naar de VS.Vanwege het besluit moeten organisaties die betrokken zijn bij de overdracht van persoonsgegevens naar een derde land een evaluatie uitvoeren voordat een overdracht wordt gedaan volgens de SCC’s, om ervoor te zorgen dat betrokkenen een beschermingsniveau wordt geboden dat “in de essentie gelijk is aan” wat binnen de Europese Unie (“EU”) gegarandeerd wordt volgens de AVG.Indien dit beschermingsniveau niet kan worden bereikt door op alleen de SCC’s te vertrouwen, dient de exporterende organisatie “aanvullende maatregelen” te treffen om de overgedragen persoonsgegevens te beschermen volgens een niveau dat “in de essentie daaraan gelijk is".

1. In hoeverre heeft het besluit invloed op het gebruik van de Diensten door de klanten van Zendesk?

Zendesk biedt haar klanten keuzes ten aanzien van privacy. Zendesk heeft van gegevens van zijn klanten regelgevingsautorisatie gekregen voor bindende bedrijfsvoorschriften ("BCR") die onze klanten bij het gebruiken van onze diensten een robuust mechanisme biedt voor de overdracht van persoonsgegevens van de EU naar bedrijven uit de Zendesk-familie. Meer informatie is beschikbaar in ons persbericht, dat hier te vinden is, en op onze website over Privacy en gegevensbescherming, welkedie hier te vinden is. De Overeenkomst voor gegevensverwerking ("DPA") van Zendesk omvat zowel onze SCC’s als de BCR’s. Met het oog op het besluit van het CJEU en de opkomende en verwachte begeleiding van het Europees Comité voor Gegevensbescherming en de Europese Commissie, hebben we onze gegevensoverdrachtregelingen met onze subverwerkers onder de loep genomen en bevestigd dat geldige overdrachtsmechanismen gehanteerd worden. Een bijgewerkte lijst van onze subverwerkers is hier beschikbaar.

Als u momenteel een DPA hebt getroffen met Zendesk, kunt u de diensten van Zendesk blijven gebruiken in overeenstemming met de Europese Wet. De rechtelijke uitspraak, genaamd Schrems II, verandert uw mogelijkheid niet om binnen de Dienst gegevens over te dragen tussen de EU en de Verenigde Staten. Houd er rekening mee dat de uitspraak van het CJEU, noch de AVG, van u vereisen dat u persoonsgegevens host binnen de EU. Als u een bestaande klant bent en een DPA vereist, dan kunt u het formulier gebruiken dat in uw beheerconsole staat, of hier klikken, waardoor u naar onze DPA wordt gebracht.

2. Toegang van de overheid tot persoonsgegevens in accounts van klanten

Binnen haar besluit heeft het CJEU vastgesteld dat organisaties die afhankelijk zijn van de SCC's en/of BCR's ervoor dienen te zorgen dat betrokkenen van wie de persoonsgegevens naar een derde land worden overgedragen volgens de standaard contractuele clausules, een beschermingsniveau geboden moet worden dat in de essentie gelijk is aan wat door de AVG wordt gegarandeerd binnen de EU. Het gerechtshof specificeerde dat organisaties moeten beoordelen of zij persoonsgegevens al dan niet mogen overdragen op basis van de SCC's en/of BCR's, rekening houdend met de omstandigheden van de overdracht en eventuele aanvullende maatregelen die een organisatie kan treffen. Zendesk heeft een goed gedefinieerd intern beleid en proces voor verzoeken van de overheid om informatie over haar klanten, wat overeenkomt met Regel 12A en 12B van ons BCR-beleid voor Verwerkers. Zendesk licht de desbetreffende klant in over het verzoek, tenzij dit wettelijk verboden is of indien er duidelijke tekenen zijn van onwettig gedrag of risico op schade of letsel. Verder bevestigen wij dat wij geen achterdeuren of andere methoden hebben ingebouwd in onze diensten zodat overheidsinstanties onze beveiligingsmaatregelen kunnen omzeilen en toegang hebben tot Persoonsgegevens van Klantaccounts.

3. Aanvullende maatregelen - Codering van klantgegevens

Zendesk hanteert sterke databeveiligingspraktijken om haar klantgegevens te beschermen, zoals uiteengezet op onze Zendesk Security website, waaronder codering:

  • (i) Gecodeerde verzending Servicegegevens die Persoonsgegevens kunnen omvatten, worden tijdens verzending over openbare netwerken gecodeerd bij communicatie met de User Interfaces (UI’s) en Application Programming Interface (API’s) van Zendesk via de standaard HTTPS/TLS (TLS 1.2 of hoger) binnen de sector. Uitzonderingen op gecodeerde verzending (zoals wanneer diensten van derden worden gebruikt die codering niet ondersteunen) staan op onze Beveiligingswebsite, die hier te vinden is;
  • (ii) Stationaire codering. Servicegegevens die Persoonsgegevens kunnen bevatten, worden stationair gecodeerd door de Subverwerker van Zendesk en beheerd door service-/hostingprovider, Amazon Web Services Inc., via AES-256.
  • (iii) Zendesk biedt tevens de mogelijkheid om door de klant gegenereerde certificaten te verzenden via de functie Host Mapping in het account van de klant. Meer informatie hierover is hier beschikbaar.

Sinds onze oprichting heeft het beleid van Zendesk zich altijd gericht op een sterke betrokkenheid bij privacy, beveiliging, naleving en transparantie. Privacy is een reis die nooit ten einde komt en wij van Zendesk blijven toegewijd aan de bescherming en beveiliging van onze klantgegevens. Neem contact op met uw accountmanager indien u verdere vragen heeft.