GDPR naleving
update.
Op 16 juli 2020 heeft het Europese Hof van Justitie het Privacy Shield ongeldig verklaard. Hierdoor is er geen wettelijke basis meer voor het uitwisselen van gegevens met Amerikaanse partijen. Elke organisatie die gebruik maakt van (sub)verwerkers in de Verenigde Staten zal met elk van deze partijen een Standard Contractual Clause (SCC) moeten afsluiten. GoodHabitz vormt hierop geen uitzondering. De volgende stap is om aan te tonen dat het beschermingsniveau dat deze SCC's bieden, voldoet aan de eisen van de GDPR.
Op 16 juli 2020 heeft het Europese Hof van Justitie het Privacy Shield ongeldig verklaard. Hierdoor is er geen wettelijke basis meer voor het uitwisselen van gegevens met Amerikaanse partijen. Elke organisatie die gebruik maakt van (sub)verwerkers in de Verenigde Staten zal met elk van deze partijen een Standard Contractual Clause (SCC) moeten afsluiten. GoodHabitz vormt hierop geen uitzondering. De volgende stap is om aan te tonen dat het beschermingsniveau dat deze SCC's bieden, voldoet aan de eisen van de GDPR.
Jouw privacy is onze grootste prioriteit en daarom willen we je laten zien welke stappen we nemen om te voldoen aan de GDPR, met betrekking tot onze subverwerkers. Ons doel is natuurlijk om de bescherming van jouw persoonlijke gegevens aantoonbaar te waarborgen.
- We hebben een lijst gemaakt van alle subverwerkers die mogelijk jouw persoonsgegevens buiten de EER verwerken.
- We hebben contact opgenomen met deze subverwerkers om te vragen welke maatregelen zij hebben genomen na het ongeldig worden van het Privacy Shield.
- We hebben een noodhulpteam samengesteld om te beslissen wat we gaan doen met de in de VS gevestigde subverwerkers.
- We hebben besloten om Europese alternatieven te zoeken voor onze twee in de VS gevestigde subverwerkers.
- We hebben de diensten van de nieuwe Europese subverwerkers geïmplementeerd.
De gesloten gegevensverwerkingsovereenkomst blijft van kracht. De lijst met subverwerkers die in de overeenkomst wordt genoemd, moet echter worden bijgewerkt. Het is onze plicht als verwerker om klanten te informeren over wijzigingen in subverwerkers.
Nieuwe subverwerker voor e-mail adres verificatie.
GoodHabitz kon niet langer GDPR-compliance garanderen voor Kickbox, onze voormalige subverwerker in de VS voor de verificatie van e-mailadressen. Daarom hebben we besloten om over te stappen naar een provider binnen de EER, genaamd Bouncer. We hebben de diensten van deze Poolse leverancier grondig gescreend en getest. Uit het veiligheidsonderzoek bleek dat Bouncer alle noodzakelijke technische en organisatorische maatregelen heeft genomen om volledig te voldoen aan de GDRP. Alleen e-mailadressen worden gedeeld met deze leverancier. Bouncer slaat deze e-mailadressen veilig op en verwerkt ze in een in de Europese Unie gebaseerde cloudinfrastructuur, een hybride oplossing van AWS cloud (regio Frankfurt) en OVH cloud (Frankrijk). Er worden geen gegevens doorgegeven buiten de EER en Bouncer zal alle persoonlijke gegevens na 60 dagen uit het systeem wissen. We maken niet langer gebruik van de diensten van Kickbox.
Nieuwe subverwerker voor het verzenden van transactie-e-mails
Ondanks de vele verzachtende maatregelen die onze voormalige Amerikaanse leverancier Mailchimp/Mandrill heeft genomen na de ongeldigverklaring van het Privacy Shield, hebben we besloten om over te stappen naar een provider binnen de EER. We hebben de tool SMTPeter doorgelicht en getest, die een cloud-gebaseerde SMTP-server biedt voor een snelle en veilige aflevering van e-mail. SMTPeter wordt geleverd door Copernica. Copernica is een Nederlandse leverancier van marketingautomatiseringssoftware, gevestigd in Amsterdam. Alle gegevens worden opgeslagen in Nederlandse datacenters. Zowel het veiligheidsonderzoek als de technische demotest zijn succesvol afgerond. Begin december heeft het GoodHabitz Security team alle klanten geïnformeerd over onze geplande overstap. Sinds 10 december zijn we volledig overgestapt op de diensten van SMTPeter.
Subprocessor voor het leveren van een Sales CRM en een ticketsysteem voor klantondersteuningsdoeleinden GoodHabitz heeft Standard Contractual Clauses (SCC) gesloten met Salesforce. Daarnaast heeft Salesforce Binding Corporate Rules (BCR) die in overeenstemming zijn met de AVG. Ondanks deze passende maatregelen hebben we Privacy Company als externe partij ingehuurd om een Data Protection Impact Assessment (DPIA) uit te voeren op onze implementatie van Salesforce, om aantoonbare AVG-naleving te garanderen. Dit heeft geresulteerd in de volgende bevindingen en verzachte maatregelen:
1 - Salesforce wordt door GoodHabitz gebruikt als CRM. Volgens de AVG treedt GoodHabitz niet op als verwerker, maar als verwerkingsverantwoordelijke met betrekking tot het gebruik van Salesforce.
Verzachte maatregel:
- Aangezien Salesforce geen deel uitmaakt van het contract tussen GoodHabitz en haar klanten, wordt het niet langer vermeld als subprocessor in de Data Processing Agreement en gerelateerde subprocessoroverzichten.
2 - Pardot is onderdeel van ons Salesforce-contract en daarom werd aangenomen dat de gegevens werden opgeslagen op de Salesforce EU18-servers (locatie Frankrijk en Duitsland), net als al onze Salesforce-gegevens. De diepgaande DPIA onthulde echter dat alle Pardot-gegevens in de Verenigde Staten worden opgeslagen.
Gemitigeerde maatregelen:
- Het is geverifieerd dat de Binding Corporate Rules van Salesforce ook van toepassing zijn op de Pardot-services.
- GoodHabitz heeft een Additional Safeguards Addendum gesloten met Salesforce om de persoonlijke gegevens te beschermen tegen elke inmenging die verder gaat dan wat nodig is in een democratische samenleving om de nationale veiligheid, defensie en openbare veiligheid te waarborgen.
- We hebben ervoor gezorgd dat er geen persoonlijke gegevens van studenten worden gedeeld met Pardot, dus alleen Salesforce-accounts die zijn gemaakt voor commerciële doeleinden worden gedeeld met Pardot. Een student die contact opneemt met onze helpdesk, wordt geregistreerd in Salesforce, maar niet in Pardot.