AJAX GDPR FAQ
Basis
Wat is de GDPR?
De Algemene Verordening Gegevensbescherming (ook bekend als Verordening (EU) 2016/679 of "GDPR") is een verordening in de EU-wetgeving over gegevensbescherming en privacy in de EU en de Europese Economische Ruimte (EER). Hoewel het is opgesteld en aangenomen door de Europese Unie (EU), legt het verplichtingen voor gegevensbescherming op aan organisaties waar dan ook, zolang ze zich richten op of gegevens verzamelen over personen in de EU.
Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle informatie die betrekking hebben op een persoon die hierdoor direct of indirect kan worden geïdentificeerd. Verschillende stukjes informatie die samen worden gebracht, kunnen leiden tot de identificatie van een bepaalde persoon, zijn ook persoonsgegevens.
Persoonsgegevens die geanonimiseerd, versleuteld of gepseudonimiseerd zijn, maar gebruikt kunnen worden om een persoon opnieuw te identificeren, blijven persoonsgegevens en vallen binnen het toepassingsgebied van de wet.
Hieronder vindt u enkele voorbeelden van persoonsgegevens:
- naam en achternaam;
- adres;
- e-mailadres;
- ID/serienummer;
- locatiegegevens;
- IP-adres;
- cookie-identificaties;
- reclame-identifier van de telefoon.
Wat betekent het om gegevens te verwerken?
De definitie van gegevensverwerking omvat een breed scala aan activiteiten die handmatig en geautomatiseerd worden uitgevoerd met persoonsgegevens. Het omvat het verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, gebruiken, openbaar maken door middel van doorzending, verspreiden of anderszins beschikbaar maken, samenbrengen of combineren, beperken, wissen of vernietigen van persoonsgegevens. Als u iets met gegevens doet op de manier die hierboven is vermeld - bent u gegevens aan het verwerken.
Wat is het verschil tussen een gegevensverwerker en een verwerkingsverantwoordelijke?
Een verwerkingsverantwoordelijke is een organisatie, instelling, of individu die de normen en regels voor de verwerking van persoonsgegevens vaststelt. In de praktijk betekent dit dat een verwerkingsverantwoordelijke verantwoordelijk is voor het bepalen hoe en waarom persoonsgegevens door een organisatie worden gebruikt. Meestal is een verwerkingsverantwoordelijke de persoon of organisatie die de gegevens verzamelt en beslist hoe deze worden gebruikt.
Dit in tegenstelling tot een gegevensverwerker. Volgens de GDPR is een gegevensverwerker een organisatie, instelling, of individu die de normen voor gegevensverwerking implementeert die zijn vastgesteld door de verwerkingsverantwoordelijke. Een gegevensverwerker is meestal een partij die gegevens verwerkt op aanwijzing en naar discrete van een verwerkingsverantwoordelijke. Een gegevensverwerker is geen eigenaar van de gegevens die hij/zij verwerkt en heeft er geen controle over. Dit betekent dat een gegevensverwerker de betekenis van de gegevens niet kan veranderen, niet kan bepalen hoe de gegevens worden gebruikt, en gebonden is aan de instructies.
Er zijn enkele controlevragen om het verschil te begrijpen tussen de functies van verwerkingsverantwoordelijke en gegevensverwerker:
De verwerkingsverantwoordelijke beslist over de volgende zaken:
- de organisatie die in eerste instantie gegevens verzamelt en daarvoor een wettelijke basis heeft;
- waarvoor de persoonsgegevens zullen worden gebruikt;
- of de gegevens openbaar te maken of te delen, en zo ja, aan wie;
- of de rechten van betrokkenen en andere personen van toepassing zijn of dat er uitzonderingen zijn;
- hoe lang de gegevens bewaard moeten blijven of dat de gegevens op een niet-routinematige wijze moeten worden gewijzigd.
De gegevensverwerker beslist over de volgende zaken:
- de methoden die worden gebruikt voor het verzamelen en opslaan van persoonsgegevens;
- hoe de gegevens worden beveiligd;
- de middelen die worden gebruikt om persoonsgegevens van één organisatie over te dragen naar een andere;
- hoe persoonsgegevens worden verkregen;
- de methode om ervoor te zorgen dat een bewaartermijn wordt nageleefd;
- hoe persoonsgegevens worden verwijderd.
Wat zijn de GDPR-voorwaarden voor het verwerken van persoonsgegevens?
Artikel 6 van de GDPR somt de verschillende voorwaarden (ook wel basis genoemd) op waaronder het legaal is om persoonsgegevens te verwerken:
Toestemming. Toestemming betekent dat de betrokkene expliciet toestemming heeft gegeven voor een verwerking van persoonsgegevens voor een of meer specifieke doeleinden. Het begrip doeleinde staat hier centraal. Als de betrokkene, ook bekend als een natuurlijke persoon, toestemming geeft voor verwerking zonder het/de specifieke doeleinde(n) volledig en op een gemakkelijk te begrijpen manier te kennen, dan is toestemming geen rechtsgrond voor verwerking, aangezien deze vrijelijk gegeven, specifiek, geïnformeerd en ondubbelzinnig moet zijn. Bovendien kan toestemming niet worden gebundeld. De algemene regel is dus dat voor elke activiteit van gegevensverwerking binnen één bredere operatie afzonderlijke toestemming is vereist.
- De verwerking is noodzakelijk voor het uitvoeren of voorbereiden van een contract waarbij de betrokkene een partij is. Een organisatie kan zich op deze rechtsgrondslag beroepen als deze iemands persoonsgegevens moet verwerken om een contractuele dienst aan die persoon te leveren of omdat die persoon de organisatiezheeft gevraagd iets te doen voordat een contract wordt aangegaan (bijv. een offerte uitbrengen).
- Het is noodzakelijk om gegevens te verwerken om te voldoen aan een wettelijke verplichting. Als de verantwoordelijke een wettelijke plicht heeft waarvoor bepaalde persoonsgegevens moeten worden verwerkt, dan is verwerking toegestaan. Dit voldoen aan een wettelijke verplichting waarvoor verwerking nodig is en waaraan de verantwoordelijke is onderworpen, is ook niet nieuw.
- Het is noodzakelijk om de gegevens te verwerken om iemands leven te redden. Deze basis wordt ook wel "vitaal belang" genoemd. In dit geval hoeft de natuurlijke persoon geen betrokkene te zijn; het kan ook een andere natuurlijke persoon zijn. Het is, natuurlijk, niet aan de verantwoordelijke om te definiëren wat een vitaal belang is. Deze grondslag is meer over levensbedreigende-omstandigheden waar er geen andere wettelijke grond voor verwerking is, maar waar het niet verwerken van persoonsgegevens in wezen zou betekenen dat iemand zou sterven als de verwerker geen actie onderneemt en daarom een aantal dingen moet weten over de natuurlijke persoon die in gevaar is.
- Verwerking is noodzakelijk om een taak in het algemeen belang uit te voeren of om een officiële functie uit te voeren. Een organisatie kan zich op deze rechtsgrondslag beroepen als het persoonsgegevens moet verwerken "bij de uitoefening van officieel gezag". Hieronder vallen publieke functies en bevoegdheden die zijn vastgelegd in de wet, of om een specifieke taak in het algemeen belang uit te voeren die is vastgelegd in de wet.
- De verantwoordelijke heeft een legitiem belang bij het verwerken van iemands persoonsgegevens. De verwerking van persoonsgegevens deze context is niet noodzakelijkerwijs gerechtvaardigd door een wettelijke verplichting of uitgevoerd om de voorwaarden van een contract met een individu uit te voeren. In dergelijke gevallen kan de verwerking van persoonsgegevens worden gerechtvaardigd opgrond van legitiem belang. Een verwerker bijvoorbeeld een legitiem belang wanneer de verwerking plaatsvindt binnen een klantrelatie, voor directe marketingdoeleinden, om fraude te voorkomen, of om de netwerk- en informatiebeveiliging van IT-systemen te waarborgen.
Hoe werkt toestemming onder de GDPR?
Er zijn strikte regels voor toestemming van een betrokkene om zijn/haar gegevens te verwerken:
- Toestemming moet "vrij gegeven, specifiek, geïnformeerd, en ondubbelzinnig" zijn.
- Verzoeken om toestemming moeten "duidelijk te onderscheiden zijn van de andere zaken" en gepresenteerd worden in "duidelijke en heldere taal".
- Betrokkenen kunnen eerder gegeven toestemming intrekken wanneer ze maar willen en men moet deze beslissing respecteren. Het is niet mogelijk om eenvoudigweg de rechtsgrondslag van de verwerking te wijzigen in een van de andere rechtvaardigingen.
- Men moet bewijsstukken van iemands toestemming bewaren.
Wat zijn individuele rechten onder de GDPR?
GDPR geeft de volgende rechten aan individuen:
- Het recht om geïnformeerd te worden (personen hebben het recht om te worden geïnformeerd over hoe bedrijven hun persoonsgegevens verzamelen en gebruiken, hoe lang ze van plan zijn die gegevens te bewaren en met wie ze die gegevens delen);
- Het recht op toegang (individuen hebben het recht om precies te weten welke informatie bedrijven hebben verzameld, hoe ze die gegevens opslaan en verwerken en wat ze ermee gaan doen);
- Het recht op rectificatie (individuen hebben het recht om onvolledige gegevens te laten aanvullen en onjuiste gegevens te laten corrigeren);
- Het recht op wissen (individuen hebben het recht om persoonsgegevens permanent te laten wissen. Dit staat ook bekend als het "recht om vergeten te worden");
- Het recht om de verwerking te beperken (als individuen niet kunnen eisen dat de verwerkingsverantwoordelijken hun persoonsgegevens wissen, kunnen ze wel de mogelijkheid van de verwerkingsverantwoordelijken beperken om die gegevens te verwerken);
- Het recht op gegevensoverdraagbaarheid (individuen hebben het recht om hun persoonsgegevens te verkrijgen en te hergebruiken voor hun eigen doeleinden in verschillende diensten);
- Het recht om bezwaar te maken (personen hebben het recht om in bepaalde omstandigheden bezwaar te maken tegen de verwerking van hun persoonsgegevens);
- Rechten met betrekking tot geautomatiseerde besluitvorming- en profilering (individuen hebben het recht om menselijke tussenkomst te eisen in plaats van dat belangrijke beslissingen genomen worden door algoritmen).
Wat zijn de zeven principes van de GDPR?
Volgens de GDPR zijn er zeven belangrijke principes voor gegevensbescherming en verantwoording:
- Rechtmatigheid, billijkheid en transparantie - De verwerking moet rechtmatig, billijk, en transparant zijn voor de betrokkene.
- Doelbeperking - Gegevens moeten verwerkt worden voor de legitieme doeleinden die expliciet aan de betrokkene zijn gespecificeerd toen u de gegevens verzamelde.
- Gegevensminimalisatie - men mag slechts zoveel gegevens verzamelen en verwerken als absoluut noodzakelijk is voor de opgegeven doeleinden.
- Nauwkeurigheid - De persoonsgegevens moeten nauwkeurig en up-to-date gehouden worden.
- Opslagbeperking - Men mag persoonlijk identificeerbare gegevens alleen zo lang opslaan als nodig is voor het gespecificeerde doeleinde.
- Integriteit en vertrouwelijkheid - Het verwerken moet zodanig worden uitgevoerd dat de juiste beveiliging, integriteit, en vertrouwelijkheid wordt gewaarborgd (bijv. door versleuteling te gebruiken).
- Verantwoording - De verwerkingsverantwoordelijke is verantwoordelijk voor het kunnen aantonen van het naleven van al deze principes van GDPR.
Vereist de GDPR dat de persoonsgegevens van inwoners van de EU in de EU blijven?
De GDPR heeft geen directe beperking voor de persoonsgegevens van inwoners van de EU om alleen in de EU te blijven. De EU-gegevensbescherming werkt echter volgens het principe "GDPR blijft bij de gegevens", wat betekent dat de regels ter bescherming van persoonsgegevens van toepassing blijven ongeacht waar de gegevens terechtkomen. Dit principe is ook van toepassing wanneer persoonsgegevens worden overgedragen naar een land dat geen lid is van de EU.
Verwerking door Ajax
Verwerkt Ajax mijn persoonsgegevens?
Ja, Ajax kan uw persoonsgegevens verwerken. Hieronder vindt u de belangrijkste manieren waarop wij uw gegevens kunnen gebruiken:
- in onze beveiligingssystemen (bijvoorbeeld via een Ajax Hub of andere apparaten);
- in onze apps voor eindgebruikers en PRO-gebruikers: mobiel (Ajax Security System en Ajax PRO: Tool for Engineers), desktop (Ajax Desktop en Ajax PRO Desktop), en Ajax-webtools (hierna de producten of services genoemd);
- wanneer u onze website bezoekt op https://ajax.systems;
- in het kader van een zakelijke samenwerking tussen uzelf en Ajax (ongeacht of u een directe of indirecte partner of onderaannemer van Ajax bent);
- tijdens gepersonaliseerde communicatie tussen uzelf en Ajax (bijv., interviews, vergaderingen, enz.);
bij het leveren van services met betrekking tot Enhanced Ajax Services (inclusief Ajax SIM, Ajax Cloud Storage, enz.);
Welke soorten gegevens kunnen door Ajax worden verwerkt?
Ajax kan verschillende soorten gegevens verwerken, afhankelijk van het scenario van de interactie met u.
Via onze beveiligingsapparaten kunnen we verwerken:
- Informatie over uw hub (zoals het model en informatie over het serienummer van het netwerk, inclusief IP-adres, activiteit van het apparaat, eerdere en huidige configuratie van apparaten, en de locatie).
- Gegevens over telemetrie en de omgeving.
Om gebruikers informatie over het systeem te bieden in de vorm van statussen en gebeurtenissen, verwerken wij telemetriegegevens.
De term “telemetriegegevens” (hierna ook “telemetrie” genoemd) verwijst naar gegevens en andere indicaties die automatisch worden verzameld, verzonden en gemeten door sensoren die in onze apparaten zijn ingebouwd om de status van de omgeving en de bruikbaarheid te bepalen, en om mogelijke afwijkingen in de werking van de apparaten te detecteren.
Tijdens het gebruik van onze producten of diensten kan door ons worden verwerkt:
- Uw Informatie (zoals uw naam, achternaam, e-mailadres, telefoonnummer, en accountfoto).
- Informatie die u met ons deelt via de contactenlijst van uw apparaat als u gebruikers uitnodigt voor het product (zoals een e-mailadres of telefoonnummer van een persoon die u uitnodigt voor het product).
- Unieke identificatoren voor onze diensten (zoals uw gebruikersnaam en wachtwoord).
- Unieke identificatiegegevens van de gebruikers die u hebt verbonden met het product, zoals de gebruikersnaam, de rol van de gebruiker in het product en zijn/haar e-mailadres; informatie over uw mobiele apparaat, zoals het type apparaat, het besturingssysteem, en de taal van het systeem.
- Locatiegebonden gegevens om u herinneringen te sturen rond het in- en uitschakelen van het systeem als u de Geofence-functie in onze app activeert.
- Wij sturen Android- en iOS-gebruikers een sms met de autorisatiecode die vereist is tijdens het registreren of wijzigingen van uw account.
- Informatie over uw gebruik van onze producten en diensten (zoals verzoeken van de app naar onze server).
Als u onze website bezoekt, kunnen wij verwerken:
- De informatie die u verstrekt bij het invullen van de formulieren en die persoons- en contactgegevens kunnen bevatten.
- Cookie-identifiers (via een GDPR-conforme tool).
- Uw IP-adres om het land van uw locatie te bepalen.
In het geval van zakelijke samenwerking, kunnen we verwerken:
- Persoons- en contactgegevens van zakelijke vertegenwoordigers (naam, functie, e-mail, en telefoonnummer).
- Verzoeken van partners en hun gemachtigde vertegenwoordigers (bijv. verzonden naar het e-mailadres voor ondersteuning, via apps, programma's, enz.).
- Visitekaartjes van partners.
Tijdens persoonlijke communicatie, interviews of vergaderingen:
Als u besluit om contact met ons op te nemen of te solliciteren op een functie bij Ajax, kunnen we naast de gegevens die op de hierboven beschreven manier zijn verzameld, ook extra persoonsgegevens verzamelen en verwerken die u deelt tijdens de communicatie en/of in de documenten die u verstrekt (bijvoorbeeld, cv, sollicitatiebrief), inclusief maar niet beperkt tot:
- Persoonlijke informatie (voornaam, achternaam, telefoonnummer, e-mailadres, foto).
- Unieke identificatiegegevens (bijv. gebruikersnaam, login).
- Eerdere werkervaring.
- Informatie over onderwijs en opleidingen.
- Certificaten, diploma's, referenties.
- Hobby's, interesses en andere persoonlijke interesses.
Voor een dergelijk proces kan de lijst (omvang) met persoonsgegevens en andere informatie verder worden aangepast, gespecificeerd of uitgebreid gedurende het proces. Tegelijkertijd is het verzamelen en verwerken van de nodige persoonsgegevens beperkt tot de doeleinden van een dergelijke verwerking en wordt deze uitgevoerd in overeenstemming met de vereisten van de toepasselijke wetgeving.
Bovendien kan Ajax bij het verwerken van gegevens in de context van bedrijf of gepersonaliseerde communicatie, het afhandelen van partnerverzoeken en visitekaartjes, het voeren van vergaderingen, interviews, enz., evenals voor het optimaliseren van interne operaties en processen, gebruikmaken van kunstmatige intelligentie (hierna ook aangeduid als “AI”).
Gegevens die door kunstmatige intelligentie zijn verwerkt, kunnen in sommige gevallen persoonsgegevens bevatten die een individu identificeren, voor zover en in de hoeveelheid dat: a) openbaar beschikbaar is; b) vrijwillig door u is verstrekt.
Tegelijkertijd is de toegang tot deze gegevens die men vrijwillig aan Ajax heeft verstrekt strikt beperkt tot de werknemers van Ajax. AI is niet in staat om uw gegevens te identificeren, maar verwerkt alleen dergelijke verzoeken, met name van Ajax-gebruikers/klanten, enz. Beslissingen over het beheer van gegevens die we ontvangen van verzoeken van Ajax-gebruikers/klanten en visitekaartjes van partners worden uitsluitend genomen door werknemers van Ajax.
Voor de gespecificeerde verwerking op basis van kunstmatige intelligentie, werken wij samen met dienstverleners die het noodzakelijke niveau van bescherming van persoonsgegevens waarborgen.
Houd er rekening mee dat het verwerken van dergelijke gegevens door Ajax beperkt is en uitsluitend wordt uitgevoerd om de efficiëntie van interne bedrijfsvoering te verbeteren en binnen het kader van verwante doeleinden.
Wat is het doeleinde en de rechtsgrondslag van de verwerking?
- Alle gegevens die we ontvangen via onze beveiligingsapparaten of terwijl u onze producten of diensten gebruikt, worden alleen verwerkt om u de gevraagde beveiligingsdiensten te leveren. Dit betekent dat wij alle dergelijke gegevens verwerken voor de uitvoering van het met u gesloten contract. Dit betekent ook dat we geen gegevens verzamelen die niet specifiek nodig zijn om u dergelijke diensten te kunnen leveren.
- Als u besluit zich aan te melden voor onze nieuwsbrief, dan sturen we u e-mails met informatie over ons en onze laatste updates. Wij zijn afhankelijk van uw toestemming, u geeft deze door uw inschrijving te bevestigen. Ook zullen we deze e-mails personaliseren op basis van de informatie die we hebben over u, zodat het relevanter en nuttiger is voor u.
- Als u het logboek van uw app deelt,in het geval u problemen had, zullen we deze verwerken om uw technische probleem op te lossen en om onze producten en diensten te verbeteren. We verwerken die op basis van ons rechtmatig belang om ons marktaanbod concurrerender te maken.
- Wij gebruiken de met ons gedeelde gegevens van de contactenlijst van uw apparaat als u gebruikers uitnodigt voor het product (zoals het e-mailadres of telefoonnummer van een persoon die u uitnodigt voor het product) alleen om de uitnodiging naar die personen te sturen.
- Alle gegevens die u vrijwillig aan ons verstrekt, hetzij per e-mail, via applicaties, berichten, of door het delen van visitekaartjes of cv's, evenals openbaar beschikbare gegevens, worden verwerkt om de efficiëntie van interne processen te garanderen, zakelijke samenwerking tot stand te brengen en/of gepersonaliseerde communicatie te ondersteunen.
Waar wordt informatie opgeslagen?
Persoonsgegevens van gebruikers die Ajax van u kan verzamelen, worden opgeslagen in een cloudopslag die zich in Ierland, Duitsland en Frankrijk (binnen de EER) bevindt; de keuze van de opslagplaats voor gegevens (in Ierland, Duitsland en Frankrijk) is afhankelijk van de beschikbaarheid van de AWS-infrastructuur.
Andere persoonsgegevens die door Ajax worden verzameld, kunnen ook worden opgeslagen op servers en/of op een cloudopslag in verschillende rechtsgebieden. Dit omvat opslag bij dochterondernemingen van Ajax, evenals bij derden die aannemers, leveranciers of verkopers van Ajax Services zijn, waarvan de servers zich bevinden in landen die een adequaat niveau van bescherming en veiligheid van persoonsgegevens bieden.
Hoewel de wetgeving inzake het beschermen van persoonsgegevens van land tot land kan verschillen, past Ajax de waarborgen toe die in dit en andere interne documenten zijn beschreven, ongeacht waar dergelijke gegevens zijn opgeslagen.
Hoe lang worden gegevens bewaard?
Alle gegevens worden opgeslagen voor de volledige duur van de klantrelatie, behalve het geheugen van pushmeldingen, dit is beperkt tot 500 transacties. Voor het logboek van PRO Desktop Account bedraagt de opslagduur van meldingen over gebeurtenissen 2 jaar. Sommige soorten gegevens (zoals de naam, functie, en contactgegevens van vertegenwoordigers die in contracten worden genoemd) kunnen echter langer dan de samenwerkingsperiode worden bewaard om aan onze wettelijke verplichtingen te voldoen.
Soorten gegevens | Doeleinde van de verwerking | Wettelijke basis | Opslagperiode |
Informatie over de Ajax-hub (model en serienummer, netwerk informatie, inclusief logboek, huidige en eerdere configuratie van het apparaat, locatie) | Voor een goede werking van een Ajax Hub, andere apparaten en Ajax-apps | Contract, in geval van serviceondersteuning, legitiem belang | Voor de volledige duur van de klantrelatie of totdat ze worden gewist door de gebruiker of op hun verzoek. Back-upkopieën worden tot 12 maanden bewaard. |
Unieke identificatiemiddelen (gebruikersnaam en wachtwoord) | Autorisatie van gebruiker | Contract | Voor de volledige duur van de klantrelatie of totdat ze worden gewist door de gebruiker of op hun verzoek. Back-upkopieën worden tot 12 maanden bewaard. |
Op locatie gebaseerde gegevens | Voor een goede werking van een Ajax Hub, andere apparaten en Ajax-apps | Contract en/of legitiem belang | Voor de volledige duur van de klantrelatie of totdat ze worden gewist door de gebruiker of op hun verzoek. Back-upkopieën worden tot 12 maanden bewaard. |
Informatie over uw gebruik van onze producten en services (zoals verzoeken van de app naar onze server) | Voor een goede werking van een Ajax Hub, andere apparaten en Ajax-apps | Contract | Voor de volledige duur van de klantrelatie of totdat ze worden gewist door de gebruiker of op hun verzoek. Back-upkopieën worden tot 12 maanden bewaard. |
De informatie die u verstrekt bij het invullen van de formulieren en die persoons- en contactgegevens kunnen bevatten | Voor communicatie, doeleinden, productlevering en marketing | Toestemming | Voor de volledige duur van de klantrelatie of totdat ze worden gewist door de gebruiker of op hun verzoek. Back-upkopieën worden tot 12 maanden bewaard. |
IP-adres | Voor een goede werking van een Ajax Hub, andere apparaten en Ajax-apps | Toestemming of contract | Voor de volledige duur van de klantrelatie of totdat ze worden gewist door de gebruiker of op hun verzoek. Back-upkopieën worden tot 12 maanden bewaard. |
Naam, achternaam, en contactgegevens | Voor een goede werking van een Ajax Hub, andere apparaten en Ajax-apps | Toestemming | Voor de volledige duur van de klantrelatie of totdat ze worden gewist door de gebruiker of op hun verzoek. Back-upkopieën worden tot 12 maanden bewaard. |
Afbeeldingen gemaakt met Ajax-apparaten | Voor een goede werking van een Ajax Hub, andere apparaten en Ajax-apps | Contract |
|
Gegevens over telemetrie en de omgeving | Voor een goede werking van een Ajax Hub en andere apparaten | Toestemming of contract | Voor de volledige duur van de klantrelatie of totdat ze worden gewist door de gebruiker of op hun verzoek. Back-upkopieën worden tot 12 maanden bewaard. |
Informatie verstrekt tijdens communicatie met partners (bijv. visitekaartjes met contactgegevens, functie, enz.) | Voor communicatie met betrekking tot zakelijke samenwerking en het organiseren van vergaderingen | Toestemming en/of contract | Voor de volledige duur van de relatie met de partner of totdat deze worden gewist door de persoon of op hun verzoek. |
Informatie over een kandidaat voor een beschikbare positie en/of werknemer | Voor persoonlijke communicatie, samenwerking en het opzetten van interviews | Toestemming en/of contract | Voor de volledige duur van de relatie met de kandidaat/werknemer of totdat de gegevens op hun verzoek worden gewist. |
Wie heeft toegang tot het systeem en de informatie aan de kant van Ajax?
Ajax volgt de principes van minimalisatie van beschikbaarheid en van zo min mogelijk rechten bij gegevenstoegang. Toegang tot de gegevens kan dus alleen worden verleend aan werknemers van Ajax die verantwoordelijk zijn voor het leveren van diensten en het ondersteunen van projecten. Wanneer Ajax-werknemers toegang krijgen tot gegevens, wordt hun apparatuur beschermd door encryptie en andere hulpmiddelen zoals vereist door de hoogste technische marktnormen. Alle werknemers hebben een NDA ondertekend en voeren jaarlijks een beoordeling van de gegevensbescherming uit. Alle acties van het personeel worden geregistreerd en de logboeken worden automatisch in realtime gecontroleerd. Bij een vermoeden van overmatige toegang beperken we de toegang en starten we onmiddellijk een onderzoek. Desondanks wijzen wij erop dat Ajax nooit toegang heeft tot de gegevens zonder een geldige wettelijke basis voor een dergelijke toegang. In sommige gevallen kan Ajax door een gebruiker (op zijn/haar eigen risico) worden aangestuurd om toegang te verlenen tot de gegevens van de gebruiker aan derde partijen die door de gebruiker zijn aangewezen (beveiligingsbedrijven, installateurs) via de mobiele of desktop apps. In dergelijke gevallen hebben de door de gebruiker gekozen bedrijven ook toegang tot de gegevens die de gebruiker wil laten overdragen.
Wat doet Ajax om te voldoen aan de wereldwijde wetgeving inzake gegevensbescherming? Hoe toont Ajax naleving van de GDPR aan?
Om te voldoen aan de internationale wetgeving inzake gegevensbescherming, maakt Ajax gebruik van een aanzienlijk aantal maatregelen, mechanismen, en procedures. Ajax past bijvoorbeeld de principes van beperking van gegevensverwerking (privacy als norm en ontwerp), gegevensminimalisatie, toegangscontrole en gegevensverwerkingsbeleid (opslag-, verwerkings-, verwijderingsbeleid, enz.) toe. Betreffende gegevensoverdrachten gebruikt Ajax verschillende maatregelen, waaronder organisatorische en technische maatregelen en modelcontracten. Meer informatie hierover vind u in het gedeelte over gegevensoverdracht.
Hoe kan ik mijn privacyrechten uitoefenen?
Voor het uitoefenen van uw privacyrechten (om uw persoonlijke gegevens te verwijderen, er bezwaar tegen te maken, om geïnformeerd te worden over uw persoonsgegevens, om de verwerking te beperken, etc.) kunt u contact met ons opnemen via het e-mailadres privacy@ajax.systems.
Gegevensoverdracht
Met wie mag Ajax mijn gegevens delen? Welke soorten gegevens mogen worden gedeeld en in welke gevallen?
Over het algemeen kunnen we uw persoonsgegevens alleen delen als dat nodig is om u de gevraagde diensten te kunnen leveren. Dergelijke gegevens kunnen worden bekendgemaakt aan onze leveranciers en dienstverleners, die bepaalde diensten leveren om onze producten en diensten goed te laten functioneren. Dit omvat datahosting, technische ondersteuning, communicatie, enz. We zorgen ervoor dat die aanbieders uw gegevens net zo beveiligd behandelen als wij.
We kunnen uw contactgegevens (zoals telefoonnummer, bijnaam, en e-mailadres) delen met verleners van fysieke beveiligingsdiensten als u ons daarom vraagt door zo'n dienstverlener te selecteren in onze app. Houd er rekening mee dat dergelijke dienstverleners dus zelf de verwerkingsverantwoordelijke worden voor de verwerking van uw persoonsgegevens. Ondanks het feit dat we gerenommeerde partners kiezen voor onze app, raden we aan om hun privacybeleid te controleren voordat u ons vraagt om uw gegevens door te geven aan de geselecteerde bedrijven.
Voor bepaalde behoeften kan Ajax gebruik maken van de diensten van externe subverwerkers buiten de EER. Dergelijke behoeften kunnen bestaan uit het datahosting, technische communicatie voor registratie, installatie, en andere organisatorische activiteiten via e-mail of telefoon.
Ajax stelt alles in het werk om ervoor te zorgen dat dergelijke overdrachten plaatsvinden in overeenstemming met alle van toepassing zijnde wetten inzake gegevensbescherming. Ajax heeft DPA's ondertekend met alle subverwerkers (inclusief SCC's in het geval van grensoverschrijdende gegevensoverdrachten), evenals aanvullende maatregelen die plaatsvinden bij gegevensoverdrachten en -verwerking. Alle subverwerkers van Ajax hebben hun eigen privacybeleid en andere privacygerelateerde documenten, die regelmatig door Ajax-professionals worden gecontroleerd op naleving.
Lijst van de door Ajax erkende subverwerkers:
Service | Provider | Doeleinde van het gebruik | Link naar Privacybeleid en DPA |
AWS | Amazon | Hosting en back-up | |
Twilio | Twilio Group | Programmeerbare SMS | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
SendGrid | Twilio Group | Programmeerbare e-mailcommunicatie | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
Mailgun | Sinch Email | Transactioneel e-mailservice | |
MongoDB | MongoDB Inc. | Leverancier van databaseservices | |
Google BigQuery | Google LLC | Statistieken, serviceverbetering | |
BlueDot | Twiso, Inc | Notitieboek voor communicatie met kandidaten | |
Creatio | CREATIO EMEA LTD | CRM-systeem (geïntegreerd communicatiesysteem) | https://www.creatio.com/privacy-policy, https://www.creatio.com/GDPR |
OpenAI | OpenAI, L.L.C. | Geautomatiseerde reacties op aanvragen |
Wat zijn modelcontracten (Standard Contractual Clauses of SCCs)?
Modelcontracten (Standard Contractual Clauses of SCC's) zijn gestandaardiseerde en vooraf goedgekeurde modelbepalingen voor gegevensbescherming waarmee verantwoordelijken en verwerkers aan hun verplichtingen volgens de EU-wetgeving voor gegevensbescherming kunnen voldoen. Ze kunnen door verantwoordelijken en verwerkers worden opgenomen in hun contractuele afspraken met andere partijen, zoals commerciële partners. De contracten kunnen op vrijwillige basis worden gebruikt om aan te tonen dat de vereisten voor gegevensbescherming worden nageleefd, maar vereisen een bindende contractuele toezegging om ze na te leven. De Europese Commissie heeft de bevoegdheid om SCC's aan te nemen (1) met betrekking tot de relatie tussen verantwoordelijken en verwerkers en (2) voor het doorgeven van persoonsgegevens naar landen buiten de EER.
Wat zijn aanvullende maatregelen?
Aanvullende maatregelen zijn speciaal geïmplementeerde technische en organisatorische procedures die worden gebruikt om een effectief niveau van zekerheid over de doorgegeven gegevens te bereiken dat gelijkwaardig is aan het verwerken van de gegevens binnen de EER.
Ajax implementeerde, inclusief, maar niet beperkt tot, de volgende organisatorische maatregelen:
- regelmatige training voor Ajax-werknemers;
- geautomatiseerd systeem voor realtime bewaking van schendingen en kwetsbaarheden;
- voortdurende registratie van alle processen;
- regelmatige inspectie op kwetsbaarheden en validatie van het Ajax-systeem.
Ajax implementeerde, inclusief, maar niet beperkt tot, de volgende technische maatregelen:
- Maatregelen om te voorkomen dat ongeautoriseerde individuen toegang krijgen tot de systemen voor gegevensverwerking die beschikbaar zijn in gebouwen en locaties (waaronder databases, app-servers, en gerelateerde hardware), waar persoonsgegevens worden verwerkt, waaronder het instellen van beveiligingszones, beperking van toegangspaden, het instellen van toegangsautorisaties voor werknemers en derden, deurvergrendeling (elektrische deuropeners, etc.).
- Maatregelen om te voorkomen dat gegevensverwerkingssystemen door ongeautoriseerde individuen worden gebruikt, waaronder procedures voor identificatie en authenticatie van gebruikers, beveiligingsprocedures voor ID's en wachtwoorden, versleuteling van gearchiveerde gegevensdragers.
- Maatregelen om ervoor te zorgen dat personen die gerechtigd zijn om een systeem voor gegevensverwerking te gebruiken alleen toegang krijgen tot dergelijke persoonsgegevens in overeenstemming met hun rechten, en dat persoonsgegevens niet kunnen worden gelezen, gekopieerd, gewijzigd, of verwijderd zonder autorisatie, met inbegrip van interne beleidsregels en procedures, controleregelingen voor autorisatie, gedifferentieerde toegangsrechten (profielen, rollen, transacties, en objecten), toezicht op en registratie van toegang, disciplinaire maatregelen voor werknemers die persoonsgegevens zonder autorisatie benutten.
- Maatregelen om ervoor te zorgen dat persoonsgegevens tijdens elektronische overdracht, transport, of opslag op opslagmedia (handmatig of elektronisch) niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd, of verwijderd en dat kan worden nagegaan aan welke bedrijven of andere rechtspersonen persoonsgegevens worden verstrekt, waaronder versleuteling, logboekregistratie, en transportbeveiliging. Alle persoongegevens worden versleuteld met het AES256-algoritme en zijn onderworpen aan overdracht via HTTPS met AES128 en TLS 1.2-versleuteling.
- Maatregelen om te controleren of gegevens zijn ingevoerd, gewijzigd, of verwijderd (gewist), en door wie, uit gegevensverwerkingssystemen, met inbegrip van logboek- en rapportagesystemen, audit trails, en documentatie.
- Maatregelen om ervoor te zorgen dat persoonsgegevens worden beschermd tegen onopzettelijke vernietiging of verlies (fysiek/logisch), waaronder back-upprocedures, ononderbreekbare stroomvoorziening (UPS), externe opslag, antivirus/firewall-systemen, rampherstelplan, duurzaamheidsplan voor bedrijven.
- Maatregelen om ervoor te zorgen dat persoonsgegevens die voor verschillende doeleinden zijn verzameld, afzonderlijk kunnen worden verwerkt, waaronder scheiding van databases, beperking van gebruik, scheiding van functies (productie/testen).
Wat is een Transfer Impact Assesment?
Een Transfer Impact Assessment (TIA) is een analyse die wordt uitgevoerd door een verwerkingsverantwoordelijke of een gegevensverwerker van de beveiligingsimplicaties van het doorgeven van persoonsgegevens naar landen buiten de EU/EER, of landen waarvoor een adequaatheidsbesluit geldt.