Het document zet uiteen welke persoonsgegevens we verzamelen, hoe en waar we ze mogelijk gebruiken, hoe we ze beschermen, wie er toegang toe heeft, met wie we ze delen, en hoe u ze kunt verbeteren. Dit privacybeleid is enkel van toepassing op Bitdefender Zakelijke oplossingen die door Bitdefender worden beheerd. Er bestaat een bijkomend privacybeleid voor de antidiefstal- en human risk-diensten. Dit vindt u onder Hoofdstuk 7 en 8. Bent u een Thuisgebruiker of bezoekt u onze websites, raadpleeg dan ons publiek privacybeleid over welke persoonsgegevens we kunnen verwerken. U vindt dit beleid op onze website https://www.bitdefender.com/site/view/legal-privacy.html.
S.C. BITDEFENDER S.R.L. ("Bitdefender"), met hoofdkantoor in Boekarest, 6th District, 15A Sos. Orhideelor, Orhideea Towers Building, 9-12 floors, geregistreerd in het Handelsregister van Boekarest onder het nummer J40/20427/2005, met fiscale code RO18189442 en met e-mailadres privacy@bitdefender.com, verwerkt persoonsgegevens in overeenkomst met de Roemeense wetgeving aangaande gegevensbescherming en de EU GDPR - Algemene verordening gegevensbescherming (Verordening 2016/679). U kunt onze Functionaris voor gegevensbescherming contacteren op het Bureau voor gegevensbescherming van Bitdefender, via het e-mailadres dpo@bitdefender.com of op het nummer 4021-206.34.70. Bitdefender biedt gegevensbeveiligingsproducten en -diensten. Ons hoofddoel is informatie- en netwerkbeveiliging te verzekeren, door in dit kader kwaliteitsvolle producten en diensten aan te bieden, en tegelijkertijd de privacy en persoonlijke gegevens van onze klanten, internetgebruikers en businesspartners te respecteren. Voor dit doel verzamelen we enkel de persoonsgegevens die absoluut noodzakelijk zijn voor de vermelde doeleinden, naar best vermogen. Voor de verzamelde informatie en gegevens streven we naar de toepassing van passende oplossingen om deze anoniem te maken, of ten minste te pseudonimiseren. Ons belangrijkste principe dat toegepast wordt op de gegevens die we verzamelen, is anonimisering van alle technische gegevens die door Bitdefender enkel gebruikt mogen worden voor de doeleinden die hieronder nader vermeld worden. In gevallen dat de perfecte anonimisering van technische gegevens technisch niet mogelijk is, is de potentiële identificatie van een gebruiker hoogst onwaarschijnlijk. Persoonsgegevens zijn volgens de definitie in de Europese wetgeving (Verordening 2016/679): "iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon ('betrokkene'); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel, of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”. In deze context verwerkt Bitdefender persoonsgegevens van zijn Bitdefender Business Solutions enkel met de bedoeling om de veiligheid van netwerken en informatie te verzekeren door:
Alle persoonsgegevens die door Bitdefender worden verzameld, worden geregistreerd, bewaard, gebruikt en beheerd op beschermde servers en op andere apparaten die deze handelingen mogelijk maken met standaardbeveiligingsmaatregelen. Daarnaast worden alle websites van Bitdefender gehost op beschermde servers met standaardbeveiligingsmaatregelen. Bitdefender kan persoonlijke informatie verzamelen van betrokkenen, als gebruikers van Bitdefender Zakelijke oplossingen. Deze gegevens zijn beperkt tot technische gegevens en licentiegegevens, die soms persoonsgegevens kunnen bevatten:
– bijvoorbeeld, wanneer u van een licentie wordt voorzien, kan uw werkgever of partner uw zakelijke contacten, zoals e-mailadres of telefoonnummer met ons delen, zodat wij u kunnen contacteren met updates en kennisgevingen of zodat wij ondersteuning kunnen bieden. Wanneer u het Ondersteuningscentrum bezoekt, kunnen wij u om een geldig e-mailadres of een telefoonnummer en/of technische informatie vragen om met u te kunnen communiceren en om ondersteuning te kunnen bieden. Alle dergelijke gegevens worden gebruikt om een specifieke gebruiker van een licentie te voorzien om de Bitdefender Zakelijke oplossingen te gebruiken, om een door u aan ons gericht verzoek of een klacht op te lossen of om technische ondersteuning te bieden. Bitdefender kan u ook om andere gegevens vragen die kunnen worden beschouwd als persoonsgegevens, indien dit nodig is om het probleem rond informatiebeveiliging, waarvoor u assistentie hebt gevraagd, op te lossen. Er worden meer details gedeeld wanneer u een specifieke tool gebruikt om met ons te communiceren. De gegevens die worden gebruikt voor licenties worden gedurende de duur van het contract bewaard, plus vijf jaar na de vervaldatum, om te kunnen verdedigen tegen enige gerechtelijke klachten aangaande contractuele kwesties. De bewaarperiodes voor de gegevens die voor ondersteuningsdiensten worden gebruikt, verschillen afhankelijk van het feit of de kwestie werd opgelost en naargelang de communicatiemethode, Echter, de gegevens worden in geen geval langer dan vijf jaar na de laatste communicatie bewaard, om te kunnen verdedigen tegen enige gerechtelijke klachten aangaande contractuele kwesties.
-– wanneer u Bitdefender Zakelijke oplossingen gebruikt, is het mogelijk om bepaalde technische gegevens met ons te delen. Dit kan gaan om gegevens om het apparaat te identificeren (UDID), de geïnfecteerde URL die u gemeld hebt of nog, IP-adressen. Indien u een Bitdefender Zakelijke oplossing gebruikt die integreert met uw e-mailserver, is het mogelijk om bepaalde technische gegevens van de geïnfecteerde bestanden naar ons te sturen, met inbegrip van gegevens zoals de afzender, de ontvanger, het onderwerp of de bijlage. In de meeste gevallen leiden deze technische gegevens niet tot uw rechtstreekse of onrechtstreekse identificatie, maar in bepaalde erg specifieke gevallen is het mogelijk dat computerspecialisten in staat zijn een specifieke computer te identificeren. Daarom behandelen alle dergelijke informatie als persoonsgegevens en beschermen we deze informatie ook als zodanig. Deze informatie wordt uitsluitend gebruikt om informatie en netwerken te beschermen door de correcte en efficiënte functionering van onze Oplossingen en diensten, in overeenstemming met de technische specificaties, en om de Oplossingen en diensten te verbeteren, onder andere door de gemelde beveiligingskwesties te analyseren. Dit omvat ook het leveren en aanpassen van gerelateerde diensten. We kunnen deze informatie ook voor statistische doeleinden gebruiken en om de kwaliteit van onze Oplossingen te verbeteren. Deze gegevens worden voor een beperkte periode bewaard, afhankelijk van hun nut voor de huidige noden wat betreft informatiebeveiliging. Op basis van de snelheid van de huidige technologie, zullen we de gegevens niet langer dan 10 jaar vanaf hun inzameling nodig hebben.
Bitdefender verwerkt persoonsgegevens van zijn Bitdefender Zakelijke oplossingen op basis van de legitieme belangen van Bitdefender, maar ook op basis van de legitieme belangen van de Betrokkenen die Bitdefender wenst te beschermen, met als enige doel netwerk- en informatiebeveiliging te verzekeren, zoals wordt uitgelegd in Overweging 47 van de AVG. Hoe deze gegevensverwerking wordt beheerd, heeft geen invloed op de belangen of op de fundamentele rechten en vrijheden van de betrokkene waarvoor de persoonsgegevens moeten worden beschermd. Zoals hierboven werd uiteengezet, passen wij het principe van 'gegevensminimalisering' toe op de verzamelde gegevens, zodat alle verzamelde gegevens standaard worden geanonimiseerd. Als leider in het domein van informatiebeveiligingsdiensten, zijn vertrouwelijkheid en gegevensbescherming voor ons van essentieel belang. De toegang tot verzamelde persoonsgegevens is beperkt tot Bitdefender-werknemers en gegevensverwerkers voor wie het noodzakelijk is om toegang te hebben, zoals hieronder wordt uiteengezet. Elk beleid van Bitdefender aangaande informatiebeveiliging is in overeenkomst met ISO 27001 en SOC2 Type2 gecertificeerd.
In principe zal Bitdefender nooit enige persoonlijke gegevens over zijn betrokkenen delen met derden, met de uitzonderingen die hieronder en in hoofdstuk 6 vermeld worden.
Bitdefender maakt soms, maar enkel wanneer nodig, gebruik van andere bedrijven om de verzamelde gegevens te verwerken, en met als enige doeleinde dat zij Bitdefender-taken kunnen uitvoeren. Deze bedrijven worden beschouwd als gegevensverwerkers en zijn onderhevig aan strenge contractuele verplichtingen om de vertrouwelijkheid van de verwerkte gegevens te bewaren en om minstens hetzelfde niveau aan beveiliging als Bitdefender aan te bieden. Het is gegevensverwerkers niet toegestaan derde partijen toe te laten persoonsgegevens namens Bitdefender te verwerken en zij dienen de gegevens op een beveiligde en vertrouwelijke manier te gebruiken en/of te bewaren, zonder de voorafgaande goedkeuring van Bitdefender, en enkel voor het doel waartoe Bitdefender de opdracht gaf.
Bitdefender kan persoonlijke gegevens hosten of overdragen in Roemenië, Ierland en in de Europese Unie of in enig ander rechtsgebied dat in overeenkomst met de normen van de Europese Unie een gepast niveau aan bescherming van persoonlijke gegevens biedt (art. 45 GDPR) of andere geschikte beveiligingen, met inbegrip van de Standaard Contractuele Bepalingen (art. 46.2 GDPR).
Voor de Bitdefender Zakelijke oplossingen worden de meeste gegevens intern gehost en beheerd. Maar voor bepaalde gegevens is het mogelijk dat we gebruik maken van het volgende type gegevensverwerkers voor diensten gebaseerd in de EU en de VS:
Wegens geheimhoudingsverplichtingen wordt de specifieke informatie aangaande de gebruikte verwerkers verstrekt aan de bevoegde autoriteiten.
Het is echter mogelijk dat Bitdefender persoonlijke gegevens vrijgeeft aan bevoegde instanties, op hun wettelijke verzoek in overeenkomst met de toepasselijke wetgeving of wanneer dit nodig is om de rechten en belangen van onze klanten en van Bitdefender te beschermen.
In overeenstemming met de AVG hebben betrokkenen het recht op toegang tot de gegevens, het recht op rectificatie, het recht op wissing en het recht om niet te worden onderworpen aan individuele beslissingen. Betrokkenen hebben ook het recht om de verwerking van persoonsgegevens te beperken en om de verwijdering van de verzamelde persoonsgegevens te verzoeken, alsook het recht op gegevensoverdraagbaarheid.
Voor elke gegevensverwerking die gebaseerd is op toestemming, hebt u het recht om de toestemming om het even wanneer in te trekken.
Om deze rechten uit te oefenen, kunt u een gedagtekend schriftelijk verzoek sturen naar de Functionaris voorgegevensbescherming van Bitdefender, of via e-mail naar privacy@bitdefender.com.
Gegevenssubjecten zijn niet onderworpen aan beslissingen die enkel gebaseerd zijn op automatische verwerking, met inbegrip van profilering, wat juridische gevolgen kan hebben of hen op gelijkaardige wijze sterk beïnvloedt.
De betrokkenen beschikken ook over het recht om een klacht in te dienen bij een toezichthoudende autoriteit en het recht zich tot het gerecht te wenden.
Als u onze Bitdefender Zakelijke oplossingen gebruikt, is het mogelijk dat een ander bedrijf (gewoonlijk uw werkgever als onze zakelijke Klant of een Partner die onze diensten gebruikt) ook een gezamenlijke gegevensbeheerder is voor een gedeelte van de gegevens die door de Bitdefender Zakelijke oplossingen worden verzameld, in het bijzonder de gegevens die beschikbaar zijn in de Bitdefender GravityZone Console met informatiebeveiliging als doelstelling. In overeenstemming met onze overeenkomst aangaande gegevensbeheerders met deze bedrijven, dragen zij de volledige verantwoordelijkheid voor de persoonsgegevens die door hen worden verwerkt en dienen zij u te informeren over alle aspecten van hun verwerking van de persoonsgegevens, met inbegrip van de rechtsgrond voor de gegevensverwerking en alle doelen van de verzameling, met inbegrip van het doel informatiebeveiliging.
Dit hoofdstuk vult het privacybeleid aan met specifieke informatie aangaande het verwerken van informatie die persoonlijke informatie kan zijn en die door Bitdefender wordt verzameld voor de antidiefstaldiensten, indien deze geactiveerd zijn in de Bitdefender Zakelijke oplossingen waar u gebruik van maakt. Sommige van de Bitdefender Zakelijke oplossingen bevatten de antidiefstaloptie die ontwikkeld is voor zowel mobiele telefoons als tablets en laptops. De antidiefstaloptie, eens geactiveerd en geconfigureerd, kan in real time het verloren of gestolen apparaat lokaliseren via geo-lokalisatie. Deze Bitdefender-dienst biedt de lokalisatie-optie alsook andere verbonden opties, zoals het apparaat blokkeren vanop afstand, de volledige inhoud van het apparaat verwijderen of foto's nemen van de persoon die de telefoon zonder toestemming gebruikt. U vindt hier meer details. Indien de antidiefstaldiensten geactiveerd zijn, kan Bitdefender persoonsgegevens zoals geo-lokalisatiegegevens ontvangen via de gps, gsm's, wifigebruik of IP-adres. De enige doelstelling van het verwerken van deze gegevens is informatiebeveiliging, via de antidiefstaldienst van Bitdefender. Om de precieze locatie te bepalen, is het mogelijk dat we derde verwerkers gebruiken. Alle gegevens worden doorgaans gehost op EU-grondgebied. Bepaalde gegevens kunnen echter ook in de VS worden gehost, door verwerkers die een gepast niveau aan bescherming van persoonlijke gegevens bieden in overeenkomst met de normen van de Europese Unie (art. 45 GDPR) of andere geschikte beveiligingen, met inbegrip van de Standaard Contractuele Bepalingen (art. 46.2 GDPR). Alle geo-lokalisatiegegevens worden bewaard zolang de antidiefstaldienst actief is, en worden verwijderd wanneer de dienst wordt uitgeschakeld. De Beheerder van een Bitdefender-oplossing kan dus beheersrechten hebben voor Bitdefender-diensten en -oplossingen. Voor de apparaten waarvoor de antidiefstaldiensten zijn geïnstalleerd, kan de Beheerder vanop afstand opdrachten sturen. In dit opzicht is het de verantwoordelijkheid van de Beheerder om te verzekeren dat hij/zij deze acties vanuit een juridisch oogpunt mag ondernemen, en dat hij/zij het recht heeft om de locatie te kennen, om vanop afstand foto's te nemen, om de inhoud van het apparaat te wissen of te blokkeren of om op enige andere wijze te communiceren met het apparaat.
Dit hoofdstuk vult het privacybeleid aan met specifieke informatie over de verwerking van informatie die persoonsgegevens kan omvatten, en die door Bitdefender wordt verzameld voor de Human Risk Analytics-services, alleen als deze zijn geactiveerd binnen de zakelijke oplossingen van Bitdefender die u gebruikt. Het enige doel van deze gegevensverzameling is het helpen identificeren van acties en gedrag van gebruikers die een veiligheidsrisico vormen voor de organisatie. Dit wordt geïmplementeerd met een privacy-vriendelijke oplossing, door gegevens uitsluitend te verwerken op de lokale endpoints om beveiligingsactiviteiten met mogelijke menselijke risico's te identificeren. Het generieke resultaat wordt weergegeven in de GravityZone console die alleen beschikbaar is voor de beheerder van de oplossing, samen met een algemene score voor menselijk risico. De gegevens worden door Bitdefender niet voor andere doeleinden gebruikt. Meer technische gegevens over wat er wordt verwerkt, zijn beschikbaar in de technische documentatie van de zakelijke oplossingen en op onze website.
Het privacybeleid werd goedgekeurd op de datum die is opgenomen in de titel van het document en wordt gewijzigd telkens dit nodig is, zonder de voorgaande of toekomstige kennisgeving van de wijzigingen. De nieuwe versie treedt in werking wanneer deze wordt gepubliceerd op de website en wordt als dusdanig aangeduid. Het huidige document is beschikbaar op https://www.bitdefender.com/site/view/legal-privacy.html.