Servicegegevens zijn alle informatie inclusief persoonsgegevens die door of namens onze klanten en hun eindgebruikers zijn opgeslagen met of verzonden via Zendesks services.

Uit het oogpunt van privacy is de klant de beheerder en Zendesk de verwerker van servicegegevens. Dit betekent dat gedurende de tijd dat een klant gebruik maakt van de diensten van Zendesk, de klant het eigendom van en het beheer over de servicegegevens in zijn account behoudt.

Het is Zendesk toegestaan gebruik te maken van subverwerkers, met inbegrip van partners van Zendesk en derden, om de Services te leveren, beveiligen of verbeteren en dergelijke subverwerkers hebben toegang tot Servicegegevens.Zendesk onderhoudt een bijgewerkte lijst met de namen en locaties van alle subverwerkers, welke beschikbaar is in ons Subverwerkersbeleid. De lijst biedt tevens de mogelijkheid voor onze klanten om zich aan te melden voor berichten over eventuele wijzigingen.Zendesk is op dezelfde wijze verantwoordelijk voor de daden en en weglatingen van subverwerkers als wanneer Zendesk de services van elke subverwerker rechtstreeks zou uitvoeren.

We gebruiken de servicegegevens voor het uitvoeren en verbeteren van onze services, klanten te helpen bij toegang en gebruik van de services, om vragen van klanten te beantwoorden en om communicatie met betrekking tot de services te verzenden.

Zendesk besteed veel aandacht aan gegevensveiligheid en combineert topklasse beveiligingsfuncties met volledige controles van onze toepassingen, systemen en netwerken, zodat de gegevens van klanten en het bedrijf altijd beschermd zijn.

Zo staan de servers van Zendesk in datacenters die voldoen aan Tier IV of III+, SSAE-16, PCI DSS, of ISO 27001. Daarnaast huren we veiligheidsexperts van derden in om op regelmatige basis gedetailleerde penetratietesten uit te voeren en ons ondersteuningsteam is 24/7 stand-by om op veiligheidswaarschuwingen en gebeurtenissen te reageren.

Voor meer informatie over beveiligingsincidentmanagement en procedures voor Enterprise services, gaat u naar Hoe wij uw servicegegevens beschermen (Enterprise services). Voor meer informatie over beveiligingsincidentmanagement en procedures voor Innovation services, gaat u naar Hoe wij uw servicegegevens beschermen (Innovation services).

Zendesk heeft datacenters in drie belangrijke regio's – de VS, Azië/Pacific en de Europese Unie.Servicegegevens kunnen in elke regio worden opgeslagen.Klanten kunnen de regio selecteren waarin de datacenters zijn gevestigd die bepaalde onderdelen van hun servicegegevens hosten door de Locatie datacenter add-on aan te schaffen.Zie het beleid voor regionale datahosting voor extra informatie.

Zendesk maintains a publicly available Data Deletion Policy that describes Zendesk’s data deletion processes upon termination or expiration of a customer’s agreement with Zendesk.

Zendesk realiseert zich dat privacy en gegevensveiligheid de allerhoogste prioriteit hebben bij klanten.

• Zendesk maakt geen servicegegevens openbaar behalve als dit nodig is voor het uitvoeren van zijn diensten aan zijn klanten en om te voldoen aan de wet zoals is aangegeven in ons privacybeleid dat u hier kunt vinden.

• Zendesk heeft een aantal internationaal erkende certificaten en accreditaties behaald die de naleving met garantiekaders van derden aantonen zoals beschreven op onze website over beveiliging.

• Als we in het openbaar moeten handelen om onze klanten te beschermen, doen we dat. Zendesk heeft zijn steun uitgesproken voor de Amerikaanse Liberty Act (vrijheidswet) die tot doel heeft het toezichtprogramma onder artikel 702 van de Foreign Intelligence Surveillance Act (wet op het toezicht op buitenlandse inlichtingendiensten) ("FISA") te hervormen.

In bepaalde situaties kunnen we verplicht zijn persoonsgegevens openbaar te maken door wettelijke verzoeken door overheidsinstanties, inclusief het voldoen aan eisen op het gebied van nationale veiligheid of rechtshandhaving.We kunnen persoonsgegevens openbaar maken in antwoord op dagvaardingen, beschikkingen of juridische procedures of ter vaststelling of uitoefening van onze wettelijke rechten of om ons te verdedigen tegen juridische claims.We kunnen deze informatie ook delen met de betreffende rechtshandhavings- of overheidsinstanties als we denken dat dit nodig is voor het onderzoeken, voorkomen of actie ondernemen met betrekking tot illegale activiteiten, vermoedelijke fraude, situaties met mogelijk gevaar voor de fysieke veiligheid van personen, schendingen van onze mantelovereenkomst voor een abonnement of als dit anderszins wettelijk is vereist.

De Algemene verordening gegevensbescherming ("AVG") is de Europese verordening over privacy die de voormalige Europese Databeschermingsrichtlijn ("Richtlijn 95/46/EG") heeft vervangen.De AVG gaat over het verwerken van persoonsgegevens en het vrije verkeer daarvan.De AVG richt zich op de beveiliging en bescherming van persoonsgegevens in de EU en harmonisatie van de wetgeving op het gebied van gegevensbescherming.In het algemeen stelt deze verordening een aantal principes en eisen vast die betrekking hebben op gegevensbescherming, waaraan moet worden voldaan bij het verwerken van persoonsgegevens.

De AVG heeft ook de European Data Protection Board (EDPB) opgericht die ervoor zorgt dat de wetgeving aangaande persoonsgegevens op systematische manier binnen de EU wordt toegepast en die de samenwerking tussen instanties die te maken hebben met het beschermen van persoonsgegevens faciliteert.

Klanten van Zendesk die persoonsgegevens verzamelen en opslaan, worden onder de AVG beschouwd als gegevensbeheerders. Gegevensbeheerders dragen de primaire verantwoordelijkheid om ervoor te zorgen dat de verwerking van hun persoonsgegevens voldoet aan de relevante EU-gegevensbeschermingswetgeving, waaronder de AVG, en het uniek vaststellen van welke persoonsgegevens volgens de Services worden verzonden aan en verwerkt door Zendesk.

Een van de belangrijkste aspecten van de AVG is dat deze consistentie tussen EU-lidstaten creëert over hoe persoonsgegevens veilig kunnen worden verwerkt, gebruikt en uitgewisseld.Organisaties moeten de veiligheid van de gegevens die zij verwerken en hun naleving van de AVG op permanente basis aantonen door robuuste technische en organisatorische maatregelen en het nalevingsbeleid uit te voeren en regelmatig te controleren.

If Zendesk receives a data subject request from a customer’s End-User (i.e., a user of the Services to whom a customer has provided our Services), Zendesk is the Processor, and Zendesk will, to the extent that applicable legislation does not prohibit Zendesk from doing so, promptly inform the End-User to contact our customer (i.e. the Controller) directly about any request relating to his/her Personal Data such as access or deletion. Zendesk will not further respond to a data subject request without customer’s prior consent.

Zendesk spoort klanten aan om voortdurend hun processen voor privacy en gegevensbeveiliging en bijbehorend beleid te controleren, zodat naleving van de AVG wordt gegarandeerd.Gegevensbeheerders dragen de primaire verantwoordelijkheid voor de verzekering dat de verwerking van hun persoonsgegevens voldoet aan de EU-gegevensbeschermingswetgeving.Hieronder staan een aantal belangrijke punten die voor naleving van de AVG moeten worden overwogen:

• Geografische toepassing: De AVG is van toepassing op organisaties die in de EU gevestigd zijn en, afhankelijk van hun activiteiten, ook op sommige organisaties die buiten de EU gevestigd zijn, maar die persoonsgegevens van EU-burgers verwerken.

• Rechten van eindgebruikers: Organisaties moeten zich bewust zijn van de eindgebruikers wiens persoonsgegevens ze wellicht verwerken. De AVG heeft verbeterde rechten opgesteld voor eindgebruikers en organisaties moeten aan deze rechten tegemoet komen.

