close

Keeper Security richt zich op de naleving van de AVG

Belangrijke wijzigingen die effectief worden met de naderende AVG

Wat is de AVG?

De Algemene Verordening Gegevensbescherming (AVG) behoort tot de belangrijkste Europese wetgeving ter bescherming van gegevens die wordt geïntroduceerd in de Europese Unie (EU) in de afgelopen 20 jaar. Deze wet vervangt de richtlijn voor gegevensbescherming uit 1995. De AGV verbetert de individuele privacyrechten van burgers in de EU en zorgt voor aanzienlijk uitgebreide verplichtingen voor organisaties die met gegevens omgaan. Bij Keeper Security richten we ons op een succesvolle naleving van de AVG.

De AVG reguleert de verwerking van persoonlijke gegevens van individuen in de Europese Unie, waaronder de verzameling, opslag, overdracht en het gebruik ervan. Het concept van 'persoonlijke gegevens' wordt breed gedefinieerd en behelst alle informatie in relatie tot een geïdentificeerd of identificeerbaar individu, in de AVG bepaald als een 'gegevensobject'. Voor de meeste bedrijven gaat het om werknemers en klanten.

De AVG identificeert twee identiteiten die in het bezit mogen zijn van persoonlijke gegevens. Een datacontroller voert de controle over de verwerking van persoonlijke gegevens en bepaalt welke gegevens worden verzameld. Een dataprocessor handelt op aanwijzing van een datacontroller in relatie tot het verzamelen, opslaan, ophalen en/of verwijderen van persoonlijke gegevens. Keeper Security is een datacontroller wanneer we onze wachtwoordbeheerder rechtstreeks aan klanten verkopen. We zijn een dataprocessor wanneer we verkopen aan bedrijven, die op hun beurt worden beschouwd als datacontrollers.

Onze toewijding

Keeper voldoet aan de Algemene Verordening Gegevensbescherming (AVG) en we richten ons erop om onze bedrijfsprocessen en producten ook in de toekomst de verordening te laten naleven voor onze klanten in de Europese Unie.

De Keeper-webclient, Android-app, Windows Phone-app, iPhone/iPad-app en browserextensies zijn al in overeenstemming met EU Privacy Shield gecertificeerd volgens het U.S. Department of Commerce EU-U.S. Privacy Shield-programma en voldoen aan de richtlijn van de Europese Commissie aangaande gegevensbescherming. Keeper is eveneens gecertificeerd als SOC 2 Type 2 in overeenstemming met het AICPA Service Organization Control-kader. Keeper is ook ISO27001-gecertificeerd.

Uitgebreide rechten voor individuen

De AVG biedt uitgebreide rechten voor individuen in de Europese Unie en geeft hen, onder meer, het recht om te worden vergeten en het recht op een kopie van alle persoonlijke gegevens die van hen worden bewaard. De gegevens moeten in een normaal door een machine leesbare indeling zijn en de datacontroller mag zich niet bemoeien met de overdracht van de gegevens.

Plichten met betrekking tot naleving

De AGV vereist dat organisaties passende beleidsregels en beveiligingsprotocollen implementeren, beoordelingen uitvoeren met betrekking tot impact op de privacy, gedetailleerde dossiers bijhouden van gegevensactiviteiten en schriftelijke overeenkomsten aangaan met leveranciers.

Verhoogde afdwinging

Onder de AVG kunnen autoriteiten boetes opleggen tot € 20 miljoen of 4% van de jaaromzet van een bedrijf (het bedrag dat hoger is), gebaseerd op de ernst van de schending en de veroorzaakte schade. Daarnaast biedt de AVG een centraal punt van afdwinging voor organisaties met operaties in meerdere EU-lidstaten door te eisen dat bedrijven werken met een leidende supervisie-autoriteit voor grensoverschrijdende kwesties met betrekking tot gegevensbescherming.

Nieuwe vereisten voor profilering en monitoring

De AVG legt aanvullende verplichtingen op aan organisaties die betrokken zijn bij de profilering of monitoring van het gedrag van EU-inwoners. De bepalingen van de AVG zijn globaal van toepassing op elke organisatie die persoonlijke gegevens van individuen in de Europese Unie verwerkt, waaronder het volgen van hun online activiteiten, ongeacht of de organisatie een fysieke aanwezigheid heeft in de EU.

Melding gegevenslekken en beveiliging

De AGV vereist dat organisaties bepaalde gegevenslekken melden bij gegevensbeschermende autoriteiten, en onder bepaalde omstandigheden, bij de betreffende betrokkenen. De AVG heeft daarnaast aanvullende beveiligingsvereisten voor organisaties.

Keeper's gegevensverwerkingsovereenkomst (GVO)

Zakelijke klanten moeten mogelijk een gegevensverwerkingsovereenkomst (GVO) tekenen met Keeper Security om te helpen bij de naleving van de AVG. Vraag uw Keeper Security-vertegenwoordiger om de GVO of stuur ons een e-mail via business.support@keepersecurity.com.

Download de gegevensverwerkingsovereenkomst (GVO)

Veelgestelde vragen

Wat doet Keeper Security aan de AVG?

We hebben samengewerkt met TrustArc, wereldleider op het gebied van privacynaleving, om de wijzigingen in onze bedrijfsprocessen te identificeren, evenals de benodigde privacypraktijken en producten om ervoor te zorgen dat we de AVG naleven.

Als een zero-knowledge beveiligingsbedrijf is de AVG sterk afgestemd op de kernproducten en services die wij leveren. Naleving van de internationale wet en de bescherming van de privacy van onze klanten is erg belangrijk voor ons.

Wat is zero-knowledge?

Keeper is een zero-knowledge provider. De Keeper-gebruiker is de enige persoon die de volledige controle heeft over de versleuteling en ontcijfering van de gegevens. Met Keeper vindt versleuteling en ontcijfering uitsluitend plaats op het apparaat van de gebruiker dat wordt aangemeld bij de kluis. Elke individuele record die wordt opgeslagen in de kluis van de gebruiker wordt versleuteld met een 256-bits AES-sleutel die willekeurig wordt gegenereerd op het apparaat. De recordsleutels worden beschermd door een extra sleutel, de gegevenssleutel. De gegevenssleutel wordt versleuteld door een sleutel die wordt afgeleid op het apparaat van de gebruiker van het hoofdwachtwoord. De gegevens die in ruste worden opgeslagen op het apparaat van de gebruiker worden ook versleuteld door een andere sleutel, de clientsleutel. Veilige recordsynchronisatie tussen de apparaten van de gebruiker wordt eveneens versleuteld op de netwerklaag en doorgevoerd naar Keeper's Cloud Security Vault. Dit meerlaagse versleutelingsmodel biedt de meest geavanceerde gegevensbescherming die er beschikbaar is in de industrie.

Welke wijzigingen voert Keeper Security door om de AVG na te leven?

Als een zero-knowledge platform, wordt de informatie die is opgeslagen in ons product volledig versleuteld en is deze alleen beschikbaar voor de gebruiker. We hebben wijzigingen doorgevoerd in ons analysesysteem om anonimiteit voor onze klanten te garanderen en we hebben wijzigingen aangebracht om u zelf toestemming te laten geven over de manier waarop persoonlijke gegevens die mogelijk over u worden verzameld mogen worden gebruikt of opgeslagen,

Is Keeper een dataprocessor of een datacontroller?

De AVG identificeert twee entiteiten die persoonlijke gegevens mogen verwerken. Een datacontroller beslist welke gegevens mogen worden verzameld en welke verwerking van persoonlijke gegevens plaatsvindt. Een dataprocessor handelt op aanwijzing van een datacontroller om persoonlijke gegevens te verzamelen, opslaan, ophalen en/of verwijderen. Keeper Security is een datacontroller wanneer we onze wachtwoordbeheerder rechtstreeks aan klanten verkopen. We zijn een dataprocessor wanneer we verkopen aan klanten, die op hun beurt worden beschouwd als datacontrollers.

Hoe kan ik mijn persoonlijke gegevens exporteren?

Om uw gegevens te exporteren, meld u zich aan bij de Keeper-webkluis via https://keepersecurity.com/vault en klikt u op 'Meer >> Back-up >> Exporteren'. U kunt uw opgeslagen gegevens in zowel .csv- and .pdf-indeling downloaden. Als uw account is verlopen, kunt u contact opnemen met support@keepersecurity.com. Ons supportteam helpt u dan met de toegang tot uw kluis.

Hoe kan ik een verzoek indienen om mijn gegevens te verwijderen?

Stuur een e-mail naar support@keepersecurity.com en verstrek het e-mailadres dat gekoppeld is aan uw Keeper-account.

Waar worden mijn gegevens opgeslagen?

Keeper heeft datacentrums in meerdere regio's in de Verenigde Staten en Ierland. Zakelijke klanten kunnen ervoor kiezen om hun Keeper-oplossing ofwel in een Amerikaans of Europees datacentrum onder te brengen. Particuliere klanten die zich registreren via de Amerikaanse Keeper-webkluis ((https://keepersecurity.com/vault), mobiele of desktopapplicaties, worden standaard toegewezen aan het Amerikaanse datacentrum. Van gebruikers die rechtstreeks registreren via de Europese webkluis (https://keepersecurity.eu/vault) worden de gegevens opgeslagen in het Europese datacentrum.

Hoe kan ik mijn gegevens overdragen van het Amerikaanse datacentrum naar het Europese datacentrum?

Neem contact op met support@keepersecurity.com voor instructies en hulp bij deze gegevensoverdracht.

Hoe helpt Keeper Security met de naleving van de AVG?

Zero-knowledge architectuur en beveiliging: Keeper’s wachtwoordbeheerder is van de grond af aan opgebouwd met het idee dat de individuele gebruiker de enige persoon is met toegang tot de gegevens. Dit is perfect in overeenstemming met de AVG-principes en gegevensbeschermingsvereisten. Alle versleuteling vindt plaats op het apparaat of de apparaten van het individu. De gegevens worden onderweg versleuteld met Transport Layer Security (TLS) en opgeslagen in AES-256 versleutelde tekst. Door de gegevens en de versleuteling te scheiden, heeft geen enkele Keeper-werknemer ooit toegang tot de kluisgegevens van klanten. Volgens artikel 34, in het geval Keeper-kluisgegevens ooit zouden lekken, zou de versleutelde tekst waardeloos zijn voor de aanvallers en zou er derhalve geen melding van hoeven worden gemaakt.

Naast de gewone beveiligingscontroles en -tests, is Keeper SOC 2 Type 2-gecertificeerd en wordt het jaarlijks ISO27001-gecertificeerd.

Keeper maakt gebruik van de Amazon AWS versterkte cloudinfrastructuur op meerdere geografische locaties om de Keeper-kluis te hosten en laten werken. Gegevens in ruste en bij overdracht worden volledig geïsoleerd in het internationale datacentrum van voorkeur van de klant. Met andere woorden: EU-gegevens blijven in de EU. Op deze manier kunnen klanten profiteren van de snelste en veiligste opslag in de cloud.

Geen aanvullende verwerking: Keeper zal nooit gegevens opvragen uit de kluis van klanten, voor welk doeleinde dan ook. Ten eerste is het een kwestie van beleid op het hoogste niveau van Keeper dat we de privacy van onze klanten hoog in het vaandel hebben staan. Ten tweede is het vanwege onze zero-knowledge-architectuur technisch onmogelijk voor ons om dat te doen. We houden ons zo aan de principes van de AVG op zowel organisatorisch als technisch vlak teneinde persoonlijke gegevens te beschermen.

Gegevenscontrole: Klanten kunnen hun gegevens exporteren (in .csv- of .pdf-indeling), en hun kluisrecords aanpassen of verwijderen wanneer ze willen. Hiermee wordt voldaan aan de AVG-vereisten dat persoonlijke gegevens mogen worden overgedragen of verwijderd zodra het beoogde gebruik is voltooid, de toestemming wordt ingetrokken of de legitieme zakelijke reden wordt gewijzigd. Aangezien klanten in staat zijn om hun Keeper-kluizen zelf te beheren, wordt de datacontroller ontheven van een zware taak bij het naleven van de AVG. De gegevens worden zodanig versleuteld, dat alleen de klant er toegang tot heeft. Werknemers kunnen deze niet zien en hoeven er derhalve ook geen toegang tot te hebben.

Rollengebaseerde toegangscontrole: het beveiligingsconcept van 'minste privilege' houdt in dat werknemers uitsluitend toegang moeten hebben tot een minimale hoeveelheid gegevens die ze nodig hebben om hun werk te doen. Dit wordt vaak bereikt met rollengebaseerde toegangscontrole (Role Based Access Control, RBAC).

Keeper integreert met Microsoft Active Directory (AD) om te synchroniseren met knooppunten (organisatorische eenheden), teams en gebruikers. Eenmaal verbonden schakelt Keeper op rollen gebaseerde toegangscontrole in op elk knooppunt. Die controle kan worden uitgerold naar alle lagere knooppunten indien gewenst. Tot deze controle op de Keeper-kluizen behoren hoofdwachtwoordsterkte, rouleringstijd, 2FA-vereisten, IP-whitelisting en meer. Keeper vergrendelt accounts die worden beëindigd in AD en deze accounts worden mogelijk overgedragen naar vertrouwde beheerders. Op deze manier hebben IT-beheerders de controle over gegevensaccounts en -middelen in de hele organisatie.

Beheerdersinzicht en -controle: Keeper Enterprise biedt inzicht in de sterkte van werknemerswachtwoorden, het hergebruik en het gebruik van twee-factor-authenticatie. Keeper verstrekt controlelogs compleet met tijdstempels en filters om snel zoeken naar afwijkingen, wangedrag, misbruik of naleving te rapporteren.