Overslaan naar belangrijkste inhoud

Overeenkomsten en voorwaarden

Beleidslijnen en richtlijnen

Handelsmerken en intellectueel eigendom

Inkoop en leveranciers

Gegevensbescherming en privacy

OVEREENKOMST VOOR GEGEVENSVERWERKING

Deze Gegevensverwerkingsovereenkomst (“DPA”) wordt aangegaan door Klant en Zendesk, Inc. (“Zendesk”), elk een “Partij” en samen de “Partijen”.

Klant en Zendesk zijn de Overeenkomst aangegaan waarbij Klant toegang tot en gebruik van de Diensten wordt verleend gedurende de Abonnementsperiode. Deze DPA is opgenomen in en maakt deel uit van de Overeenkomst. Als u de DPA elektronisch wilt ondertekenen, klik dan hier.

1. WERELDWIJDE PRIVACYVERPLICHTINGEN VAN DE PARTIJEN

  1. Eigendom van dienstgegevens. Zendesk doet geen eigendomsrechten of belangen gelden voor Dienstgegevens die worden verwerkt onder deze DPA en, tussen de Partijen, blijven Dienstgegevens die eigendom zijn van de Klant eigendom van de Klant.
  2. Persoonlijke gegevens. De Partijen komen overeen dat de aard, doeleinden, onderwerp, duur van verwerking, categorieën van Persoonsgegevens of gegevenssubjecten, en toepasselijke bewaartermijnen zijn zoals beschreven in Bijlage I.
  3. Toepasselijke wetgeving inzake gegevensbescherming. Zendesk en Klant komen overeen om hun respectieve verplichtingen van de Toepasselijke Gegevensbeschermingswet na te leven.
  4. Verplichtingen van Zendesk. Zendesk stemt in met:

    1. verwerk Persoonlijke Gegevens volgens de gedocumenteerde instructies van de klant, tenzij anders toegestaan of vereist door de toepasselijke wetgeving. Zendesk zal Klant onmiddellijk informeren als zijn verwerkingsinstructies de Toepasselijke Wetgeving inzake Gegevensbescherming schenden;

    2. niet Sell of delen Persoonlijke Gegevens;

    3. ervoor zorgen dat alle werknemers en aannemers zich volledig bewust zijn van hun verantwoordelijkheden om Persoonlijke Gegevens te beschermen onder deze DPA en zich hebben verbonden tot een passende contractuele of wettelijke geheimhoudingsplicht;

    4. informeer Klant als het niet langer aan zijn verplichtingen onder de Toepasselijke Gegevensbeschermingswet kan voldoen en sta Klant toe redelijke en passende stappen te ondernemen om ongeoorloofde verwerking van Persoonsgegevens te verhelpen;

    5. implementeren en onderhouden passende technische en organisatorische maatregelen die zijn ontworpen om Persoonlijke Gegevens te beschermen tegen onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking of toegang, rekening houdend met de waarschijnlijkheid en ernst van risico's voor de privacyrechten van gegevens Onderwerpen, inclusief de maatregelen in Bijlage II;

    6. informeer Klant zonder onnodige vertraging en binnen 48 uur over een bevestigde persoonlijke datalek, tenzij verboden door de wet of een overheidsinstantie; neem passende maatregelen die zijn ontworpen om de oorzaak of oorzaken van de persoonlijke datalek te beperken; en verstrek Klant alle noodzakelijke informatie zoals vereist onder de Toepasselijke Gegevensbeschermingswet;

    7. redelijkerwijs de Klant bijstaan met zijn verplichting om te reageren op verzoeken van gegevensonderwerpen en, als Zendesk een verzoek rechtstreeks van de gegevensonderwerp van de Klant ontvangt, de gegevensonderwerp naar de Klant doorverwijzen tenzij wettelijk verboden; en

    8. commercieel redelijke informatie en assistentie beschikbaar stellen om Klant in staat te stellen een gegevensbeschermingseffectbeoordeling of overleg met de toezichthoudende autoriteit te voeren, zoals vereist door de toepasselijke gegevensbeschermingswet.

  5. Verplichtingen van de klant. Klant, als verwerkingsverantwoordelijke, bepaalt welke Persoonsgegevens door de Diensten worden verwerkt. De Klant is verantwoordelijk voor het beoordelen van de technische en organisatorische maatregelen van Zendesk die van toepassing zijn op de soorten Persoonsgegevens die de Klant wenst te verwerken door zijn gebruik van de Diensten.

2. GEBRUIK VAN SUBVERWERKERS

  1. Sub-verwerkers. Klant geeft zijn algemene schriftelijke toestemming aan Zendesk om Sub-verwerkers te gebruiken, op voorwaarde dat:

    1. Zendesk blijft aansprakelijk tegenover Klant voor de handelingen of nalatigheden van zijn Sub-verwerkers met betrekking tot hun verwerking van Persoonlijke Gegevens; en

    2. elk Sub-verwerker stemt ermee in om de Persoonlijke Gegevens te beschermen volgens normen die consistent zijn met de vereisten van deze DPA.

  2. Updates van het subverwerkersbeleid. Zendesk zal het Beleid inzake Subverwerkers ten minste 30 dagen vóór een dergelijke wijziging bijwerken met alle nieuw aangewezen Subverwerkers. Klant kan zich aanmelden om E-mailmeldingen van dergelijke wijzigingen te ontvangen.
  3. Bezwaren tegen Sub-Processorbeleid. Klant kan bezwaar maken tegen elke nieuw aangestelde Sub-verwerker op redelijke gronden met betrekking tot gegevensbescherming. Als de klant bezwaar maakt, zal deze Zendesk schriftelijk op de hoogte stellen door een E-mail te sturen naar privacy@zendesk.com binnen 30 dagen na de update van het Sub-processorbeleid. In een dergelijk geval zullen de Partijen te goeder trouw een oplossing voor de bezwaren van de Klant onderhandelen. Als de Partijen binnen 60 dagen na ontvangst van de bezwaren van de klant door Zendesk geen oplossing kunnen bereiken, zal Zendesk, naar eigen goeddunken, ofwel:

    1. instructeer de Sub-verwerker om de Persoonlijke Gegevens van de klant niet te verwerken, en de DPA blijft onaangetast, of

    2. sta de Klant toe om een getroffen deel van de Diensten te beëindigen en de Klant een pro rata terugbetaling te geven van de Abonnementskosten die vooraf zijn betaald voor het getroffen deel van de Diensten dat nog niet is ontvangen op de ingangsdatum van de beëindiging.

3. AUDIT

  1. Externe accountants. Zendesk gebruikt onafhankelijke en gekwalificeerde externe auditors om de geschiktheid van zijn gegevensbeschermingsmaatregelen en naleving van zijn verplichtingen in deze DPA te verifiëren (bijv. SOC 2 type II of ISO 27001).
  2. Auditrapport. Op schriftelijk verzoek van de klant zal Zendesk de klant voorzien van een Auditrapport, onder voorbehoud van de vertrouwelijkheidsbepalingen van de Overeenkomst.
  3. Hulp. Voor zover de auditvereisten van de Klant onder de Toepasselijke Gegevensbeschermingswet niet redelijkerwijs worden voldaan door het Auditrapport of andere documentatie die Zendesk algemeen beschikbaar stelt aan zijn klanten, en de Klant anderszins geen toegang heeft tot de relevante informatie, zal Zendesk de Klant redelijkerwijs bijstaan.
  4. Audit. Als Klant niet kan voldoen aan zijn auditverplichtingen onder de Toepasselijke Gegevensbeschermingswet met behulp van de assistentie van Zendesk zoals beschreven in Sectie 3.3 en Klant het recht heeft om een audit uit te voeren onder de Toepasselijke Gegevensbeschermingswet, mag Klant een dergelijke audit aanvragen door ten minste 30 dagen van tevoren schriftelijk kennis te geven aan privacy@zendesk.com. Een dergelijke audit mag niet meer dan één keer per jaar worden uitgevoerd, moet worden uitgevoerd tijdens normale Kantooruren met een redelijke duur, mag de activiteiten van Zendesk niet verstoren en mag alleen worden uitgevoerd op het hoofdkantoor van Zendesk of een overeengekomen zakelijk kantoor. Een dergelijke audit houdt geen toegang in tot gegevens met betrekking tot andere Zendesk-klanten, of tot beveiligde faciliteiten of systemen op een manier die de beveiligingscontroles van Zendesk zou schenden of ervoor zou zorgen dat Zendesk haar vertrouwelijkheidsverplichtingen jegens derden schendt. Alle informatie die wordt gegenereerd in verband met een dergelijke audit is Zendesk's Vertrouwelijke Informatie en zal onmiddellijk aan Zendesk worden verstrekt. Klant is verantwoordelijk voor kosten en uitgaven met betrekking tot elke audit die het aanvraagt buiten het Auditrapport.

4. INTERNATIONALE GEGEVENSOVERDRACHTEN

  1. Internationale gegevensdoorverbindingen. Klant erkent dat het noodzakelijk is voor de uitvoering van de Diensten dat Zendesk Dienstgegevens wereldwijd kan verwerken in overeenstemming met de Toepasselijke wetgeving inzake gegevensbescherming. Als Zendesk Persoonlijke Gegevens doorverbindt van een oorsprongsland naar een land dat geen adequaatheidsbesluit heeft ontvangen van het oorsprongsland, zullen de doorverbindingen voldoen aan een of meer van de volgende Doorverbindingsmechanismen, van toepassing gemaakt op alle Persoonlijke Gegevens, en in de volgende volgorde:

    1. een geldig certificeringsmechanisme;

    2. Bindende bedrijfsregels;

    3. SCC's.

  2. Mechanismen voor doorverbinden. Overdrachtsmechanismen, clausuleselecties en specifieke landvereisten, indien van toepassing, worden gedetailleerd en door verwijzing opgenomen in Bijlage III.
  3. Beoordeling van gegevensdoorverbinden. Klant erkent dat het verplicht kan zijn om een gegevensdoorverbindingsbeoordeling uit te voeren naast het vertrouwen op Doorverbindingsmechanismen. Zendesk zal redelijke hulp bieden bij deze beoordeling op aanvraag.
  4. Bindende handtekening. Klant erkent dat handtekening van de Overeenkomst een bindende handtekening van de SCC's en andere handtekeningvereisten vermeld in de Regiospecifieke Voorwaarden vormt.

5. RETURN EN VERNIETIGING VAN PERSOONLIJKE GEGEVENS

Op schriftelijk verzoek van de klant zal Zendesk de Servicedata beschikbaar stellen aan de klant voor export of download zoals voorzien in de Overeenkomst. Zendesk zal Servicedata verwijderen in overeenstemming met Zendesk's Servicedata Verwijderen Beleid.

6. INNOVATIEDIENSTEN

Alle Secties van deze DPA zijn van toepassing op Innovatiediensten, behalve voor Sectie 3 (Audit), Bijlage II (Zendesk Technische en Organisatorische Beveiligingsmaatregelen – Ondernemingsdiensten), en Bijlage III, Secties 1 en 2 (Bindende Bedrijfsregels en Gegevensprivacyraamwerk).

7. CONFLICTEN

Tenzij anders overeengekomen, hebben de voorwaarden van deze DPA voorrang op eventuele tegenstrijdige voorwaarden in de Overeenkomst.

8. DEFINITIES

Alle termen die in deze DPA worden gebruikt, hebben de betekenis die hieronder wordt gegeven. Waar niet gedefinieerd in deze DPA, zullen de termen “Sell”, “delen”, “verwerking”, “verwerken”, “verwerker”, “verantwoordelijke”, “gegevensexporteur”, “data importer”, “gegevenssubject”, “Persoonlijk datalek” (en soortgelijke termen), en “toezichthoudende autoriteit” dezelfde betekenis hebben als in de Toepasselijke Gegevensbeschermingswet. Termen met een hoofdletter die niet anderszins in deze DPA zijn gedefinieerd, zijn zoals gedefinieerd in de Overeenkomst.

“Toepasselijke Wetgeving Gegevensbescherming” betekent alle wet- en regelgeving inzake gegevensbescherming die op elke partij van toepassing is in verband met haar respectievelijke verwerking van Persoonlijke Gegevens onder deze Overeenkomst.

“Audit Rapport” betekent een vertrouwelijke samenvatting van een dergelijke certificering of auditrapport voor Onderneming Services.

“Bindende bedrijfsregels” betekent (a) EU Bindende bedrijfsregels – Verwerker voor doorverbinden van Persoonlijke Gegevens Onderworpen aan de AVG, of (b) VK Bindende bedrijfsregels – Verwerker voor doorverbinden van VK Persoonlijke Gegevens.

“Bug Bounty Program” betekent de voorwaarden op: https://support.zendesk.com/hc/en-us/articles/115002853607-Zendesk-Bug-Bounty-Program.

Webpagina bedrijfsveerkracht https://support.zendesk.com/hc/en-us/articles/360022191434-Business-Continuity-and-Disaster-recovery.

“Persoonlijke Gegevens” betekent alle persoonlijke gegevens die, direct of indirect, betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon en die zijn opgenomen in Servicegegevens.

“Status-webpagina” https://status.zendesk.com/.

“SCC's” betekent standaard contractuele clausules goedgekeurd door een toezichthoudende autoriteit als een Doorverbindmechanisme.

“Subverwerker” betekent elke externe gegevensverwerker die door Zendesk is ingeschakeld en die Dienstgegevens ontvangt en verwerkt in overeenstemming met de instructies van de Klant (zoals gecommuniceerd door Zendesk) en de voorwaarden van zijn schriftelijke onderaanneming met Zendesk, zoals vermeld in het Beleid inzake Subverwerkers.

“Subverwerkerbeleid” betekent het beleid op: https://support.zendesk.com/hc/en-us/articles/4408883061530-Sub-processor-Policy.

“Mechanisme voor doorverbinden” betekent het kader of de kaders die het internationale verwerken van Persoonlijke Gegevens zoals beschreven in Bijlage III regelen.

BIJLAGE I

Details van de verwerking

Gegevensexporteur: Klant

Contactgegevens: Opgenomen in het DPA-handtekeningblok.

Rol van de gegevensexporteur: Klant is een verwerkingsverantwoordelijke (met betrekking tot Zendesk)

Data Importer: Zendesk, Inc.

Contactgegevens: Opgenomen in de handtekening blokkeren van de DPA

Data Importer rol: Zendesk is een verwerker

  1. Aard en doel van de verwerking: Zendesk zal Persoonlijke Gegevens verwerken zoals gespecificeerd in de Overeenkomst en voor de doeleinden bepaald door Klant.
  2. Verwerkingsactiviteiten: Verwerkingsactiviteiten zullen het hosten en verwerken van Persoonlijke Gegevens omvatten zoals specifiek geïnstrueerd door de Klant programmatisch of in de Overeenkomst.
  3. Duur van verwerking en bewaring: Zendesk zal Persoonlijke Gegevens continu verwerken en bewaren gedurende de Abonnementsperiode. Zendesk verwijdert Persoonlijke Gegevens volgens het Zendesk Service Data Verwijderingsbeleid.
  4. Betrokkenen: Klant mag, naar eigen goeddunken, Persoonsgegevens indienen bij de Services, waaronder, maar niet beperkt tot: werknemers (inclusief aannemers en tijdelijke werknemers), familieleden van werknemers, klanten, potentiële klanten, dienstverleners, zakenpartners, leveranciers, Eindgebruikers, adviseurs (allen natuurlijke personen) van Klant en elke natuurlijke persoon/personen die door Klant gemachtigd zijn om de Services te gebruiken.
  5. Categorieën van Persoonlijke gegevens: Klant kan naar eigen goeddunken elke categorie Persoonsgegevens verwerken met behulp van de Diensten, waaronder, maar niet beperkt tot, de volgende categorieën van Persoonsgegevens: voor- en achternaam, e-mailadres, titel, functie, werkgever, contactinformatie (bedrijf, e-mail, telefoonnummers, fysiek adres), geboortedatum, geslacht, communicatie (telefoonopnames, voicemail, metadata), en klantenservice-informatie.
  6. Speciale categorieën gegevens (indien van toepassing): Gevoelige categorieën van gegevens die speciale behandeling vereisen onder de Toepasselijke Gegevensbeschermingswet kunnen worden opgenomen als Persoonlijke Gegevens naar goeddunken van de Klant.

BIJLAGE II

Zendesk Technische en Organisatorische Beveiligingsmaatregelen – Ondernemingsdiensten

De technische en organisatorische maatregelen om Servicedata voor Ondernemingsdiensten te beschermen, zijn opgenomen in de Ondernemingsbeveiligingsmaatregelen van Zendesk.

Zendesk behoudt zich het recht voor om zijn beveiligingsprogramma van tijd tot tijd bij te werken, op voorwaarde echter dat elke update de algemene bescherming in deze Bijlage II niet wezenlijk zal verminderen.

  1. Informatiebeveiligingsprogramma en team: Het beveiligingsprogramma van Zendesk omvat gedocumenteerde beleidslijnen en normen van administratieve, technische, fysieke en organisatorische waarborgen, die de verwerking van Dienstgegevens regelen in overeenstemming met de toepasselijke wetgeving. Het beveiligingsprogramma is ontworpen om de vertrouwelijkheid en integriteit van Servicegegevens te beschermen, passend bij de aard, omvang, context en doeleinden van verwerking en de risico's die betrokken zijn bij de verwerking voor de gegevensonderwerpen. Zendesk onderhoudt een wereldwijd verspreid beveiligingsteam dat 24/7 in gesprek is om te reageren op beveiligingswaarschuwingen en -gebeurtenissen.
  2. Beveiligingscertificeringen: Zendesk heeft de Volgen beveiligingsgerelateerde certificeringen van onafhankelijke externe auditors: SOC 2 Type II, ISO 27001:2013, of ISO 27018:2014.
  3. Fysieke toegangscontroles: Zendesk neemt redelijke maatregelen, zoals beveiligingspersoneel en beveiligde gebouwen, om te voorkomen dat onbevoegden fysieke toegang krijgen tot Servicedata en valideert dat derden die Datacenters namens Zendesk exploiteren, zich aan dergelijke controles houden.
  4. Systeemtoegangscontroles: Zendesk neemt redelijke maatregelen om te voorkomen dat Dienstgegevens zonder toestemming worden gebruikt. Deze controles variëren afhankelijk van de aard van de verwerking en kunnen, naast andere controles, authenticatie via wachtwoorden en/of authenticatie in twee stappen, gedocumenteerde autorisatieprocessen, gedocumenteerde verandermanagementprocessen en/of logging van toegang op verschillende niveaus omvatten.
  5. Toegangscontroles voor gegevens: Zendesk neemt redelijke maatregelen om ervoor te zorgen dat Dienstgegevens alleen toegankelijk en beheersbaar zijn door naar behoren geautoriseerd personeel, directe toegang tot databasequery's wordt beperkt en toegangsrechten voor toepassingen worden vastgesteld en gehandhaafd om ervoor te zorgen dat personen die gerechtigd zijn om een gegevensverwerkingssysteem te gebruiken alleen toegang hebben tot de Dienstgegevens waartoe zij toegangsrecht hebben; en dat Dienstgegevens niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd tijdens de verwerking.
  6. Transmissiebediening: Zendesk neemt redelijke maatregelen om de mogelijkheid te waarborgen om te controleren en vast te stellen welke entiteiten Dienstgegevens worden overgedragen door middel van gegevensoverdrachtfaciliteiten, zodat Dienstgegevens niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd tijdens elektronische overdracht of transport. Servicegegevens worden versleuteld tijdens het transport over openbare netwerken bij communicatie met Zendesk gebruikersinterfaces (UIs) en applicatieprogrammeerinterface (API's) via industriestandaard HTTPS/TLS (TLS 1.2 of hoger). Uitzonderingen op versleuteling tijdens overdracht kunnen elk Derde Partij Product omvatten dat geen versleuteling support, waarmee de gegevensbeheerder kan koppelen via de Onderneming Services naar eigen keuze. Servicegegevens worden stationair gecodeerd door de Subverwerker van Zendesk en beheerd door serviceprovider, Amazon Web Services Inc., via AES-256.
  7. Bedieningselementen bij invoer: Zendesk neemt redelijke maatregelen om de mogelijkheid te bieden om te controleren en vast te stellen of en door wie Dienstgegevens zijn ingevoerd in gegevensverwerkingssystemen, gewijzigd of verwijderd, en dat elke overdracht van Dienstgegevens aan een externe dienstverlener wordt gedaan via een veilige overdracht.
  8. Logische scheiding: Gegevens uit verschillende Zendesk-klantomgevingen worden logisch gescheiden op systemen die door Zendesk worden beheerd om ervoor te zorgen dat Dienstgegevens die door verschillende verwerkingsverantwoordelijken worden verzameld, van elkaar worden gescheiden.
  9. Geen achterdeuren: Zendesk heeft geen achterdeuren of andere methoden in de Diensten ingebouwd om overheidsinstanties in staat te stellen haar beveiligingsmaatregelen te omzeilen om toegang te krijgen tot Dienstgegevens.
  10. Datacenterarchitectuur en beveiliging: Zendesk host servicegegevens hoofdzakelijk in AWS-datacenters die ISO 27001- en PCI DSS Service Provider Level 1-gecertificeerd zijn, en/of SOC2-compliant zijn. AWS-infrastructuurservices omvatten noodstroomvoorziening, HVAC-systemen en brandonderdrukkende apparatuur om servers en uiteindelijk de gegevens van de klant te beschermen. AWS-beveiliging on-site omvat een aantal Uitlichten, zoals bewakers, omheiningen, beveiligingsfeeds, inbraakdetectietechnologie en andere veiligheidsmaatregelen. Meer informatie over AWS-controles is te vinden op: https://aws.amazon.com/security.
  11. Netwerkarchitectuur en -beveiliging: Zendesk-systemen worden ondergebracht in zones die in verhouding staan tot hun beveiliging, afhankelijk van functie, informatieclassificatie en risico. De netwerkbeveiligingsarchitectuur van Zendesk bestaat uit meerdere zones met gevoeligere systemen, zoals databaseservers, in de meest vertrouwde zones van Zendesk. Afhankelijk van de zone zijn er extra veiligheids- en toegangscontroles van toepassing. DMZ's worden gebruikt tussen het internet en intern tussen de verschillende vertrouwenszones. Het netwerk van Zendesk wordt beschermd door het gebruik van sleutel AWS-beveiligingsdiensten, regelmatige audits en netwerkintelligentietechnologieën, die bekend kwaadaardig verkeer en netwerkaanvallen monitoren en/of blokkeren. Zendesk maakt gebruik van netwerkbeveiligingsscans om snel potentieel kwetsbare systemen te identificeren, naast Zendesk's uitgebreide interne scan- en testprogramma. Zendesk neemt ook deel aan verschillende programma's voor het delen van dreigingsintelligentie om bedreigingen te monitoren die naar deze dreigingsintelligentienetwerken zijn gepost en actie te ondernemen op basis van risico. Zendesk heeft een meerlaagse benadering van DDoS-beperking, waarbij gebruik wordt gemaakt van netwerkrandverdediging, samen met schaal- en beschermingstools.
  12. Testen, bewaken en loggen: Elk jaar huurt Zendesk externe beveiligingsexperts in om een brede penetratietest uit te voeren op het gehele Zendesk-productionnetwerk en -bedrijfsnetwerk. Zendesk maakt gebruik van een Security Incident Event Management (SIEM) systeem, dat logs van belangrijke netwerkapparaten en hostsystemen Gather. Het SIEM geeft waarschuwingen op triggers die het beveiligingsteam op de hoogte stellen op basis van gecorreleerde gebeurtenissen voor onderzoek en respons. In- en uitgaande punten van diensten worden geïnstrumenteerd en bewaakt om afwijkend gedrag te detecteren, inclusief 24/7 systeemmonitoring.
  13. Plaats van data hosting: Zendesk biedt Klanten een optie om te kiezen waar Servicedata wordt gehost als een Klant de Locatie van datacenter Add-On aanschaft. Een full beschrijving van dit aanbod is te vinden op: https://support.zendesk.com/hc/en-us/articles/360053579674.
  14. Beschikbaarheid en continuïteit: Zendesk onderhoudt een openbaar toegankelijke Statuswebpagina, met informatie over systeembeschikbaarheid, gepland onderhoud, geschiedenis van service-Incidenten en relevante beveiligingsgebeurtenissen. Zendesk maakt gebruik van serviceclustering en netwerkredundanties om single points of failure te elimineren. Dankzij ons strikte back-upregime en/of de serviceaanbieding voor Uitgebreid noodherstel van Zendesk kunnen wij een hoog niveau van servicebeschikbaarheid leveren, aangezien servicegegevens naar alle beschikbare zones worden gerepliceerd. Het Disaster Recovery-programma van Zendesk zorgt ervoor dat de Zendesk Services beschikbaar blijven en gemakkelijk te herstellen zijn in het geval van een ramp, door het bouwen van een robuuste technische omgeving. Aanvullende informatie is beschikbaar op de webpagina Zakelijke veerkracht van Zendesk.
  15. Personenbeveiliging: Zendesk voert achtergrondcontroles uit vóór indiensttreding van alle werknemers, inclusief verificatie van opleiding en werk, in overeenstemming met toepasselijke lokale wetten. Werknemers ontvangen beveiligingstraining bij indiensttreding en daarna jaarlijks. Werknemers zijn gebonden aan schriftelijke geheimhoudingsovereenkomsten om de vertrouwelijkheid van gegevens te behouden.
  16. Leveranciersbeheer: Zendesk maakt gebruik van externe leveranciers om bepaalde aspecten van de Diensten te leveren. Zendesk voltooit een beveiligingsrisicobeoordeling van potentiële Prospect leveranciers.
  17. Bug Bounty: Zendesk onderhoudt een Bug Bounty Programma om onafhankelijke beveiligingsonderzoekers in staat te stellen beveiligingskwetsbaarheden voortdurend te rapporteren.

Zendesk Technische en organisatorische beveiligingsmaatregelen – Innovatiediensten

De technische en organisatorische maatregelen ter bescherming van Dienstgegevens voor Innovatiediensten zijn opgenomen in de Innovatiebeveiligingsmaatregelen van Zendesk.

Het informatiebeveiligingsprogramma van Zendesk omvat gedocumenteerde beleidslijnen of normen die de behandeling van Dienstgegevens regelen in overeenstemming met de toepasselijke wetgeving, en administratieve, technische en fysieke waarborgen die zijn ontworpen om de vertrouwelijkheid en integriteit van Dienstgegevens te beschermen. Zendesk behoudt zich het recht voor om zijn beveiligingsprogramma van tijd tot tijd bij te werken, op voorwaarde echter dat elke update de algemene bescherming in deze Bijlage II niet wezenlijk zal verminderen.

  1. Fysieke toegangscontroles: Zendesk neemt redelijke maatregelen om te voorkomen dat onbevoegde personen fysieke toegang krijgen tot Dienstgegevens.

  2. Systeemtoegangscontroles: Zendesk neemt redelijke maatregelen om te voorkomen dat Dienstgegevens zonder toestemming worden gebruikt.

  3. Gegevens toegangscontroles: Zendesk neemt redelijke maatregelen om ervoor te zorgen dat Service Data alleen toegankelijk en beheerd wordt door naar behoren geautoriseerd staff.

  4. Regelingen transmissie: Zendesk neemt redelijke maatregelen om de mogelijkheid te waarborgen om te controleren en vast te stellen aan welke entiteiten Dienstgegevens worden overgedragen door middel van gegevensoverdrachtfaciliteiten, zodat Dienstgegevens niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd tijdens elektronische verzending of transport.

  5. Ingangsregelaars: Zendesk neemt redelijke maatregelen om te bepalen dat het mogelijk is om te controleren en vast te stellen of en door wie Dienstgegevens zijn ingevoerd in gegevensverwerkingssystemen, gewijzigd of verwijderd, en dat elke overdracht van Dienstgegevens aan een externe dienstverlener wordt gedaan via een veilige overdracht.

  6. Logische scheiding: Gegevens uit verschillende Zendesk-klantomgevingen worden logisch gescheiden op systemen die door Zendesk worden beheerd om ervoor te zorgen dat Dienstgegevens die door verschillende verwerkingsverantwoordelijken worden verzameld, van elkaar worden gescheiden.

  7. Beveiligingsbeleid en personeel: Zendesk heeft en zal een beheerd beveiligingsprogramma onderhouden om risico's te identificeren en preventieve technologie te implementeren, evenals technologie en processen voor het beperken van veelvoorkomende aanvallen. Zendesk heeft en zal een fulltime informatiebeveiligingsteam onderhouden dat verantwoordelijk is voor het beschermen van de netwerken, systemen en diensten van Zendesk en het ontwikkelen en leveren van training aan de werknemers van Zendesk in overeenstemming met het beveiligingsbeleid van Zendesk.

BIJLAGE III

Mechanismen voor Doorverbinden en Regiospecifieke Termen

Zendesk maakt gebruik van verschillende mechanismen voor doorverbinden die de internationale doorverbinden van Persoonlijke Gegevens regelen, afhankelijk van de jurisdictie van de Persoonlijke Gegevens die worden verwerkt. Aanvullende privacyspecifieke voorwaarden in de regiospecifieke voorwaarden zijn opgenomen, indien van toepassing.

1. Bindende bedrijfsregels

Zendesk, haar gelieerde ondernemingen en Subverwerkers voldoen aan de vereisten van de Bindende bedrijfsregels van Zendesk, die zijn goedgekeurd door de Ierse commissie voor gegevensbescherming en het Britse Information Commission Office en beschikbaar zijn op het Trust Center van Zendesk op: https://www.zendesk.com/trust-center/.

2. Kader voor Gegevensprivacy

Zendesk heeft verklaard deel te nemen aan en te voldoen aan de EU-VS. Data Privacy Framework (“EU-VS DPF”), de Britse uitbreiding van het kader van de EU en de VS. DPF en de Zwitsers-Amerikaanse Privacybeleid voor gegevens (“Zwitsers-Amerikaanse DPF”) (zie: https://www.dataprivacyframework.gov/s/). Zendesk verbindt zich ertoe om de zelfcertificering van naleving van de EU-VS te handhaven. DPF, de Britse uitbreiding van de EU-VS. DPF en de Zwitsers-Amerikaanse DPF, of een vervangend kader, voor de Diensten die worden geleverd onder de Overeenkomst en deze DPA.

3. SCC’s

  1. Zendesk maakt ook gebruik van de standaard contractuele clausules die zijn aangenomen door de Europese Commissie en die zijn opgenomen in de bijlage bij het Uitvoeringsbesluit 2021/914 van de Europese Commissie van 4 juni 2021, beschikbaar op: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0914 (“EU SCC’s”), en de UK International Data Transfer Addendum op de EU Commissie Standaard Contractuele Clausules, beschikbaar op: https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf (“UK Addendum”). De partijen erkennen dat de SCC's in deze DPA zijn opgenomen alsof ze hieronder volledig zijn vermeld. Deze koppelingen kunnen van tijd tot tijd worden bijgewerkt op basis van updates door regelgevende autoriteiten en zullen worden bijgewerkt door middel van een wijziging van deze DPA.

  2. Voor zover de SCC's worden gepubliceerd en vereist door een toezichthoudende autoriteit die geen EU SCC's zijn, interpreteren de partijen ze als Voltooid in overeenstemming met de keuzes in subsectie (e).

  3. In geval van conflict of onduidelijkheid hebben de voorwaarden van SCC's voorrang op de DPA en alle andere voorwaarden tussen Zendesk en Klant.

  4. Waar de EU SCC's worden erkend door een lokale toezichthoudende autoriteit als een Doorverbindingsmechanisme, zijn ze van toepassing op alle Persoonlijke Gegevens die onderworpen zijn aan die autoriteit en zullen ze als Voltooid worden beschouwd op de manier die is gespecificeerd in subsectie (e).

  5. EU SCC's. Waar de EU SCC's worden gebruikt als een doorverbindingsmechanisme, worden ze als volgt voltooid beschouwd:

    1. Module 2 (Verwerkingsverantwoordelijke naar Verwerker) is van toepassing wanneer de Klant een verwerkingsverantwoordelijke van Dienstgegevens is en Zendesk een verwerker van Dienstgegevens is; Module 3 (Verwerker naar Verwerker) is van toepassing wanneer de Klant een verwerker van Dienstgegevens is en Zendesk een verwerker van Dienstgegevens is;

    2. in Clausule 7, zal de optionele dockingclausule niet van toepassing zijn;

    3. in Clausule 9(a) zal Optie 2 “Algemene Schriftelijke Toestemming” van toepassing zijn, en de tijdperiode voor voorafgaande kennisgeving van Sub-verwerker wijzigingen zoals vermeld in de “Gebruik van Sub-verwerkers” sectie van deze DPA;

    4. in Clausule 11, zal de optionele taal niet van toepassing zijn;

    5. in Clausule 17 is Optie 1 van toepassing en wordt beheerst door de wetten die in de Overeenkomst zijn voorzien, of door de wetten van Ierland als er geen wetgeving van een EER-lidstaat van toepassing is, of door de wetten van de importeur waar geen van beide van toepassing is;

    6. in Clausule 18(b) zullen geschillen worden opgelost voor de rechtbanken in de Volgende volgorde van prioriteit: (1) zoals bepaald in de Overeenkomst, (2) Dublin, Ierland, als geen enkele EER-lidstaat van toepassing is, (3) het land van de Klant met jurisdictie over het hoofdkantoor van de Klant, (4) het geregistreerde kantooradres van Zendesk;

    7. in Bijlage I.A en I.B en Bijlage II van de EU SCC's worden geacht Voltooid te zijn met de informatie die is vermeld in Bijlagen I en II bij deze DPA; en

    8. in bijlage I.C van SCC's is de toezichthoudende autoriteit de autoriteit die bevoegd is ten aanzien van de gegevensexporteur. Waar de gegevensexporteur niet is gevestigd in het Lokaal land maar zich nog steeds binnen de territoriale reikwijdte van de Toepasselijke Gegevensbeschermingswet bevindt, zal de bevoegde toezichthoudende autoriteit zich bevinden waar de gegevensexporteur een vertegenwoordiger heeft aangesteld, maar als er geen vertegenwoordiger is aangesteld, dan zal de toezichthoudende autoriteit van Ierland de bevoegde autoriteit zijn.

  6. Brits addendum. Waar de UK Addendum van toepassing is, wordt het geacht Voltooid te zijn als volgt:

    1. Tabel 1, wordt beschouwd als Voltooid met de informatie vermeld in Bijlage I van deze DPA, waarvan de Inhoud hierbij door de Partijen wordt overeengekomen;

    2. Tabel 2, de Partijen selecteren het selectievakje dat luidt: “Goedgekeurde EU SCC's, inclusief de Appendix Informatie en met alleen de volgende modules, clausules of optionele bepalingen van de Goedgekeurde EU SCC's in werking gesteld voor de doeleinden van deze Addendum”, en de bijbehorende tabel worden als voltooid beschouwd volgens de voorkeuren van de Partijen zoals uiteengezet in deze Bijlage;

    3. Tabel 3, wordt beschouwd als Voltooid met de informatie vermeld in Bijlage I, Bijlage II en zoals vermeld in de “Gebruik van Sub-verwerkers” Sectie van deze DPA; en

    4. Tabel 4, de Partijen komen overeen dat geen van beide Partij de UK Addendum mag beëindigen zoals vermeld in Sectie 19.