Dit artikel is ook beschikbaar in:
Dit artikel is vertaald met behulp van machinevertaling. Hierin zijn mogelijk foutieve of vreemde vertalingen aanwezig. Vooralsnog denken we dat het waardevol is om dit hulpartikel in jouw moedertaal te kunnen lezen. Laat ons onderaan het artikel weten of het artikel nuttig was en of je nog andere feedback voor ons hebt.

In dit artikel leggen we uit hoe de ongeldigverklaring van het Privacy Shield invloed had op de manier waarop we onze gegevens van klanten en deelnemers opslaan.

Laatst bijgewerkt: 11 augustus 2020

Op 16 juli 2020 heeft het Hof van Justitie van de Europese Unie het EU-VS Privacy Shield ongeldig verklaard. Dit betekent dat het Privacy Shield niet langer een geldig wettelijk kader is voor het overbrengen van persoonsgegevens van de Europese Economische Ruimte naar de Verenigde Staten. Wij, en duizenden andere bedrijven, vertrouwden op dit kader voor essentiële delen van ons systeem. Omdat deze beslissing onverwacht kwam, is er veel onzekerheid over onze mogelijkheden wat betreft het gebruik van in de VS gevestigde diensten

Privacy en veiligheid zijn erg belangrijk voor ons. We slaan alle gegevens op binnen de Europese Unie, maar we hebben sub-verwerkers in de Verenigde Staten die essentieel zijn voor de werking van ons LMS. We volgen de ontwikkelingen rond het ongeldig verklaren van het Privacy Shield en onderzoeken momenteel onze mogelijkheden met onze niet in de EU gevestigde sub-verwerkers.

We zijn van plan volledig GDPR-compliant te zijn, dus we zullen er alles aan doen om ervoor te zorgen dat al onze gegevens rechtmatig en veilig verwerkt worden, en de privacy van onze klanten en hun klanten beschermen. We hebben voorlopig besloten om met al onze Amerikaanse sub-verwerkers Data Processing Agreements (DPA's) te ondertekenen, die standaard contractuele clausules (SCC's) bevatten, en zo een bescherming van alle persoonsgegevens te garanderen op een niveau dat vergelijkbaar is met dat van de GDPR. Als er updates zijn, worden ze op deze pagina geplaatst.

Omdat we transparant willen zijn over hoe we met deze situatie omgaan, hebben we een lijst gemaakt van al onze niet-EU sub-verwerkers, welke persoonsgegevens ze verwerken, en onze reactie op het ongeldig verklaren van het Privacy Shield. Omdat we zowel de gegevens van onze directe cliënten als van de deelnemers van onze cliënten verwerken, zullen we deze verschillende groepen persoonsgegevens respectievelijk "cliëntenpersoonsgegevens" en "deelnemerspersoonsgegevens" noemen.

Deelnemerspersoonsgegevens

Deze systemen verwerken deelnemers-persoonsgegevens:

AWS

Onze applicatie wordt gehost op Amazon AWS servers in Frankfurt, Duitsland. Alle gegevens worden op een andere AWS server op dezelfde plaats opgeslagen, volledig versleuteld. Tot nu toe vertrouwden we op het Privacy Shield voor elke gegevensoverdracht naar de VS. Hoewel alle gegevens versleuteld zijn en veilig zouden moeten zijn, kijken we momenteel of we SCC's kunnen ondertekenen die alle gegevens volledig zouden moeten beveiligen. Je kunt meer lezen over AWS en privacy hier.

Mandrill

We gebruiken Mandrill voor al onze emails die uit ons LMS systeem gegenereerd worden. Mandrill bewaart en verwerkt alle informatie in de Verenigde Staten. Ze hebben SCC's opgenomen in hun servicevoorwaarden en ze verklaren op hun website dat ze dezelfde gegevensbeschermingsmaatregelen blijven volgen, waardoor ze in wezen dezelfde gegevensbescherming bieden als vóór het ongeldig worden van het Privacy Shield.

De volgende emails worden via Mandrill naar de deelnemers gestuurd:
Uitnodigingsmails
Uitslagmails
E-mails over certificaten
E-mails voor het opnieuw instellen van wachtwoorden
En naar de admins:
Resultaatmeldingsmails
E-mails met kennisgeving van uitvoer
E-mails met uitnodigingen voor beheerders
Admin wachtwoord reset e-mails
Factuur-emails
De meeste van deze emails bevatten persoonlijke informatie van de deelnemer, namelijk zijn naam en emailadres.

Je kunt ervoor zorgen dat er geen e-mails via Mandrill naar deelnemers worden gestuurd door je eigen mailserver te gebruiken. Hoe je dit kunt doen vind je hier.

Dit heeft geen invloed op de emails die naar admins gestuurd worden. We werken eraan dat te veranderen, maar intussen kun je meldingen uitschakelen als een deelnemer klaar is. In combinatie met je eigen mailserver worden geen persoonlijke gegevens van deelnemers naar Mandrill gestuurd. Dit verhindert niet dat persoonlijke gegevens van cliënten naar Mailchimp worden gestuurd.

Persoonlijke gegevens van cliënten

De volgende systemen verwerken alleen persoonlijke gegevens van cliënten

Demo hulpmiddelen

We gebruiken verschillende hulpmiddelen voor onze demo's en feature requests, waaronder:
Calendly
GoToMeeting
Pipedrive
Productboard
Zapier
We hebben met al deze bedrijven DPA's bekeken en ondertekend, zodat we veiligheid en beveiliging garanderen wanneer ze namen, e-mailadressen, telefoonnummers en bedrijfsgegevens verwerken.

Atlassian producten

We gebruiken verschillende producten van Atlassian, meestal voor het bijhouden van interne processen. Sommige van deze gegevens bevatten e-mail van klanten, dus hebben we hun DPA getekend om er zeker van te zijn dat deze gegevens veilig bewaard en verwerkt worden.

Google Drive

We gebruiken Google Drive voor interne opslag van documenten. We onderzoeken meerdere oplossingen om de veiligheid van persoonsgegevens in de toekomst te garanderen, waaronder het opslaan van gegevens in de EU, het anonimiseren van gegevens in de schijf, en het vinden van een alternatief.

Slack

We gebruiken Slack als ons intern communicatiemiddel, waar we soms verzoeken van cliënten bespreken. We hebben hun DPA ondertekend.

Intercom

Voorheen gebruikten we Intercom voor ons helpcentrum en chat, maar we stapten over op Crisp, dat in de Europese Unie gevestigd is. Ze zijn volledig GDPR-compliant, dus geen problemen daar!
Was dit artikel behulpzaam ?
annuleren
Dank je wel !