• Meldingen van inbreuk op gegevens: Organisaties die persoonsgegevens beheren, moeten duidelijke processen ingesteld hebben voor de naleving van de AVG-eis om inbreuk op gegevens te melden in overeenstemming met de tijdskaders die in de AVG zijn vastgesteld. Zendesk zal de betrokken klanten onverwijld inlichten als we ons bewust worden van een inbreuk op gegevens bij onze diensten.

• Aanstelling van een functionaris voor gegevensbescherming (Data Protection Officer "DPO"): Klanten moeten wellicht DPOs aanstellen voor het afhandelen van problemen met betrekking tot de verwerking van persoonsgegevens.

• Overeenkomst voor gegevensverwerking ("DPA"): Als er persoonsgegevens buiten de EER worden verzonden, kan een klant een DPA met zijn subverwerkers nodig hebben om een adequaat niveau van beveiliging van de overgedragen gegevens te garanderen.

• Data Protection Impact Assessment (“DPIA”): DPIAs usually describe an organization’s data processes and protective measures, particularly those that may be risky. For data processing activities, customers need to conduct and file with authorities a DPIA.

Klanten kunnen Zendesks door derden uitgevoerde ISO-certificering en SOC 2-controlerapporten gebruiken bij de uitvoering van hun risicobeoordelingen en bepalen of de juiste technische en organisatorische maatregelen zijn ingesteld. Zie voor extra informatie de Zendesk-beveiligingswebsite.

Hieronder staan voorbeelden van speciale Zendesk-producteigenschappen die klanten kunnen gebruiken als hulp bij hun AVG-nalevingsprogramma. Door middel van onze bijbehorende diensten voor de ingezette geavanceerde beveiliging kunnen klanten ervoor kiezen uitgebreide functies te krijgen, inclusief uitgebreid calamiteitenherstel en encryptie zowel als de mogelijkheid om te configureren voor de Health Insurance Portability and Accountability Act ("HIPAA") (wet betreffende de bescherming van gezondheidsinformatie).

De huidige beschikbare functies voor de Zendesk-producten kunnen in de vragen/antwoorden hieronder worden gevonden.

Controlenormen:

• ISO27001:2013 gecertificeerd

• ISO27018:2014 gecertificeerd

Scanning:

• Bug bounty-programma

• Dynamisch scannen van werkende toepassingen

• Statisch scannen van code repositories

Encryptie:

• Encryptie van gegevens die over openbare netwerken worden verzonden

• Encryptie van bepaalde opgeslagen gegevens met AES256

Ja, meer gedetailleerde informatie over hoe u de producten van Zendesk kunt gebruiken in naleving van de AVG kunt u hier verkrijgen via ons Help Center.

De Europese Commissie heeft een set standaard bepalingen, de modelcontractbepalingen ("modelbepalingen") genaamd, goedgekeurd die een gegevensbeheerder een mechanisme biedt om persoonsgegevens aan een gegevensverwerker buiten de Europese Economische Ruimte ("EER") over te dragen.De modelbepalingen zijn aan Zendesks DPA toegevoegd, zodat een adequate bescherming voor gegevensoverdracht buiten de EER of Zwitserland wordt geboden.

Regelmatig worden de gegevens door Zendesk gekopieerd voor archivering, back-up en controlebestanden. We gebruiken Amazon Web Services (AWS) voor de opslag van een deel van de informatie die wordt geback-upt, zoals database-informatie en bijbehorende bestanden. Zie ons beleid voor regionale datahosting voor meer informatie.

Klanten van Zendesk die de Locatie datacenter add-on bestellen, hebben de mogelijkheid de regio te kiezen (uit de beschikbare regionale opties van Zendesk) waar het datacenter zich bevindt dat hun servicegegevens host.Zie ons beleid voor regionale datahosting voor meer informatie.Anders kan Zendesk elk van de datacenters ter wereld gebruiken waarop de servicegegevens worden gehost.

Irrespective of the outcome of the ongoing Brexit negotiations, Zendesk remains committed to the success of our customers and employees in the UK and the rest of Europe. We are closely monitoring the negotiations between the UK government and the European Union regarding the details of their future relationship. As the details become clear, we will take appropriate measures to ensure that our customers can continue to use our services in compliance with both EU and UK laws, and for Zendesk overall, business will continue as usual and will remain focused on our customers’ success.

