AJAX GDPR FAQ
Basis
Wat is GDPR?
De Algemene Verordening Gegevensbescherming (ook bekend als Verordening 2016/679 of "GDPR") is een verordening in de EU-wetgeving over gegevensbescherming en privacy in de EU en de Europese Economische Ruimte (EER). Hoewel het is opgesteld en aangenomen door de Europese Unie (EU), legt het verplichtingen voor gegevensbescherming op aan organisaties waar dan ook, zolang ze zich richten op of gegevens verzamelen over personen in de EU.
Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle informatie die betrekking hebben op een persoon die hierdoor direct of indirect kan worden geïdentificeerd. Verschillende stukjes informatie die samen worden gebracht, kunnen leiden tot de identificatie van een bepaalde persoon, zijn ook persoonsgegevens.
Persoonsgegevens die geanonimiseerd, versleuteld of gepseudonimiseerd zijn, maar gebruikt kunnen worden om een persoon opnieuw te identificeren, blijven persoonsgegevens en vallen binnen het toepassingsgebied van de wet.
Er zijn enkele voorbeelden van persoonsgegevens:
- een naam en achternaam;
- een adres;
- een e-mailadres;
- een ID-kaartnummer;
- locatiegegevens;
- een IP-adres;
- cookie-identificaties;
- de advertentie-identificatie van een telefoon.
Wat betekent het om gegevens te verwerken?
De definitie van gegevensverwerking omvat een breed scala aan activiteiten die worden uitgevoerd met persoonsgegevens, zowel handmatig als geautomatiseerd. Het omvat het verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, gebruiken, openbaar maken door middel van doorzending, verspreiden of anderszins beschikbaar maken, samenbrengen of combineren, beperken, wissen of vernietigen van persoonsgegevens. Als u iets met gegevens doet op de manier die hierboven is vermeld - bent u gegevens aan het verwerken.
Wat is het verschil tussen een gegevensverwerker en een verwerkingsverantwoordelijke?
Een verwerkingsverantwoordelijke is een organisatie, instelling, of individu die de normen en regels voor de verwerking van persoonsgegevens vaststelt. In de praktijk betekent dit dat een verwerkingsverantwoordelijke verantwoordelijk is voor het bepalen hoe en waarom gegevens door een organisatie worden gebruikt. Meestal is een verwerkingsverantwoordelijke een persoon of organisatie die gegevens verzamelt en vervolgens bepaalt hoe deze worden gebruikt.
Dit in tegenstelling tot een gegevensverwerker. Volgens GDPR is een gegevensverwerker een organisatie, instelling, of individu die de normen voor gegevensverwerking implementeert die zijn vastgesteld door de verwerkingsverantwoordelijke. Een gegevensverwerker is meestal een partij die gegevens verwerkt op aanwijzing en naar discrete van een verwerkingsverantwoordelijke. Een gegevensverwerker is geen eigenaar van de gegevens die hij/zij verwerkt en heeft er geen controle over. Dit betekent dat een gegevensverwerker de betekenis van de gegevens niet kan veranderen, niet kan bepalen hoe de gegevens worden gebruikt, en gebonden is aan de instructies.
Er zijn enkele controlevragen om het verschil te begrijpen tussen de functies van verwerkingsverantwoordelijke en gegevensverwerker:
De verwerkingsverantwoordelijke beslist over de volgende zaken:
- de organisatie die de gegevens in eerste instantie verzamelt en of deze de wettelijke basis heeft om dit te doen;
- waarvoor de persoonsgegevens worden gebruikt;
- of de gegevens openbaar worden gemaakt en, zo ja, aan wie;
- of toegang van betrokkenen en andere individuele rechten van toepassing zijn of dat er uitzonderingen zijn;
- hoe lang de gegevens moeten worden aangehouden of dat de gegevens moeten worden gewijzigd op een niet routinematige wijze.
De gegevensverwerker beslist over de volgende zaken:
- de methoden die worden gebruikt voor het verzamelen en opslaan van persoonsgegevens;
- hoe de gegevens beveiligd zijn;
- de middelen die worden gebruikt om persoonsgegevens over te dragen van een organisatie naar een andere;
- hoe persoonsgegevens worden opgevraagd;
- de methode die ervoor zorgt dat een bewaarschema wordt nageleefd;
- hoe persoonsgegevens worden verwijderd.
Wat zijn de GDPR-voorwaarden voor het verwerken van persoonsgegevens?
Artikel 6 van de GDPR somt de verschillende voorwaarden (ook wel basis genoemd) op waaronder het legaal is om persoonsgegevens te verwerken:
- Toestemming. Toestemming betekent dat de betrokkene expliciet toestemming heeft gegeven voor een verwerking van persoonsgegevens voor een of meer specifieke doeleinden. Het begrip doeleinde staat hier centraal. Als de betrokkene, ook bekend als een natuurlijke persoon, toestemming geeft voor verwerking zonder het/de specifieke doeleinde(n) volledig en op een gemakkelijk te begrijpen manier te kennen, dan is toestemming geen rechtsgrond voor verwerking, aangezien deze vrijelijk gegeven, specifiek, geïnformeerd en ondubbelzinnig moet zijn. Bovendien kan toestemming niet worden gebundeld. De algemene regel is dus dat voor elke activiteit van gegevensverwerking binnen één bredere operatie afzonderlijke toestemming is vereist.
- De verwerking is noodzakelijk voor de uitvoering of voorbereiding van het aangaan van een contract waarbij de betrokkene partij is. Een organisatie kan zich op deze rechtsgrondslag beroepen als deze iemands persoonsgegevens moet verwerken om een contractuele dienst aan die persoon te leveren of omdat die persoon de organisatie heeft gevraagd iets te doen voordat een contract wordt aangegaan (bijv. een offerte uitbrengen).
- Het is noodzakelijk om gegevens te verwerken om te voldoen aan een wettelijke verplichting. Als de verantwoordelijke een wettelijke plicht heeft waarvoor bepaalde persoonsgegevens moeten worden verwerkt, dan is verwerking toegestaan. Dit voldoen aan een wettelijke verplichting waarvoor verwerking nodig is en waaraan de verantwoordelijke is onderworpen, is ook niet nieuw.
- Het is noodzakelijk om de gegevens te verwerken om iemands leven te redden. Deze basis wordt ook wel "vitaal belang" genoemd. In dit geval hoeft de natuurlijke persoon geen betrokkene te zijn; het kan ook een andere natuurlijke persoon zijn. Het is, natuurlijk, niet aan de verantwoordelijke om te definiëren wat een vitaal belang is. Deze grondslag is meer over levensbedreigende-omstandigheden waar er geen andere wettelijke grond voor verwerking is, maar waar het niet verwerken van persoonsgegevens in wezen zou betekenen dat iemand zou sterven als de verwerker geen actie onderneemt en daarom een aantal dingen moet weten over de natuurlijke persoon die in gevaar is.
- Verwerking is noodzakelijk om een taak uit te voeren in het algemeen belang of om een officiële functie uit te voeren. Een organisatie kan zich op deze rechtsgrondslag beroepen als het persoonsgegevens moet verwerken "bij de uitoefening van officieel gezag". Hieronder vallen publieke functies en bevoegdheden die zijn vastgelegd in de wet, of om een specifieke taak in het algemeen belang uit te voeren die is vastgelegd in de wet.
- De verantwoordelijke heeft een legitiem belang in het verwerken van iemands persoonsgegevens. De verwerking van persoonsgegevens in deze context is niet noodzakelijkerwijs gerechtvaardigd door een wettelijke verplichting of uitgevoerd om de voorwaarden van een contract met een individu uit te voeren. In dergelijke gevallen kan de verwerking van persoonsgegevens worden gerechtvaardigd op grond van legitiem belang. Een verwerker bijvoorbeeld een legitiem belang wanneer de verwerking plaatsvindt binnen een klantrelatie, voor directe marketingdoeleinden, om fraude te voorkomen, of om de netwerk- en informatiebeveiliging van IT-systemen te waarborgen.
Hoe werkt toestemming onder de GDPR?
Er zijn strikte regels voor toestemming van een betrokkene om zijn/haar gegevens te verwerken:
- Toestemming moet "vrij gegeven, specifiek, geïnformeerd, en ondubbelzinnig" zijn.
- Verzoeken om toestemming moeten "duidelijk te onderscheiden zijn van de andere zaken" en gepresenteerd worden in "duidelijke en heldere taal".
- Betrokkenen kunnen eerder gegeven toestemming intrekken wanneer ze maar willen en men moet deze beslissing respecteren. Het is niet mogelijk om eenvoudigweg de rechtsgrondslag van de verwerking te wijzigen in een van de andere rechtvaardigingen.
- Noodzaak om bewijsstukken van toestemming te bewaren.
Wat zijn individuele rechten onder de GDPR?
GDPR geeft de volgende rechten aan individuen:
- Het recht om te worden geïnformeerd (personen hebben het recht om te worden geïnformeerd over hoe bedrijven hun persoonsgegevens verzamelen en gebruiken, hoe lang ze van plan zijn die gegevens te bewaren en met wie ze die gegevens delen);
- Het recht op toegang (individuen hebben het recht om precies te weten welke informatie bedrijven hebben verzameld, hoe ze die gegevens opslaan en verwerken en wat ze ermee gaan doen);
- Het recht op rectificatie (individuen hebben het recht om onvolledige gegevens te laten aanvullen en onjuiste gegevens te laten corrigeren);
- Het recht op wissen (individuen hebben het recht om persoonsgegevens permanent te laten wissen. Dit staat ook bekend als het "recht om vergeten te worden");
- Het recht om de verwerking te beperken (als individuen niet kunnen eisen dat de verwerkingsverantwoordelijken hun persoonsgegevens wissen, kunnen ze wel de mogelijkheid van de verwerkingsverantwoordelijken beperken om die gegevens te verwerken);
- Het recht op gegevensoverdraagbaarheid (individuen hebben het recht om hun persoonsgegevens te verkrijgen en te hergebruiken voor hun eigen doeleinden in verschillende diensten);
- Het recht om bezwaar te maken (personen hebben het recht om in bepaalde omstandigheden bezwaar te maken tegen de verwerking van hun persoonsgegevens);
- Rechten met betrekking tot geautomatiseerde besluitvorming en profilering (individuen hebben het recht om menselijke tussenkomst te eisen in plaats van dat belangrijke beslissingen genomen worden door algoritmen).
Wat zijn de zeven principes van GDPR?
Volgens de GDPR zijn er zeven belangrijke principes voor gegevensbescherming en verantwoording:
- Rechtmatigheid, billijkheid en transparantie - De verwerking moet rechtmatig, billijk, en transparant zijn voor de betrokkene.
- Doelbeperking - Gegevens moeten verwerkt worden voor de legitieme doeleinden die expliciet aan de betrokkene zijn gespecificeerd toen u de gegevens verzamelde.
- Gegevensminimalisatie - men mag slechts zoveel gegevens verzamelen en verwerken als absoluut noodzakelijk is voor de opgegeven doeleinden.
- Nauwkeurigheid - De persoonsgegevens moeten nauwkeurig en up-to-date gehouden worden.
- Оpslagbeperking - Men mag persoonlijk identificeerbare gegevens alleen zo lang opslaan als nodig is voor het gespecificeerde doeleinde.
- Integriteit en vertrouwelijkheid - Het verwerken moet zodanig worden uitgevoerd dat de juiste beveiliging, integriteit, en vertrouwelijkheid wordt gewaarborgd (bijv. door versleuteling te gebruiken).
- Verantwoording - De verwerkingsverantwoordelijke is verantwoordelijk voor het kunnen aantonen van het naleven van al deze principes van GDPR.
Vereist de GDPR dat de persoonsgegevens van inwoners van de EU in de EU blijven?
De GDPR heeft geen directe beperking voor de persoonsgegevens van inwoners van de EU om alleen in de EU te blijven. De EU-gegevensbescherming werkt echter volgens het principe "GDPR blijft bij de gegevens", wat betekent dat de regels ter bescherming van persoonsgegevens van toepassing blijven ongeacht waar de gegevens terechtkomen. Dit principe is ook van toepassing wanneer persoonsgegevens worden overgedragen naar een land dat geen lid is van de EU.
Verwerking door Ajax
Verwerkt Ajax mijn persoonsgegevens?
Ja, Ajax kan uw persoonsgegevens verwerken. Er zijn 4 hoofdscenario's wanneer we met uw gegevens kunnen omgaan:
- via onze beveiligingsapparaten (zoals Hub of andere);
- via onze mobiele apps (zoals Ajax Security System en Ajax PRO: Tool for Engineers) en desktop apps (wij noemen dat onze producten of diensten);
- als u de website bezoekt https://ajax.systems/
- in het kader van een zakelijke samenwerking tussen uzelf en Ajax (ongeacht of u een directe of indirecte partner of onderaannemer van Ajax bent)
Welke soorten gegevens kunnen door Ajax worden verwerkt?
Ajax kan verschillende soorten gegevens verwerken, afhankelijk van het scenario van de interactie met u.
Via onze beveiligingsapparaten, kunnen we de volgende gegevens verwerken:
- Informatie over uw hub (zoals het model en informatie over het serienummer van het netwerk, inclusief IP-adres, activiteitenlogs van het apparaat, historische en huidige apparaatconfiguratie, en de locatie).
- Telemetrie en milieugegevens.
Om gebruikers te voorzien van informatie over het systeem in de vorm van statussen en gebeurtenissen, verwerken we gegevens over telemetrie.
De term “telemetriegegevens” (hierna ook “telemetrie”) verwijst naar gegevens en andere indicaties die automatisch worden verzameld, verzonden en gemeten door sensoren die in onze apparaten zijn ingebouwd om de status van het milieu en de bruikbaarheid enz. te bepalen en om mogelijke afwijkingen in de werking van de apparaten te detecteren.
Tijdens het gebruik van onze producten of diensten kan door ons worden verwerkt:
- Uw Informatie (zoals uw naam, achternaam, e-mailadres, telefoonnummer, en accountfoto).
- Informatie die u met ons deelt via de contactenlijst van uw apparaat als u gebruikers uitnodigt voor het product (zoals een e-mailadres of telefoonnummer van een persoon die u uitnodigt voor het product).
- Unieke identificatoren voor onze diensten (zoals uw gebruikersnaam en wachtwoord).
- Unieke identificatiegegevens van de gebruikers die u hebt verbonden met het product, zoals de gebruikersnaam, de rol van de gebruiker in het product en zijn/haar e-mailadres; informatie over uw mobiele apparaat, zoals het apparaattype, het besturingssysteem, en de systeemtaal.
- Locatiegebonden gegevens om u herinneringen te sturen rond het in- en uitschakelen van het systeem als u de Geofence-functie in onze app activeert.
- Wij sturen Android- en iOS-gebruikers een sms met de autorisatiecode die vereist is tijdens het registreren of wijzigingen van uw account.
- Informatie over uw gebruik van onze producten en diensten (zoals verzoeken van de app naar onze server).
Als u onze website bezoekt, kunnen wij verwerken:
- De informatie die u verstrekt bij het invullen van de formulieren en die persoons- en contactgegevens kunnen bevatten.
- Cookie-identifiers (via GDPR-conforme tool).
- Uw IP-adres om het land van uw locatie te bepalen.
In het geval van zakelijke samenwerking, kunnen we verwerken:
- Persoons- en contactgegevens van zakelijke vertegenwoordigers (naam, functie, e-mail, en telefoonnummer).
Wat is het doeleinde en de rechtsgrondslag van de verwerking?
- Alle gegevens die we ontvangen via onze beveiligingsapparaten of terwijl u onze producten of diensten gebruikt, worden alleen verwerkt om u de gevraagde beveiligingsdiensten te leveren. Dit betekent dat wij alle dergelijke gegevens verwerken voor de uitvoering van het met u gesloten contract. Dit betekent ook dat we geen gegevens verzamelen die niet specifiek nodig zijn om u dergelijke diensten te kunnen leveren.
- Als u besluit u zich aan te melden voor onze nieuwsbrief, dan sturen we u e-mails met informatie over ons en onze laatste updates. Wij zijn afhankelijk van uw toestemming , u geeft deze door uw inschrijving te bevestigen. Ook zullen we deze e-mails personaliseren op basis van de informatie die we hebben over u, zodat het relevanter en nuttiger is voor u.
- Als u het logboek van uw app deelt,in het geval u problemen had, zullen we deze verwerken om uw technische probleem op te lossen en om onze producten en diensten te verbeteren. We verwerken die op basis van ons rechtmatig belang om ons marktaanbod concurrerender te maken.
- Wij gebruiken de met ons gedeelde gegevens van de contactenlijst van uw apparaat als u gebruikers uitnodigt voor het product (zoals het e-mailadres of telefoonnummer van een persoon die u uitnodigt voor het product) alleen om de uitnodiging naar die personen te sturen.
Waar wordt informatie opgeslagen?
Alle soorten gegevens die Ajax van u kan verzamelen, worden opgeslagen in de cloud-opslag die zich in Ierland, Duitsland en Frankrijk (binnen de EER) bevindt; de keuze van de plaats waar de gegevens worden opgeslagen (in Ierland, Duitsland of Frankrijk) is afhankelijk van de beschikbaarheid van de AWS-infrastructuur.
Hoe lang wordt informatie opgeslagen?
Alle gegevens worden opgeslagen voor de volledige duur van de klantrelatie, behalve het geheugen van pushmeldingen, dit is beperkt tot 500 transacties. Voor het gebeurtenislogboek van PRO Desktop Account is de opslagduur van gebeurtenismeldingen 2 jaar. Sommige soorten gegevens (zoals de naam, functie, en contactgegevens van vertegenwoordigers die in contracten worden genoemd) kunnen echter langer dan de samenwerkingsperiode worden bewaard om aan onze wettelijke verplichtingen te voldoen.
Soorten gegevens | Doeleinde van de verwerking | Wettelijke basis | Opslagperiode |
Informatie over hub (zoals het model en informatie over het serienummer van het netwerk, inclusief activiteitenlogs van het apparaat, historische en huidige apparaatconfiguratie, en de locatie) | Voor de juiste werking van Hub, apparaten, en apps | Contract, in geval van serviceondersteuning - legitiem belang | Voor de volledige duur van de klantrelatie of totdat ze worden gewist zoals aangevraagd/uitgevoerd door de gebruiker. Back-ups tot 12 maanden |
Unieke identificatiemiddelen (gebruikersnaam en wachtwoord) | Autorisatie van gebruiker | Contract | Voor de volledige duur van de klantrelatie of totdat ze worden gewist zoals aangevraagd/uitgevoerd door de gebruiker. Back-ups tot 12 maanden |
Op locatie gebaseerde gegevens | Voor de juiste werking van Hub, apparaten, en apps | Contract en/of legitiem belang | Voor de volledige duur van de klantrelatie of totdat ze worden gewist zoals aangevraagd/uitgevoerd door de gebruiker. Back-ups tot 12 maanden |
Informatie over uw gebruik van onze producten en diensten (zoals verzoeken van de app naar onze server) | Voor de juiste werking van Hub, apparaten, en apps | Contract | Voor de volledige duur van de klantrelatie of totdat ze worden gewist zoals aangevraagd/uitgevoerd door de gebruiker. Back-ups tot 12 maanden |
De informatie die u verstrekt bij het invullen van de formulieren en die persoons- en contactgegevens kunnen bevatten | Communicatie, dienst van productlevering, marketingpromoties | Toestemming | Voor de volledige duur van de klantrelatie of totdat ze worden gewist zoals aangevraagd/uitgevoerd door de gebruiker. Back-ups tot 12 maanden |
IP-adres | Voor de juiste werking van Hub, apparaten, en apps | Contract of toestemming | Voor de volledige duur van de klantrelatie of totdat ze worden gewist zoals aangevraagd/uitgevoerd door de gebruiker. Back-ups tot 12 maanden |
Naam, achternaam, en contactgegevens | Voor de juiste werking van Hub, apparaten, en apps | Toestemming | Voor de volledige duur van de klantrelatie of totdat ze worden gewist zoals aangevraagd/uitgevoerd door de gebruiker. Back-ups tot 12 maanden |
Afbeeldingen gemaakt via Ajax-apparaten | Voor de juiste werking van Hub, apparaten, en apps | Contract | Mobiele app - De bewaartermijn van mediabestanden voor de gebruikers- en PRO-accounts is 2 jaar. Foto's worden mogelijk eerder verwijderd samen met de bijbehorende gebeurtenissen als de gebeurtenislimiet in de mobiele app (500 gebeurtenissen) is bereikt. -Ajax PRO Desktop (bedrijfsaccount)- afhankelijk van de instellingen (van 7 dagen tot maximaal 2 jaar). -Ajax Translator slaat de afbeeldingen niet op; de links zijn echter 7 dagen actief vanaf het moment dat ze zijn gemaakt |
Wie heeft toegang tot het systeem en de informatie aan de kant van Ajax?
Ajax volgt beschikbaarheidsminimalisatie en principe van zo min mogelijk rechten bij gegevenstoegang. Toegang tot de gegevens kan dus alleen worden verleend aan medewerkers van Ajax die verantwoordelijk zijn voor de ondersteuning van het proces van de dienstverlening en projectverstrekking. Wanneer Ajax-medewerkers toegang krijgen tot gegevens, wordt hun apparatuur beschermd door encryptie en andere hulpmiddelen zoals vereist door de hoogste technische marktnormen. Alle medewerkers hebben een NDA ondertekend en voeren jaarlijks een beoordeling van de gegevensbescherming uit. Alle acties van het personeel worden geregistreerd en de logboeken worden automatisch in realtime gecontroleerd. Bij een vermoeden van overmatige toegang beperken we de toegang en starten we onmiddellijk een onderzoek. Desondanks wijzen wij erop dat Ajax nooit toegang heeft tot de gegevens zonder een geldige wettelijke basis voor een dergelijke toegang. In sommige gevallen kan Ajax door een gebruiker (op zijn/haar eigen risico) worden aangestuurd om toegang te verlenen tot de gegevens van de gebruiker aan derde partijen die door de gebruiker zijn aangewezen (beveiligingsbedrijven, installateurs) via de mobiele of desktop apps. In dergelijke gevallen hebben de door de gebruiker gekozen bedrijven ook toegang tot de gegevens die de gebruiker wil laten overdragen.
Wat doet Ajax om te voldoen aan de wereldwijde wetgeving inzake gegevensbescherming? Hoe toont Ajax naleving van de GDPR aan?
Om te voldoen aan de internationale wetgeving inzake gegevensbescherming, maakt Ajax gebruik van een aanzienlijk aantal maatregelen, mechanismen, en procedures. Ajax past bijvoorbeeld de principes toe van beperking van gegevensverwerking (privacy door ontwerp & en standaardprivacy), gegevensminimalisatie, toegangscontrole, beleid voor gegevensverwerking (beleid voor opslag, verwerking, verwijdering, etc.). In het kader van de gegevensoverdrachten gebruikt Ajax verschillende maatregelen, waaronder organisatorische en technische maatregelen en modelcontractbepalingen. Meer informatie hierover vind u in het gedeelte over gegevensoverdracht.
Hoe kan ik mijn privacyrechten uitoefenen?
Voor het uitoefenen van uw privacyrechten (om uw persoonlijke gegevens te verwijderen, er bezwaar tegen te maken, om geïnformeerd te worden over uw persoonsgegevens, om de verwerking te beperken, etc.) kunt u contact met ons opnemen via het e-mailadres support@ajax.systems.
Gegevensoverdracht
Met wie mag Ajax mijn gegevens delen? Welke soorten gegevens mogen worden gedeeld en in welke gevallen?
Over het algemeen kunnen we uw persoonsgegevens alleen delen als dat nodig is om u de gevraagde diensten te kunnen leveren. Dergelijke gegevens kunnen worden bekendgemaakt aan onze leveranciers en dienstverleners, die bepaalde diensten leveren om onze producten en diensten goed te laten functioneren. Dit omvat datahosting, technische ondersteuning, communicatie, enz. We zorgen ervoor dat die aanbieders uw gegevens net zo beveiligd behandelen als wij.
We kunnen uw contactgegevens (zoals telefoonnummer, bijnaam, en e-mailadres) delen met verleners van fysieke beveiligingsdiensten als u ons daarom vraagt door zo'n dienstverlener te selecteren in onze app. Houd er rekening mee dat dergelijke dienstverleners dus zelf de verwerkingsverantwoordelijke worden voor de verwerking van uw persoonsgegevens. Ondanks het feit dat we gerenommeerde partners kiezen voor onze app, raden we aan om hun privacybeleid te controleren voordat u ons vraagt om uw gegevens door te geven aan de geselecteerde bedrijven.
Voor bepaalde behoeften kan Ajax gebruik maken van de diensten van externe subverwerkers buiten de EER. Dergelijke behoeften kunnen bestaan uit het datahosting, technische communicatie voor registratie, installatie, en andere organisatorische activiteiten via e-mail of telefoon.
Ajax stelt alles in het werk om ervoor te zorgen dat dergelijke overdrachten plaatsvinden in overeenstemming met alle van toepassing zijnde wetten inzake gegevensbescherming. Ajax heeft DPA's ondertekend met alle subverwerkers (inclusief SCC's in het geval van grensoverschrijdende gegevensoverdrachten), evenals aanvullende maatregelen die plaatsvinden bij gegevensoverdrachten en -verwerking. Alle subverwerkers van Ajax hebben hun eigen privacybeleid en andere privacygerelateerde documenten, die regelmatig door Ajax-professionals worden gecontroleerd op naleving.
Lijst van de door Ajax erkende subverwerkers:
Service | Provider | Doeleinde van het gebruik | Link naar Privacybeleid en DPA |
AWS | Amazon | Hosting en back-up | https://aws.amazon.com/privacy/ https://docs.aws.amazon.com/whitepapers/latest/navigating-gdpr-compliance/aws-data-processing-addendum-dpa.html |
Twilio | Twilio Group | Programmeerbare SMS | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
SendGrid | Twilio Group | Programmeerbaar e-ailcommunicatie | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
Mailgun | Sinch Email | Transactioneel e-mailservice | https://www.mailgun.com/legal/privacy-policy/ https://www.mailgun.com/legal/dpa/ |
MongoDB | MongoDB Inc | Leverancier van databaseservices | https://www.mongodb.com/legal/privacy-policy https://www.mongodb.com/legal/dpa |
Google BigQuery | Google LLC | Analyse, serviceverbetering | https://policies.google.com/privacy |
Wat zijn standaardbepalingen (Standard Contractual Clauses of SCC's)?
Standaardbepalingen (Standard Contractual Clauses of SCC's) zijn gestandaardiseerde en vooraf goedgekeurde modelbepalingen voor gegevensbescherming waarmee verantwoordelijken en verwerkers aan hun verplichtingen volgens de EU-wetgeving voor gegevensbescherming kunnen voldoen. Ze kunnen door verantwoordelijken en verwerkers worden opgenomen in hun contractuele afspraken met andere partijen, zoals commerciële partners. De bepalingen kunnen op vrijwillige basis worden gebruikt om aan te tonen dat de vereisten voor gegevensbescherming worden nageleefd, maar vereisen een bindende contractuele toezegging om ze na te leven. De Europese Commissie heeft de bevoegdheid om SCC's aan te nemen (1) met betrekking tot de relatie tussen verantwoordelijken en verwerkers en (2) voor het doorgeven van persoonsgegevens naar landen buiten de EER.
Wat zijn aanvullende maatregelen?
Aanvullende maatregelen zijn speciaal geïmplementeerde technische en organisatorische procedures die worden gebruikt om een effectief niveau van zekerheid over de doorgegeven gegevens te bereiken dat gelijkwaardig is aan het verwerken van de gegevens binnen de EER.
Ajax implementeerde, inclusief, maar niet beperkt tot, de volgende organisatorische maatregelen:
- regelmatige bewustwordingstrainingen en onderzoeken van Ajax-medewerkers;
- geautomatiseerd systeem voor realtime bewaking van schendingen en kwetsbaarheden;
- voortdurende registratie van alle processen;
- regelmatige inspectie en validatie van Ajax-systeem met betrekking tot kwetsbaarheden.
Ajax implementeerde, inclusief, maar niet beperkt tot, de volgende technische maatregelen:
- Maatregelen om te voorkomen dat ongeautoriseerde invididuen toegang krijgen tot de systemen voor gegevensverwerking die beschikbaar zijn in gebouwen en faciliteiten (waaronder databases, app-servers, en gerelateerde hardware), waar persoonsgegevens worden verwerkt, waaronder het instellen van beveiligingszones, beperking van toegangspaden, het instellen van toegangsautorisaties voor werknemers en derden, deurvergrendeling (elektrische deuropeners, etc.).
- Maatregelen om te voorkomen dat gegevensverwerkingssystemen door ongeautoriseerde individuen worden gebruikt, waaronder procedures voor identificatie en authenticatie van gebruikers, beveiligingsprocedures voor ID's en wachtwoorden, versleuteling van gearchiveerde gegevensdragers.
- Maatregelen om ervoor te zorgen dat personen die gerechtigd zijn om een gegevensverwerkingssysteem te gebruiken, alleen toegang krijgen tot dergelijke persoonsgegevens in overeenstemming met hun toegangsrechten, en dat persoonsgegevens niet kunnen worden gelezen, gekopieerd, gewijzigd, of verwijderd zonder autorisatie, met inbegrip van interne beleidsregels en procedures, controleregelingen voor autorisatie, gedifferentieerde toegangsrechten (profielen, rollen, transacties, en objecten), toezicht op en registratie van toegang, disciplinaire maatregelen tegen werknemers die zonder autorisatie toegang krijgen tot persoonsgegevens.
- Maatregelen om ervoor te zorgen dat persoonsgegevens tijdens elektronische overdracht, transport, of opslag op opslagmedia (handmatig of elektronisch) niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd, of verwijderd en dat kan worden nagegaan aan welke bedrijven of andere rechtspersonen persoonsgegevens worden verstrekt, waaronder versleuteling, logboekregistratie, en transportbeveiliging. Alle persoonsgegevens zijn versleuteld-at-rest met SHA256 algoritme en zijn onderworpen aan overdracht via HTTPS met SHA128 en TLS 1.2 versleuteling.
- Maatregelen om te controleren of gegevens zijn ingevoerd, gewijzigd, of verwijderd (gewist), en door wie, uit gegevensverwerkingssystemen, met inbegrip van logboek- en rapportagesystemen, audit trails, en documentatie.
- Maatregelen om ervoor te zorgen dat persoonsgegevens worden beschermd tegen onopzettelijke vernietiging of verlies (fysiek/logisch), waaronder back-upprocedures, ononderbreekbare stroomvoorziening (UPS), externe opslag, antivirus/firewall-systemen, rampherstelplan, duurzaamheidsplan voor bedrijven.
- Maatregelen om ervoor te zorgen dat persoonsgegevens die voor verschillende doeleinden zijn verzameld, afzonderlijk kunnen worden verwerkt, waaronder scheiding van databases, beperking van gebruik, scheiding van functies (productie/testen).
Wat is een Transfer Impact Assesment?
Een Transfer Impact Assessment (TIA) is een analyse die wordt uitgevoerd door een verwerkingsverantwoordelijke of een gegevensverwerker van de beveiligingsimplicaties van het doorgeven van persoonsgegevens naar landen buiten de EU/EER, of landen waarvoor een adequaatheidsbesluit geldt.