Privacy- en verwerkingsverklaring

Bij Keeping vinden we jouw privacy buitengewoon belangrijk. Om onze website(s) en product(en) goed te kunnen gebruiken worden er persoonlijke en zakelijke gegevens verzameld. Wij beschermen deze gegevens zorgvuldig tegen misbruik, verlies, diefstal en onrechtmatige verwerking. Deze privacy- en verwerkingsverklaring is van toepassing binnen heel Keeping B.V., zodat voor jou altijd helder is hoe wij met gegevens omgaan.

Verwerkersovereenkomt

Dit document beschrijft ook de verwerkersovereenkomst tussen Keeping en jouw organisatie. In het kader van de algemene verordening gegevensbescherming (AVG) is jouw organisatie de controller van gegevens ingevoerd in Keeping. Wij zijn de verwerker van deze gegevens. Jouw organisatie is dus verantwoordelijk voor de gegevens die teamleden uit jouw organisatie invoeren in Keeping. Jouw organisatie wordt vertegenwoordigd door de door jullie aangewezen organisatie-eigenaar.

Welke gegevens worden verzameld, en waarom?

Alle gegevens die je via onze website(s) en product(en) invult slaan wij op in een gecentraliseerde database.

  • Het overgrote deel van de ingevoerde gegevens worden gebruikt voor de goede werking van onze website(s) en product(en), hierbij gaat het bijvoorbeeld om ingevoerde tijdregistraties.
  • Een deel van de door jou ingevoerde gegevens hebben wij nodig om de overeenkomst uit te voeren, hierbij gaat het o.a. om gegevens voor het voeren onze abonnementsadministratie.
  • E-mailadressen worden verzameld voor het sturen van belangrijke aankondigingen en transactionele e-mailberichten. Voorbeelden van transactionele berichten zijn bijvoorbeeld een 'wachtwoord vergeten'-bericht of een uitnodiging voor een organisatie binnen Keeping. E-mailadressen kunnen ook worden gebruikt voor marketingdoeleinden, in de meeste gevallen doen wij dit alleen als de gebruiker zich hiervoor heeft aangemeld.

Jij kan zelf kiezen welke persoonsgegevens beschikbaar worden gesteld aan Keeping en bent zelf verantwoordelijk voor de overweging of het doel en de aard van de gegevens past bij de verwerking door Keeping.

Daarnaast verzamelen wij gegevens die ontstaan tijdens het gebruik van onze website(s) en product(en).

  • Gebruiksgegevens worden verzameld voor het verrichten van analyses voor statistische, marketing-, kwaliteits-, strategische en wetenschappelijke doeleinden.
  • Foutrapporten en logbestanden worden verzameld voor kwaliteitsverbetering en het waarborgen van de veiligheid.

Functionele cookies

Bij het gebruik van onze website(s) en product(en) maken wij gebruik van functionele cookies. Zonder deze cookies is het niet mogelijk om in te loggen. Het gaat hier o.a. om cookies genaamd: keeping_session voor autorisatie en het bijhouden van persoonlijke voorkeuren, xsrf-token voor misbruikpreventie, keeping-lb voor servertoewijzing, io voor het veilig ontvangen van berichten via een websocket en remember_web om snel opnieuw in te kunnen loggen.

Analytics en advertentietoeschrijving

Voor onze website(s) maken wij gebruik van Google Analytics en Google Adwords advertentietoeschrijving en plaatsen hierbij o.a. cookies genaamd: _ga, _gid. De hiermee verzamelde gegevens worden ingezet voor marketingdoeleinden en gebruikt om onze website te verbeteren.

Wij volgen geen individuele gebruikers met een User-ID en verzamelen geen gegevens voor targeting doeleinden. Advertentietoeschrijving voor Google Adwords passen wij alleen toe bij de registratie van een nieuwe gebruiker.

Google Analytics en Google Adwords zijn alleen verwerkt in onze website(s) en niet in onze product(en). Tijdens het reguliere gebruik van de Keeping-software zullen geen gegevens worden doorgestuurd naar Google Analytics dan wel Google Adwords. Binnen onze product(en) verzamelen we wel gebruiksgegevens. Deze worden opgeslagen in onze interne database die niet gedeeld wordt met derden.

In het kader van de AVG hebben wij een verwerkersovereenkomst met Google.

Foutrapportages en logbestanden

Als er tijdens het gebruik van onze product(en) fouten of eigenaardigheden optreden leggen wij deze in een aantal gevallen geautomatiseerd vast. Dit doen wij om de kwaliteit en de veiligheid van onze product(en) te waarborgen. De verzameling van foutrapporten en logbestanden gebeurd voor zover mogelijk geanonimiseerd.

Bij het gebruik van onze website(s) en de webapplicatie van Keeping worden geanonimiseerde foutrapportages automatisch doorgestuurd naar Bugsnag, een tool voor het monitoren en analyseren van foutrapportages. Daarnaast worden logbestanden van onze website(s) en webapplicatie geaggregeerd en doorgestuurd naar Papertrail, een tool voor het doorzoeken van grote logbestanden. Deze logbestanden worden maximaal één jaar vastgehouden voordat ze worden verwijderd.

Bij het gebruik van onze applicaties voor o.a. iOS en Android worden geanonimiseerde foutrapporten verzameld en doorgestuurd naar Fabric, wederom een tool voor het monitoren en analyseren van foutrapportages.

In het kader van de AVG hebben wij een verwerkersovereenkomst met zowel Fabric, Bugsnag als Papertrail.

Transactionele berichtgeving

Om ervoor te zorgen dat alle e-mail uit onze product(en) goed bij jou aankomt maken wij gebruik van Postmark, een dienst voor het betrouwbaar versturen van e-mail vanuit een applicatie.

De inhoud van verstuurde berichten is bij Postmark bekend en wordt 45 dagen na het versturen vastgehouden. Wij houden niet bij of een e-mailbericht is geopend, ook houden wij niet bij of er op een link in een e-mail geklikt is.

Het versturen van push-berichten naar o.a. onze iOS- en Android-applicaties gaat via een dienst in het beheer van de besturingssysteemproducent. Hierbij wordt de inhoud van het push-bericht enkel doorgestuurd door de dienst, en niet opgeslagen.

In het kader van de AVG hebben wij een verwerkersovereenkomst met Postmark.

Beveiliging, hosting en opslag

Bij Keeping zorgen wij voor passende technische maatregelen en intern beleid om ervoor te zorgen dat alle gegevens die wij verzamelen goed beveiligd zijn tegen misbruik, verlies, diefstal of onrechtmatige verwerking. Keeping waarborgt dat de personen die onder zijn verantwoordelijkheid toegang hebben tot gegevens in Keeping een geheimhoudingsplicht hebben.

Alle verbindingen met de webapplicatie en via de API-koppeling gaan over een versleutelde TLS-verbinding.

Keeping maakt gebruik van twee cloud-providers voor hosting en opslag van gegevens: Digital Ocean en Google Cloud Platform. Deze cloud-providers hebben zelf geen directe toegang tot de verzamelde gegevens, maar gegevens worden wel versleuteld opgeslagen op fysieke datadragers in hun direct beheer.

In het kader van de AVG hebben wij een verwerkersovereenkomst met zowel Digital Ocean als Google Cloud Platform.

Communicatie en ondersteuning

Wanneer je e-mail of andere berichten naar ons verzendt, is het mogelijk dat we die berichten bewaren. E-mailberichten worden bij ons verwerkt door HelpScout en G Suite. Soms vragen wij je naar persoonlijke gegevens die voor de desbetreffende situatie relevant zijn. Dit maakt het mogelijk je vragen te verwerken en je verzoeken te beantwoorden. Wij zullen deze gegevens niet combineren met andere persoonlijke gegevens waarover wij beschikken.

In het kader van de AVG hebben wij een verwerkersovereenkomst met zowel HelpScout als Google.

Verwijderen van jouw gegevens

Het is altijd mogelijk om jouw gebruikersaccount voor onze product(en) op te heffen. Dit kan door in te loggen op onze website en via het rechter menu te gaan naar 'Mijn account' en vervolgens via 'Verwijder mijn account' je gebruikersaccount op te heffen.

Gegevens die toebehoren aan een hele organisatie, zoals bijvoorbeeld tijdregistraties, worden verwijderd zodra de organisatie wordt verwijderd. Dit kan door in te loggen op onze website en binnen de organisatie via het menu te gaan naar 'Instellingen'. Op de pagina kan je vervolgens onder 'Verwijder de organisatie' in te plannen voor verwijdering. Er gaat dan een periode van start waarin je nog 14 dagen je organisatie kan herstellen voordat deze definitief wordt verwijderd.

Na het verwijderen van een organisatie of een gebruikersaccount kan het maximaal twee maanden duren voordat deze gegevens ook zijn verdwenen uit onze backups.

Meldplicht datalekken

In geval van een eventueel datalek, neemt Keeping binnen 72 uur na constatering van het lek via e-mail contact op met de organisatie-eigenaar. De volgende informatie wordt in ieder geval gedeeld:

  • De kenmerken van het incident, zoals: datum en tijdstip constatering, een samenvatting van het incident, en de aard van het incident;
  • Indien bekend, de oorzaak van het lek;
  • De maatregelen die zijn genomen om verdere schade te voorkomen;
  • De omvang van de groep betrokkenen;
  • Het soort gegevens dat door het incident wordt getroffen.

Indien de afnemende organisatie een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens over een datalek bij Keeping, zonder dat de afnemende organisatie dit vooraf heeft besproken met Keeping, dan is de afnemende organisatie aansprakelijk voor door Keeping geleden schade en kosten. De afnemende organisatie is daarnaast verplicht een dergelijke melding direct in te trekken.

Vragen en feedback

Keeping zal, waar mogelijk, zijn medewerking verlenen aan redelijke verzoeken van gebruikers die verband houden met bij Keeping ingeroepen rechten van de gebruiker. Als je vragen hebt over deze privacy- en verwerkingsverklaring, kan je contact met ons opnemen:

Veranderingen

Keeping is te allen tijde gerechtigd de inhoud van deze privacy- en verwerkingsverklaring te wijzigen en/of aan te vullen. Indien wij wijzigingen aanbrengen zullen we dat kenbaar maken via onze website(s) of via e-mail.