Dit artikel is ook beschikbaar in:
In dit artikel leggen we uit hoe de ongeldigheid van het Privacy Schild van invloed is geweest op de manier waarop we de gegevens van onze klanten en deelnemers opslaan.

Laatst bijgewerkt: 11 augustus 2020_

Op 16 juli 2020 heeft het Hof van Justitie van de Europese Unie het EU-VS Privacy Schild ongeldig verklaard. Dit betekent dat het privacyschild niet langer een geldig wettelijk kader is voor de overdracht van persoonsgegevens van de Europese Economische Ruimte naar de Verenigde Staten. Wij, en duizenden andere bedrijven, vertrouwden op dit kader voor essentiële onderdelen van ons systeem. Omdat deze beslissing onverwacht was, is er veel onzekerheid over onze mogelijkheden met betrekking tot het gebruik van diensten in de VS.

Privacy en veiligheid zijn erg belangrijk voor ons. We slaan alle gegevens op binnen de Europese Unie, maar we hebben sub-processoren in de Verenigde Staten die essentieel zijn voor het functioneren van onze LMS. We volgen de ontwikkelingen rond de ongeldigverklaring van het privacyschild en onderzoeken momenteel onze mogelijkheden met onze niet in de EU gevestigde sub-processoren.

We zijn van plan om volledig GDPR compliant te zijn, dus we zullen er alles aan doen om ervoor te zorgen dat al onze gegevens rechtmatig en veilig worden verwerkt, waarbij de privacy van onze klanten en hun klanten wordt gewaarborgd. Wij hebben voor nu besloten om Data Processing Agreements (DPA's) te ondertekenen, die standaard contractuele clausules (SCC's) bevatten, met al onze Amerikaanse sub-processors, om zo een bescherming van alle persoonlijke gegevens te garanderen op een niveau dat vergelijkbaar is met dat van de GDPR. Wanneer er updates zijn, zullen deze op deze pagina worden geplaatst.

Omdat we transparant willen zijn over hoe we met deze situatie omgaan, hebben we een lijst gemaakt van al onze niet-EU-subverwerkers, welke persoonlijke gegevens zij verwerken en onze reactie op de ongeldigverklaring van het privacyschild. Omdat we de gegevens van zowel onze directe klanten als de deelnemers van onze klanten verwerken, zullen we deze verschillende groepen persoonlijke gegevens respectievelijk 'klantgegevens' en 'deelnemergegevens' noemen.

Persoonlijke gegevens van de deelnemers

Deze systemen verwerken de persoonlijke gegevens van de deelnemers:

AWS

Onze applicatie wordt gehost op Amazon AWS-servers in Frankfurt, Duitsland. Alle gegevens worden op een andere AWS-server op dezelfde locatie opgeslagen, volledig versleuteld. Tot nu toe vertrouwden we op het Privacy Shield voor alle gegevensoverdracht naar de VS. Hoewel alle data versleuteld is en veilig zou moeten zijn, onderzoeken we momenteel of we SCC's kunnen ondertekenen die alle data volledig zouden moeten beveiligen. Je kunt meer lezen over AWS en privacy hier.

Mandrill

We gebruiken Mandrill voor al onze e-mails die vanuit ons LMS-systeem worden gegenereerd. Mandrill bewaart en verwerkt alle informatie in de Verenigde Staten. Ze hebben SCC's opgenomen in hun Terms of Service en ze verklaren op hun website dat ze dezelfde maatregelen voor de bescherming van gegevens zullen blijven volgen, waardoor ze in wezen dezelfde bescherming van gegevens krijgen als voor de ongeldigverklaring van het Privacy Schild.

De volgende e-mails worden via Mandrill naar de deelnemers gestuurd:
Uitnodigingsmails
Resultaat e-mails
Certificaat e-mails
Wachtwoord reset e-mails
En aan de admins:
Resultaatmelding e-mails
Meldingsmails exporteren
Admin uitnodigingsmails
Admin wachtwoord reset e-mails
Factuur e-mails
De meeste van deze e-mails bevatten persoonlijke gegevens van de deelnemer, namelijk zijn of haar naam en e-mailadres.

Je kunt ervoor zorgen dat er geen e-mails worden verstuurd naar deelnemers via Mandrill door gebruik te maken van je eigen mailserver. Hoe je dit kunt doen is te vinden hier.

Dit heeft geen invloed op de e-mails die naar de admins worden gestuurd. We zijn bezig om dat te veranderen, maar in de tussentijd kun je meldingen uitschakelen als een deelnemer klaar is. In combinatie met je eigen mailserver worden er geen persoonlijke gegevens van deelnemers naar Mandrill gestuurd. Dit verhindert niet dat er persoonlijke gegevens van de klant naar Mailchimp worden gestuurd.

Persoonlijke gegevens van de klant

De volgende systemen verwerken alleen persoonlijke gegevens van klanten

Demotools

We gebruiken verschillende tools voor onze demo's en feature requests, waaronder:
Kalender
GoToMeeting
Pipedrive
Productbord
Zapier
Wij hebben met al deze bedrijven DPA's beoordeeld en ondertekend, zodat de veiligheid en beveiliging bij de verwerking van namen, e-mailadressen, telefoonnummers en bedrijfsgegevens gewaarborgd is.

Atlassiaanse producten

We gebruiken verschillende producten van Atlassian, meestal voor interne procesbewaking. Een deel van deze gegevens bestaat uit e-mails van klanten, dus we hebben hun DPA ondertekend om ervoor te zorgen dat deze gegevens veilig worden opgeslagen en verwerkt.

Google Drive

We gebruiken Google Drive voor de interne opslag van documenten. We onderzoeken meerdere oplossingen om de toekomstige veiligheid van persoonlijke gegevens te garanderen, waaronder het opslaan van gegevens in de EU, het anonimiseren van gegevens op de schijf en het vinden van een alternatief.

Slappe

We gebruiken Slack als intern communicatiemiddel, waarbij we soms de verzoeken van klanten bespreken. Wij hebben hun DPA ondertekend.

Intercom

Voorheen gebruikten we de intercom voor ons hulpcentrum en onze chat, maar we zijn overgestapt op Crisp, dat gevestigd is binnen de Europese Unie. Ze zijn volledig GDPR-conform, dus geen problemen daar!
Was dit artikel behulpzaam ?
annuleren
Dank je wel !