Service Data is any information, including personal data, which is stored in or transmitted via the Zendesk services by, or on behalf of, our customers and their end-users.

Uit het oogpunt van privacy is de klant de beheerder en Zendesk de verwerker van servicegegevens. Dit betekent dat gedurende de tijd dat een klant gebruik maakt van de diensten van Zendesk, de klant het eigendom van en het beheer over de servicegegevens in zijn account behoudt.

Zendesk may use sub-processors, including affiliates of Zendesk as well as third party companies, to provide, secure or improve the Services, and such sub-processors may have access to Service Data. Zendesk maintains an up-to-date list of the names and locations of all sub-processors, available at our Sub-Processor Policy. The list includes the ability for our customers to sign up for notifications of any changes. Zendesk shall be responsible for the acts and omissions of sub-processors to the same extent that Zendesk would be responsible if Zendesk was performing the services of each sub-processor directly.

We use Service Data to operate and improve our services, help customers access and use the services, respond to customer inquiries, and send communications related to the services.

Zendesk besteed veel aandacht aan gegevensveiligheid en combineert topklasse beveiligingsfuncties met volledige controles van onze toepassingen, systemen en netwerken, zodat de gegevens van klanten en het bedrijf altijd beschermd zijn.

Zo staan de servers van Zendesk in datacenters die voldoen aan Tier IV of III+, SSAE-16, PCI DSS, of ISO 27001. Daarnaast huren we veiligheidsexperts van derden in om op regelmatige basis gedetailleerde penetratietesten uit te voeren en ons ondersteuningsteam is 24/7 stand-by om op veiligheidswaarschuwingen en gebeurtenissen te reageren.

For more information about security incident management and procedures for Enterprise Services, please visit How We Protect Your Service Data (Enterprise Services). For more information about security incident management and procedures for Innovation Services, please visit How We Protect Your Service Data (Innovation Services).

Zendesk uses data centers in three main regions — United States, Asia Pacific, and the European Union. Service Data may be stored in any region. Customers can select the region in which data centers that host certain of their Service Data are located by purchasing the Data Center Locality Add-On. Please see the Regional Data Hosting Policy for additional information.

Zendesk maintains a publicly available Data Deletion Policy that describes Zendesk’s data deletion processes upon termination or expiration of a Subscriber’s agreement with Zendesk.

Zendesk realiseert zich dat privacy en gegevensveiligheid de allerhoogste prioriteit hebben bij klanten.

• Zendesk maakt geen servicegegevens openbaar behalve als dit nodig is voor het uitvoeren van zijn diensten aan zijn klanten en om te voldoen aan de wet zoals is aangegeven in ons privacybeleid dat u hier kunt vinden.

• Zendesk heeft een aantal internationaal erkende certificaten en accreditaties behaald die de naleving met garantiekaders van derden aantonen zoals beschreven op onze website over beveiliging.

• Als we in het openbaar moeten handelen om onze klanten te beschermen, doen we dat. Zendesk heeft zijn steun uitgesproken voor de Amerikaanse Liberty Act (vrijheidswet) die tot doel heeft het toezichtprogramma onder artikel 702 van de Foreign Intelligence Surveillance Act (wet op het toezicht op buitenlandse inlichtingendiensten) ("FISA") te hervormen.

In certain situations, we may be required to disclose personal data in response to lawful requests by public authorities, including to meet national security or law enforcement requirements. We may disclose personal data to respond to subpoenas, court orders, or legal process, or to establish or exercise our legal rights or defend against legal claims. We may also share such information with relevant law enforcement agencies or public authorities if we believe the same to be necessary in order to investigate, prevent, or take action regarding illegal activities, suspected fraud, situations involving potential threats to the physical safety of any person, violations of our Master Subscription Agreement, or as otherwise required by law.

De Algemene verordening gegevensbescherming ("AVG") is de Europese verordening over privacy die de voormalige Europese Databeschermingsrichtlijn ("Richtlijn 95/46/EG") heeft vervangen.De AVG gaat over het verwerken van persoonsgegevens en het vrije verkeer daarvan.De AVG richt zich op de beveiliging en bescherming van persoonsgegevens in de EU en harmonisatie van de wetgeving op het gebied van gegevensbescherming.In het algemeen stelt deze verordening een aantal principes en eisen vast die betrekking hebben op gegevensbescherming, waaraan moet worden voldaan bij het verwerken van persoonsgegevens.

De AVG heeft ook de European Data Protection Board (EDPB) opgericht die ervoor zorgt dat de wetgeving aangaande persoonsgegevens op systematische manier binnen de EU wordt toegepast en die de samenwerking tussen instanties die te maken hebben met het beschermen van persoonsgegevens faciliteert.

Zendesk customers that collect and store personal data are considered data controllers under the GDPR. Data controllers bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant EU data protection law, including the GDPR and uniquely determine what personal data is submitted to, and processed by, Zendesk in accordance with the Services.

Een van de belangrijkste aspecten van de AVG is dat deze consistentie tussen EU-lidstaten creëert over hoe persoonsgegevens veilig kunnen worden verwerkt, gebruikt en uitgewisseld.Organisaties moeten de veiligheid van de gegevens die zij verwerken en hun naleving van de AVG op permanente basis aantonen door robuuste technische en organisatorische maatregelen en het nalevingsbeleid uit te voeren en regelmatig te controleren.

If Zendesk receives a data subject request from a Subscriber’s End-User (i.e., a user of the Services to whom a Subscriber has provided our Services), Zendesk is the Processor, and Zendesk will, to the extent that applicable legislation does not prohibit Zendesk from doing so, promptly inform the End-User to contact our Subscriber (i.e. the Controller) directly about any request relating to his/her Personal Data such as access or deletion. Zendesk will not further respond to a data subject request without Subscriber’s prior consent.

Zendesk encourages customers to continually review their privacy and data security processes and policies to ensure compliance with the GDPR. Data controllers bear the primary responsibility for ensuring that their processing of personal data is compliant with EU data protection law. Below are some key points to consider for GDPR compliance:

• Geografische toepassing: De AVG is van toepassing op organisaties die in de EU gevestigd zijn en, afhankelijk van hun activiteiten, ook op sommige organisaties die buiten de EU gevestigd zijn, maar die persoonsgegevens van EU-burgers verwerken.

• Rechten van eindgebruikers: Organisaties moeten zich bewust zijn van de eindgebruikers wiens persoonsgegevens ze wellicht verwerken. De AVG heeft verbeterde rechten opgesteld voor eindgebruikers en organisaties moeten aan deze rechten tegemoet komen.

• Meldingen van inbreuk op gegevens: Organisaties die persoonsgegevens beheren, moeten duidelijke processen ingesteld hebben voor de naleving van de AVG-eis om inbreuk op gegevens te melden in overeenstemming met de tijdskaders die in de AVG zijn vastgesteld. Zendesk zal de betrokken klanten onverwijld inlichten als we ons bewust worden van een inbreuk op gegevens bij onze diensten.

• Aanstelling van een functionaris voor gegevensbescherming (Data Protection Officer "DPO"): Klanten moeten wellicht DPOs aanstellen voor het afhandelen van problemen met betrekking tot de verwerking van persoonsgegevens.

• Data Processing Agreement (“DPA”): Where personal data is transferred outside the EEA, a customer may need DPAs in place with its sub-processors to ensure an adequate level of protection for the transferred data.

• Gegevensbeschermingseffectbeoordeling (Data Protection Impact Assessment "DPIA"): Een DPIA omschrijft gewoonlijk de gegevensprocessen en beschermende maatregelen van organisaties, met name degene die riskant kunnen zijn. Klanten moeten voor gegevensverwerkingsactiviteiten een DPIA uitvoeren en deze bij de autoriteiten indienen.

Klanten kunnen Zendesks door derden uitgevoerde ISO-certificering en SOC 2-controlerapporten gebruiken bij de uitvoering van hun risicobeoordelingen en bepalen of de juiste technische en organisatorische maatregelen zijn ingesteld. Zie voor extra informatie de Zendesk-beveiligingswebsite.

Hieronder staan voorbeelden van speciale Zendesk-producteigenschappen die klanten kunnen gebruiken als hulp bij hun AVG-nalevingsprogramma. Door middel van onze bijbehorende diensten voor de ingezette geavanceerde beveiliging kunnen klanten ervoor kiezen uitgebreide functies te krijgen, inclusief uitgebreid calamiteitenherstel en encryptie zowel als de mogelijkheid om te configureren voor de Health Insurance Portability and Accountability Act ("HIPAA") (wet betreffende de bescherming van gezondheidsinformatie).

De huidige beschikbare functies voor de Zendesk-producten kunnen in de vragen/antwoorden hieronder worden gevonden.

Controlenormen:

• ISO27001:2013 gecertificeerd

• ISO27018:2014 gecertificeerd

Scanning:

• Bug bounty-programma

• Dynamisch scannen van werkende toepassingen

• Statisch scannen van code repositories

Encryptie:

• Encryptie van gegevens die over openbare netwerken worden verzonden

• Encryptie van bepaalde opgeslagen gegevens met AES256

Yes, more detailed information on how to use Zendesk products to stay compliant with GDPR can be found via our Help Center here.

The European Commission has approved a set of standard provisions called the Standard Contractual Clauses (“Model Clauses”) which provide a data controller a compliant mechanism to transfer personal data to a data processor outside of the European Economic Area (“EEA”). The Model Clauses are appended to the Zendesk DPA to help provide adequate protection for data transfer outside of the EEA or Switzerland.

Regelmatig worden de gegevens door Zendesk gekopieerd voor archivering, back-up en controlebestanden. We gebruiken Amazon Web Services (AWS) voor de opslag van een deel van de informatie die wordt geback-upt, zoals database-informatie en bijbehorende bestanden. Zie ons beleid voor regionale datahosting voor meer informatie.

Klanten van Zendesk die de Locatie datacenter add-on bestellen, hebben de mogelijkheid de regio te kiezen (uit de beschikbare regionale opties van Zendesk) waar het datacenter zich bevindt dat hun servicegegevens host.Zie ons beleid voor regionale datahosting voor meer informatie.Anders kan Zendesk elk van de datacenters ter wereld gebruiken waarop de servicegegevens worden gehost.

Irrespective of the outcome of the ongoing Brexit negotiations, Zendesk remains committed to the success of our Subscribers and employees in the UK and the rest of Europe. We are closely monitoring the negotiations between the UK government and the European Union regarding the details of their future relationship. As the details become clear, we will take appropriate measures to ensure that our Subscribers can continue to use our services in compliance with both EU and UK laws, and for Zendesk overall, business will continue as usual and will remain focused on our Subscribers’ success.

Zendesk offers customers a robust Data Processing Agreement governing the relationship between the customer (acting as a data controller) and Zendesk (acting as a data processor). The DPA facilitates Zendesk’s customers’ compliance with their obligations under EU data protection law and contains strong privacy commitments, and has been updated to confirm our compliance with the GDPR. The DPA also contains data transfer frameworks to ensure that our customers can lawfully transfer personal data to Zendesk outside of the European Union by relying on one of three mechanisms: our Binding Corporate Rules, our Privacy Shield certification, or Standard Contractual Clauses.

Yes, Zendesk’s DPA includes provisions to assist Subscribers with their GDPR compliance.

Zendesk recommends that you consult with your legal counsel to assess the potential impact that your decision not to sign the DPA may have on your particular situation.

No. The Zendesk DPA is specific to Zendesk’s Services, privacy practices and representations made to regulators.

If you have additional questions, please contact your Zendesk Account Executive or alternatively, open a case with the Zendesk customer advocacy team by contacting support@zendesk.com.

Not directly, instead Zendesk offers a separate addendum to its Master Subscription Agreement to support a “Businesses” compliance efforts with CCPA, as such term is defined in the CCPA. For more information, please review the CCPA section of this webpage.

If you would like to review and/or execute Zendesk’s CCPA Addendum to the Master Subscription Agreement, please click here.

For information on our privacy practices and the functionality we provide to support our Subscribers’ compliance, please visit our Privacy and Data Protection Website, Data Deletion Policy, and Product Guides.

The CCPA grants California consumers new rights with respect to the collection of their personal information and requires companies to comply with certain obligations related to those rights, including:

1. An obligation on businesses to notify a consumer of its data collection practices, including the categories of personal information it has collected, the source of the information, the business’s use of the information, and to whom the business disclosed the information it has collected about the consumer;
2. The consumer’s right to receive a copy, in a readily usable format, of the specific personal information collected about them during the twelve (12) months prior to their request;
3. The consumer’s right to have such personal information deleted (with exceptions);
4. The consumer’s right to know the business’ data sale practices and to request that their personal information not be sold to third parties;
5. A prohibition on businesses on discrimination for exercising a consumer right; and
6. An obligation on businesses to notify a consumer of their rights.

Zendesk has been following the CCPA and preparing for compliance since the CCPA was first passed in 2018. Most recently, the California Office of the Attorney General has indicated that it may further amend regulations proposed for the CCPA. In light of such potential amendments, Zendesk is actively tracking the law and we will continue to keep our customers updated on features and functionality they can use to support their compliance efforts. Customers can also view our Product Guides for more detailed information on how to use Zendesk’s products to comply with data privacy laws, as well as our Data Deletion Policy for details on Service Data deletion.

Zendesk customers that collect and store personal information in Zendesk Services may be considered “Businesses” under the CCPA. Businesses bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant data protection law, including the CCPA. Zendesk acts as a “Service Provider,” as such term is defined in the current version of the CCPA, with respect to the processing of personal information through our Services. Therefore, Zendesk collects, accesses, maintains, uses, processes and transfers the personal information of our customers and our customer’s end-users processed through the Services solely for the purpose of performing our obligations under our existing contract(s) with our subscribers; and, for no commercial purpose other than the performance of such obligations and improvement of the Services we provide.

We do not “sell” our customer’s personal information as currently defined under the CCPA, meaning that we also do not rent, disclose, release, transfer, make available or otherwise communicate that personal information to a third party for monetary or other valuable consideration. We may share aggregated and/or anonymized information regarding use of the Service(s)—which is not considered personal information under the CCPA—with third parties to help us develop and improve the Services and provide our customers with more relevant content and service offerings as detailed in our customer agreements.

Subscribers are advised to consult their own legal counsel to evaluate how the CCPA specifically applies to them and determine how to achieve their own compliance with CCPA.

Bindende bedrijfsvoorschriften (Binding Corporate Rules "BCR") is een bedrijfsbreed beleid voor gegevensbescherming dat goedgekeurd is door de Europese gegevensbeschermingsautoriteiten voor de overdracht van persoonsgegevens binnen de bedrijvengroep vanuit de Europese Economische Ruimte ("EER") naar landen buiten de EER. BCR's zijn gebaseerd op strenge privacyprincipes die door de EU-gegevensbeschermingsautoriteiten zijn vastgesteld en zij vereisen een intensief overleg met deze autoriteiten. Klanten kunnen de volledige lijst van goedgekeurde eenheden op de goedkeuringslijst bindende bedrijfsvoorschriften hier vinden.

Yes, Zendesk has completed the EU approval process with the Irish Data Protection Commissioner (“DPC”) (peer reviewed by both the UK Information Commissioner’s Office and the Dutch Data Protection Authority) for its global Binding Corporate Rules (“BCRs”) as data processor and controller. This significant regulatory approval validates Zendesk’s implementation of the highest possible standards for protecting personal data globally, covering both the personal data of its customers and its employees.

Zendesk is een van de weinige softwarebedrijven ter wereld die goedkeuring voor zijn BCR's heeft gekregen en het is pas het tweede ooit die goedkeuring van de Ierse DPC heeft gekregen.

Voor toegang tot de BCR's van Zendesk, volg de betreffende link hieronder:

- Zendesks bindende bedrijfsvoorschriften als verwerker (die van toepassing zijn als Zendesk persoonsgegevens verwerkt namens zijn klanten); en

- Zendesks bindende bedrijfsvoorschriften als beheerder (die van toepassing zijn als Zendesk persoonsgegevens verwerkt waarvoor het een gegevensbeheerder is).

Zendesk has updated its Binding Corporate Rules to align them with the GDPR and to further enhance the robust privacy protections we offer to our Subscribers. Zendesk notified the Irish data protection authority of these updates as part of our annual update.

Het Amerikaanse Ministerie van Handel, de Europese Commissie en de Zwitserse overheid hebben de raamovereenkomsten EU-VS- en Zwitserland-VS-privacyschild opgesteld, zodat bedrijven een mechanisme hebben om persoonsgegevens van de Europese Unie naar de VS over te dragen op een manier die een juist niveau van bescherming biedt in het kader van de Europese gegevensbeschermingswetgeving.

Zendesk heeft de naleving van de raamovereenkomsten EU-VS- en Zwitserland-VS-privacyschild gecertificeerd bij het Amerikaanse Ministerie van Handel en is toegevoegd aan de lijst van zelf-gecertificeerde deelnemers aan het privacyschild van het Ministerie van Handel. Onze certificering toont aan dat we de principes van privacybescherming voor de verzending van Europese en Zwitserse gegevens naar de Verenigde Staten naleven.

Dit is fantastisch nieuws voor onze klanten, omdat we hen zelfs een beter mechanisme van gegevensoverdracht kunnen bieden dan de vroegere Safe Harbor-raamovereenkomsten VS-EU en VS-Zwitserland. Zendesk heeft snel gehandeld om de principes van het privacyschild in te voeren als deel van onze voortdurende inspanningen met betrekking tot privacy en de bescherming van de gegevens van klanten.

• Rapport SOC 2 Type II

• SOC 3-rapport

• ISO 27001:2013 -certificering

• ISO 27018:2014 -certificering

• Goedkeuringslijst bindende bedrijfsvoorschriften

• Goedkeuringslijst privacyschild

• TrustArc-privacyzegel

• Hoe beschermt Zendesk persoonsgegevens

• Zendesk houdt de hoogste standaarden aan wat betreft gegevensbescherming volgens de de Europese Binding Corporate Rules.

• Zendesk Privacy Policy

• Zendesks beleid aangaande de verwijdering van gegevens

• Zendesks pagina aangaande veiligheid

• Zendesks best practices aangaande veiligheid

• SOC 2-rapport

• SOC 3-rapport

• ISO 27001:2013 -certificering

• ISO 27018:2014 -certificering

• Master Subscription Agreement van Zendesk

• Website privacyschild van het Amerikaanse Ministerie van Handel: https://www.privacyshield.gov/welcome.

• Richtlijn 95/46/EG: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=LEGISSUM:l14012.

• Algemene verordening gegevensbescherming (AVG): http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679.

• The International Association of Privacy Professionals: https://iapp.org.

• "Preparing for the GDPR" van het Information Commissioner’s Office’s van het Verenigd Koninkrijk: https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf.