Asana zet zich in voor de bescherming en naleving van je wereldwijde privacyrechten. In het licht van een aantal rechtsgebieden die wetten hebben uitgevaardigd die beïnvloeden hoe bedrijven omgaan met persoonsgegevens, willen we graag enkele van de maatregelen uitlichten die Asana heeft genomen om te voldoen aan de steeds veranderende wereldwijde privacywetten en -regelgeving, en Asana's voortdurende toewijding aan privacy benadrukken.

Doorgaande naleving en communicatie

Naarmate wetten, voorschriften en richtlijnen van gegevensbeschermingsautoriteiten en regelgevers blijven evolueren en meer landen nieuwe gegevensbeschermingswetten en -voorschriften aannemen, zullen we deze ontwikkelingen nauwlettend volgen en ons programma evalueren op eventuele wijzigingen of uitbreidingen indien nodig.

Wij waarderen de communicatie met onze klanten. Als je vragen hebt over onze gegevensbeschermingspraktijken, neem dan contact op met ons via privacy@asana.com

De Algemene verordening gegevensbescherming

De AVG is een Europese wet die de bescherming regelt voor de persoonsgegevens van EU-inwoners, die van kracht werd op 25 mei 2018. Onder de AVG moeten organisaties die persoonsgegevens van EU-inwoners verzamelen, bewaren, gebruiken of anderszins verwerken (ongeacht de locatie van de organisatie) bepaalde privacy- en beveiligingsmaatregelen implementeren voor die gegevens. Asana heeft een uitgebreid AVG-nalevingsprogramma opgesteld en werkt samen met klanten en verkopers om naleving van de AVG te verzekeren. Asana heeft onder andere de volgende belangrijke stappen genomen om haar praktijken af te stemmen op de AVG:

• Reviseren van onze beleidsregels en contracten met onze partners, verkopers en gebruikers als dat nodig is als de vereisten veranderen

• Uitbreiding van onze beveiligingspraktijken en -procedures

• Nauwlettende controle op de gegevens die we verzamelen, gebruiken en delen

• Meer robuuste interne privacy- en beveiligingsdocumentatie

• Opleiding van werknemers over wereldwijde privacyvereisten en beste praktijken voor privacy/beveiliging in het algemeen

• Een zorgvuldig beleid voor de rechten van de betrokkenen en reactieproces

Hieronder geven we extra details over de kerngebieden van het AVG-nalevingsprogramma van Asana en hoe klanten Asana kunnen gebruiken om hun eigen AVG-nalevingsinitiatieven te ondersteunen.

Overeenkomsten voor gegevensverwerking

Onder de AVG zijn 'verwerkingsverantwoordelijken' (d.w.z. entiteiten die de doelen en middelen van het verwerken van gegevens bepalen) vereist om overeenkomsten te sluiten met andere entiteiten die namens hen gegevens verwerken ('gegevensverwerkers' genoemd). Asana biedt haar klanten die verwerkingsverantwoordelijken van Europese persoonsgegevens zijn, de optie om een Addendum voor gegevensverwerking aan te gaan waaronder Asana zich verbindt om persoonsgegevens te verwerken en beveiligen in overeenstemming met de AVG-vereisten. Dit omvat de verbintenis van Asana om persoonsgegevens te verwerken volgens de instructies van de verwerkingsverantwoordelijke.

Internationale gegevensoverdrachten

EU-US Data Privacy Framework-programma, de UK Extension to the EU-US DPF en het Swiss-US Data Privacy Framework

Asana voldoet aan het EU-US Data Privacy Framework-programma (EU-US DPF), de UK Extension to the EU-US DPF, en het Swiss-US Data Privacy Framework-programma (Swiss-US DPF), zoals opgesteld door het US Department of Commerce. Asana heeft aan het US Department of Commerce verklaard dat het zich houdt aan de EU-US Data Privacy Framework Principles (EU-US DPF Principles) met betrekking tot de verwerking van persoonsgegevens ontvangen uit de Europese Unie op grond van het EU-US DPF en uit het Verenigd Koninkrijk (en Gibraltar) op grond van de UK Extension to the EU-US DPF. Asana heeft aan het US Department of Commerce verklaard dat het zich houdt aan de Swiss-US Data Privacy Framework-programma Principles (Swiss-US DPF Principles) met betrekking tot de verwerking van persoonsgegevens ontvangen uit Zwitserland op grond van het Swiss-US DPF.

Overeenkomstig het EU-US DPF, de Britse uitbreiding op het EU-VS DPF en het Swiss-US DPF, verbindt Asana zich ertoe om niet opgeloste klachten met betrekking tot onze behandeling van persoonsgegevens die we op grond van het EU-US DPF, de Britse uitbreiding op het EU-US DPF, en het Swiss-US DPF ontvangen, door te verwijzen naar BBB National Programs, een aanbieder van alternatieve geschillenbeslechting gevestigd in de Verenigde Staten. Als u niet tijdig een bevestiging over uw klacht met betrekking tot de DPF Principles van ons ontvangt, of als wij uw klacht met betrekking tot de DPF Principles niet naar uw tevredenheid hebben afgehandeld, bezoek dan de BBB National Programs Dispute Resolution Process-website op https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers voor meer informatie of om een klacht in te dienen. De diensten van BBB National Programs worden u gratis aangeboden.

Let erop dat als uw klacht niet via deze kanalen kan worden opgelost, er onder beperkte omstandigheden een mogelijkheid tot bindende arbitrage beschikbaar kan zijn, zoals uiteengezet in Bijlage I van de DPF Principes. Asana is onderworpen aan de onderzoeks- en handhavingsbevoegdheden van de Federal Trade Commission (FTC) met betrekking tot de naleving van de bepalingen van het EU-VS DPF, de Britse uitbreiding op het EU-US DPF en het Swiss-US DPF.

Asana zal redelijke en passende maatregelen nemen die nodig zijn om ervoor te zorgen dat een derde die als ‘gegevensverwerker’ optreedt krachtens de EU-, Britse en Zwitserse terminologie, de persoonsgegevens die wij hen toevertrouwen, op een manier verwerkt die in overeenstemming is met de DPF Principles. Asana is mogelijk aansprakelijk in gevallen van verdere doorgifte aan derden van gegevens van personen uit de EU, het VK en Zwitserland die het heeft ontvangen krachtens respectievelijk het EU-US DPF, de Britse uitbreiding op het EU-VS DPF en het Swiss-US DPF.

In geval van tegenstrijdigheid tussen de voorwaarden in deze privacyverklaring en de EU-US DPF Principles en/of de Swiss-US DPF Principles, gelden de Principles.

Ga voor meer informatie over het Data Privacy Framework (DPF)-programma en om onze certificering te bekijken naar https://www.dataprivacyframework.gov/.

Als het EU-US DPF, de UK Extension to the EU-US DPF en het Swiss-US DPF niet van toepassing zijn, vertrouwt Asana op andere mechanismen voor gegevensdoorgifte om persoonsgegevens door te geven buiten de EER, het VK en Zwitserland, zoals modelcontractbepalingen.

Tools voor gegevenstoegang, -beheer en -portabiliteit

De AVG geeft individuele betrokkenen in bepaalde omstandigheden onder andere het recht op inzage in hun persoonsgegevens en verwijdering en verbetering aan deze gegevens. Asana streeft ernaar om de aanvragen van de betrokkene te vergemakkelijken, consistent met de AVG, zoals verder beschreven in onze privacyverklaring.

Privacydocumentatie

In wezen is de AVG gericht op transparantie, eerlijkheid en aansprakelijkheid. Dienovereenkomstig vereist de wet dat organisaties documentatie bewaren over hun privacypraktijken en hun beslissingen over hoe ze persoonsgegevens verwerken. Asana deelt dit engagement van de AVG en geeft bij haar doorgaande AVG-nalevingsprogramma documentatie over haar activiteiten voor gegevensverzameling en verwerking en de verscheidene beleidsregels en richtlijnen die het volgt. Meer informatie over hoe Asana persoonsgegevens verzamelt, gebruikt en bekendmaakt, vind je in de privacyverklaring van Asana.

Gegevensbeveiliging

De AVG vereist dat organisaties geschikte technische en organisatorische maatregelen nemen om de beveiliging, vertrouwelijkheid en integriteit van persoonsgegevens te beschermen. Beveiliging blijft een prioriteit voor Asana en onze ISO 27018 (Bescherming van persoonlijke gegevens in de cloud), ISO 27701 (Privacy-informatiemanagement) en andere certificeringen tonen onze toewijding aan wereldwijde privacynormen. Daarnaast hebben we met succes onze SOC 2 (Type I) en (Type II) audits voltooid voor maatregelen die relevant zijn voor beveiliging, beschikbaarheid en aansprakelijkheid. Dit betekent dat onafhankelijke derden onze processen en praktijken gevalideerd hebben met betrekking tot deze drie vertrouwenscriteria en hebben bevestigd dat we de naleving van deze maatregelen kunnen handhaven met de controles die we geïmplementeerd hebben. We hebben ook een reeks beveiligingen geïmplementeerd om de veiligheid van ons platform te beschermen, inclusief het versleutelen van webverbindingen om gegevensoverdrachten te beschermen, het repliceren van onze databases om de betrouwbaarheid van het platform te ondersteunen en het beheren van de toegang tot onze faciliteiten en kantoornetwerk. Asana biedt klanten ook de mogelijkheid om extra beveiligingscontroles te gebruiken om de beveiliging van de gegevens van hun team te verhogen. Bekijk onze vertrouwenspagina voor meer informatie.

Je rechten uitoefenen onder de relevante wereldwijde privacywetgeving

Als je je rechten wilt uitoefenen, dien je je aanvraag in te dienen door ons aanvraagformulier voor wereldwijde gegevensbeschermingsrechten in te vullen. Meer informatie over hoe Asana individuele consumenten de mogelijkheid biedt om inzage en verwijdering van hun persoonsgegevens aan te vragen, specifiek onder CCPA, vind je in de privacy-informatie voor inwoners van Californië van onze privacyverklaring.

California Consumer Privacy Act

De CCPA (zoals gewijzigd door CPRA) is een wet die consumenten uit Californië zekere rechten biedt met betrekking tot hun persoonsgegevens. De wet vereist specifiek dat bedrijven, die onderworpen zijn aan het statuut, consumenten de mogelijkheid bieden inzage tot en verwijdering van hun gegevens aan te vragen, en de mogelijkheid om bepaalde manieren van openbaarmaking van hun persoonsgegevens te weigeren. De wet beperkt ook hoe serviceproviders, die persoonlijke informatie verwerken namens een bedrijf, die informatie mogen gebruiken.

Waar een bedrijf, onderworpen aan de CCPA, een diensten- of abonnementovereenkomst aangegaan is met Asana, zal Asana ook handelen als serviceprovider voor dat bedrijf. Specifiek zal Asana persoonsgegevens van deze klanten alleen verwerken voor de doeleinden vermeld in de toepasselijke overeenkomst en zal met klanten samenwerken om aanvragen voor verwijdering of inzage te vervullen.

Addendum voor CCPA-gegevensverwerking

Asana heeft haar Addendum voor gegevensverwerking bijgewerkt om specifiek te verwijzen naar onze verplichtingen onder de CCPA (zoals gewijzigd door CPRA). Als je organisatie een klant van Asana is en een addendum vereist, neem dan contact op met dpa@asana.com.

Gramm-Leach-Bliley Act

De Gramm-Leach-Bliley Act (GLBA) verplicht financiële instellingen (bedrijven die consumenten financiële producten of diensten aanbieden, zoals leningen, financieel of beleggingsadvies, of verzekeringen) hun klanten uit te leggen hoe zij informatie delen en verplicht hen hun gevoelige gegevens te beveiligen. Dienstverleners die van de financiële instellingen toestemming krijgen zich toegang te verschaffen tot de niet-openbare persoonlijke gegevens (NPI, Nonpublic Personal Information) van hun consumenten, moeten tevens voldoen aan de GLBA. Asana voldoet aan de privacy- en beveiligingsregelgeving (Privacy Rule and Safeguards Rule) van de GLBA. Naast het implementeren van beveiligingsmaatregelen, gebruiken we inhoud van klanten alleen om onze diensten te verlenen en niet voor enig ander doel. Klanten mogen geen gevoelige persoonsgegevens (waaronder bankrekeningnummers en sofinummers) in Asana opslaan.

Family Educational Rights and Privacy Act

De Family Educational Rights and Privacy Act (FERPA) is een federale wet die vereist dat academische instellingen zoals hogescholen en universiteiten de privacy van de onderwijsdossiers van studenten beschermen. Asana stelt onze klanten in staat om te voldoen aan de FERPA door ervoor te zorgen dat persoonlijke gegevens veilig worden bewaard en alleen worden gebruikt om onze diensten te leveren zoals beschreven in onze servicevoorwaarden en privacyverklaring. Asana verbindt zich er contractueel toe om geen gegevens van klanten openbaar te maken, behalve zoals opgedragen door de contracterende academische instelling, zoals toegestaan door onze voorwaarden, of zoals vereist door de wet.

HIPAA

De Health Insurance Portability and Accountability Act van 1996 (HIPAA) is een wet in de Verenigde Staten die het opstellen van nationale normen vereist om gevoelige gezondheidsinformatie over patiënten te beschermen tegen openbaarmaking zonder toestemming of medeweten van de patiënt. Bedrijven die vallen onder de Health Insurance Portability and Accountability Act van 1996 ('HIPAA') kunnen Asana gebruiken om HIPAA-conform werkbeheer te ondersteunen.

HIPAA-naleving voor Asana wordt geregeld door Asana's Business Associate Addendum (BAA). Voor aanvullende details over HIPAA en Asana verwijzen we je naar de HIPAA-datasheet.

Act on the Protection of Personal Information

De Act on the Protection of Personal Information (APPI) is de belangrijkste Japanse wet inzake gegevensbescherming die de bescherming van persoonsgegevens regelt. Het is van toepassing op exploitanten van bedrijven die persoonsgegevens verwerken van personen in Japan. De APPI is gewijzigd sinds ze in 2003 van kracht werd, en de meest recente wijzigingen traden in werking op 1 april 2022.

Net als het onderscheid tussen 'gegevensbeheerders' en 'gegevensverwerkers' in de AVG, maakt de APPI een onderscheid tussen 'bedrijfsexploitanten' - of entiteiten met de bevoegdheid om te controleren en beslissingen te nemen over bewaarde persoonlijke informatie (d.w.z. de klanten van Asana) en derde dienstverleners die persoonsgegevens verwerken namens een bedrijfsexploitant (d.w.z. Asana).

De APPI legt ook beperkingen op voor internationale doorgiften van persoonsgegevens buiten Japan. Persoonsgegevens mogen naar overzeese ontvangers worden doorgegeven als er contractuele overeenkomsten zijn die de naleving van de gegevensbeschermingsnormen in Japan garanderen.

Asana verbindt zich ertoe persoonsgegevens te verwerken en te beveiligen zoals vereist door de APPI en de wijzigingen daarop. Het Addendum voor gegevensverwerking van Asana behandelt (1) onze verplichtingen inzake gegevensbescherming om ervoor te zorgen dat we de APPI naleven; (2) hoe we onze klanten zullen helpen met hun verplichtingen volgens de APPI; en (3) de technische en organisatorische maatregelen die geïmplementeerd zijn om persoonsgegevens te beschermen. Meer informatie over de beveiligings- en gegevensbeschermingspraktijken van Asana vind je op onze vertrouwenspagina.

Gerelateerde bronnen

• Asana-privacyverklaring

• Addendum voor Asana-gegevensverwerking

• Asana-vertrouwenspagina

• Asana EU-VS en Zwitserland-VS Privacy Shield-certificering

• Volledige tekst van de AVG

• Volledige tekst van de CCPA (zoals gewijzigd door CPRA)