Privacybeleid (PP)

1. Inleiding

Deskhero AB (“we,” “ons,” of “onze“) zet zich in voor het beschermen van de privacy van personen die ons Software-as-a-Service (SaaS)-platform (“Service“) gebruiken. Dit Privacybeleid legt uit hoe wij persoonlijke gegevens verzamelen, gebruiken, openbaar maken en beveiligen wanneer Klanten, Gebruikers en Klanten van de Klant met onze Service omgaan. Door de Service te gebruiken, gaat u akkoord met het verzamelen en gebruiken van informatie in overeenstemming met dit Privacybeleid en onze Algemene voorwaarden.

2. Definities

• Klant: Een bedrijf of entiteit dat een overeenkomst met ons is aangegaan om de Service te gebruiken.
• Gebruiker: Een medewerker of vertegenwoordiger van de Klant die bevoegd is de Service te gebruiken.
• Klant van de Klant: Een individu dat via de Service met de Klant communiceert.
• Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
• Verwerking: Elke handeling uitgevoerd op Persoonsgegevens, zoals verzameling, gebruik, opslag of openbaarmaking.

3. Verwerkingsverantwoordelijke en verwerker

• Klanten als verwerkingsverantwoordelijken: Klanten zijn de verwerkingsverantwoordelijken voor Persoonsgegevens met betrekking tot hun Gebruikers en Klanten van de Klant. Zij bepalen de doeleinden en middelen voor de verwerking van deze gegevens.
• Deskhero AB als verwerker: Wij treden op als gegevensverwerker namens de Klanten en verwerken Persoonsgegevens in overeenstemming met onze Data Processing Agreement (DPA).

4. Soorten verzamelde Persoonsgegevens

4.1 Persoonsgegevens verstrekt door Klanten en Gebruikers

Wij kunnen de volgende soorten Persoonsgegevens verzamelen van Klanten en Gebruikers:

• Accountinformatie: Namen, e-mailadressen, telefoonnummers, functietitels en bedrijfsinformatie.
• Authenticatiegegevens: Gebruikersnamen en wachtwoorden.
• Facturatiegegevens: Betalingsgegevens, facturatieadressen en transactie-overzichten.

4.2 Persoonsgegevens van Klanten van de Klant

• Persoonsgegevens die zijn ingediend door Klanten van de Klant wanneer zij via de Service communiceren, zoals supportverzoeken, contactgegevens en alle andere via de Service verstrekte informatie.

4.3 Automatisch verzamelde gegevens

• Gebruiksgegevens: Informatie over hoe Gebruikers de Service benaderen en gebruiken, waaronder IP-adressen, browsertypes en besturingssystemen.
• Cookies en vergelijkbare technologieën: Informatie verzameld via cookies en vergelijkbare trackingtechnologieën. (Zie sectie 12: Cookies en vergelijkbare technologieën)

4.4 Gebruik van Google- en Microsoft-mailboxgegevens

Wanneer u uw Google- of Microsoft-mailbox (“Mailboxprovider”) met Deskhero verbindt, vragen wij uw autorisatie (via OAuth2 of andere beveiligde methoden) om bepaalde mailboxgegevens te openen, verwerken en opslaan zodat wij helpdeskfuncties kunnen leveren (bijv. het verzenden en ontvangen van supporttickets, het bijhouden van de gespreksgeschiedenis).

4.4.1. Verzamelde gegevens

• Mailboxinhoud: E-mails, bijlagen, metadata (onderwerpregels, tijdstempels, afzender-/ontvangeradressen).
• Gebruikersaccountinformatie: Relevante tokens of referenties die nodig zijn om e-mails namens u te verzenden en te ontvangen.

4.4.2. Doel van de verwerking

• Helpdesk-ticketbeheer: Converteer inkomende e-mails automatisch naar supporttickets in Deskhero.
• Uitgaande antwoorden: Verstuur antwoorden vanuit uw gekoppelde mailbox voor een naadloze e-mailervaring voor uw klanten of eindgebruikers.
• Gespreksgeschiedenis: Sla e-mailthreads en bijlagen op en toon deze in Deskhero om context te bieden voor lopende supportcases.

4.4.3. Openbaarmaking van mailboxgegevens

• Geen verkoop van gegevens: Wij verkopen of delen geen mailboxgegevens met derden voor advertentie- of marketingdoeleinden.

• Geautoriseerde subverwerkers:
• We delen mailboxgegevens alleen met de beperkte set subverwerkers die in onze Record of Processing Activities (RoPA) strikt indien nodig om onze Service te leveren of te verbeteren (bijv. virusscanning, opslag of e-mailbezorging).
• Deze subverwerkers zijn contractueel verplicht zich te houden aan gegevensbeschermingsverplichtingen die minstens zo beschermend zijn als die in onze Data Processing Agreement.
• Wettelijke of regelgevende vereisten: We kunnen gegevens openbaar maken als dit vereist is door wetgeving, regelgeving of een gerechtelijk bevel.

4.4.4. Gegevensbescherming en beveiligingsmaatregelen

Wij beschouwen mailboxgegevens als vertrouwelijk en passen robuuste technische en organisatorische controles toe, waaronder:

• Versleuteling: Alle mailboxgegevens worden versleuteld tijdens transport (TLS) en in rust (AES-256 of gelijkwaardig).
• Toegangscontroles: Alleen geautoriseerd personeel met een legitieme noodzaak heeft toegang tot uw mailboxgegevens. Alle toegang wordt gelogd en gemonitord.
• Incidentrespons: Wij hanteren een gedetailleerd incidentresponsplan om vermoedelijke beveiligingsincidenten aan te pakken.
• Aanvullende waarborgen: Raadpleeg voor een volledig overzicht onze Technische en organisatorische maatregelen (TOM).

4.4.5. Bewaring en verwijdering

• Actief gebruik: Wij bewaren uw mailboxgegevens zolang u een Deskhero-account hebt en uw mailboxintegratie actief blijft, om de creatie van supporttickets, antwoorden en historische referentie mogelijk te maken.
• Ontkoppeling of accountsluiting:
• Als u uw mailboxintegratie intrekt of uw Deskhero-account sluit, verwijderen wij alle bijbehorende mailboxgegevens binnen 30 dagen uit onze actieve systemen, behoudens eventuele wettelijk verplichte bewaartermijnen.
• Eventuele restgegevens in back-ups worden automatisch op rolling basis verwijderd binnen één (1) jaar, in overeenstemming met ons back-upbewaarbeleid.

• Vervroegde verwijderingsverzoeken: U kunt om eerdere verwijdering van mailboxgegevens vragen door contact met ons op te nemen via [privacy@deskhero.com]. We zullen dergelijke verzoeken honoreren tenzij dit wordt verhinderd door wettelijke of legitieme zakelijke behoeften (bijv. lopende wettelijke verplichtingen).

4.4.6 Naleving van gegevensbeleid van integratieproviders & AI/ML-beperkingen

Het gebruik door Deskhero van gegevens verkregen via integraties met diensten van derden—bijvoorbeeld Google Workspace-API’s en Microsoft Graph/Microsoft 365—wordt beheerst door het ontwikkelaarsbeleid en de privacyregels van elke provider.

• Geen training van gegeneraliseerde AI/ML-modellen – Wij gebruiken, bewaren of dragen geen via integraties verkregen gebruikersgegevens over voor het ontwikkelen, verbeteren of trainen van gegeneraliseerde (niet-gepersonaliseerde) machine-learning- of kunstmatige-intelligentie-modellen.
• Alleen klantgescopeerde modellen – Alle machine-learningfuncties die wij aanbieden worden uitsluitend getraind op de data van de individuele Klant binnen de omgeving van die Klant; gegevens worden nooit geaggregeerd tussen Klanten of gedeeld met externe AI/ML-diensten.
• Beperkingen op menselijke toegang – Menselijke toegang tot integratiegegevens is beperkt tot de minimale omstandigheden (bijv. beveiliging of support) beschreven in dit beleid en nooit voor AI/ML-modelontwikkeling.
• Positieve beleidsverklaring – Het gebruik door Deskhero van informatie ontvangen van Google Workspace-API’s voldoet aan het Google API Services User Data Policy, inclusief de Limited Use-vereisten, en we passen dezelfde principes toe op alle andere providerintegraties, zoals Microsoft Graph.

5. Doel en rechtsgrond voor verwerking

5.1 Het leveren van de Service

• Doel: Het functioneren en aanbieden van functies van de Service.
• Rechtsgrond: Uitvoering van een overeenkomst (AVG artikel 6(1)(b)).

5.2 Communicatie

• Doel: Communiceren met Klanten en Gebruikers over de Service, waaronder support en updates.
• Rechtsgrond: Uitvoering van een overeenkomst en gerechtvaardigde belangen (AVG artikel 6(1)(b) en 6(1)(f)).

5.3 Naleving en wettelijke verplichtingen

• Doel: Voldoen aan wettelijke verplichtingen en reageren op rechtmatige verzoeken.
• Rechtsgrond: Voldoen aan wettelijke verplichtingen (AVG artikel 6(1)(c)).

5.4 Verbetering en analyse

• Doel: Analyse van gebruik en verbetering van de Service.
• Rechtsgrond: Gerechtvaardigde belangen (AVG artikel 6(1)(f)). Waar wettelijk vereist vragen wij om toestemming.

6. Rechten van betrokkenen

Personen hebben de volgende rechten met betrekking tot hun Persoonsgegevens:

• Recht op inzage: Bevestiging verkrijgen en toegang tot hun Persoonsgegevens.
• Recht op rectificatie: Verzoek om verbetering van onjuiste Persoonsgegevens.
• Recht op verwijdering: Verzoek om verwijdering van Persoonsgegevens onder bepaalde voorwaarden.
• Recht op beperking: Verzoek om beperking van de verwerking onder bepaalde voorwaarden.
• Recht op dataportabiliteit: Ontvangst van hun Persoonsgegevens in een gestructureerd, gangbaar formaat.
• Recht van bezwaar: Bezwaar maken tegen verwerking op basis van gerechtvaardigde belangen.
• Recht om toestemming in te trekken: Toestemming te allen tijde intrekken wanneer de verwerking op toestemming is gebaseerd.

Uitoefening van rechten

• Klanten en Gebruikers: Kunnen contact met ons opnemen via privacy@deskhero.com om hun rechten uit te oefenen.
• Klanten van de Klant: Dienen rechtstreeks contact op te nemen met de Klant (verwerkingsverantwoordelijke) om hun rechten uit te oefenen. Wij helpen Klanten bij het beantwoorden van dergelijke verzoeken zoals uiteengezet in onze DPA.

7. Openbaarmaking van Persoonsgegevens

Wij kunnen Persoonsgegevens openbaar maken aan:

• Subverwerkers: Derde dienstverleners die helpen bij het leveren van de Service. (Zie sectie 8)
• Wettelijke en regelgevende autoriteiten: Wanneer wettelijk vereist of om onze rechten te beschermen.
• Bedrijfsoverdrachten: In verband met fusies, overnames of verkoop van activa.

8. Subverwerkers

Wij maken gebruik van subverwerkers van derden ter ondersteuning van onze Service. Een lijst van huidige subverwerkers is beschikbaar in onze Record of Processing Activities (RoPA) en wordt indien nodig bijgewerkt. Wij zorgen ervoor dat alle subverwerkers gebonden zijn aan gegevensbeschermingsverplichtingen die in lijn zijn met dit Privacybeleid en toepasselijke wetgeving.

9. Internationale gegevensoverdrachten

Persoonsgegevens kunnen worden overgedragen naar landen buiten de Europese Unie (EU) of de Europese Economische Ruimte (EER) waar andere gegevensbeschermingswetten gelden. Wij zorgen voor passende waarborgen, zoals:

• Standard Contractual Clauses (SCC's): Gebruik van door de Europese Commissie goedgekeurde SCC's. Zie onze Data Processing Agreement (DPA) voor details.
• Adequacy-besluiten: Overdracht naar landen die door de Europese Commissie zijn erkend als een passend niveau van gegevensbescherming biedend.

10. Beveiligingsmaatregelen

Wij treffen passende technische en organisatorische maatregelen om Persoonsgegevens te beschermen tegen ongeautoriseerde toegang, wijziging, openbaarmaking of vernietiging. Deze maatregelen omvatten:

• Versleuteling: Versleuteling van gegevens tijdens transport en in rust.
• Toegangscontroles: Beperking van toegang tot geautoriseerd personeel.
• Regelmatige beoordelingen: Het uitvoeren van regelmatige beveiligingsbeoordelingen en audits.

Voor gedetailleerde informatie verwijzen wij u naar onze Technische en organisatorische maatregelen (TOM) document.

11. Gegevensbewaring

Wij bewaren Persoonsgegevens slechts zolang als nodig is om de doelen te bereiken waarvoor ze zijn verzameld, inclusief voor wettelijke, boekhoudkundige of rapportagevereisten.

• Klanten en Gebruikers: Persoonsgegevens worden bewaard gedurende de looptijd van de Overeenkomst en zolang wettelijk vereist.
• Klanten van de Klant: Persoonsgegevens worden bewaard zoals door de Klant opgedragen of zoals wettelijk vereist.

Na beëindiging van de Overeenkomst worden Persoonsgegevens verwijderd of geanonimiseerd in overeenstemming met onze DPA en bewaarbeleid.

12. Cookies en vergelijkbare technologieën

Wij gebruiken cookies en vergelijkbare technologieën om de gebruikerservaring te verbeteren. Cookies zijn kleine tekstbestanden die op uw apparaat worden opgeslagen wanneer u onze Service bezoekt.

12.1 Soorten gebruikte cookies

• Essentiële cookies: Noodzakelijk voor het functioneren van de Service.
• Analytische cookies: Helpen ons te begrijpen hoe de Service wordt gebruikt.

12.2 Cookies beheren

Gebruikers kunnen hun cookie-voorkeuren beheren via de browserinstellingen. Het uitschakelen van cookies kan de functionaliteit van de Service beïnvloeden.

Voor meer informatie verwijzen wij u naar ons Cookiebeleid

13. Wijzigingen in dit Privacybeleid

13.1 Kennisgeving van wijzigingen

Wij kunnen dit Privacybeleid van tijd tot tijd bijwerken. We zullen Klanten en Gebruikers van belangrijke wijzigingen op de hoogte stellen door:

• Een e-mail sturen naar het geregistreerde e-mailadres.
• Een melding tonen bij de volgende aanmelding op de Service.

13.2 Aanvaarding van wijzigingen

Voortgezet gebruik van de Service nadat wijzigingen zijn aangebracht, houdt aanvaarding van het bijgewerkte Privacybeleid in. Als u niet akkoord gaat met de wijzigingen, kunt u uw account beëindigen.

14. Contactgegevens

Voor vragen of opmerkingen over dit Privacybeleid of onze gegevenspraktijken kunt u contact opnemen met onze Data Protection Officer (DPO):

• Naam: Klas Karlsson
• E-mail: dpo@deskhero.com
• Telefoon: +46 70 601 13 22

15. Klachten

Als u van mening bent dat onze verwerking van Persoonsgegevens in strijd is met de toepasselijke gegevensbeschermingswetgeving, heeft u het recht een klacht in te dienen bij een toezichthoudende autoriteit in uw land of in Zweden.

16. Toepasselijk recht

Dit Privacybeleid wordt beheerst door en geïnterpreteerd in overeenstemming met de wetten van Zweden.

Door gebruik te maken van de Service erkennen Klanten, Gebruikers en Klanten van de Klant dat zij dit Privacybeleid hebben gelezen en begrepen.