Opdatering om overholdelse af GDPR

Den 16. juli 2020 blev Privacy Shield erklæret ugyldig af EU-Domstolen. Derfor er der ikke længere noget retsligt grundlag for at udveksle data med amerikanske parter. Alle organisationer, der anvender (under)databehandlere i USA, skal indgå en standardkontrakt (SCC) med hver af disse parter. GoodHabitz er ingen undtagelse. Næste trin er at bevise, at den beskyttelse, der aftales i disse SCC'er, opfylder kravene i EU's databeskyttelsesforordning (GDPR).

NEWS GDPR@2X

Hvad betyder dette for brugerne?

Det er vores højeste prioritet at beskytte brugernes personlige oplysninger, og derfor vil vi gerne vise dig, hvad vi gør for at overholde GDPR med hensyn til vores underdatabehandlere. Vores mål er selvfølgelig at kunne dokumentere, at vi beskytter brugernes persondata.

  • Vi har lavet en liste over alle underdatabehandlere, der kan komme til at behandle dine persondata uden for EØS (Det Europæiske Økonomiske Samarbejdsområde).
  • Vi har kontaktet disse underdatabehandlere for at bede dem redegøre for, hvilke tiltag de har iværksat efter ugyldiggørelsen af Privacy Shield.
  • Vi har samlet et team, der skal beslutte, hvad vi skal gøre med de underdatabehandlere, der er baseret i USA.
  • Vi har besluttet at finde europæiske alternativer til vores to amerikanske underdatabehandlere.
  • Vi har implementeret de nye europæiske underdatabehandleres serviceydelser.

Hvad betyder dette for vores kunder?

Den indgåede databehandlingsaftale vil forblive i kraft. Når det er sagt, skal vi opdatere den liste over underdatabehandlere, der er nævnt i aftalen. Det er vores pligt som databehandler at informere vores kunder om ændringer angående vores underdatabehandlere.

Bouncer

Ny underdatabehandler til verificering af mailadresser

GoodHabitz kunne ikke længere garantere GDPR-overholdelse ved brug af Kickbox, vores tidligere amerikanske underdatabehandler til verificering af mailadresser. Derfor har vi valgt at skifte til en udbyder inden for EØS ved navn Bouncer. Vi har grundigt screenet og testet serviceydelserne hos denne polske udbyder. Sikkerhedsscreeningen viste, at alle krævede tekniske og organisatoriske tiltag er iværksat af Bouncer for at leve op til kravene i GDPR. Det er kun mailadresser, der deles med denne udbyder. Bouncer lagrer og behandler disse mailadresser i en EU-baseret cloud-infrastruktur, en hybridløsning fra AWS' cloud (Frankfurt-regionen) og OVH's cloud (Frankrig). Der overføres ingen data uden for EØS, og Bouncer sletter alle persondata fra systemet efter 60 dage. Vi anvender ikke længere serviceydelser fra Kickbox.

Copernica (SMTPeter)

Ny underdatabehandler til afsendelse af transaktionsmails

På trods af de mange foranstaltninger, som vores tidligere amerikanske udbyder Mailchimp/Mandril foretog efter ugyldiggørelsen af Privacy Shield, har vi valgt at skifte til en udbyder inden for EØS. Vi har screenet og testet værktøjet SMTPeter, som tilbyder en cloudbaseret SMTP-server til hurtig og sikker levering af mails. SMTPeter udbydes af Copernica. Copernica er en hollandsk udbyder af software til automatisering af markedsføring og ligger i Amsterdam. Alle data lagres i hollandske datacentre. Både sikkerhedsscreeningen og den tekniske demotest er fuldført med et vellykket resultat. I begyndelsen af december informerede GoodHabitz' sikkerhedsteam alle kunder om det planlagte skift. Siden 10. december er vi overgået fuldstændigt til SMTPeter.

Salesforce

Underdatabehandler, der leverer et salgs-CRM og et sagsnummersystem til kundeservice

GoodHabitz har indgået en standardkontrakt (SCC) med Salesforce. Derudover har Salesforce bindende virksomhedsregler (BCR) på plads, som stemmer overens med GDPR. På trods af disse relevante tiltag har vi hyret Privacy Company som en ekstern part til at foretage en databeskyttelsesvurdering (DPIA) af vores implementering af Salesforce for at garantere, at vi kan dokumentere vores overholdelse af GDPR. 

Dette har givet disse resultater og foranstaltninger:

  • Salesforce anvendes som CRM af GoodHabitz. Ifølge GDPR fungerer GoodHabitz ikke som databehandler, men som dataansvarlig angående brugen af Salesforce. 

Foranstaltninger

  • Eftersom Salesforce ikke er part i kontrakten mellem GoodHabitz og dennes kunder, er Salesforce ikke længere angivet som underdatabehandler i databehandlingsaftalen og på relaterede oversigter over underdatabehandlere.
  • Pardot er part i vores Salesforce-kontrakt, og det var derfor antagelsen, at dataene blev lagret på Salesforces EU18-servere (placeret i Frankrig og Tyskland), ligesom alle vores Salesforce-data. Den dybdegående databeskyttelsesvurdering viste dog, at alle Pardots data er lagret i USA.

Foranstaltninger

  • Det er blevet bekræftet, at Salesforces bindende virksomhedsregler også gælder for Pardots serviceydelser.
  • GoodHabitz indgik en tillægsaftale med Salesforce om at beskytte persondataene mod interferens, der ligger ud over, hvad der er nødvendigt i et demokratisk samfund for at beskytte national sikkerhed, forsvar og offentlig sikkerhed.
  • Vi har sørget for, at ingen af vores kunders persondata deles med Pardot, så det kun er Salesforce-konti, der oprettes med kommercielt sigte, som deles med Pardot. Brugere, der kontakter vores supportafdeling, bliver registreret i Salesforce, men ikke i Pardot.