What is Service Data?

Service Data is any information, including personal data, which is stored in or transmitted via the Zendesk services by, or on behalf of, our customers and their end-users.

Who owns and controls Service Data?

From a privacy perspective, the customer is the controller of Service Data, and Zendesk is a processor. This means that throughout the time that a customer subscribes to services with Zendesk, the customer retains ownership of and control over Service Data in its account.

Who are Zendesk's sub-processors?

Zendesk may use sub-processors, including affiliates of Zendesk as well as third party companies, to provide, secure or improve the Services, and such sub-processors may have access to Service Data. Zendesk maintains an up-to-date list of the names and locations of all sub-processors, available at our Sub-Processor Policy. The list includes the ability for our customers to sign up for notifications of any changes. Zendesk shall be responsible for the acts and omissions of sub-processors to the same extent that Zendesk would be responsible if Zendesk was performing the services of each sub-processor directly.

How does Zendesk use Service Data?

We use Service Data to operate and improve our services, help customers access and use the services, respond to customer inquiries, and send communications related to the services.

What steps does Zendesk take to secure Service Data?

Zendesk prioritizes data security and combines enterprise-class security features with comprehensive audits of our applications, systems, and networks to ensure customer and business data is always protected. For example, Zendesk servers are hosted at Tier IV or III+, SSAE-16, PCI DSS, or ISO 27001 compliant facilities. Additionally, we engage third-party security experts to perform detailed penetration tests on a periodic basis, and our Support team is on call 24/7 to respond to security alerts and events.

How does Zendesk notify customers of a security incident?

For more information about security incident management and procedures for Enterprise Services, please visit How We Protect Your Service Data (Enterprise Services). For more information about security incident management and procedures for Innovation Services, please visit How We Protect Your Service Data (Innovation Services).

Where will Service Data be stored?

Zendesk uses data centers in three main regions â United States, Asia Pacific, and the European Union. Service Data may be stored in any region. Customers can select the region in which data centers that host certain of their Service Data are located by purchasing the Data Center Locality Add-On. Please see the Regional Data Hosting Policy for additional information.

What happens to Service Data upon termination or expiration of a customer's agreement with Zendesk?

Zendesk maintains a publicly available Data Deletion Policy that describes Zendeskâs data deletion processes upon termination or expiration of a customer's agreement with Zendesk.

How does Zendesk Respond to Information Requests?

Zendesk recognizes that privacy and data security issues are top priorities for customers. Zendesk does not disclose Service Data except as necessary to provide its services to its customers and comply with the law as detailed in our Privacy Policy found here. Zendesk has achieved a number of internationally-recognized certifications and accreditations demonstrating compliance with third-party assurance frameworks as described on our Security site. Where we need to act publicly to protect customers, we do. Zendesk has voiced its support for the USA Liberty Act that seeks to reform the surveillance program under Section 702 of the Foreign Intelligence Surveillance Act (âFISAâ).

How does Zendesk respond to legal requests for Service Data?

In certain situations, we may be required to disclose personal data in response to lawful requests by public authorities, including to meet national security or law enforcement requirements. We may disclose personal data to respond to subpoenas, court orders, or legal process, or to establish or exercise our legal rights or defend against legal claims. We may also share such information with relevant law enforcement agencies or public authorities if we believe the same to be necessary in order to investigate, prevent, or take action regarding illegal activities, suspected fraud, situations involving potential threats to the physical safety of any person, violations of our Master Subscription Agreement, or as otherwise required by law.

The General Data Protection Regulation ("GDPR") is the European privacy regulation which replaced the EU Data Protection Directive (âDirective 95/46/ECâ). The GDPR addresses the processing of personal data and the free movement of such data. It aims to strengthen the security and protection of personal data in the EU and harmonize EU data protection law. Broadly, it sets out a number of data protection principles and requirements which must be adhered to when personal data is processed. The GDPR also established the European Data Protection Board (âEPDBâ), which ensures that the data protection law is applied consistently across the EU and works to ensure effective cooperation amongst data protection authorities.

How does the GDPR apply to customers?

Zendesk customers that collect and store personal data are considered data controllers under the GDPR. Data controllers bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant EU data protection law, including the GDPR and uniquely determine what personal data is submitted to, and processed by, Zendesk in accordance with the Services.

What implications does GDPR have for organizations processing the personal data of EU citizens?

One of the key aspects of the GDPR is that it creates consistency across EU member states on how personal data can be processed, used, and exchanged securely. Organizations need to demonstrate the security of the data they are processing and their compliance with GDPR on a continual basis, by implementing and regularly reviewing robust technical and organizational measures, as well as compliance policies.

In its capacity as data processor, how does Zendesk handle requests made by End-Users?

If Zendesk receives a data subject request from a customer's End-User (i.e., a user of the Services to whom a customer has provided our Services), Zendesk is the Processor, and Zendesk will, to the extent that applicable legislation does not prohibit Zendesk from doing so, promptly inform the End-User to contact our customer (i.e. the Controller) directly about any request relating to his/her Personal Data such as access or deletion. Zendesk will not further respond to a data subject request without customer's prior consent.

What are some suggestions for Zendesk customers with regard to GDPR?

Zendesk encourages customers to continually review their privacy and data security processes and policies to ensure compliance with the GDPR. Data controllers bear the primary responsibility for ensuring that their processing of personal data is compliant with EU data protection law. Below are some key points to consider for GDPR compliance: Geographical Application: The GDPR may apply to organizations that are established in the EU as well as certain organizations established outside the EU but which are processing the personal data of EU citizens, depending on their activities. Rights of End-Users: Organizations should be cognizant of End-Users whose personal data they may be processing. The GDPR establishes enhanced rights for End-Users, and organizations should be able to accommodate those rights. Data Breach Notifications: Organizations that are controllers of personal data should have clear processes in place in order to comply with the GDPR requirement to report data breaches in accordance with the time frames set out within the GDPR. Zendesk will notify affected customers without undue delay if we become aware of a data breach of our services. Appointment of Data Protection Officer (âDPO"): Customers may need to appoint DPOs to manage issues relating to the processing of personal data. Data Processing Agreement (âDPAâ): Where personal data is transferred outside the EEA, a customer may need DPAs in place with its sub-processors to ensure an adequate level of protection for the transferred data. Data Protection Impact Assessment (âDPIAâ): DPIAs usually describe an organization's data processes and protective measures, particularly those that may be risky. For data processing activities, customers need to conduct and file with authorities a DPIA.

Which Zendesk services and features can support customers compliance with the GDPR?

Customers can use Zendesk's third-party ISO certifications and SOC 2 audit reports to help conduct their risk assessments and determine whether appropriate technical and organizational measures are in place. For additional information, please see the Zendesk Security website. Below are examples of specific Zendesk product features that customers can utilize to assist with the GDPR compliance program. Through our Advanced Security Deployed Associated Service, customers can choose to obtain enhanced features, including enhanced disaster recovery and encryption, as well as the ability to configure for the Health Insurance Portability and Accountability Act (âHIPAAâ). Currently available features for specific Zendesk products can be found in the questions/answers below. Auditing Standards: ISO 27001:2013 certified ISO 27018:2014 certified Scanning: Bug bounty Dynamic scanning of live applications Static scanning of code repositories Encryption: Encryption of data in motion over public networks Encryption of certain data at rest with AES256

Does Zendesk currently provide any product specific Features/Functionality in its products to assist us with our GDPR compliance program?

Yes, more detailed information on how to use Zendesk products to stay compliant with GDPR can be found via our Help Center here.

What are the âModel Clausesâ?

The European Commission has approved a set of standard provisions called the Standard Contractual Clauses (âModel Clausesâ) which provide a data controller a compliant mechanism to transfer personal data to a data processor outside of the European Economic Area (âEEAâ). The Model Clauses are appended to the Zendesk DPA to help provide adequate protection for data transfer outside of the EEA or Switzerland.

Does Zendesk replicate the Service Data it stores?

Zendesk periodically replicates data for purposes of archival, backup and audit logs. We use Amazon Web Services (AWS) to store some of the information that is backed up, such as database information and attachment files. Please see our Regional Data Hosting Policy for further details.

Does Service Data hosted in the EU region ever leave that region?

Zendesk customers who purchase the Data Center Location Add-on have the ability to select the region (from the available Zendesk regional options) where the data center which hosts their Service Data is located. Please see our Regional Data Hosting Policy for further details. Otherwise, Zendesk may utilize any of the global data centers it uses to host Service Data.

What steps has Zendesk taken to prepare for Brexit (the UKâs departure from the European Union)?

Irrespective of the outcome of the ongoing Brexit negotiations, Zendesk remains committed to the success of our customers and employees in the UK and the rest of Europe. We are closely monitoring the negotiations between the UK government and the European Union regarding the details of their future relationship. As the details become clear, we will take appropriate measures to ensure that our customers can continue to use our services in compliance with both EU and UK laws, and for Zendesk overall, business will continue as usual and will remain focused on our customers' success.

What is a Data Processing Agreement (âDPAâ)?

Zendesk offers customers a robust Data Processing Agreement governing the relationship between the customer (acting as a data controller) and Zendesk (acting as a data processor). The DPA facilitates Zendeskâs customersâ compliance with their obligations under EU data protection law and contains strong privacy commitments, and has been updated to confirm our compliance with the GDPR. The DPA also contains data transfer frameworks to ensure that our customers can lawfully transfer personal data to Zendesk outside of the European Union by relying on one of three mechanisms: our Binding Corporate Rules, our Privacy Shield certification, or Standard Contractual Clauses.

Does the DPA take GDPR into account?

Yes, Zendesk's DPA includes provisions to assist customers with their GDPR compliance.

What happens if a customer does not sign the DPA?

Zendesk recommends that you consult with your legal counsel to assess the potential impact that your decision not to sign the DPA may have on your particular situation.

Can a customer use its own DPA?

No. The Zendesk DPA is specific to Zendeskâs Services, privacy practices and representations made to regulators.

What if I have additional questions about the DPA?

If you have additional questions, please contact your Zendesk Account Executive or alternatively, open a case with the Zendesk customer advocacy team by contacting support@zendesk.com.

Does the DPA take the California Consumer Privacy Act (CCPA) into account?

Not directly, instead Zendesk offers a separate addendum to its Master Subscription Agreement to support a âBusinessesâ compliance efforts with CCPA, as such term is defined in the CCPA. For more information, please review the CCPA section of this webpage.

Does Zendeskâs Master Subscription Agreement specifically address CCPA?

If you would like to review and/or execute Zendeskâs CCPA Addendum to the Master Subscription Agreement, please click here. For information on our privacy practices and the functionality we provide to support our customers' compliance, please visit our Privacy and Data Protection Website, Data Deletion Policy, and Product Guides.

The CCPA grants California consumers new rights with respect to the collection of their personal information and requires companies to comply with certain obligations related to those rights, including: An obligation on businesses to notify a consumer of its data collection practices, including the categories of personal information it has collected, the source of the information, the businessâs use of the information, and to whom the business disclosed the information it has collected about the consumer; The consumerâs right to receive a copy, in a readily usable format, of the specific personal information collected about them during the twelve (12) months prior to their request; The consumerâs right to have such personal information deleted (with exceptions); The consumerâs right to know the businessâ data sale practices and to request that their personal information not be sold to third parties; A prohibition on businesses on discrimination for exercising a consumer right; and An obligation on businesses to notify a consumer of their rights.

How has Zendesk been preparing for the CCPA and how do Zendesk products support compliance with the CCPA?

Zendesk has been following the CCPA and preparing for compliance since the CCPA was first passed in 2018. Most recently, the California Office of the Attorney General has indicated that it may further amend regulations proposed for the CCPA. In light of such potential amendments, Zendesk is actively tracking the law and we will continue to keep our customers updated on features and functionality they can use to support their compliance efforts. Customers can also view our Product Guides for more detailed information on how to use Zendeskâs products to comply with data privacy laws, as well as our Data Deletion Policy for details on Service Data deletion.

How does the CCPA apply to Zendesk customers?

Zendesk customers that collect and store personal information in Zendesk Services may be considered âBusinessesâ under the CCPA. Businesses bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant data protection law, including the CCPA. Zendesk acts as a âService Provider,â as such term is defined in the current version of the CCPA, with respect to the processing of personal information through our Services. Therefore, Zendesk collects, accesses, maintains, uses, processes and transfers the personal information of our customers and our customerâs end-users processed through the Services solely for the purpose of performing our obligations under our existing contract(s) with our customers; and, for no commercial purpose other than the performance of such obligations and improvement of the Services we provide.

Does Zendesk sell personal information?

We do not âsellâ our customerâs personal information as currently defined under the CCPA, meaning that we also do not rent, disclose, release, transfer, make available or otherwise communicate that personal information to a third party for monetary or other valuable consideration. We may share aggregated and/or anonymized information regarding use of the Service(s)âwhich is not considered personal information under the CCPAâwith third parties to help us develop and improve the Services and provide our customers with more relevant content and service offerings as detailed in our customer agreements.

How can Zendesk customers ensure compliance with CCPA?

Subscribers are advised to consult their own legal counsel to evaluate how the CCPA specifically applies to them and determine how to achieve their own compliance with CCPA.

Does Zendeskâs Master Subscription Agreement specifically address LGPD?

If you would like to review and/or execute Zendeskâs LGPD Addendum to the Master Subscription Agreement, please click here. In addition, Zendeskâs Master Subscription Agreement (MSA), other privacy and product documentation, as well as our internal practices are designed for global use and we update them as necessary to continue to deliver our Services to customers in Latin America and the Caribbean in accordance with legal requirements. We direct your attention to the section entitled, âBrazilâ in Zendeskâs Region-Specific Terms, which form part of Zendeskâs MSA and can be found at: https://www.zendesk.com/company/agreements-and-terms/region-specific-terms/. For information on our privacy practices and the functionality we provide to support our customers' compliance, please visit our Privacy and Data Protection Website, Data Deletion Policy, and Product Guides.

The LGPD is the primary law in Brazil addressing the protection of personal data, aiming to protect "the fundamental rights of freedom and privacy and the free development of the personality of the natural person." As such, controllers and processors (as defined under the LGPD) are required to adhere to certain principles when processing personal data, including but not limited to purpose, necessity, transparency, and security.

How has Zendesk prepared for the LGPD and how do Zendesk Services support compliance with the LGPD?

Zendesk has been following the LGPD and preparing for compliance since the LGPD was first passed in 2018. Additionally, the National Authority for Protection Data (ANPD) may issue additional guidance for the LGPD. In light of such guidance, Zendesk is actively tracking the law and we will continue to keep our customers updated on features and functionality they can use to support their compliance efforts. Customers can also view our Product Guides for more detailed information on how to use Zendeskâs Services to comply with data privacy laws, as well as our Data Deletion Policy for details on Service Data deletion.

How does the LGPD apply to Zendesk customers?

Zendesk customers that collect and store personal data in Zendesk Services may be considered "controllers" under the LGPD. Controllers bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant data protection law, including the LGPD. Zendesk acts as a "processor," as such term is defined in the current version of the LGPD, with respect to the processing of personal data through our Services. Therefore, Zendesk processes the personal data of our customers and our customer's end-users at the instruction of our customers.

How can Zendesk customers ensure compliance with the LGPD?

Customers are advised to consult their own legal counsel to evaluate how the LGPD specifically applies to them and determine how best to achieve their own compliance with LGPD.

What are Binding Corporate Rules?

Binding Corporate Rules (âBCRsâ) are company-wide data protection policies approved by European data protection authorities to facilitate intra-group transfers of personal data from the European Economic Area ("EEA") to countries outside the EEA. BCRs are based on strict privacy principles established by European Union data protection authorities and require intensive consultation with those authorities. Customers can find the full list of approved entities on the Binding Corporate Rules Approved List, here.

Does Zendesk have approved BCRs in place?

Yes, Zendesk has completed the EU approval process with the Irish Data Protection Commissioner ("DPC") (peer reviewed by both the UK Information Commissionerâs Office and the Dutch Data Protection Authority) for its global Binding Corporate Rules (âBCRsâ) as data processor and controller. This significant regulatory approval validates Zendeskâs implementation of the highest possible standards for protecting personal data globally, covering both the personal data of its customers and its employees. Zendesk is one of only a few software companies in the world to have received approval for its BCRs; and just the second company ever to receive approval from the Irish DPC. To access Zendeskâs BCRs, please follow the relevant links below: â Zendeskâs Processor Binding Corporate Rules (which apply when Zendeskâs processes personal data on behalf of its customers); and â Zendeskâs Controller Global Binding Corporate Rules (which apply when Zendesk processes personal data for which it is a data controller).

Does Zendesk update its BCRs?

Zendesk has updated its Binding Corporate Rules to align them with the GDPR and to further enhance the robust privacy protections we offer to our customers. Zendesk notified the Irish data protection authority of these updates as part of our annual update.

What is the Privacy Shield?

The U.S. Department of Commerce, with the European Commission and the Swiss government, created the EU-U.S. and Swiss-U.S. Privacy Shield Frameworks (Privacy Shield) to provide companies with a mechanism to transfer personal data from the European Union to the United States in a manner that provides an adequate level of protection for the purpose of European data protection law.

Is Zendesk certified under the Privacy Shield?

Zendesk has certified its compliance with the EU-U.S. and Swiss-U.S. Privacy Shield frameworks to the U.S. Department of Commerce and has been added to the Department of Commerceâs list of self-certified Privacy Shield participants. Our certifications confirm that we comply with the Privacy Shield Principles for the transfer of European and Swiss personal data to the United States.

How does the invalidation of Privacy Shield affect transfers of Zendesk Service Data from the EEA to the U.S.?

On July 16, 2020, the Court of Justice of the European Union (CJEU) issued a ruling invalidating the EU-U.S. Privacy Shield program. Zendesk customers can continue to use Zendesk services and transfer data in compliance with European law such as the GDPR, as we have both Binding Corporate Rules and Model Clauses (incorporated into our Data Processing Agreement) in place. We understand that you may have questions around the invalidation of the Privacy Shield and Zendesk's position in relation to the same, so we have published this blog post to assist you with your queries. If you would like to access the Zendesk DPA for review or signature, you can access it in your Customer Admin Console or click here.

Zendesk Reports/Certificates:

SOC 2 Type II Report SOC 3 Report ISO 27001:2013 Certification ISO 27018:2014 Certification Binding Corporate Rules Approved List Privacy Shield Approved List TrustArc Privacy Seal

How Zendesk Protects Personal Data Zendesk Adheres To Highest Standards Of Data Protection With European BCR Approval Zendesk Privacy Policy Zendesk Data Deletion Policy Zendesk Security Page Zendesk Security Best Practices SOC 2 Report SOC 3 Report ISO 27001:2013 Certification ISO 27018:2014 Certification Zendesk Master Subscription Agreement

Third-Party Resources:

U.S. Department of Commerce Privacy Shield Website: https://www.privacyshield.gov/welcome. Directive 95/46/EC: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=LEGISSUM:l14012. General Data Protection Regulation (GDPR): http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679. The International Association of Privacy Professionals: https://iapp.org. United Kingdom Information Commissionerâs Officeâs âPreparing for the GDPRâ: https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf.

What is Service Data?

Service Data is any information, including personal data, which is stored in or transmitted via the Zendesk services by, or on behalf of, our customers and their end-users.

Who owns and controls Service Data?

From a privacy perspective, the customer is the controller of Service Data, and Zendesk is a processor. This means that throughout the time that a customer subscribes to services with Zendesk, the customer retains ownership of and control over Service Data in its account.

Who are Zendesk's sub-processors?

Zendesk may use sub-processors, including affiliates of Zendesk as well as third party companies, to provide, secure or improve the Services, and such sub-processors may have access to Service Data. Zendesk maintains an up-to-date list of the names and locations of all sub-processors, available at our Sub-Processor Policy. The list includes the ability for our customers to sign up for notifications of any changes. Zendesk shall be responsible for the acts and omissions of sub-processors to the same extent that Zendesk would be responsible if Zendesk was performing the services of each sub-processor directly.

How does Zendesk use Service Data?

We use Service Data to operate and improve our services, help customers access and use the services, respond to customer inquiries, and send communications related to the services.

Privacy en gegevensbescherming

Klik hier voor meer informatie over recente ontwikkelingen omtrent het EU-VS privacyschild.

Overzicht

Zendesk zet het vertrouwen van de klant op de eerste plaats.We weten dat de beveiliging en integriteit van klantgegevens belangrijk zijn voor de waarden en werkzaamheden van onze klanten.Daarom houden wij deze privé en veilig.

Zendesk ondersteunt talloze klanten in meer dan 160 landen en gebieden.Onze klanten vertrouwen ons grote hoeveelheden gevoelige informatie toe uit een brede reeks sectoren waaronder de gezondheidszorg, financiële diensten, overheid en technologie.

Zendesk helpt zijn klanten op talloze manieren bij het beheren van hun privacy- en gegevensveiligheid:

Gegevensveiligheid: We zorgen voor naleving van de hoogste veiligheidsnormen voor onze klanten, zoals encryptie van gegevens die over openbare netwerken worden verzonden, controlenormen (SOC 2, ISO 27001, ISO 27018), risicobeperking van Distributed Denial of Service (“DDoS”) en een ondersteuningsteam dat 24/7 stand-by is.
Openbaarmaking van servicegegevens van klanten: Zendesk maakt alleen servicegegevens aan derden openbaar als openbaarmaking noodzakelijk is voor de diensten of als die vereist is in antwoord op wettelijke verzoeken van overheidsinstanties.
Vertrouwen: Zendesk heeft beveiligingen en beheersprocessen ontwikkeld zodat onze klanten zeker zijn van een veilige omgeving voor hun informatie. Onafhankelijke experts van derden hebben bevestigd dat Zendesk voldoet aan de hoogste industrienormen.
Plaats van datahosting: Klanten die de Bijbehorende diensten voor de ingezette locatie van het datacenter ("Locatie datacenter add-on") bestellen, hebben de mogelijkheid de regio te kiezen (uit de beschikbare regionale opties van Zendesk) waar het datacenter zich bevindt dat hun servicegegevens host.
Toegangsbeheer: Zendesk biedt een geavanceerde set toegangs- en encryptiefuncties, zodat klanten hun informatie effectief kunnen beschermen. Wij openen of gebruiken de gegevens van de klanten voor geen enkel ander doel dan het leveren, onderhoud en verbetering van de diensten van Zendesk en indien wettelijk vereist.

Wat zijn servicegegevens?

Servicegegevens zijn alle informatie inclusief persoonsgegevens die door of namens onze klanten en hun eindgebruikers zijn opgeslagen met of verzonden via Zendesks services.

Wie is de eigenaar en wie beheert de servicegegevens?

Uit het oogpunt van privacy is de klant de beheerder en Zendesk de verwerker van servicegegevens. Dit betekent dat gedurende de tijd dat een klant gebruik maakt van de diensten van Zendesk, de klant het eigendom van en het beheer over de servicegegevens in zijn account behoudt.

Wie zijn de subverwerkers van Zendesk?

Het is Zendesk toegestaan gebruik te maken van subverwerkers, met inbegrip van partners van Zendesk en derden, om de Services te leveren, beveiligen of verbeteren en dergelijke subverwerkers hebben toegang tot Servicegegevens.Zendesk onderhoudt een bijgewerkte lijst met de namen en locaties van alle subverwerkers, welke beschikbaar is in ons Subverwerkersbeleid. De lijst biedt tevens de mogelijkheid voor onze klanten om zich aan te melden voor berichten over eventuele wijzigingen.Zendesk is op dezelfde wijze verantwoordelijk voor de daden en en weglatingen van subverwerkers als wanneer Zendesk de services van elke subverwerker rechtstreeks zou uitvoeren.

Hoe gebruikt Zendesk de servicegegevens?

We gebruiken de servicegegevens voor het uitvoeren en verbeteren van onze services, klanten te helpen bij toegang en gebruik van de services, om vragen van klanten te beantwoorden en om communicatie met betrekking tot de services te verzenden.

Welke stappen neemt Zendesk on de servicegegevens te beveiligen?

Zendesk besteed veel aandacht aan gegevensveiligheid en combineert topklasse beveiligingsfuncties met volledige controles van onze toepassingen, systemen en netwerken, zodat de gegevens van klanten en het bedrijf altijd beschermd zijn.

Zo staan de servers van Zendesk in datacenters die voldoen aan Tier IV of III+, SSAE-16, PCI DSS, of ISO 27001. Daarnaast huren we veiligheidsexperts van derden in om op regelmatige basis gedetailleerde penetratietesten uit te voeren en ons ondersteuningsteam is 24/7 stand-by om op veiligheidswaarschuwingen en gebeurtenissen te reageren.

Hoe licht Zendesk klanten in over een beveiligingsincident?

Voor meer informatie over beveiligingsincidentmanagement en procedures voor Enterprise services, gaat u naar Hoe wij uw servicegegevens beschermen (Enterprise services). Voor meer informatie over beveiligingsincidentmanagement en procedures voor Innovation services, gaat u naar Hoe wij uw servicegegevens beschermen (Innovation services).

Waar worden de servicegegevens opgeslagen?

Zendesk heeft datacenters in drie belangrijke regio's – de VS, Azië/Pacific en de Europese Unie.Servicegegevens kunnen in elke regio worden opgeslagen.Klanten kunnen de regio selecteren waarin de datacenters zijn gevestigd die bepaalde onderdelen van hun servicegegevens hosten door de Locatie datacenter add-on aan te schaffen.Zie het beleid voor regionale datahosting voor extra informatie.

Wat gebeurt er na beëindiging of verval van een overeenkomst met de servicegegevens van een klant?

Zendesk onderhoudt een openbaar beschikbaar Beleid voor gegevensverwijdering waarin de processen voor gegevensverwijdering van Zendesk worden beschreven bij beëindiging of verval van een overeenkomst van een klant met Zendesk.

Hoe reageert Zendesk op informatieverzoeken?

Zendesk realiseert zich dat privacy en gegevensveiligheid de allerhoogste prioriteit hebben bij klanten.

Zendesk maakt geen servicegegevens openbaar behalve als dit nodig is voor het uitvoeren van zijn diensten aan zijn klanten en om te voldoen aan de wet zoals is aangegeven in ons privacybeleid dat u hier kunt vinden.
Zendesk heeft een aantal internationaal erkende certificaten en accreditaties behaald die de naleving met garantiekaders van derden aantonen zoals beschreven op onze website over beveiliging.
Als we in het openbaar moeten handelen om onze klanten te beschermen, doen we dat. Zendesk heeft zijn steun uitgesproken voor de Amerikaanse Liberty Act (vrijheidswet) die tot doel heeft het toezichtprogramma onder artikel 702 van de Foreign Intelligence Surveillance Act (wet op het toezicht op buitenlandse inlichtingendiensten) ("FISA") te hervormen.

Hoe reageert Zendesk op wettelijke verzoeken voor servicegegevens?

In bepaalde situaties kunnen we verplicht zijn persoonsgegevens openbaar te maken door wettelijke verzoeken door overheidsinstanties, inclusief het voldoen aan eisen op het gebied van nationale veiligheid of rechtshandhaving.We kunnen persoonsgegevens openbaar maken in antwoord op dagvaardingen, beschikkingen of juridische procedures of ter vaststelling of uitoefening van onze wettelijke rechten of om ons te verdedigen tegen juridische claims.We kunnen deze informatie ook delen met de betreffende rechtshandhavings- of overheidsinstanties als we denken dat dit nodig is voor het onderzoeken, voorkomen of actie ondernemen met betrekking tot illegale activiteiten, vermoedelijke fraude, situaties met mogelijk gevaar voor de fysieke veiligheid van personen, schendingen van onze mantelovereenkomst voor een abonnement of als dit anderszins wettelijk is vereist.

Sinds onze oprichting heeft het beleid van Zendesk zich altijd gericht op een sterke betrokkenheid bij privacy, beveiliging, naleving en transparantie.Dit beleid houdt ook in dat we onze klanten ondersteunen met de naleving van EU-gegevensbeschermingseisen inclusief degene die zijn vastgesteld in de Algemene verordening gegevensbescherming ("AVG") die de Europese Databeschermingsrichtlijn (ook wel “Richtlijn 95/46/EC“ genoemd) en die vanaf 25, 2018 van kracht werd.

Indien een bedrijf persoonsgegevens van EU-burgers verzamelt, verzendt, host of analyseert, eist de AVG dat het bedrijf derden inschakelt als gegevensverwerkers die hun bekwaamheid garanderen om de technische en organisatorische eisen van de AVG uit te voeren. Om het vertrouwen van onze klanten verder te verdienen, is onze DPA bijgewerkt, zodat onze klanten de contractuele verplichtingen met betrekking tot onze naleving van de betreffende EU-gegevensbeschermingswetgeving wordt geboden en om extra contractuele verplichtingen, vereist door de AVG, uit te voeren. Onze contractuele verplichtingen garanderen dat klanten:

Kunnen reageren op verzoeken van betrokkenen om hun persoonsgegevens te exporteren, corrigeren, wijzigen of verwijderen.
Bewust worden gemaakt van inbreuken op persoonsgegevens en deze rapporteren aan de betreffende toezichthouders en betrokkenen, in overeenstemming met de tijdskaders van de AVG.
Hun naleving van de AVG met betrekking tot de diensten van Zendesk kunnen aantonen.

Overeenkomst voor gegevensverwerking ("DPA")

Zendesk biedt actieve klanten van haar betaalde services en proefservices de mogelijkheid om een Overeenkomst voor gegevensverwerking ("DPA") aan te gaan m.b.t. de verwerking van persoonsgegevens.Klik hier als u toegang wilt tot de DPA van Zendesk om door te nemen of te ondertekenen.Klanten die eerdere versies van onze DPA hebben ondertekend, kunnen onze actuele DPA te allen tijde ondertekenen.

Wat is een overeenkomst voor gegevensverwerking (Data Processing Agreement "DPA")?

Zendesk biedt klanten een robuuste overeenkomst voor gegevensverwerking waarin de relatie tussen klant (optredend als gegevensbeheerder) en Zendesk (optredend als gegevensverwerker) is vastgelegd.De DPA helpt de klanten van Zendesk met de naleving van hun verplichtingen onder de EU-gegevensbeschermingswetgeving en deze is bijgewerkt om onze naleving van de AVG te bevestigen.De DPA bevat een kader voor gegevensoverdracht om te verzekeren dat onze klanten persoonsgegevens rechtmatig kunnen overdragen naar Zendesk buiten de Europese Unie door op een van drie mechanismen te vertrouwen: onze bindende bedrijfsvoorschriften, onze privacyschild-certificering of modelcontractbepalingen.

Houdt de DPA rekening met de AVG?

Ja, de DPA van Zendesk omvat bepalingen om klanten te helpen de AVG na te leven.

Wat gebeurt er als een kan een klant de DPA niet tekent?

Zendesk raadt u aan advies in te winnen bij een juridisch adviseur om de mogelijke impact te beoordelen als u ervoor kiest de DPA niet te ondertekenen.

Kan een klant ook haar eigen DPA hanteren?

Nee. Zendesks DPA is specifiek van toepassing op Zendesks Services, privacypraktijken en vertegenwoordigingen jegens regelgevers.

Wat als ik nog meer vragen over de DPA heb?

Mocht u nog vragen hebben, neem dan contact op met uw Zendesk Account Executive of open een case bij de Zendesk klantenservice door contact op te nemen met support@zendesk.com.

Houdt de DPA rekening met de California Consumer Privacy Act (CCPA)?

Niet direct. Zendesk biedt in plaats daarvan een afzonderlijk addendum van haar Master Abonnementsovereenkomst ter ondersteuning van “zakelijke” compliance-nspanningen omtrent de CCPA, zoals gedefinieerd in de CCPA.Bekijk voor meer informatie het onderdeel CCPA van deze webpagina.

CCPA

De California Consumer Privacy Act, Cal. Civ. Code §§ 1798.100 et al. (CCPA) is een Amerikaanse wet van de Staat Californië die van kracht is vanaf 1 januari 2020. Over het algemeen is dit een uitbreiding op de privacyrechten van bepaalde consumenten in Californië en deze vereist dat bepaalde bedrijven aan verschillende gegevensbeschermingseisen voldoen.

Heeft de Master Abonnementsovereenkomst van Zendesk specifiek betrekking op de CCPA?

Klik hier als u het addendum van de CCPA van Zendesk voor de Master Abonnementsovereenkomst wilt bekijken en/of uitvoeren.

Voor informatie over onze privacypraktijken en de functionaliteit die wij bieden ter ondersteuning van de compliance van onze klanten, gaat u naar onze website Privacy en gegevensbescherming, ons Beleid voor gegevensverwijdering en onze Productgidsen.

Wat is de CCPA?

De CCPA kent consumenten in Californië nieuwe rechten toe m.b.t. het verzamelen van persoonsgegevens en vereist dat bedrijven aan bepaalde verplichtingen voldoen m.b.t. die rechten, waaronder:

Een verplichting voor bedrijven om consumenten in te lichten over de gegevensverzamelingspraktijken, met inbegrip van de categorieën persoonsgegevens die het heeft verzameld, de bron van de informatie, het gebruik van de informatie door het bedrijf en aan wie het bedrijf de informatie heeft bekendgemaakt dat het over de consument heeft verzameld.
Het recht van de consument om een kopie van de specifieke persoonsgegevens te ontvangen in een bruikbaar formaat die gedurende twaalf (12) maanden voorafgaand aan het verzoek over hen is verzameld;
Het recht van de consument om dergelijke persoonsgegevens te laten verwijderen (met uitzonderingen);
Het recht van de consument om de gegevens verkooppraktijken van het bedrijf te kennen en om te verzoeken persoonsgegevens niet aan derden te laten verkopen;
Een verbod voor bedrijven voor discriminatie van de uitoefening van consumentenrechten; en
Een verplichting voor bedrijven om een consument in te lichten over hun rechten.

Hoe bereidt Zendesk zich voor op de CCPA en hoe ondersteunen de producten van Zendesk het naleven van de CCPA?

Zendesk volgt de CCPA en bereidt zich al voor op naleving daarvan sinds de CCPA van kracht ging in 2018. Onlangs heeft het California Office of the Attorney General aangegveven dat het de regelgeving voor de CCPA verder zou kunnen wijzigen.Voor dergelijke wijzigingen volgt Zendesk de wet op actieve wijze en blijven we onze klanten op de hoogte houden van functies die zij kunnen gebruiken ter ondersteuning van hun compliance-inspanningen.Klanten kunnen onze Productgidsen bekijken voor meer informatie over het gebruik van de producten van Zendesk om wetgeving omtrent gegevensprivacy na te leven en ons Beleid voor gegevensverwijdering voor informatie over het verwijderen van servicegegevens.

Hoe is de CCPA van toepassing op klanten van Zendesk?

Klanten van Zendesk die persoonsgegevens verzamelen en opslaan in Services van Zendesk kunnen volgens de CCPA als "Bedrijven” worden beschouwd.Bedrijven dragen de primaire verantwoordelijkheid om ervoor te zorgen dat de verwerking van hun persoonsgegevens voldoet aan de relevante EU-gegevensbeschermingswetgeving, waaronder de AVG.Zendesk handelt als "Serviceprovider", wat wordt gedefinieerd in de huidige versie van de CCPA, met betrekking tot de verwerking van persoonsgegevens via onze Services.Derhalve verzamelt, opent, onderhoudt, gebruikt, verwerkt en draagt Zendesk de persoonsgegevens van onze klanten en de eindgebruikers van onze klanten over die zijn verwerkt via de Services louter en alleen met het oog op het vervullen van onze plichten volgens onze huidige contract(en) met onze klanten en derhalve niet voor commerciële doeleinden anders dan het vervullen van dergelijke plichten en verbetering van de services die wij aanbieden.

Verkoopt Zendesk persoonsgegevens?

Wij "verkopen” de persoonsgegevens van onze klanten niet, zoals momenteel gedefinieerd in de CCPA, wat betekent dat wij persoonsgegevens ook niet huren, bekendmaken, vrijgeven, overdragen, beschikbaar stellen of anderszins communiceren aan een derde voor monetaire of andere waardevolle overwegingen.Het is ons toegestaan samengestelde en/of anoniem gemaakte informatie te delen m.b.t. het gebruik van de Service(s) - wat niet als persoonsgegevens wordt beschouwd volgens de CCPA - met derden om ons te helpen de Services te ontwikkelen en verbeteren en onze klanten te voorzien van meer relevante content en service-aanbod, zoals uiteengezet in onze klantovereenkomsten.

Hoe kunnen Zendesk klanten voor naleving van de CCPA zorgen?

Abonnees worden geadviseerd hun eigen juridisch adviseur te raadplegen om te evalueren in hoeverre de CCPA specifiek van toepassing is op hen en om te bepalen hoe de eigen naleving van de CCPA bereikt kan worden.

LGPD

De Braziliaanse Algemene Verordening Gegevensbescherming, ofwel de Lei Geral de Proteção de Dados Pessoais, (LGPD) is van kracht gegaan op 16 augustus 2020. Dit is de primaire wet in Brazilië voor de bescherming van persoonsgegevens.

Heeft de Master Abonnementsovereenkomst van Zendesk specifiek betrekking op de LGPD?

Klik hier als u het addendum van de LGPD van Zendesk voor de Master Abonnementsovereenkomst wilt bekijken en/of uitvoeren.

Daarnaast zijn de Hoofdabonnementsovereenkomst (Master Subscription Agreement, MSA) van Zendesk, andere privacy- en productdocumentatie, evenals onze interne praktijken ontworpen voor wereldwijd gebruik en werken we deze waar nodig bij om onze Diensten te kunnen blijven leveren aan klanten in Latijns-Amerika en het Caribisch gebied in overeenstemming met de wettelijke vereisten. We vestigen uw aandacht op de sectie getiteld "Brazilië" in de Regiospecifieke voorwaarden van Zendesk, die deel uitmaken van de MSA van Zendesk en te vinden zijn op: https://www.zendesk.com/company/agreements-and-terms/region-specific-terms/.

Wat is de LGPD?

De LGPD is de primaire wet in Brazilië voor de bescherming van persoonsgegevens, gericht op de bescherming van “de fundamentele rechten van vrijheid en privacy en de vrije ontwikkeling van de persoonlijkheid van de natuurlijke persoon.” Derhalve wordt van beheerders en verwerkers (zoals gedefinieerd in de LGPD) vereist dat zij bepaalde principes naleven tijdens de verwerking van persoonsgegevens, waaronder doch niet beperkt tot doel, noodzaak, transparantie en beveiliging.

Hoe heeft Zendesk zich voorbereid op de LGPD en hoe ondersteunen de Services van Zendesk het naleven van de LGPD?

Zendesk volgt de LGPD en bereidt zich al voor op naleving daarvan sinds de LGPD van kracht ging in 2018.Bovendien kan de National Authority for Protection Data (ANPD) aanvullende begeleiding bieden bij de LGPD. Voor dergelijke begeleiding volgt Zendesk de wet op actieve wijze en blijven we onze klanten op de hoogte houden van functies die zij kunnen gebruiken ter ondersteuning van hun compliance-inspanningen.Klanten kunnen onze Productgidsen bekijken voor meer informatie over het gebruik van de Services van Zendesk om wetgeving omtrent gegevensprivacy na te leven en ons Beleid voor gegevensverwijdering voor informatie over het verwijderen van servicegegevens.

Hoe is de LGPD van toepassing op klanten van Zendesk?

Klanten van Zendesk die persoonsgegevens verzamelen en opslaan in Services van Zendesk kunnen volgens de LGPD als "gegevensbeheerders” worden beschouwd.Beheerders dragen de primaire verantwoordelijkheid om ervoor te zorgen dat de verwerking van hun persoonsgegevens voldoet aan de relevante EU-gegevensbeschermingswetgeving, waaronder de LGPD.Zendesk handelt als "verwerker", zoals deze term is gedefinieerd in de huidige versie van de LGPD, met betrekking tot de verwerking van persoonsgegevens via onze Services.Derhalve verwerkt Zendesk de persoonsgegevens van onze klanten en eindgebruikers van onze klanten, op aanwijzing van onze klanten.

Hoe kunnen Zendesk klanten voor naleving van de LGPD zorgen?

Klanten worden geadviseerd hun eigen juridisch adviseur te raadplegen om te evalueren in hoeverre de LGPD specifiek van toepassing is op hen en om te bepalen hoe de eigen naleving van de LGPD het beste bereikt kan worden.

Klik op de Zendesk-producten hieronder om de functies en functionaliteit te zien die in elk Zendesk-product beschikbaar is en die naleving van verplichtingen omtrent privacy en gegevensbescherming kunnen ondersteunen.

De privacykaders van verschillende regio's kunnen verschillen qua terminologie die wordt gebruikt om de functies en verplichtingen van de respectieve partijen te beschrijven.Vanwege consistentie gebruikt Zendesk de volgende termen in deze gidsen, die wereldwijd van toepassing zijn.Om twijfel te voorkomen, vervangen deze definities niet de definities in overeenkomsten die klanten of personen met Zendesk hebben.

De gegevensbeheerder is de partij die de doelen en middelen bepaalt voor de verwerking van de persoonsgegevens;
De gegevensverwerker is de partij die persoonsgegevens verwerkt namens de gegevensbeheerder ;
De betrokkene is de vastgestelde of identificeerbare natuurlijke persoon van de persoonsgegevens in kwestie; en
Persoonsgegevens is alle informatie met betrekking tot de betrokkene.

Klik op de onderstaande pictogrammen voor meer informatie over hoe de producten van Zendesk in lijn zijn met de wereldwijde privacyrechten.

Klik op de Zendesk-producten hieronder om de functies en functionaliteit te zien die in elk Zendesk-product beschikbaar is en die naleving van de AVG kunnen ondersteunen.Als u een Zendesk Suite klant bent, komen de producten waar in de onderstaande tabel naar verwezen wordt, overeen met de volgende functionaliteit, welke beschikbaar kan worden gesteld in uw Serviceplan (zoals gedefinieerd in de servicespecifieke termen, die hier te vinden zijn: https://support.zendesk.com/hc/en-us/articles/360047508453-Supplemental-terms-Zendesk-s-service-specific-terms).

Product	Zendesk Suite Functionaliteit
Support	Ticketing System Functionaliteit
Guide	Help Center Functionaliteit
Chat	Live Chat Functionaliteit
Talk	Voice Functionaliteit
Explore	Analytics Functionaliteit

Bindende bedrijfsvoorschriften

Wat zijn bindende bedrijfsvoorschriften?

Bindende bedrijfsvoorschriften (Binding Corporate Rules "BCR") is een bedrijfsbreed beleid voor gegevensbescherming dat goedgekeurd is door de Europese gegevensbeschermingsautoriteiten voor de overdracht van persoonsgegevens binnen de bedrijvengroep vanuit de Europese Economische Ruimte ("EER") naar landen buiten de EER. BCR's zijn gebaseerd op strenge privacyprincipes die door de EU-gegevensbeschermingsautoriteiten zijn vastgesteld en zij vereisen een intensief overleg met deze autoriteiten. Klanten kunnen de volledige lijst van goedgekeurde eenheden op de goedkeuringslijst bindende bedrijfsvoorschriften hier vinden.

Heeft Zendesk goedgekeurde BCR's ingesteld?

Ja, Zendesk heeft het EU-goedkeuringsproces afgerond met de Ierse toezichthouder voor gegevensbescherming (Data Protection Commissioner "DPC") (intercollegiaal getoetst door zowel het Information Commissioner’s Office in het VK en de Nederlandse gegevensbeschermingsautoriteit) voor zijn wereldwijde bindende bedrijfsvoorschriften (“BCR's”) als gegevensverwerker en beheerder.Deze belangrijke wettelijke goedkeuring bekrachtigt Zendesks uitvoering van de hoogst mogelijke normen voor bescherming van persoonsgegevens wereldwijd voor zowel persoonsgegevens van zijn klanten als zijn medewerkers.

Zendesk is een van de weinige softwarebedrijven ter wereld die goedkeuring voor zijn BCR's heeft gekregen en het is pas het tweede ooit die goedkeuring van de Ierse DPC heeft gekregen.

Voor toegang tot de BCR's van Zendesk, volg de betreffende link hieronder:

- Zendesks bindende bedrijfsvoorschriften als verwerker (die van toepassing zijn als Zendesk persoonsgegevens verwerkt namens zijn klanten); en

- Zendesks bindende bedrijfsvoorschriften als beheerder (die van toepassing zijn als Zendesk persoonsgegevens verwerkt waarvoor het een gegevensbeheerder is).

Werkt Zendesk haar BCR's bij?

Zendesk heeft haar bindende bedrijfsvoorschriften (BCR's) bijgewerkt om ze uit te lijnen met de AVG en de robuuste privacybescherming te verbeteren die wij aan onze klanten aanbieden.Zendesk heeft de Ierse gegevensbeschermingsautoriteit ingelicht over deze updates als onderdeel van onze jaarlijkse update.

Privacyschild

Wat is het privacyschild?

Het Amerikaanse Ministerie van Handel, de Europese Commissie en de Zwitserse overheid hebben de raamovereenkomsten tussen de EU en de VS en tussen Zwitserland en de VS (privacyschild) opgesteld, zodat bedrijven een mechanisme hebben om persoonsgegevens van de Europese Unie naar de VS over te dragen op een manier die een juist niveau van bescherming biedt in het kader van de Europese gegevensbeschermingswetgeving.

Is Zendesk gecertificeerd onder het privacyschild?

Zendesk heeft de naleving van de raamovereenkomsten EU-VS- en Zwitserland-VS-privacyschild gecertificeerd bij het Amerikaanse Ministerie van Handel en is toegevoegd aan de lijst van zelf-gecertificeerde deelnemers aan het privacyschild van het Ministerie van Handel. Onze certificering toont aan dat we de principes van privacybescherming voor de verzending van Europese en Zwitserse gegevens naar de Verenigde Staten naleven.

In hoeverre heeft de ongeldigheid van het privacyschild invloed op een overdracht van de servicegegevens van Zendesk van de EER naar de VS?

Op 16 juli 2020 bracht het gerechtshof van de Europese Unie (CJEU) een regel uit waardoor het EU-VS privacyschildprogramma ongeldig werd verklaard. Klanten van Zendesk kunnen de diensten van Zendesk blijven gebruiken en gegevens overdragen in overeenstemming met de Europese wetgeving, zoals de AVG, gezien wij beiden Bindende bedrijfsvoorschriften en modelclausules hebben (opgenomen in ons beleid inzake gegevensverwerking).

We begrijpen dat u mogelijk vragen hebt over de ongeldigheid van het Privacyschild en de mening van Zendesk daarover. Daarom hebben wij deze blogpost gepubliceerd om u te helpen met uw vragen.

Klik hier als u toegang wilt tot uw klantbeheerconsole en de DPA van Zendesk om deze door te nemen of te ondertekenen.

Transparantierapport Zendesk

Van kracht vanaf 22 februari 2021.

OVER ONS TRANSPARANTIERAPPORT

Zendesk ontvangt, net als de meeste technologiebedrijven, af en toe verzoeken van wetshandhavingsinstanties in de Verenigde Staten en elders, die persoonlijke informatie opvragen die door Zendesk namens een klant wordt verwerkt. Dergelijke verzoeken kunnen de vorm aannemen van een dagvaarding, een rechterlijk bevel, een huiszoekingsbevel, een National Security Letter en bevelen uitgevaardigd krachtens de Foreign Intelligence Surveillance Act. Zendesk moet voldoen aan geldige overheidsverzoeken om persoonlijke informatie.

Tegelijkertijd heeft Zendesk het vertrouwen van onze klanten hoog in het vaandel staan.Een manier om dat vertrouwen te winnen en behouden is door de klanten van Zendesk en het openbare publiek te informeren over geldige overheidsverzoeken.Om dit te doen, hebben wij een transparantierapport opgesteld.

Wanneer Zendesk een verzoek ontvangt om persoonlijke informatie waarvan een klant de verwerkingsverantwoordelijke is, vragen we waar mogelijk de wetshandhaving om de klant rechtstreeks het verzoek over te brengen. Als dat niet mogelijk is, beoordelen we het gegevensverzoek uitvoerig, stellen we alles in het werk om het verzoek te verfijnen, raadplegen we waar nodig een externe adviseur, sturen we klanten een kennisgeving als dit niet verboden is en produceren we alleen responsieve gegevens zoals vereist.

Dit transparantierapport bevat informatie over wetshandhavingsverzoeken om persoonlijke informatie die Zendesk heeft verwerkt vanaf 1 januari 2021 tot de datum van dit rapport.

RAPPORT

Verzoeken van de Amerikaanse wetshandhaving

Type verzoek	Aantal verzoeken	Contentgegevens bekendgemaakt	Niet-contentgegevens bekendgemaakt
Dagvaarding	1	0	1
Gerechtelijk bevel	1	0	1
Huiszoekingsbevel	0	n.v.t.	n.v.t.
Brieven van de National Security of FISA orders	0	n.v.t.	n.v.t.

Verzoeken van niet-Amerikaanse wetshandhaving

Hoewel Zendesk gevestigd is in de Verenigde Staten, zijn we als bedrijf ook aanwezig in verschillende andere landen. Wanneer wij verzoeken van niet-Amerikaanse overheden ontvangen, werken wij samen met Amerikaanse en niet-Amerikaanse adviseurs om de geldigheid van het verzoek vast te stellen en na te gaan of wij kunnen reageren volgens de Amerikaanse en andere toepasselijke wetten.

Type verzoek	Aantal verzoeken	Aantal keer dat gegevens zijn verstrekt
Informele verzoeken	5	0
Niet-Amerikaanse verzoeken, onderhevig aan MLAT	0	n.v.t.

Definities

Contentgegevens: Omvat de inhoud van de communicatie van Eindgebruikers met een Account, zoals de inhoud van Zendesk Support Tickets en Zendesk Chats.Contentgegevens worden over het algemeen als Servicegegevens beschouwd, zoals gedefinieerd in de Master Abonnementsovereenkomst van Zendesk.
Niet-contentgegevens: Alle gegevens die geen Contentgegevens zijn.Dit kan Accountinformatie betreffen, zoals gedefinieerd in het Privacybeleid van Zendesk (zoals Naam accounteigenaar en contactgegevens, Facturatiegegevens van het account, de Serviceduur, soorten gebruikte Services en aanmeldgegevens van het account). Als Zendesk bovendien een gerechtelijk bevel ontvangt, kunnen Niet-contentgegevens ook Niet-contentmetadata omvatten m.b.t. de communicatie van de Eindgebruikers met een Account, wat Servicegegevens betreft.
Dagvaarding: Een verplicht verzoek, uitgegeven door een overheidsentiteit, voor de productie van documenten in een criminele zaak (zoals dagvaardingen van het Hooggerechtshof).
Gerechtelijk bevel: Een bevel van een rechter na reden te hebben om te vermoeden dat de gezochte informatie relevant is en van wezenlijk belang voor een lopend crimineel onderzoek.
Huiszoekingsbevel: Een bevel van een rechter in een mogelijke rechtszaak van een wetshandhavingsinstantie.Een huiszoekingsbevel is vereist om Contentgegevens te verkrijgen.
MLAT: Staat voor “mutual legal assistance treaty” (bilateraal verdrag betreffende wederzijdse rechtshulp). Zendesk vereist dat niet-Amerikaanseoverheidsinstanties de juiste internationale gerechtelijke processen inzetten, zoals via een MLAT, om klantgegevens te verkrijgen.
Brieven van de National Security: Een brief van de National Security, uitgegeven onder 18 U.S.C. § 2709.
FISA Orders: Een bevel of verzoek, uitgegeven onder de Foreign Intelligence Surveillance Act, om gebruiksgegevens, uitgegeven in de VS.

Meer informatie

Voor meer informatie over de aanpak van Zendesk m.b.t. het reageren op wetshandhavingsverzoeken om persoonlijke informatie, leest u hier verder.

Aanvullende bronnen

Rapporten/certificaten van Zendesk:

Rapport SOC 2 Type II
SOC 3-rapport
ISO 27001:2013 -certificering
ISO 27018:2014 -certificering
Goedkeuringslijst bindende bedrijfsvoorschriften
Goedkeuringslijst privacyschild
TrustArc-privacyzegel

Bronnen van Zendesk:

Bronnen van derden:

Website privacyschild van het Amerikaanse Ministerie van Handel: https://www.privacyshield.gov/welcome.
Richtlijn 95/46/EG: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=LEGISSUM:l14012.
Algemene verordening gegevensbescherming (AVG): http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679.
The International Association of Privacy Professionals: https://iapp.org.
"Preparing for the GDPR" van het Information Commissioner’s Office’s van het Verenigd Koninkrijk: https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf.

Laatst bijgewerkt op 1 juni 2021.