Servicegegevens zijn alle informatie inclusief persoonsgegevens die door of namens onze klanten en hun eindgebruikers zijn opgeslagen met of verzonden via Zendesks services.

Uit het oogpunt van privacy is de klant de beheerder en Zendesk de verwerker van servicegegevens. Dit betekent dat gedurende de tijd dat een klant gebruik maakt van de diensten van Zendesk, de klant het eigendom van en het beheer over de servicegegevens in zijn account behoudt.

Het is Zendesk toegestaan gebruik te maken van subverwerkers, met inbegrip van partners van Zendesk en derden, om de Services te leveren, beveiligen of verbeteren en dergelijke subverwerkers hebben toegang tot Servicegegevens.Zendesk onderhoudt een bijgewerkte lijst met de namen en locaties van alle subverwerkers, welke beschikbaar is in ons Subverwerkersbeleid. De lijst biedt tevens de mogelijkheid voor onze klanten om zich aan te melden voor berichten over eventuele wijzigingen.Zendesk is op dezelfde wijze verantwoordelijk voor de daden en en weglatingen van subverwerkers als wanneer Zendesk de services van elke subverwerker rechtstreeks zou uitvoeren.

We gebruiken de servicegegevens voor het uitvoeren en verbeteren van onze services, klanten te helpen bij toegang en gebruik van de services, om vragen van klanten te beantwoorden en om communicatie met betrekking tot de services te verzenden.

Zendesk besteed veel aandacht aan gegevensveiligheid en combineert topklasse beveiligingsfuncties met volledige controles van onze toepassingen, systemen en netwerken, zodat de gegevens van klanten en het bedrijf altijd beschermd zijn.

Zo staan de servers van Zendesk in datacenters die voldoen aan Tier IV of III+, SSAE-16, PCI DSS, of ISO 27001. Daarnaast huren we veiligheidsexperts van derden in om op regelmatige basis gedetailleerde penetratietesten uit te voeren en ons ondersteuningsteam is 24/7 stand-by om op veiligheidswaarschuwingen en gebeurtenissen te reageren.

Voor meer informatie over beveiligingsincidentmanagement en procedures voor Enterprise services, gaat u naar Hoe wij uw servicegegevens beschermen (Enterprise services). Voor meer informatie over beveiligingsincidentmanagement en procedures voor Innovation services, gaat u naar Hoe wij uw servicegegevens beschermen (Innovation services).

Zendesk heeft datacenters in drie belangrijke regio's – de VS, Azië/Pacific en de Europese Unie.Servicegegevens kunnen in elke regio worden opgeslagen.Klanten kunnen de regio selecteren waarin de datacenters zijn gevestigd die bepaalde onderdelen van hun servicegegevens hosten door de Locatie datacenter add-on aan te schaffen.Zie het beleid voor regionale datahosting voor extra informatie.

Zendesk onderhoudt een openbaar beschikbaar Beleid voor gegevensverwijdering waarin de processen voor gegevensverwijdering van Zendesk worden beschreven bij beëindiging of verval van een overeenkomst van een Abonnee met Zendesk.

Zendesk realiseert zich dat privacy en gegevensveiligheid de allerhoogste prioriteit hebben bij klanten.

• Zendesk maakt geen servicegegevens openbaar behalve als dit nodig is voor het uitvoeren van zijn diensten aan zijn klanten en om te voldoen aan de wet zoals is aangegeven in ons privacybeleid dat u hier kunt vinden.

• Zendesk heeft een aantal internationaal erkende certificaten en accreditaties behaald die de naleving met garantiekaders van derden aantonen zoals beschreven op onze website over beveiliging.

• Als we in het openbaar moeten handelen om onze klanten te beschermen, doen we dat. Zendesk heeft zijn steun uitgesproken voor de Amerikaanse Liberty Act (vrijheidswet) die tot doel heeft het toezichtprogramma onder artikel 702 van de Foreign Intelligence Surveillance Act (wet op het toezicht op buitenlandse inlichtingendiensten) ("FISA") te hervormen.

In bepaalde situaties kunnen we verplicht zijn persoonsgegevens openbaar te maken door wettelijke verzoeken door overheidsinstanties, inclusief het voldoen aan eisen op het gebied van nationale veiligheid of rechtshandhaving.We kunnen persoonsgegevens openbaar maken in antwoord op dagvaardingen, beschikkingen of juridische procedures of ter vaststelling of uitoefening van onze wettelijke rechten of om ons te verdedigen tegen juridische claims.We kunnen deze informatie ook delen met de betreffende rechtshandhavings- of overheidsinstanties als we denken dat dit nodig is voor het onderzoeken, voorkomen of actie ondernemen met betrekking tot illegale activiteiten, vermoedelijke fraude, situaties met mogelijk gevaar voor de fysieke veiligheid van personen, schendingen van onze mantelovereenkomst voor een abonnement of als dit anderszins wettelijk is vereist.

De Algemene verordening gegevensbescherming ("AVG") is de Europese verordening over privacy die de voormalige Europese Databeschermingsrichtlijn ("Richtlijn 95/46/EG") heeft vervangen.De AVG gaat over het verwerken van persoonsgegevens en het vrije verkeer daarvan.De AVG richt zich op de beveiliging en bescherming van persoonsgegevens in de EU en harmonisatie van de wetgeving op het gebied van gegevensbescherming.In het algemeen stelt deze verordening een aantal principes en eisen vast die betrekking hebben op gegevensbescherming, waaraan moet worden voldaan bij het verwerken van persoonsgegevens.

De AVG heeft ook de European Data Protection Board (EDPB) opgericht die ervoor zorgt dat de wetgeving aangaande persoonsgegevens op systematische manier binnen de EU wordt toegepast en die de samenwerking tussen instanties die te maken hebben met het beschermen van persoonsgegevens faciliteert.

Klanten van Zendesk die persoonsgegevens verzamelen en opslaan, worden onder de AVG beschouwd als gegevensbeheerders. Gegevensbeheerders dragen de primaire verantwoordelijkheid om ervoor te zorgen dat de verwerking van hun persoonsgegevens voldoet aan de relevante EU-gegevensbeschermingswetgeving, waaronder de AVG, en het uniek vaststellen van welke persoonsgegevens volgens de Services worden verzonden aan en verwerkt door Zendesk.

Een van de belangrijkste aspecten van de AVG is dat deze consistentie tussen EU-lidstaten creëert over hoe persoonsgegevens veilig kunnen worden verwerkt, gebruikt en uitgewisseld.Organisaties moeten de veiligheid van de gegevens die zij verwerken en hun naleving van de AVG op permanente basis aantonen door robuuste technische en organisatorische maatregelen en het nalevingsbeleid uit te voeren en regelmatig te controleren.

Als Zendesk een gegevensverzoek ontvangt van een Eindgebruiker van een Abonnee (d.w.z. een gebruiker van de Services waaraan een Abonnee onze Services verleent) is Zendesk de Verwerker en zal Zendesk, voor zover de van toepassing zijnde wetgeving Zendesk dit niet verbiedt, de Eindgebruiker onmiddellijk informeren contact op te nemen met onze Abonnee (d.w.z. de Beheerder ) over een verzoek m.b.t. zijn/haar Persoonsgegevens, zoals toegang of verwijdering.Zendesk zal zonder voorafgaande toestemming van de Abonnee verder niet op een gegevensverzoek reageren.

Zendesk spoort klanten aan om voortdurend hun processen voor privacy en gegevensbeveiliging en bijbehorend beleid te controleren, zodat naleving van de AVG wordt gegarandeerd.Gegevensbeheerders dragen de primaire verantwoordelijkheid voor de verzekering dat de verwerking van hun persoonsgegevens voldoet aan de EU-gegevensbeschermingswetgeving.Hieronder staan een aantal belangrijke punten die voor naleving van de AVG moeten worden overwogen:

• Geografische toepassing: De AVG is van toepassing op organisaties die in de EU gevestigd zijn en, afhankelijk van hun activiteiten, ook op sommige organisaties die buiten de EU gevestigd zijn, maar die persoonsgegevens van EU-burgers verwerken.

• Rechten van eindgebruikers: Organisaties moeten zich bewust zijn van de eindgebruikers wiens persoonsgegevens ze wellicht verwerken. De AVG heeft verbeterde rechten opgesteld voor eindgebruikers en organisaties moeten aan deze rechten tegemoet komen.

• Meldingen van inbreuk op gegevens: Organisaties die persoonsgegevens beheren, moeten duidelijke processen ingesteld hebben voor de naleving van de AVG-eis om inbreuk op gegevens te melden in overeenstemming met de tijdskaders die in de AVG zijn vastgesteld. Zendesk zal de betrokken klanten onverwijld inlichten als we ons bewust worden van een inbreuk op gegevens bij onze diensten.

• Aanstelling van een functionaris voor gegevensbescherming (Data Protection Officer "DPO"): Klanten moeten wellicht DPOs aanstellen voor het afhandelen van problemen met betrekking tot de verwerking van persoonsgegevens.

• Overeenkomst voor gegevensverwerking ("DPA"): Als er persoonsgegevens buiten de EER worden verzonden, kan een klant een DPA met zijn subverwerkers nodig hebben om een adequaat niveau van beveiliging van de overgedragen gegevens te garanderen.

• Gegevensbeschermingseffectbeoordeling (Data Protection Impact Assessment "DPIA"): Een DPIA omschrijft gewoonlijk de gegevensprocessen en beschermende maatregelen van organisaties, met name degene die riskant kunnen zijn. Klanten moeten voor gegevensverwerkingsactiviteiten een DPIA uitvoeren en deze bij de autoriteiten indienen.

Klanten kunnen Zendesks door derden uitgevoerde ISO-certificering en SOC 2-controlerapporten gebruiken bij de uitvoering van hun risicobeoordelingen en bepalen of de juiste technische en organisatorische maatregelen zijn ingesteld. Zie voor extra informatie de Zendesk-beveiligingswebsite.

Hieronder staan voorbeelden van speciale Zendesk-producteigenschappen die klanten kunnen gebruiken als hulp bij hun AVG-nalevingsprogramma. Door middel van onze bijbehorende diensten voor de ingezette geavanceerde beveiliging kunnen klanten ervoor kiezen uitgebreide functies te krijgen, inclusief uitgebreid calamiteitenherstel en encryptie zowel als de mogelijkheid om te configureren voor de Health Insurance Portability and Accountability Act ("HIPAA") (wet betreffende de bescherming van gezondheidsinformatie).

De huidige beschikbare functies voor de Zendesk-producten kunnen in de vragen/antwoorden hieronder worden gevonden.

Controlenormen:

• ISO27001:2013 gecertificeerd

• ISO27018:2014 gecertificeerd

Scanning:

• Bug bounty-programma

• Dynamisch scannen van werkende toepassingen

• Statisch scannen van code repositories

Encryptie:

• Encryptie van gegevens die over openbare netwerken worden verzonden

• Encryptie van bepaalde opgeslagen gegevens met AES256

Ja, meer gedetailleerde informatie over hoe u de producten van Zendesk kunt gebruiken in naleving van de AVG kunt u hier verkrijgen via ons Help Center.

De Europese Commissie heeft een set standaard bepalingen, de modelcontractbepalingen ("modelbepalingen") genaamd, goedgekeurd die een gegevensbeheerder een mechanisme biedt om persoonsgegevens aan een gegevensverwerker buiten de Europese Economische Ruimte ("EER") over te dragen.De modelbepalingen zijn aan Zendesks DPA toegevoegd, zodat een adequate bescherming voor gegevensoverdracht buiten de EER of Zwitserland wordt geboden.

Regelmatig worden de gegevens door Zendesk gekopieerd voor archivering, back-up en controlebestanden. We gebruiken Amazon Web Services (AWS) voor de opslag van een deel van de informatie die wordt geback-upt, zoals database-informatie en bijbehorende bestanden. Zie ons beleid voor regionale datahosting voor meer informatie.

Klanten van Zendesk die de Locatie datacenter add-on bestellen, hebben de mogelijkheid de regio te kiezen (uit de beschikbare regionale opties van Zendesk) waar het datacenter zich bevindt dat hun servicegegevens host.Zie ons beleid voor regionale datahosting voor meer informatie.Anders kan Zendesk elk van de datacenters ter wereld gebruiken waarop de servicegegevens worden gehost.

Ongeacht de uitkomst van de huidige Brexit-onderhandelingen, blijft Zendesk toegewijd aan het succes van onze Abonnees en werknemers in het VK en de rest van Europa.Wij volgen de onderhandelingen tussen de overheid van het VK en de Europese Unie op de voet omtrent de details van deze relatie in de toekomst.Als de exacte details duidelijk zijn, zullen we de nodige maatregelen treffen om ervoor te zorgen dat onze Abonnees onze services kunnen blijven gebruiken in overeenstemming met de wetgeving van zowel de EU als het VK en voor Zendesk in het algemeen gaan de zaken door zoals normaal en blijven we gericht op het succes van onze Abonnees.

Zendesk biedt klanten een robuuste overeenkomst voor gegevensverwerking waarin de relatie tussen klant (optredend als gegevensbeheerder) en Zendesk (optredend als gegevensverwerker) is vastgelegd.De DPA helpt de klanten van Zendesk met de naleving van hun verplichtingen onder de EU-gegevensbeschermingswetgeving en deze is bijgewerkt om onze naleving van de AVG te bevestigen.De DPA bevat een kader voor gegevensoverdracht om te verzekeren dat onze klanten persoonsgegevens rechtmatig kunnen overdragen naar Zendesk buiten de Europese Unie door op een van drie mechanismen te vertrouwen: onze bindende bedrijfsvoorschriften, onze privacyschild-certificering of modelcontractbepalingen.

Ja, Zendesks DPA omvat bepalingen om Abonnees te helpen de AVG na te leven.

Zendesk raadt u aan advies in te winnen bij een juridisch adviseur om de mogelijke impact te beoordelen als u ervoor kiest de DPA niet te ondertekenen.

Nee. Zendesks DPA is specifiek van toepassing op Zendesks Services, privacypraktijken en vertegenwoordigingen jegens regelgevers.

Mocht u nog vragen hebben, neem dan contact op met uw Zendesk Account Executive of open een case bij de Zendesk klantenservice door contact op te nemen met support@zendesk.com.

Niet direct. Zendesk biedt in plaats daarvan een afzonderlijk addendum van haar Master Abonnementsovereenkomst ter ondersteuning van “zakelijke” compliance-nspanningen omtrent de CCPA, zoals gedefinieerd in de CCPA.Bekijk voor meer informatie het onderdeel CCPA van deze webpagina.

Klik hier als u het addendum van de CCPA van Zendesk voor de Master Abonnementsovereenkomst wilt bekijken en/of uitvoeren.

Voor informatie over onze privacypraktijken en de functionaliteit die wij bieden ter ondersteuning van de compliance van onze Abonnees, gaat u naar onze website Privacy en gegevensbescherming, ons Beleid voor gegevensverwijdering en onze Productgidsen.

De CCPA kent consumenten in Californië nieuwe rechten toe m.b.t. het verzamelen van persoonsgegevens en vereist dat bedrijven aan bepaalde verplichtingen voldoen m.b.t. die rechten, waaronder:

1. Een verplichting voor bedrijven om consumenten in te lichten over de gegevensverzamelingspraktijken, met inbegrip van de categorieën persoonsgegevens die het heeft verzameld, de bron van de informatie, het gebruik van de informatie door het bedrijf en aan wie het bedrijf de informatie heeft bekendgemaakt dat het over de consument heeft verzameld.
2. Het recht van de consument om een kopie van de specifieke persoonsgegevens te ontvangen in een bruikbaar formaat die gedurende twaalf (12) maanden voorafgaand aan het verzoek over hen is verzameld;
3. Het recht van de consument om dergelijke persoonsgegevens te laten verwijderen (met uitzonderingen);
4. Het recht van de consument om de gegevens verkooppraktijken van het bedrijf te kennen en om te verzoeken persoonsgegevens niet aan derden te laten verkopen;
5. Een verbod voor bedrijven voor discriminatie van de uitoefening van consumentenrechten; en
6. Een verplichting voor bedrijven om een consument in te lichten over hun rechten.

Zendesk volgt de CCPA en bereidt zich al voor op naleving daarvan sinds de CCPA van kracht ging in 2018. Onlangs heeft het California Office of the Attorney General aangegveven dat het de regelgeving voor de CCPA verder zou kunnen wijzigen.Voor dergelijke wijzigingen volgt Zendesk de wet op actieve wijze en blijven we onze klanten op de hoogte houden van functies die zij kunnen gebruiken ter ondersteuning van hun compliance-inspanningen.Klanten kunnen onze Productgidsen bekijken voor meer informatie over het gebruik van de producten van Zendesk om wetgeving omtrent gegevensprivacy na te leven en ons Beleid voor gegevensverwijdering voor informatie over het verwijderen van servicegegevens.

Klanten van Zendesk die persoonsgegevens verzamelen en opslaan in Services van Zendesk kunnen volgens de CCPA als "Bedrijven” worden beschouwd.Bedrijven dragen de primaire verantwoordelijkheid om ervoor te zorgen dat de verwerking van hun persoonsgegevens voldoet aan de relevante EU-gegevensbeschermingswetgeving, waaronder de AVG.Zendesk handelt als "Serviceprovider", wat wordt gedefinieerd in de huidige versie van de CCPA, met betrekking tot de verwerking van persoonsgegevens via onze Services.Derhalve verzamelt, opent, onderhoudt, gebruikt, verwerkt en draagt Zendesk de persoonsgegevens van onze klanten en de eindgebruikers van onze klanten over die zijn verwerkt via de Services louter en alleen met het oog op het vervullen van onze plichten volgens onze huidige contract(en) met onze abonnees en derhalve niet voor commerciële doeleinden anders dan het vervullen van dergelijke plichten en verbeteren van de Services die wij aanbieden.

Wij "verkopen” de persoonsgegevens van onze klanten niet, zoals momenteel gedefinieerd in de CCPA, wat betekent dat wij persoonsgegevens ook niet huren, bekendmaken, vrijgeven, overdragen, beschikbaar stellen of anderszins communiceren aan een derde voor monetaire of andere waardevolle overwegingen.Het is ons toegestaan samengestelde en/of anoniem gemaakte informatie te delen m.b.t. het gebruik van de Service(s) - wat niet als persoonsgegevens wordt beschouwd volgens de CCPA - met derden om ons te helpen de Services te ontwikkelen en verbeteren en onze klanten te voorzien van meer relevante content en service-aanbod, zoals uiteengezet in onze klantovereenkomsten.

Abonnees worden geadviseerd hun eigen juridisch adviseur te raadplegen om te evalueren in hoeverre de CCPA specifiek van toepassing is op hen en om te bepalen hoe de eigen naleving van de CCPA bereikt kan worden.

Bindende bedrijfsvoorschriften (Binding Corporate Rules "BCR") is een bedrijfsbreed beleid voor gegevensbescherming dat goedgekeurd is door de Europese gegevensbeschermingsautoriteiten voor de overdracht van persoonsgegevens binnen de bedrijvengroep vanuit de Europese Economische Ruimte ("EER") naar landen buiten de EER. BCR's zijn gebaseerd op strenge privacyprincipes die door de EU-gegevensbeschermingsautoriteiten zijn vastgesteld en zij vereisen een intensief overleg met deze autoriteiten. Klanten kunnen de volledige lijst van goedgekeurde eenheden op de goedkeuringslijst bindende bedrijfsvoorschriften hier vinden.

Ja, Zendesk heeft het EU-goedkeuringsproces afgerond met de Ierse toezichthouder voor gegevensbescherming (Data Protection Commissioner "DPC") (intercollegiaal getoetst door zowel het Information Commissioner’s Office in het VK en de Nederlandse gegevensbeschermingsautoriteit) voor zijn wereldwijde bindende bedrijfsvoorschriften (“BCR's”) als gegevensverwerker en beheerder.Deze belangrijke wettelijke goedkeuring bekrachtigt Zendesks uitvoering van de hoogst mogelijke normen voor bescherming van persoonsgegevens wereldwijd voor zowel persoonsgegevens van zijn klanten als zijn medewerkers.

Zendesk is een van de weinige softwarebedrijven ter wereld die goedkeuring voor zijn BCR's heeft gekregen en het is pas het tweede ooit die goedkeuring van de Ierse DPC heeft gekregen.

Voor toegang tot de BCR's van Zendesk, volg de betreffende link hieronder:

- Zendesks bindende bedrijfsvoorschriften als verwerker (die van toepassing zijn als Zendesk persoonsgegevens verwerkt namens zijn klanten); en

- Zendesks bindende bedrijfsvoorschriften als beheerder (die van toepassing zijn als Zendesk persoonsgegevens verwerkt waarvoor het een gegevensbeheerder is).

Zendesk heeft haar bindende bedrijfsvoorschriften (BCR's) bijgewerkt om ze uit te lijnen met de AVG en de robuuste privacybescherming te verbeteren die wij aan onze abonnees aanbieden.Zendesk heeft de Ierse gegevensbeschermingsautoriteit ingelicht over deze updates als onderdeel van onze jaarlijkse update.

Het Amerikaanse Ministerie van Handel, de Europese Commissie en de Zwitserse overheid hebben de raamovereenkomsten tussen de EU en de VS en tussen Zwitserland en de VS (privacyschild) opgesteld, zodat bedrijven een mechanisme hebben om persoonsgegevens van de Europese Unie naar de VS over te dragen op een manier die een juist niveau van bescherming biedt in het kader van de Europese gegevensbeschermingswetgeving.

Zendesk heeft de naleving van de raamovereenkomsten EU-VS- en Zwitserland-VS-privacyschild gecertificeerd bij het Amerikaanse Ministerie van Handel en is toegevoegd aan de lijst van zelf-gecertificeerde deelnemers aan het privacyschild van het Ministerie van Handel. Onze certificering toont aan dat we de principes van privacybescherming voor de verzending van Europese en Zwitserse gegevens naar de Verenigde Staten naleven.

Op 16 juli 2020 bracht het gerechtshof van de Europese Unie (CJEU) een regel uit waardoor het EU-VS privacyschildprogramma ongeldig werd verklaard. Het Amerikaanse Ministerie van Handel gaf aan dat het privacyschild echter wel gehandhaafd blijft.

Klanten van Zendesk kunnen de diensten van Zendesk blijven gebruiken en gegevens overdragen in overeenstemming met de Europese wetgeving, zoals de AVG, gezien wij beiden Bindende bedrijfsvoorschriften en modelclausules hebben (opgenomen in ons beleid inzake gegevensverwerking).Klik hier als u toegang wilt tot uw klantbeheerconsole en de DPA van Zendesk om deze door te nemen of te ondertekenen.

• Rapport SOC 2 Type II

• SOC 3-rapport

• ISO 27001:2013 -certificering

• ISO 27018:2014 -certificering

• Goedkeuringslijst bindende bedrijfsvoorschriften

• Goedkeuringslijst privacyschild

• TrustArc-privacyzegel

• Hoe beschermt Zendesk persoonsgegevens

• Zendesk houdt de hoogste standaarden aan wat betreft gegevensbescherming volgens de de Europese Binding Corporate Rules.

• Zendesk Privacybeleid

• Zendesks beleid aangaande de verwijdering van gegevens

• Zendesks pagina aangaande veiligheid

• Zendesks best practices aangaande veiligheid

• SOC 2-rapport

• SOC 3-rapport

• ISO 27001:2013 -certificering

• ISO 27018:2014 -certificering

• Master Subscription Agreement van Zendesk

• Website privacyschild van het Amerikaanse Ministerie van Handel: https://www.privacyshield.gov/welcome.

• Richtlijn 95/46/EG: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=LEGISSUM:l14012.

• Algemene verordening gegevensbescherming (AVG): http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679.

• The International Association of Privacy Professionals: https://iapp.org.

• "Preparing for the GDPR" van het Information Commissioner’s Office’s van het Verenigd Koninkrijk: https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf.