Privacy en beveiliging van gegevens

Als in de EU gevestigd SaaS-bedrijf is de beveiliging van je gegevens voor ons een topprioriteit. Hieronder beantwoorden we de meest gestelde vragen over onze beschermingsmaatregelen. We zijn altijd bereid om verdere, meer diepgaande vragen te beantwoorden.

Veelgestelde vragen

Algemene informatie gegevensbescherming

Heeft Zavvy een DPO?

Voor alle vragen over gegevensbescherming werken we samen met de experts van Dataguard - een van de toonaangevende aanbieders op het gebied van DSGVO-naleving.

Onze functionaris voor gegevensbescherming is dus:
DataCo GmbH
Dachauer Straße 65
80335 München
Duitsland
+49 89 7400 45840

www.dataguard.de

Hoe zorgt Zavvy er verder voor dat medewerkers die belast zijn met het verwerken van bestellingen bekend zijn met de wettelijke bepalingen omtrent gegevensbescherming?

Training over gegevensbescherming maakt deel uit van het verplichte onboardingproces van Zavvy.
Alle medewerkers van Zavvy zijn verplicht tot geheimhouding of naleving van de gegevensbescherming en worden gewezen op de gevolgen bij overtredingen.

Daarnaast geeft het bedrijf regelmatig trainingen en bewustwordingsmaatregelen over de omgang met persoonsgegevens, de GDPR en wettelijke innovaties. 

Moeten we een DPA afsluiten met Zavvy?

Ja, zowel onze klanten als de verwerkingsverantwoordelijke en wij als de verwerker zijn verplicht om een overeenkomstige overeenkomst te sluiten in overeenstemming met art. 28 EU-DSGVO. 28 EU-DSGVO.

Het afsluiten van het contract door beide partijen is een verplichte voorwaarde voor het gebruik van onze software. Op verzoek sturen wij u graag ons model toe.

Wat gebeurt er bij een datalek?

In het geval van een onverwachte datalek waarbij de persoonsgegevens die van de klanten van de website worden verzameld, gecompromitteerd zijn en de inbreuk waarschijnlijk de rechten en vrijheden van de werknemers van de klant in gevaar brengt, zal Zavvy een procedure volgen die is opgesteld door de functionaris voor gegevensbescherming, Dataguard.

Dit houdt in dat de klant onmiddellijk op de hoogte wordt gebracht van de contractuele verplichtingen, zodat de klant kan voldoen aan zijn wettelijke verplichtingen om de toezichthoudende autoriteiten en de betrokkenen op de hoogte te brengen.

Is de applicatie ontwikkeld in overeenstemming met de vereisten voor gegevensbescherming door middel van technologisch ontwerp en is deze op een gegevensbeschermingsvriendelijke manier ingesteld?

Als Europees bedrijf zijn gegevensbescherming en naleving van de GDPR centrale onderdelen van onze productstrategie.

Daarom besteden we al bij de ontwikkeling van onze functies aandacht aan principes zoals gegevensbesparing en het gebruik van geavanceerde maatregelen om een passend beschermingsniveau te garanderen.

Daarnaast bieden we onze klanten de mogelijkheid om aangepaste rapportformaten te maken die voldoen aan hun individuele behoeften op het gebied van anonimisering van afzonderlijke componenten.

Om dit op permanente basis te garanderen, hebben we ook een proces gedefinieerd waarbij de wettelijke vereisten voortdurend worden opgenomen in het productontwikkelingsproces en de toepassing met regelmatige tussenpozen wordt geëvalueerd.

Is de applicatie GDPR-compliant?

Zavvy voldoet aan de eisen van de Algemene Verordening Gegevensbescherming van de EU en is als organisatie en software conform EU-DSGVO.

Daartoe hebben we ons product vanaf het begin gecontroleerd op de essentiële wettelijke eisen, zoals gegevensbescherming door technologisch ontwerp en door gegevensbeschermingsvriendelijke standaardinstellingen (art. 25 EU-DSGVO) of ook de ondersteuning van de klant bij het waarborgen van de rechten van betrokkenen, zoals het recht op wissen, het recht op informatie of het recht op gegevensoverdraagbaarheid (hoofdstuk 3 EU-DSGVO). 25 EU-DSGVO) of ook de ondersteuning van de klant bij het waarborgen van de rechten van de betrokkene, zoals het recht op wissen, het recht op informatie of het recht op gegevensoverdraagbaarheid (hoofdstuk 3 EU-DSGVO) en hebben we passende aanpassingen doorgevoerd.

Encryptie en pseudonimisering

Is de overdracht van klantgegevens versleuteld?

Ja - Voor alle communicatie tussen gebruikers en onze servers wordt HTTPS afgedwongen met SSL-certificaten die elke 3 maanden worden vernieuwd.

SSL (Secure Sockets Layer) is de standaard beveiligingstechnologie voor het tot stand brengen van een versleutelde verbinding tussen een webserver en een browser.

Deze verbinding zorgt ervoor dat alle gegevens die worden overgedragen tussen de webserver en de browser vertrouwelijk en onveranderlijk blijven. SSL is een industriestandaard en wordt door miljoenen websites gebruikt om de online transacties van hun klanten te beschermen.

Vertrouwelijkheid en integriteit

Waar slaat Zavvy gebruikersgerelateerde gegevens op?

Zavvy vertrouwt op de diensten van Amazon Web Services (AWS) in Frankfurt (https://aws.amazon.com/de/compliance/gdpr-center/) voor het hosten van de software.

De gebruikte datacenters zijn ISO/IEC 27001 gecertificeerd en voldoen daarmee aan onze hoge eisen voor de fysieke beveiliging van de gegevens van onze klanten.

Bij het selecteren van externe dienstverleners die noodzakelijk zijn voor de werking van de software (bijv. verzending van mail), is het hosten van de gegevens binnen de EU een verplicht basiscriterium.

Wie heeft toegang tot klantgegevens bij Zavvy?

De toekenning van toegangsrechten wordt bijgehouden en is gebaseerd op het "need-to-know" principe.

Aan de Zavvy kant hebben alleen ons engineering team (server kant) en onze product managers en de medewerkers van het Customer Success of Learning Experience Team (klant systeem kant) toegang op een ad hoc basis.

Dit is nodig om de initiële setup van het account en de verwerking van service requests te ondersteunen.

Hoe wordt de gebruikersauthenticatie uitgevoerd?

Toegang is uitsluitend mogelijk via gepersonaliseerde gebruikersaccounts die uniek zijn toegewezen aan een persoon. Inloggen gebeurt met een gebruikersnaam en een wachtwoord, die moeten worden ingesteld bij de eerste keer inloggen volgens het veilige wachtwoordbeleid dat in de applicatie is geïmplementeerd.

Wachtwoordvereisten zijn minimaal:

- Minimaal 8 tekens lang
- Minimaal 1 cijfer of speciaal teken
- Minimaal 1 kleine letter
- Minimaal 1 hoofdletter

Wie heeft toegang tot welke gegevens aan de kant van de klant?

In principe zijn de toegangsrechten zo ontworpen dat wordt voldaan aan de vereisten van Art. 24 EU-DSGVO voor gegevensbeschermingsvriendelijke standaardinstellingen. Dit betekent dat nieuw aangemaakte medewerkers "standaard" geen rechten hebben buiten het bewerken van hun eigen profiel. 24 EU-DSGVO voor gegevensbeschermingsvriendelijke standaardinstellingen.

Dit betekent dat nieuw aangemaakte medewerkers "standaard" geen rechten hebben buiten het bewerken van hun eigen profiel.

Als klant kunt u echter individueel rechten toewijzen op basis van uw eigen autorisatieconcept.

Bestemming

Van wie zijn de gegevens?

De klant is "meester over de gegevens", zowel in de contractuele relatie als in de zin van de wet op de gegevensbescherming. Hij is de enige bevoegde partij met betrekking tot de beschikkingsbevoegdheid over alle door hem gebruikte gegevens (ingevoerde gegevens, verwerkte gegevens, opgeslagen gegevens, uitvoer van gegevens).

Dit betekent in het bijzonder ook dat de klant verantwoordelijk is voor het waarborgen van de rechten van de betrokkenen (hoofdstuk 3 EU-DSGVO).Zavvy is een verwerker en verwerkt uw gegevens dus uitsluitend in uw opdracht en voor de in de overeenkomst van opdracht geregelde doeleinden.

Dit betekent concreet dat Zavvy onder geen enkele omstandigheid gegevens zal verkopen of delen met derden.Dit sluit de overdracht van gegevens aan onderaannemers uit, wat geregeld is in de overeenkomst van opdrachtverwerking met onze klanten. Bovendien behoudt Zavvy zich het recht voor om volledig geanonimiseerde gegevens te gebruiken, bijvoorbeeld voor het testen of verder ontwikkelen van het product.

Dergelijke anonimisering wordt uitsluitend uitgevoerd binnen het kader van de wettelijke bepalingen en houdt rekening met de stand van de techniek en de aanbevelingen van de Artikel 29-werkgroep en het Europees Comité voor gegevensbescherming. Geanonimiseerde gegevens betekenen dat er geen conclusies kunnen worden getrokken over Zavvy of bedrijven.

Dit betekent dat er geen risico is voor onze klanten. Zavvy hecht bijzonder veel belang aan de bescherming van de privacy van de klant.

Samen met onze functionaris voor gegevensbescherming Dataguard hebben we daarom technische en organisatorische maatregelen geïmplementeerd om de veiligheid van de verwerking te waarborgen, die we voortdurend verder ontwikkelen. Zavvy voldoet aan alle eisen van de Algemene Verordening Gegevensbescherming van de EU en is zowel als organisatie als software compliant op het gebied van gegevensbescherming volgens EU-DSGVO.

Wat gebeurt er met de gegevens na beëindiging van het contract of stopzetting van de bedrijfsactiviteiten door Zavvy?

Bij beëindiging van de zakelijke relatie kunnen de daartoe bevoegde personen van de Klant verzoeken om vrijgave van de gegevens, waarna de gegevens na afloop van de contractueel bepaalde termijn onherroepelijk worden gewist.

In het onwaarschijnlijke geval dat Zavvy de zakelijke activiteiten staakt, wordt hier in principe niet van afgeweken, aangezien de Klant "meester over de gegevens" is en Zavvy slechts verwerker is en dus niet anders over de persoonsgegevens kan/zal beschikken.

Beveiliging en herstelbaarheid

Worden er regelmatig back-ups gemaakt?

We maken dagelijks back-ups van onze database en slaan deze veilig op in onze AWS cloud-infrastructuur. Als een back-up moet worden hersteld, hebben onze hoofdtechnici hier toegang toe.

Hoe wordt de veiligheid van de verwerking gecontroleerd?

We voeren regelmatig audits uit van onze organisatie en producten op basis van de wettelijke vereisten voor gegevensbescherming. We gebruiken de resultaten van deze audits om maatregelen te nemen voor de verdere ontwikkeling van onze documentatie, processen, structuren of functionaliteiten en voor technische en organisatorische maatregelen. 

Heb je nog vragen? Schrijf ons op info@zavvy.io of maak een afspraak voor een persoonlijk gesprek.