Zendesk biedt klanten een robuuste overeenkomst voor gegevensverwerking waarin de relatie tussen klant (optredend als gegevensbeheerder) en Zendesk (optredend als gegevensverwerker) is vastgelegd.De DPA helpt de klanten van Zendesk met de naleving van hun verplichtingen onder de EU-gegevensbeschermingswetgeving en deze is bijgewerkt om onze naleving van de AVG te bevestigen.De DPA bevat een kader voor gegevensoverdracht om te verzekeren dat onze klanten persoonsgegevens rechtmatig kunnen overdragen naar Zendesk buiten de Europese Unie door op een van drie mechanismen te vertrouwen: onze bindende bedrijfsvoorschriften, onze privacyschild-certificering of modelcontractbepalingen.

Yes, Zendesk’s DPA includes provisions to assist customers with their GDPR compliance.

Zendesk raadt u aan advies in te winnen bij een juridisch adviseur om de mogelijke impact te beoordelen als u ervoor kiest de DPA niet te ondertekenen.

Nee. Zendesks DPA is specifiek van toepassing op Zendesks Services, privacypraktijken en vertegenwoordigingen jegens regelgevers.

Mocht u nog vragen hebben, neem dan contact op met uw Zendesk Account Executive of open een case bij de Zendesk klantenservice door contact op te nemen met support@zendesk.com.

Niet direct. Zendesk biedt in plaats daarvan een afzonderlijk addendum van haar Master Abonnementsovereenkomst ter ondersteuning van “zakelijke” compliance-nspanningen omtrent de CCPA, zoals gedefinieerd in de CCPA.Bekijk voor meer informatie het onderdeel CCPA van deze webpagina.

Klik hier als u het addendum van de CCPA van Zendesk voor de Master Abonnementsovereenkomst wilt bekijken en/of uitvoeren.

For information on our privacy practices and the functionality we provide to support our customers’ compliance, please visit our Privacy and Data Protection Website, Data Deletion Policy, and Product Guides.

De CCPA kent consumenten in Californië nieuwe rechten toe m.b.t. het verzamelen van persoonsgegevens en vereist dat bedrijven aan bepaalde verplichtingen voldoen m.b.t. die rechten, waaronder:

1. Een verplichting voor bedrijven om consumenten in te lichten over de gegevensverzamelingspraktijken, met inbegrip van de categorieën persoonsgegevens die het heeft verzameld, de bron van de informatie, het gebruik van de informatie door het bedrijf en aan wie het bedrijf de informatie heeft bekendgemaakt dat het over de consument heeft verzameld.
2. Het recht van de consument om een kopie van de specifieke persoonsgegevens te ontvangen in een bruikbaar formaat die gedurende twaalf (12) maanden voorafgaand aan het verzoek over hen is verzameld;
3. Het recht van de consument om dergelijke persoonsgegevens te laten verwijderen (met uitzonderingen);
4. Het recht van de consument om de gegevens verkooppraktijken van het bedrijf te kennen en om te verzoeken persoonsgegevens niet aan derden te laten verkopen;
5. Een verbod voor bedrijven voor discriminatie van de uitoefening van consumentenrechten; en
6. Een verplichting voor bedrijven om een consument in te lichten over hun rechten.

Zendesk volgt de CCPA en bereidt zich al voor op naleving daarvan sinds de CCPA van kracht ging in 2018. Onlangs heeft het California Office of the Attorney General aangegveven dat het de regelgeving voor de CCPA verder zou kunnen wijzigen.Voor dergelijke wijzigingen volgt Zendesk de wet op actieve wijze en blijven we onze klanten op de hoogte houden van functies die zij kunnen gebruiken ter ondersteuning van hun compliance-inspanningen.Klanten kunnen onze Productgidsen bekijken voor meer informatie over het gebruik van de producten van Zendesk om wetgeving omtrent gegevensprivacy na te leven en ons Beleid voor gegevensverwijdering voor informatie over het verwijderen van servicegegevens.

Zendesk customers that collect and store personal information in Zendesk Services may be considered “Businesses” under the CCPA. Businesses bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant data protection law, including the CCPA. Zendesk acts as a “Service Provider,” as such term is defined in the current version of the CCPA, with respect to the processing of personal information through our Services. Therefore, Zendesk collects, accesses, maintains, uses, processes and transfers the personal information of our customers and our customer’s end-users processed through the Services solely for the purpose of performing our obligations under our existing contract(s) with our customers; and, for no commercial purpose other than the performance of such obligations and improvement of the Services we provide.

Wij "verkopen” de persoonsgegevens van onze klanten niet, zoals momenteel gedefinieerd in de CCPA, wat betekent dat wij persoonsgegevens ook niet huren, bekendmaken, vrijgeven, overdragen, beschikbaar stellen of anderszins communiceren aan een derde voor monetaire of andere waardevolle overwegingen.Het is ons toegestaan samengestelde en/of anoniem gemaakte informatie te delen m.b.t. het gebruik van de Service(s) - wat niet als persoonsgegevens wordt beschouwd volgens de CCPA - met derden om ons te helpen de Services te ontwikkelen en verbeteren en onze klanten te voorzien van meer relevante content en service-aanbod, zoals uiteengezet in onze klantovereenkomsten.

Abonnees worden geadviseerd hun eigen juridisch adviseur te raadplegen om te evalueren in hoeverre de CCPA specifiek van toepassing is op hen en om te bepalen hoe de eigen naleving van de CCPA bereikt kan worden.

If you would like to review and/or execute Zendesk’s LGPD Addendum to the Master Subscription Agreement, please click here.

In addition, Zendesk’s Master Subscription Agreement (MSA), other privacy and product documentation, as well as our internal practices are designed for global use and we update them as necessary to continue to deliver our Services to customers in Latin America and the Caribbean in accordance with legal requirements. We direct your attention to Exhibit A of our MSA (“Supplemental Terms: Region-Specific Terms”), the section entitled, “Brazil.” Zendesk’s MSA can be found at: https://www.zendesk.com/company/customers-partners/master-subscription-agreement/.

For information on our privacy practices and the functionality we provide to support our customers’ compliance, please visit our Privacy and Data Protection Website, Data Deletion Policy, and Product Guides.

The LGPD is the primary law in Brazil addressing the protection of personal data, aiming to protect “the fundamental rights of freedom and privacy and the free development of the personality of the natural person.” As such, controllers and processors (as defined under the LGPD) are required to adhere to certain principles when processing personal data, including but not limited to purpose, necessity, transparency, and security.

Zendesk has been following the LGPD and preparing for compliance since the LGPD was first passed in 2018. Additionally, the National Authority for Protection Data (ANPD) may issue additional guidance for the LGPD. In light of such guidance, Zendesk is actively tracking the law and we will continue to keep our customers updated on features and functionality they can use to support their compliance efforts. Customers can also view our Product Guides for more detailed information on how to use Zendesk’s Services to comply with data privacy laws, as well as our Data Deletion Policy for details on Service Data deletion.

Zendesk customers that collect and store personal data in Zendesk Services may be considered “controllers” under the LGPD. Controllers bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant data protection law, including the LGPD. Zendesk acts as a “processor,” as such term is defined in the current version of the LGPD, with respect to the processing of personal data through our Services. Therefore, Zendesk processes the personal data of our customers and our customer’s end-users at the instruction of our customers.

Customers are advised to consult their own legal counsel to evaluate how the LGPD specifically applies to them and determine how best to achieve their own compliance with LGPD.

Bindende bedrijfsvoorschriften (Binding Corporate Rules "BCR") is een bedrijfsbreed beleid voor gegevensbescherming dat goedgekeurd is door de Europese gegevensbeschermingsautoriteiten voor de overdracht van persoonsgegevens binnen de bedrijvengroep vanuit de Europese Economische Ruimte ("EER") naar landen buiten de EER. BCR's zijn gebaseerd op strenge privacyprincipes die door de EU-gegevensbeschermingsautoriteiten zijn vastgesteld en zij vereisen een intensief overleg met deze autoriteiten. Klanten kunnen de volledige lijst van goedgekeurde eenheden op de goedkeuringslijst bindende bedrijfsvoorschriften hier vinden.

Ja, Zendesk heeft het EU-goedkeuringsproces afgerond met de Ierse toezichthouder voor gegevensbescherming (Data Protection Commissioner "DPC") (intercollegiaal getoetst door zowel het Information Commissioner’s Office in het VK en de Nederlandse gegevensbeschermingsautoriteit) voor zijn wereldwijde bindende bedrijfsvoorschriften (“BCR's”) als gegevensverwerker en beheerder.Deze belangrijke wettelijke goedkeuring bekrachtigt Zendesks uitvoering van de hoogst mogelijke normen voor bescherming van persoonsgegevens wereldwijd voor zowel persoonsgegevens van zijn klanten als zijn medewerkers.

Zendesk is een van de weinige softwarebedrijven ter wereld die goedkeuring voor zijn BCR's heeft gekregen en het is pas het tweede ooit die goedkeuring van de Ierse DPC heeft gekregen.

Voor toegang tot de BCR's van Zendesk, volg de betreffende link hieronder:

- Zendesks bindende bedrijfsvoorschriften als verwerker (die van toepassing zijn als Zendesk persoonsgegevens verwerkt namens zijn klanten); en

- Zendesks bindende bedrijfsvoorschriften als beheerder (die van toepassing zijn als Zendesk persoonsgegevens verwerkt waarvoor het een gegevensbeheerder is).

Zendesk has updated its Binding Corporate Rules to align them with the GDPR and to further enhance the robust privacy protections we offer to our customers. Zendesk notified the Irish data protection authority of these updates as part of our annual update.

Het Amerikaanse Ministerie van Handel, de Europese Commissie en de Zwitserse overheid hebben de raamovereenkomsten tussen de EU en de VS en tussen Zwitserland en de VS (privacyschild) opgesteld, zodat bedrijven een mechanisme hebben om persoonsgegevens van de Europese Unie naar de VS over te dragen op een manier die een juist niveau van bescherming biedt in het kader van de Europese gegevensbeschermingswetgeving.

Zendesk heeft de naleving van de raamovereenkomsten EU-VS- en Zwitserland-VS-privacyschild gecertificeerd bij het Amerikaanse Ministerie van Handel en is toegevoegd aan de lijst van zelf-gecertificeerde deelnemers aan het privacyschild van het Ministerie van Handel. Onze certificering toont aan dat we de principes van privacybescherming voor de verzending van Europese en Zwitserse gegevens naar de Verenigde Staten naleven.

On July 16, 2020, the Court of Justice of the European Union (CJEU) issued a ruling invalidating the EU-U.S. Privacy Shield program. Zendesk customers can continue to use Zendesk services and transfer data in compliance with European law such as the GDPR, as we have both Binding Corporate Rules and Model Clauses (incorporated into our Data Processing Agreement) in place.

We understand that you may have questions around the invalidation of the Privacy Shield and Zendesk’s position in relation to the same, so we have published this blog post to assist you with your queries.

If you would like to access the Zendesk DPA for review or signature, you can access it in your Customer Admin Console or click here.

• Rapport SOC 2 Type II

• SOC 3-rapport

• ISO 27001:2013 -certificering

• ISO 27018:2014 -certificering

• Goedkeuringslijst bindende bedrijfsvoorschriften

• Goedkeuringslijst privacyschild

• TrustArc-privacyzegel

• Hoe beschermt Zendesk persoonsgegevens

• Zendesk houdt de hoogste standaarden aan wat betreft gegevensbescherming volgens de de Europese Binding Corporate Rules.

• Zendesk Privacybeleid

• Zendesks beleid aangaande de verwijdering van gegevens

• Zendesks pagina aangaande veiligheid

• Zendesks best practices aangaande veiligheid

• SOC 2-rapport

• SOC 3-rapport

• ISO 27001:2013 -certificering

• ISO 27018:2014 -certificering

• Master Subscription Agreement van Zendesk

• Website privacyschild van het Amerikaanse Ministerie van Handel: https://www.privacyshield.gov/welcome.

• Richtlijn 95/46/EG: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=LEGISSUM:l14012.

• Algemene verordening gegevensbescherming (AVG): http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679.

• The International Association of Privacy Professionals: https://iapp.org.

• "Preparing for the GDPR" van het Information Commissioner’s Office’s van het Verenigd Koninkrijk: https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf.