Klik hier voor meer informatie over recente ontwikkelingen omtrent het EU-VS privacyschild.
Overzicht
Zendesk zet het vertrouwen van de klant op de eerste plaats.We weten dat de beveiliging en integriteit van klantgegevens belangrijk zijn voor de waarden en werkzaamheden van onze klanten.Daarom houden wij deze privé en veilig.
Zendesk ondersteunt talloze klanten in meer dan 160 landen en gebieden.Onze klanten vertrouwen ons grote hoeveelheden gevoelige informatie toe uit een brede reeks sectoren waaronder de gezondheidszorg, financiële diensten, overheid en technologie.
Zendesk helpt zijn klanten op talloze manieren bij het beheren van hun privacy- en gegevensveiligheid:
-
Gegevensveiligheid: We zorgen voor naleving van de hoogste veiligheidsnormen voor onze klanten, zoals encryptie van gegevens die over openbare netwerken worden verzonden, controlenormen (SOC 2, ISO 27001, ISO 27018), risicobeperking van Distributed Denial of Service (“DDoS”) en een ondersteuningsteam dat 24/7 stand-by is.
-
Openbaarmaking van servicegegevens van klanten: Zendesk maakt alleen servicegegevens aan derden openbaar als openbaarmaking noodzakelijk is voor de diensten of als die vereist is in antwoord op wettelijke verzoeken van overheidsinstanties.
-
Vertrouwen: Zendesk heeft beveiligingen en beheersprocessen ontwikkeld zodat onze klanten zeker zijn van een veilige omgeving voor hun informatie. Onafhankelijke experts van derden hebben bevestigd dat Zendesk voldoet aan de hoogste industrienormen.
-
Plaats van datahosting: Klanten die de Bijbehorende diensten voor de ingezette locatie van het datacenter (“Locatie datacenter add-on”) bestellen, hebben de mogelijkheid de regio te kiezen (uit de beschikbare regionale opties van Zendesk) waar het datacenter zich bevindt dat hun servicegegevens host.
-
Toegangsbeheer: Zendesk biedt een geavanceerde set toegangs- en encryptiefuncties, zodat klanten hun informatie effectief kunnen beschermen. Wij openen of gebruiken de gegevens van de klanten voor geen enkel ander doel dan het leveren, onderhoud en verbetering van de diensten van Zendesk en indien wettelijk vereist.
Wat zijn servicegegevens?
Servicegegevens zijn alle informatie inclusief persoonsgegevens die door of namens onze klanten en hun eindgebruikers zijn opgeslagen met of verzonden via Zendesks services.
Wie is de eigenaar en wie beheert de servicegegevens?
Uit het oogpunt van privacy is de klant de beheerder en Zendesk de verwerker van servicegegevens. Dit betekent dat gedurende de tijd dat een klant gebruik maakt van de diensten van Zendesk, de klant het eigendom van en het beheer over de servicegegevens in zijn account behoudt.
Wie zijn de subverwerkers van Zendesk?
Het is Zendesk toegestaan gebruik te maken van subverwerkers, met inbegrip van partners van Zendesk en derden, om de Services te leveren, beveiligen of verbeteren en dergelijke subverwerkers hebben toegang tot Servicegegevens.Zendesk onderhoudt een bijgewerkte lijst met de namen en locaties van alle subverwerkers, welke beschikbaar is in ons Subverwerkersbeleid. De lijst biedt tevens de mogelijkheid voor onze klanten om zich aan te melden voor berichten over eventuele wijzigingen.Zendesk is op dezelfde wijze verantwoordelijk voor de daden en en weglatingen van subverwerkers als wanneer Zendesk de services van elke subverwerker rechtstreeks zou uitvoeren.
Hoe gebruikt Zendesk de servicegegevens?
We gebruiken de servicegegevens voor het uitvoeren en verbeteren van onze services, klanten te helpen bij toegang en gebruik van de services, om vragen van klanten te beantwoorden en om communicatie met betrekking tot de services te verzenden.
Welke stappen neemt Zendesk on de servicegegevens te beveiligen?
Zendesk besteed veel aandacht aan gegevensveiligheid en combineert topklasse beveiligingsfuncties met volledige controles van onze toepassingen, systemen en netwerken, zodat de gegevens van klanten en het bedrijf altijd beschermd zijn.
Zo staan de servers van Zendesk in datacenters die voldoen aan Tier IV of III+, SSAE-16, PCI DSS, of ISO 27001. Daarnaast huren we veiligheidsexperts van derden in om op regelmatige basis gedetailleerde penetratietesten uit te voeren en ons ondersteuningsteam is 24/7 stand-by om op veiligheidswaarschuwingen en gebeurtenissen te reageren.
Hoe licht Zendesk klanten in over een beveiligingsincident?
Voor meer informatie over beveiligingsincidentmanagement en procedures voor Enterprise services, gaat u naar Hoe wij uw servicegegevens beschermen (Enterprise services). Voor meer informatie over beveiligingsincidentmanagement en procedures voor Innovation services, gaat u naar Hoe wij uw servicegegevens beschermen (Innovation services).
Waar worden de servicegegevens opgeslagen?
Zendesk heeft datacenters in drie belangrijke regio’s – de VS, Azië/Pacific en de Europese Unie.Servicegegevens kunnen in elke regio worden opgeslagen.Klanten kunnen de regio selecteren waarin de datacenters zijn gevestigd die bepaalde onderdelen van hun servicegegevens hosten door de Locatie datacenter add-on aan te schaffen.Zie het beleid voor regionale datahosting voor extra informatie.
Wat gebeurt er na beëindiging of verval van een overeenkomst met de servicegegevens van een klant?
Zendesk onderhoudt een openbaar beschikbaar Beleid voor gegevensverwijdering waarin de processen voor gegevensverwijdering van Zendesk worden beschreven bij beëindiging of verval van een overeenkomst van een klant met Zendesk.
Hoe reageert Zendesk op informatieverzoeken?
Zendesk realiseert zich dat privacy en gegevensveiligheid de allerhoogste prioriteit hebben bij klanten.
-
Zendesk maakt geen servicegegevens openbaar behalve als dit nodig is voor het uitvoeren van zijn diensten aan zijn klanten en om te voldoen aan de wet zoals is aangegeven in ons privacybeleid dat u hier kunt vinden.
-
Zendesk heeft een aantal internationaal erkende certificaten en accreditaties behaald die de naleving met garantiekaders van derden aantonen zoals beschreven op onze website over beveiliging.
-
Als we in het openbaar moeten handelen om onze klanten te beschermen, doen we dat. Zendesk heeft zijn steun uitgesproken voor de Amerikaanse Liberty Act (vrijheidswet) die tot doel heeft het toezichtprogramma onder artikel 702 van de Foreign Intelligence Surveillance Act (wet op het toezicht op buitenlandse inlichtingendiensten) (“FISA”) te hervormen.
Hoe reageert Zendesk op wettelijke verzoeken voor servicegegevens?
In bepaalde situaties kunnen we verplicht zijn persoonsgegevens openbaar te maken door wettelijke verzoeken door overheidsinstanties, inclusief het voldoen aan eisen op het gebied van nationale veiligheid of rechtshandhaving.We kunnen persoonsgegevens openbaar maken in antwoord op dagvaardingen, beschikkingen of juridische procedures of ter vaststelling of uitoefening van onze wettelijke rechten of om ons te verdedigen tegen juridische claims.We kunnen deze informatie ook delen met de betreffende rechtshandhavings- of overheidsinstanties als we denken dat dit nodig is voor het onderzoeken, voorkomen of actie ondernemen met betrekking tot illegale activiteiten, vermoedelijke fraude, situaties met mogelijk gevaar voor de fysieke veiligheid van personen, schendingen van onze mantelovereenkomst voor een abonnement of als dit anderszins wettelijk is vereist.
AVG
Sinds onze oprichting heeft het beleid van Zendesk zich altijd gericht op een sterke betrokkenheid bij privacy, beveiliging, naleving en transparantie.Dit beleid houdt ook in dat we onze klanten ondersteunen met de naleving van EU-gegevensbeschermingseisen inclusief degene die zijn vastgesteld in de Algemene verordening gegevensbescherming (“AVG”) die de Europese Databeschermingsrichtlijn (ook wel “Richtlijn 95/46/EC“ genoemd) en die vanaf 25, 2018 van kracht werd.
Indien een bedrijf persoonsgegevens van EU-burgers verzamelt, verzendt, host of analyseert, eist de AVG dat het bedrijf derden inschakelt als gegevensverwerkers die hun bekwaamheid garanderen om de technische en organisatorische eisen van de AVG uit te voeren. Om het vertrouwen van onze klanten verder te verdienen, is onze DPA bijgewerkt, zodat onze klanten de contractuele verplichtingen met betrekking tot onze naleving van de betreffende EU-gegevensbeschermingswetgeving wordt geboden en om extra contractuele verplichtingen, vereist door de AVG, uit te voeren. Onze contractuele verplichtingen garanderen dat klanten:
-
Kunnen reageren op verzoeken van betrokkenen om hun persoonsgegevens te exporteren, corrigeren, wijzigen of verwijderen.
-
Bewust worden gemaakt van inbreuken op persoonsgegevens en deze rapporteren aan de betreffende toezichthouders en betrokkenen, in overeenstemming met de tijdskaders van de AVG.
-
Hun naleving van de AVG met betrekking tot de diensten van Zendesk kunnen aantonen.
Wat is de AVG?
De Algemene verordening gegevensbescherming (“AVG”) is de Europese verordening over privacy die de voormalige Europese Databeschermingsrichtlijn (“Richtlijn 95/46/EG”) heeft vervangen.De AVG gaat over het verwerken van persoonsgegevens en het vrije verkeer daarvan.De AVG richt zich op de beveiliging en bescherming van persoonsgegevens in de EU en harmonisatie van de wetgeving op het gebied van gegevensbescherming.In het algemeen stelt deze verordening een aantal principes en eisen vast die betrekking hebben op gegevensbescherming, waaraan moet worden voldaan bij het verwerken van persoonsgegevens.
De AVG heeft ook de European Data Protection Board (EDPB) opgericht die ervoor zorgt dat de wetgeving aangaande persoonsgegevens op systematische manier binnen de EU wordt toegepast en die de samenwerking tussen instanties die te maken hebben met het beschermen van persoonsgegevens faciliteert.
Hoe is de AVG van toepassing op klanten?
Klanten van Zendesk die persoonsgegevens verzamelen en opslaan, worden onder de AVG beschouwd als gegevensbeheerders. Gegevensbeheerders dragen de primaire verantwoordelijkheid om ervoor te zorgen dat de verwerking van hun persoonsgegevens voldoet aan de relevante EU-gegevensbeschermingswetgeving, waaronder de AVG, en het uniek vaststellen van welke persoonsgegevens volgens de Services worden verzonden aan en verwerkt door Zendesk.
Welke gevolgen heeft de AVG voor organisaties die de persoonsgegevens van EU-burgers verwerken?
Een van de belangrijkste aspecten van de AVG is dat deze consistentie tussen EU-lidstaten creëert over hoe persoonsgegevens veilig kunnen worden verwerkt, gebruikt en uitgewisseld.Organisaties moeten de veiligheid van de gegevens die zij verwerken en hun naleving van de AVG op permanente basis aantonen door robuuste technische en organisatorische maatregelen en het nalevingsbeleid uit te voeren en regelmatig te controleren.
Hoe gaat Zendesk vanuit haar rol als gegevensverwerker om met verzoeken door Eindgebruikers?
Als Zendesk een gegevensverzoek ontvangt van een Eindgebruiker van een klant (d.w.z. een gebruiker van de Services waaraan een klant onze Services verleent) is Zendesk de Verwerker en zal Zendesk, voor zover de van toepassing zijnde wetgeving Zendesk dit niet verbiedt, de Eindgebruiker onmiddellijk informeren contact op te nemen met onze klant (d.w.z. de Beheerder ) over een verzoek m.b.t. zijn/haar Persoonsgegevens, zoals toegang of verwijdering.Zendesk zal zonder voorafgaande toestemming van de klant verder niet op een gegevensverzoek reageren.
Wat zijn de suggesties van Zendesks voor klanten m.b.t de AVG?
Zendesk spoort klanten aan om voortdurend hun processen voor privacy en gegevensbeveiliging en bijbehorend beleid te controleren, zodat naleving van de AVG wordt gegarandeerd.Gegevensbeheerders dragen de primaire verantwoordelijkheid voor de verzekering dat de verwerking van hun persoonsgegevens voldoet aan de EU-gegevensbeschermingswetgeving.Hieronder staan een aantal belangrijke punten die voor naleving van de AVG moeten worden overwogen:
-
Geografische toepassing: De AVG is van toepassing op organisaties die in de EU gevestigd zijn en, afhankelijk van hun activiteiten, ook op sommige organisaties die buiten de EU gevestigd zijn, maar die persoonsgegevens van EU-burgers verwerken.
-
Rechten van eindgebruikers: Organisaties moeten zich bewust zijn van de eindgebruikers wiens persoonsgegevens ze wellicht verwerken. De AVG heeft verbeterde rechten opgesteld voor eindgebruikers en organisaties moeten aan deze rechten tegemoet komen.
-
Meldingen van inbreuk op gegevens: Organisaties die persoonsgegevens beheren, moeten duidelijke processen ingesteld hebben voor de naleving van de AVG-eis om inbreuk op gegevens te melden in overeenstemming met de tijdskaders die in de AVG zijn vastgesteld. Zendesk zal de betrokken klanten onverwijld inlichten als we ons bewust worden van een inbreuk op gegevens bij onze diensten.
-
Aanstelling van een functionaris voor gegevensbescherming (Data Protection Officer “DPO”): Klanten moeten wellicht DPOs aanstellen voor het afhandelen van problemen met betrekking tot de verwerking van persoonsgegevens.
-
Overeenkomst voor gegevensverwerking (“DPA”): Als er persoonsgegevens buiten de EER worden verzonden, kan een klant een DPA met zijn subverwerkers nodig hebben om een adequaat niveau van beveiliging van de overgedragen gegevens te garanderen.
-
Data Protection Impact Assessment (“DPIA”): Een DPIA omschrijft gewoonlijk de gegevensprocessen en beschermende maatregelen van organisaties, met name degene die riskant kunnen zijn.Klanten moeten voor gegevensverwerkingsactiviteiten een DPIA uitvoeren en deze bij de autoriteiten indienen.
Welke diensten en functies van Zendesk kunnen klanten ondersteunen bij hun naleving van de AVG?
Klanten kunnen Zendesks door derden uitgevoerde ISO-certificering en SOC 2-controlerapporten gebruiken bij de uitvoering van hun risicobeoordelingen en bepalen of de juiste technische en organisatorische maatregelen zijn ingesteld. Zie voor extra informatie de Zendesk-beveiligingswebsite.
Hieronder staan voorbeelden van speciale Zendesk-producteigenschappen die klanten kunnen gebruiken als hulp bij hun AVG-nalevingsprogramma. Door middel van onze bijbehorende diensten voor de ingezette geavanceerde beveiliging kunnen klanten ervoor kiezen uitgebreide functies te krijgen, inclusief uitgebreid calamiteitenherstel en encryptie zowel als de mogelijkheid om te configureren voor de Health Insurance Portability and Accountability Act (“HIPAA”) (wet betreffende de bescherming van gezondheidsinformatie).
De huidige beschikbare functies voor de Zendesk-producten kunnen in de vragen/antwoorden hieronder worden gevonden.
Controlenormen:
-
ISO27001:2013 gecertificeerd
-
ISO27018:2014 gecertificeerd
Scanning:
-
Bug bounty-programma
-
Dynamisch scannen van werkende toepassingen
-
Statisch scannen van code repositories
Encryptie:
-
Encryptie van gegevens die over openbare netwerken worden verzonden
-
Encryptie van bepaalde opgeslagen gegevens met AES256
Heeft Zendesk momenteel productspecifieke eigenschappen/functionaliteit in zijn producten die ons kunnen helpen met ons programma voor naleving van de AVG?
Ja, meer gedetailleerde informatie over hoe u de producten van Zendesk kunt gebruiken in naleving van de AVG kunt u hier verkrijgen via ons Help Center.
Wat zijn de “modelbepalingen”?
De Europese Commissie heeft een set standaard bepalingen, de modelcontractbepalingen (“modelbepalingen”) genaamd, goedgekeurd die een gegevensbeheerder een mechanisme biedt om persoonsgegevens aan een gegevensverwerker buiten de Europese Economische Ruimte (“EER”) over te dragen.De modelbepalingen zijn aan Zendesks DPA toegevoegd, zodat een adequate bescherming voor gegevensoverdracht buiten de EER of Zwitserland wordt geboden.
Kopieert Zendesk de servicegegevens die het opslaat?
Regelmatig worden de gegevens door Zendesk gekopieerd voor archivering, back-up en controlebestanden. We gebruiken Amazon Web Services (AWS) voor de opslag van een deel van de informatie die wordt geback-upt, zoals database-informatie en bijbehorende bestanden. Zie ons beleid voor regionale datahosting voor meer informatie.
Verlaten servicegegevens die in de EU zijn gehost, ooit deze regio?
Klanten van Zendesk die de Locatie datacenter add-on bestellen, hebben de mogelijkheid de regio te kiezen (uit de beschikbare regionale opties van Zendesk) waar het datacenter zich bevindt dat hun servicegegevens host.Zie ons beleid voor regionale datahosting voor meer informatie.Anders kan Zendesk elk van de datacenters ter wereld gebruiken waarop de servicegegevens worden gehost.
Welke stappen heeft Zendesk genomen om zich voor te bereiden op de Brexit (het vertrek van de VK uit de Europese Unie)?
Ongeacht de uitkomst van de huidige Brexit-onderhandelingen, blijft Zendesk toegewijd aan het succes van onze klanten en werknemers in het VK en de rest van Europa.Wij volgen de onderhandelingen tussen de overheid van het VK en de Europese Unie op de voet omtrent de details van deze relatie in de toekomst.Als de exacte details duidelijk zijn, zullen we de nodige maatregelen treffen om ervoor te zorgen dat onze klanten onze services kunnen blijven gebruiken in overeenstemming met de wetgeving van zowel de EU als het VK en voor Zendesk in het algemeen gaan de zaken door zoals normaal en blijven we gericht op het succes van onze klanten.
Overeenkomst voor gegevensverwerking (“DPA”)
Zendesk biedt actieve klanten van haar betaalde services en proefservices de mogelijkheid om een Overeenkomst voor gegevensverwerking (“DPA”) aan te gaan m.b.t. de verwerking van persoonsgegevens.Klik hier als u toegang wilt tot de DPA van Zendesk om door te nemen of te ondertekenen.Klanten die eerdere versies van onze DPA hebben ondertekend, kunnen onze actuele DPA te allen tijde ondertekenen.
Wat is een overeenkomst voor gegevensverwerking (Data Processing Agreement “DPA”)?
Zendesk biedt klanten een robuuste overeenkomst voor gegevensverwerking waarin de relatie tussen klant (optredend als gegevensbeheerder) en Zendesk (optredend als gegevensverwerker) is vastgelegd.De DPA helpt de klanten van Zendesk met de naleving van hun verplichtingen onder de EU-gegevensbeschermingswetgeving en deze is bijgewerkt om onze naleving van de AVG te bevestigen.De DPA bevat een kader voor gegevensoverdracht om te verzekeren dat onze klanten persoonsgegevens rechtmatig kunnen overdragen naar Zendesk buiten de Europese Unie door op een van drie mechanismen te vertrouwen: onze bindende bedrijfsvoorschriften, onze privacyschild-certificering of modelcontractbepalingen.
Houdt de DPA rekening met de AVG?
Ja, de DPA van Zendesk omvat bepalingen om klanten te helpen de AVG na te leven.
Wat gebeurt er als een kan een klant de DPA niet tekent?
Zendesk raadt u aan advies in te winnen bij een juridisch adviseur om de mogelijke impact te beoordelen als u ervoor kiest de DPA niet te ondertekenen.
Kan een klant ook haar eigen DPA hanteren?
Nee. Zendesks DPA is specifiek van toepassing op Zendesks Services, privacypraktijken en vertegenwoordigingen jegens regelgevers.
Wat als ik nog meer vragen over de DPA heb?
Als je nog vragen hebt, neem dan contact op met je Zendesk-accountmanager. Je kunt ook een verzoek indienen bij de klantenservice van Zendesk.
Houdt de DPA rekening met de California Consumer Privacy Act (CCPA)?
Niet direct. Zendesk biedt in plaats daarvan een afzonderlijk addendum van haar Master Abonnementsovereenkomst ter ondersteuning van “zakelijke” compliance-nspanningen omtrent de CCPA, zoals gedefinieerd in de CCPA.Bekijk voor meer informatie het onderdeel CCPA van deze webpagina.
CCPA
De California Consumer Privacy Act, Cal. Civ. Code §§ 1798.100 et al. (CCPA) is een Amerikaanse wet van de Staat Californië die van kracht is vanaf 1 januari 2020. Over het algemeen is dit een uitbreiding op de privacyrechten van bepaalde consumenten in Californië en deze vereist dat bepaalde bedrijven aan verschillende gegevensbeschermingseisen voldoen.
Heeft de Master Abonnementsovereenkomst van Zendesk specifiek betrekking op de CCPA?
Klik hier als u het addendum van de CCPA van Zendesk voor de Master Abonnementsovereenkomst wilt bekijken en/of uitvoeren.
Voor informatie over onze privacypraktijken en de functionaliteit die wij bieden ter ondersteuning van de compliance van onze klanten, gaat u naar onze website Privacy en gegevensbescherming, ons Beleid voor gegevensverwijdering en onze Productgidsen.
Wat is de CCPA?
De CCPA kent consumenten in Californië nieuwe rechten toe m.b.t. het verzamelen van persoonsgegevens en vereist dat bedrijven aan bepaalde verplichtingen voldoen m.b.t. die rechten, waaronder:
- Een verplichting voor bedrijven om consumenten in te lichten over de gegevensverzamelingspraktijken, met inbegrip van de categorieën persoonsgegevens die het heeft verzameld, de bron van de informatie, het gebruik van de informatie door het bedrijf en aan wie het bedrijf de informatie heeft bekendgemaakt dat het over de consument heeft verzameld.
- Het recht van de consument om een kopie van de specifieke persoonsgegevens te ontvangen in een bruikbaar formaat die gedurende twaalf (12) maanden voorafgaand aan het verzoek over hen is verzameld;
- Het recht van de consument om dergelijke persoonsgegevens te laten verwijderen (met uitzonderingen);
- Het recht van de consument om de gegevens verkooppraktijken van het bedrijf te kennen en om te verzoeken persoonsgegevens niet aan derden te laten verkopen;
- Een verbod voor bedrijven voor discriminatie van de uitoefening van consumentenrechten; en
- Een verplichting voor bedrijven om een consument in te lichten over hun rechten.
Hoe bereidt Zendesk zich voor op de CCPA en hoe ondersteunen de producten van Zendesk het naleven van de CCPA?
Zendesk volgt de CCPA en bereidt zich al voor op naleving daarvan sinds de CCPA van kracht ging in 2018. Onlangs heeft het California Office of the Attorney General aangegveven dat het de regelgeving voor de CCPA verder zou kunnen wijzigen.Voor dergelijke wijzigingen volgt Zendesk de wet op actieve wijze en blijven we onze klanten op de hoogte houden van functies die zij kunnen gebruiken ter ondersteuning van hun compliance-inspanningen.Klanten kunnen onze Productgidsen bekijken voor meer informatie over het gebruik van de producten van Zendesk om wetgeving omtrent gegevensprivacy na te leven en ons Beleid voor gegevensverwijdering voor informatie over het verwijderen van servicegegevens.
Hoe is de CCPA van toepassing op klanten van Zendesk?
Klanten van Zendesk die persoonsgegevens verzamelen en opslaan in Services van Zendesk kunnen volgens de CCPA als “Bedrijven” worden beschouwd.Bedrijven dragen de primaire verantwoordelijkheid om ervoor te zorgen dat de verwerking van hun persoonsgegevens voldoet aan de relevante EU-gegevensbeschermingswetgeving, waaronder de AVG.Zendesk handelt als “Serviceprovider”, wat wordt gedefinieerd in de huidige versie van de CCPA, met betrekking tot de verwerking van persoonsgegevens via onze Services.Derhalve verzamelt, opent, onderhoudt, gebruikt, verwerkt en draagt Zendesk de persoonsgegevens van onze klanten en de eindgebruikers van onze klanten over die zijn verwerkt via de Services louter en alleen met het oog op het vervullen van onze plichten volgens onze huidige contract(en) met onze klanten en derhalve niet voor commerciële doeleinden anders dan het vervullen van dergelijke plichten en verbetering van de services die wij aanbieden.
Verkoopt Zendesk persoonsgegevens?
Wij “verkopen” de persoonsgegevens van onze klanten niet, zoals momenteel gedefinieerd in de CCPA, wat betekent dat wij persoonsgegevens ook niet huren, bekendmaken, vrijgeven, overdragen, beschikbaar stellen of anderszins communiceren aan een derde voor monetaire of andere waardevolle overwegingen.Het is ons toegestaan samengestelde en/of anoniem gemaakte informatie te delen m.b.t. het gebruik van de Service(s) – wat niet als persoonsgegevens wordt beschouwd volgens de CCPA – met derden om ons te helpen de Services te ontwikkelen en verbeteren en onze klanten te voorzien van meer relevante content en service-aanbod, zoals uiteengezet in onze klantovereenkomsten.
Hoe kunnen Zendesk klanten voor naleving van de CCPA zorgen?
Abonnees worden geadviseerd hun eigen juridisch adviseur te raadplegen om te evalueren in hoeverre de CCPA specifiek van toepassing is op hen en om te bepalen hoe de eigen naleving van de CCPA bereikt kan worden.
LGPD
De Braziliaanse Algemene Verordening Gegevensbescherming, ofwel de Lei Geral de Proteção de Dados Pessoais, (LGPD) is van kracht gegaan op 16 augustus 2020. Dit is de primaire wet in Brazilië voor de bescherming van persoonsgegevens.
Heeft de Master Abonnementsovereenkomst van Zendesk specifiek betrekking op de LGPD?
Klik hier als u het addendum van de LGPD van Zendesk voor de Master Abonnementsovereenkomst wilt bekijken en/of uitvoeren.
Daarnaast zijn de Hoofdabonnementsovereenkomst (Master Subscription Agreement, MSA) van Zendesk, andere privacy- en productdocumentatie, evenals onze interne praktijken ontworpen voor wereldwijd gebruik en werken we deze waar nodig bij om onze Diensten te kunnen blijven leveren aan klanten in Latijns-Amerika en het Caribisch gebied in overeenstemming met de wettelijke vereisten. We vestigen uw aandacht op de sectie getiteld “Brazilië” in de Regiospecifieke voorwaarden van Zendesk, die deel uitmaken van de MSA van Zendesk en te vinden zijn op: https://www.zendesk.com/company/agreements-and-terms/region-specific-terms/.
Voor informatie over onze privacypraktijken en de functionaliteit die wij bieden ter ondersteuning van de compliance van onze klanten, gaat u naar onze website Privacy en gegevensbescherming, ons Beleid voor gegevensverwijdering en onze Productgidsen.
Wat is de LGPD?
De LGPD is de primaire wet in Brazilië voor de bescherming van persoonsgegevens, gericht op de bescherming van “de fundamentele rechten van vrijheid en privacy en de vrije ontwikkeling van de persoonlijkheid van de natuurlijke persoon.” Derhalve wordt van beheerders en verwerkers (zoals gedefinieerd in de LGPD) vereist dat zij bepaalde principes naleven tijdens de verwerking van persoonsgegevens, waaronder doch niet beperkt tot doel, noodzaak, transparantie en beveiliging.
Hoe heeft Zendesk zich voorbereid op de LGPD en hoe ondersteunen de Services van Zendesk het naleven van de LGPD?
Zendesk volgt de LGPD en bereidt zich al voor op naleving daarvan sinds de LGPD van kracht ging in 2018.Bovendien kan de National Authority for Protection Data (ANPD) aanvullende begeleiding bieden bij de LGPD. Voor dergelijke begeleiding volgt Zendesk de wet op actieve wijze en blijven we onze klanten op de hoogte houden van functies die zij kunnen gebruiken ter ondersteuning van hun compliance-inspanningen.Klanten kunnen onze Productgidsen bekijken voor meer informatie over het gebruik van de Services van Zendesk om wetgeving omtrent gegevensprivacy na te leven en ons Beleid voor gegevensverwijdering voor informatie over het verwijderen van servicegegevens.
Hoe is de LGPD van toepassing op klanten van Zendesk?
Klanten van Zendesk die persoonsgegevens verzamelen en opslaan in Services van Zendesk kunnen volgens de LGPD als “gegevensbeheerders” worden beschouwd.Beheerders dragen de primaire verantwoordelijkheid om ervoor te zorgen dat de verwerking van hun persoonsgegevens voldoet aan de relevante EU-gegevensbeschermingswetgeving, waaronder de LGPD.Zendesk handelt als “verwerker”, zoals deze term is gedefinieerd in de huidige versie van de LGPD, met betrekking tot de verwerking van persoonsgegevens via onze Services.Derhalve verwerkt Zendesk de persoonsgegevens van onze klanten en eindgebruikers van onze klanten, op aanwijzing van onze klanten.
Hoe kunnen Zendesk klanten voor naleving van de LGPD zorgen?
Klanten worden geadviseerd hun eigen juridisch adviseur te raadplegen om te evalueren in hoeverre de LGPD specifiek van toepassing is op hen en om te bepalen hoe de eigen naleving van de LGPD het beste bereikt kan worden.
Productbereidheid Zendesk Privacy en Gegevensbescherming
Klik op de Zendesk-producten hieronder om de functies en functionaliteit te zien die in elk Zendesk-product beschikbaar is en die naleving van verplichtingen omtrent privacy en gegevensbescherming kunnen ondersteunen.
De privacykaders van verschillende regio’s kunnen verschillen qua terminologie die wordt gebruikt om de functies en verplichtingen van de respectieve partijen te beschrijven.Vanwege consistentie gebruikt Zendesk de volgende termen in deze gidsen, die wereldwijd van toepassing zijn.Om twijfel te voorkomen, vervangen deze definities niet de definities in overeenkomsten die klanten of personen met Zendesk hebben.
- De gegevensbeheerder is de partij die de doelen en middelen bepaalt voor de verwerking van de persoonsgegevens;
- De gegevensverwerker is de partij die persoonsgegevens verwerkt namens de gegevensbeheerder ;
- De betrokkene is de vastgestelde of identificeerbare natuurlijke persoon van de persoonsgegevens in kwestie; en
- Persoonsgegevens is alle informatie met betrekking tot de betrokkene.
Klik op de onderstaande pictogrammen voor meer informatie over hoe de producten van Zendesk in lijn zijn met de wereldwijde privacyrechten.
Klik op de Zendesk-producten hieronder om de functies en functionaliteit te zien die in elk Zendesk-product beschikbaar is en die naleving van de AVG kunnen ondersteunen.Als u een Zendesk Suite klant bent, komen de producten waar in de onderstaande tabel naar verwezen wordt, overeen met de volgende functionaliteit, welke beschikbaar kan worden gesteld in uw Serviceplan (zoals gedefinieerd in de servicespecifieke termen, die hier te vinden zijn: https://support.zendesk.com/hc/en-us/articles/360047508453-Supplemental-terms-Zendesk-s-service-specific-terms).
Product | Zendesk Suite Functionaliteit |
---|---|
Support | Ticketing System Functionaliteit |
Guide | Help Center Functionaliteit |
Chat | Live Chat Functionaliteit |
Talk | Voice Functionaliteit |
Explore | Analytics Functionaliteit |
Bindende bedrijfsvoorschriften
Wat zijn bindende bedrijfsvoorschriften?
Bindende bedrijfsvoorschriften (Binding Corporate Rules “BCR”) is een bedrijfsbreed beleid voor gegevensbescherming dat goedgekeurd is door de Europese gegevensbeschermingsautoriteiten voor de overdracht van persoonsgegevens binnen de bedrijvengroep vanuit de Europese Economische Ruimte (“EER”) naar landen buiten de EER. BCR’s zijn gebaseerd op strenge privacyprincipes die door de EU-gegevensbeschermingsautoriteiten zijn vastgesteld en zij vereisen een intensief overleg met deze autoriteiten. Klanten kunnen de volledige lijst van goedgekeurde eenheden op de goedkeuringslijst bindende bedrijfsvoorschriften hier vinden.
Heeft Zendesk goedgekeurde BCR’s ingesteld?
Ja, Zendesk heeft het EU-goedkeuringsproces afgerond met de Ierse toezichthouder voor gegevensbescherming (Data Protection Commissioner “DPC”) (intercollegiaal getoetst door zowel het Information Commissioner’s Office in het VK en de Nederlandse gegevensbeschermingsautoriteit) voor zijn wereldwijde bindende bedrijfsvoorschriften (“BCR’s”) als gegevensverwerker en beheerder.Deze belangrijke wettelijke goedkeuring bekrachtigt Zendesks uitvoering van de hoogst mogelijke normen voor bescherming van persoonsgegevens wereldwijd voor zowel persoonsgegevens van zijn klanten als zijn medewerkers.
Zendesk is een van de weinige softwarebedrijven ter wereld die goedkeuring voor zijn BCR’s heeft gekregen en het is pas het tweede ooit die goedkeuring van de Ierse DPC heeft gekregen.
Voor toegang tot de BCR’s van Zendesk, volg de betreffende link hieronder:
– Zendesks bindende bedrijfsvoorschriften als verwerker (die van toepassing zijn als Zendesk persoonsgegevens verwerkt namens zijn klanten); en
– Zendesks bindende bedrijfsvoorschriften als beheerder (die van toepassing zijn als Zendesk persoonsgegevens verwerkt waarvoor het een gegevensbeheerder is).
Werkt Zendesk haar BCR’s bij?
Zendesk heeft haar bindende bedrijfsvoorschriften (BCR’s) bijgewerkt om ze uit te lijnen met de AVG en de robuuste privacybescherming te verbeteren die wij aan onze klanten aanbieden.Zendesk heeft de Ierse gegevensbeschermingsautoriteit ingelicht over deze updates als onderdeel van onze jaarlijkse update.
Privacyschild
Wat is het privacyschild?
Het Amerikaanse Ministerie van Handel, de Europese Commissie en de Zwitserse overheid hebben de raamovereenkomsten tussen de EU en de VS en tussen Zwitserland en de VS (privacyschild) opgesteld, zodat bedrijven een mechanisme hebben om persoonsgegevens van de Europese Unie naar de VS over te dragen op een manier die een juist niveau van bescherming biedt in het kader van de Europese gegevensbeschermingswetgeving.
Is Zendesk gecertificeerd onder het privacyschild?
Zendesk heeft de naleving van de raamovereenkomsten EU-VS- en Zwitserland-VS-privacyschild gecertificeerd bij het Amerikaanse Ministerie van Handel en is toegevoegd aan de lijst van zelf-gecertificeerde deelnemers aan het privacyschild van het Ministerie van Handel. Onze certificering toont aan dat we de principes van privacybescherming voor de verzending van Europese en Zwitserse gegevens naar de Verenigde Staten naleven.
In hoeverre heeft de ongeldigheid van het privacyschild invloed op een overdracht van de servicegegevens van Zendesk van de EER naar de VS?
Op 16 juli 2020 bracht het gerechtshof van de Europese Unie (CJEU) een regel uit waardoor het EU-VS privacyschildprogramma ongeldig werd verklaard. Klanten van Zendesk kunnen de diensten van Zendesk blijven gebruiken en gegevens overdragen in overeenstemming met de Europese wetgeving, zoals de AVG, gezien wij beiden Bindende bedrijfsvoorschriften en modelclausules hebben (opgenomen in ons beleid inzake gegevensverwerking).
We begrijpen dat u mogelijk vragen hebt over de ongeldigheid van het Privacyschild en de mening van Zendesk daarover. Daarom hebben wij deze blogpost gepubliceerd om u te helpen met uw vragen.
Klik hier als u toegang wilt tot uw klantbeheerconsole en de DPA van Zendesk om deze door te nemen of te ondertekenen.
Transparantierapport Zendesk
Van kracht vanaf 22 februari 2021.
OVER ONS TRANSPARANTIERAPPORT
Zendesk ontvangt, net als de meeste technologiebedrijven, af en toe verzoeken van wetshandhavingsinstanties in de Verenigde Staten en elders, die persoonlijke informatie opvragen die door Zendesk namens een klant wordt verwerkt. Dergelijke verzoeken kunnen de vorm aannemen van een dagvaarding, een rechterlijk bevel, een huiszoekingsbevel, een National Security Letter en bevelen uitgevaardigd krachtens de Foreign Intelligence Surveillance Act. Zendesk moet voldoen aan geldige overheidsverzoeken om persoonlijke informatie.
Tegelijkertijd heeft Zendesk het vertrouwen van onze klanten hoog in het vaandel staan.Een manier om dat vertrouwen te winnen en behouden is door de klanten van Zendesk en het openbare publiek te informeren over geldige overheidsverzoeken.Om dit te doen, hebben wij een transparantierapport opgesteld.
Wanneer Zendesk een verzoek ontvangt om persoonlijke informatie waarvan een klant de verwerkingsverantwoordelijke is, vragen we waar mogelijk de wetshandhaving om de klant rechtstreeks het verzoek over te brengen. Als dat niet mogelijk is, beoordelen we het gegevensverzoek uitvoerig, stellen we alles in het werk om het verzoek te verfijnen, raadplegen we waar nodig een externe adviseur, sturen we klanten een kennisgeving als dit niet verboden is en produceren we alleen responsieve gegevens zoals vereist.
Dit transparantierapport bevat informatie over wetshandhavingsverzoeken om persoonlijke informatie die Zendesk heeft verwerkt vanaf 1 januari 2021 tot de datum van dit rapport.
RAPPORT
Verzoeken van de Amerikaanse wetshandhaving
Type verzoek | Aantal verzoeken | Contentgegevens bekendgemaakt | Niet-contentgegevens bekendgemaakt |
---|---|---|---|
Dagvaarding | 1 | 0 | 1 |
Gerechtelijk bevel | 1 | 0 | 1 |
Huiszoekingsbevel | 0 | n.v.t. | n.v.t. |
Brieven van de National Security of FISA orders | 0 | n.v.t. | n.v.t. |
Verzoeken van niet-Amerikaanse wetshandhaving
Hoewel Zendesk gevestigd is in de Verenigde Staten, zijn we als bedrijf ook aanwezig in verschillende andere landen. Wanneer wij verzoeken van niet-Amerikaanse overheden ontvangen, werken wij samen met Amerikaanse en niet-Amerikaanse adviseurs om de geldigheid van het verzoek vast te stellen en na te gaan of wij kunnen reageren volgens de Amerikaanse en andere toepasselijke wetten.
Type verzoek | Aantal verzoeken | Aantal keer dat gegevens zijn verstrekt |
---|---|---|
Informele verzoeken | 5 | 0 |
Niet-Amerikaanse verzoeken, onderhevig aan MLAT | 0 | n.v.t. |
Definities
- Contentgegevens: Omvat de inhoud van de communicatie van Eindgebruikers met een Account, zoals de inhoud van Zendesk Support Tickets en Zendesk Chats.Contentgegevens worden over het algemeen als Servicegegevens beschouwd, zoals gedefinieerd in de Master Abonnementsovereenkomst van Zendesk.
- Niet-contentgegevens: Alle gegevens die geen Contentgegevens zijn.Dit kan Accountinformatie betreffen, zoals gedefinieerd in het Privacybeleid van Zendesk (zoals Naam accounteigenaar en contactgegevens, Facturatiegegevens van het account, de Serviceduur, soorten gebruikte Services en aanmeldgegevens van het account). Als Zendesk bovendien een gerechtelijk bevel ontvangt, kunnen Niet-contentgegevens ook Niet-contentmetadata omvatten m.b.t. de communicatie van de Eindgebruikers met een Account, wat Servicegegevens betreft.
- Dagvaarding: Een verplicht verzoek, uitgegeven door een overheidsentiteit, voor de productie van documenten in een criminele zaak (zoals dagvaardingen van het Hooggerechtshof).
- Gerechtelijk bevel: Een bevel van een rechter na reden te hebben om te vermoeden dat de gezochte informatie relevant is en van wezenlijk belang voor een lopend crimineel onderzoek.
- Huiszoekingsbevel: Een bevel van een rechter in een mogelijke rechtszaak van een wetshandhavingsinstantie.Een huiszoekingsbevel is vereist om Contentgegevens te verkrijgen.
- MLAT: Staat voor “mutual legal assistance treaty” (bilateraal verdrag betreffende wederzijdse rechtshulp). Zendesk vereist dat niet-Amerikaanseoverheidsinstanties de juiste internationale gerechtelijke processen inzetten, zoals via een MLAT, om klantgegevens te verkrijgen.
- Brieven van de National Security: Een brief van de National Security, uitgegeven onder 18 U.S.C. § 2709.
- FISA Orders: Een bevel of verzoek, uitgegeven onder de Foreign Intelligence Surveillance Act, om gebruiksgegevens, uitgegeven in de VS.
Meer informatie
Voor meer informatie over de aanpak van Zendesk m.b.t. het reageren op wetshandhavingsverzoeken om persoonlijke informatie, leest u hier verder.
Aanvullende bronnen
Rapporten/certificaten van Zendesk:
-
Rapport SOC 2 Type II
-
SOC 3-rapport
-
ISO 27001:2013 -certificering
-
ISO 27018:2014 -certificering
Bronnen van Zendesk:
Bronnen van derden:
-
Website privacyschild van het Amerikaanse Ministerie van Handel: https://www.privacyshield.gov/welcome.
-
Richtlijn 95/46/EG: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=LEGISSUM:l14012.
-
Algemene verordening gegevensbescherming (AVG): http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679.
-
The International Association of Privacy Professionals: https://iapp.org.
-
“Preparing for the GDPR” van het Information Commissioner’s Office’s van het Verenigd Koninkrijk: https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf.
Laatst bijgewerkt op 1 juni 2021.