Keeper Security: Zero-Knowledge platform toegewijd aan AVG-compliance

Hoofdpunten met betrekking tot conformiteit van Keeper met AVG

Onze toewijding

Keeper voldoet aan de Algemene Verordening Gegevensbescherming (AVG) en we richten ons erop om onze bedrijfsprocessen en producten ook in de toekomst de verordening te laten naleven voor onze klanten in de Europese Unie.

De Keeper-webclient, Android-app, Windows Phone-app, iPhone/iPad-app en browserextensies zijn gecertificeerd door het EU-VS Data Privacy Framework ('EU-VS DPF'), de VK-uitbreiding op het EU-VS DPF en het Zwitserse-VS Data Privacy Framework ('Zwitserse-VS DPF') zoals uiteengezet door het Amerikaanse Ministerie van Handel. Keeper is geschikt voor SOC 2 Type 2 in overeenstemming met het AICPA Service Organization Control-kader. Keeper is ook ISO27001 gecertificeerd.

Uitgebreide rechten voor individuen

De AVG biedt uitgebreide rechten voor individuen in de Europese Unie en geeft hen, onder meer, het recht om te worden vergeten en het recht op een kopie van alle persoonlijke gegevens die van hen worden bewaard. De gegevens moeten in een normaal door een machine leesbare indeling zijn en de datacontroller mag zich niet bemoeien met de overdracht van de gegevens.

Plichten met betrekking tot naleving

De AGV vereist dat organisaties passende beleidsregels en beveiligingsprotocollen implementeren, beoordelingen uitvoeren met betrekking tot impact op de privacy, gedetailleerde dossiers bijhouden van gegevensactiviteiten en schriftelijke overeenkomsten aangaan met leveranciers.

Verhoogde afdwinging

Onder de AVG kunnen autoriteiten boetes opleggen tot € 20 miljoen of 4% van de jaaromzet van een bedrijf (het bedrag dat hoger is), gebaseerd op de ernst van de schending en de veroorzaakte schade. Daarnaast biedt de AVG een centraal punt van afdwinging voor organisaties met operaties in meerdere EU-lidstaten door te eisen dat bedrijven werken met een leidende supervisie-autoriteit voor grensoverschrijdende kwesties met betrekking tot gegevensbescherming.

Nieuwe vereisten voor profilering en monitoring

De AVG legt aanvullende verplichtingen op aan organisaties die betrokken zijn bij de profilering of monitoring van het gedrag van EU-inwoners. De bepalingen van de AVG zijn globaal van toepassing op elke organisatie die persoonlijke gegevens van individuen in de Europese Unie verwerkt, waaronder het volgen van hun online activiteiten, ongeacht of de organisatie een fysieke aanwezigheid heeft in de EU.

Melding gegevenslekken en beveiliging

De AGV vereist dat organisaties bepaalde gegevenslekken melden bij gegevensbeschermende autoriteiten, en onder bepaalde omstandigheden, bij de betreffende betrokkenen. De AVG heeft daarnaast aanvullende beveiligingsvereisten voor organisaties.

Keeper's gegevensverwerkingsovereenkomst (GVO)

Zakelijke klanten moeten mogelijk een Overeenkomst voor gegevensverwerking (DPA) ondertekenen met Keeper Security om aan de AVG te voldoen. Vraag de DPA-overeenkomst aan bij uw Keeper Security-vertegenwoordiger of neem contact met ons op via https://keepersecurity.com/support.

Download de gegevensverwerkingsovereenkomst (GVO)

Veelgestelde vragen

Wat doet Keeper Security aan de AVG?

We hebben samengewerkt met TrustArc, wereldleider op het gebied van privacynaleving, om de wijzigingen in onze bedrijfsprocessen te identificeren, evenals de benodigde privacypraktijken en producten om ervoor te zorgen dat we de AVG naleven.

Als een zero-knowledge beveiligingsbedrijf is de AVG sterk afgestemd op de kernproducten en services die wij leveren. Naleving van de internationale wet en de bescherming van de privacy van onze klanten is erg belangrijk voor ons.

Wat is zero-knowledge?

Keeper is een zero-knowledge beveiligingsprovider. De Keeper-gebruiker is de enige persoon die de volledige controle heeft over de versleuteling en ontcijfering van de gegevens. Met Keeper vindt versleuteling en ontcijfering alleen plaats op het apparaat van de gebruiker bij het aanmelden bij de kluis. Elke individuele record die wordt opgeslagen in de kluis van de gebruiker, wordt versleuteld met een 256-bits AES-sleutel die willekeurig wordt gegenereerd op het apparaat. De recordsleutels worden beschermd door een extra sleutel, die de datasleutel wordt genoemd. Voor gebruikers die zich aanmelden bij Keeper met een hoofdwachtwoord, wordt de datasleutel versleuteld door een sleutel die wordt afgeleid van het hoofdwachtwoord op het apparaat van de gebruiker, door gebruik te maken van PBKDF2 met 1.000.000 iteraties. Voor gebruikers die zich aanmelden met SSO, wordt de datasleutel versleuteld met een Elliptic Curve-privésleutel. Gegevens die worden opgeslagen in ruste op het apparaat van de gebruiker worden ook versleuteld met een andere 256-bits AES-sleutel, die de clientsleutel wordt genoemd. Veilig records delen tussen de apparaten van de gebruiker wordt eveneens versleuteld op de netwerklaag en doorgestuurd naar Keeper's Cloud Security Vault. Dit meerlaagse versleutelingsmodel biedt de meest geavanceerde gegevensbescherming die beschikbaar is in de branche.

Welke wijzigingen heeft Keeper Security getroffen om naleving van de AVG te waarborgen?

Als een zero-knowledge platform, wordt de informatie die is opgeslagen in ons product volledig versleuteld en is deze alleen beschikbaar voor de gebruiker. We hebben wijzigingen doorgevoerd in ons analysesysteem om anonimiteit voor onze klanten te garanderen en we hebben wijzigingen aangebracht om u zelf toestemming te laten geven over de manier waarop persoonlijke gegevens die mogelijk over u worden verzameld mogen worden gebruikt of opgeslagen,

Is Keeper een dataprocessor of een datacontroller?

De AVG identificeert twee entiteiten die persoonlijke gegevens mogen verwerken. Een datacontroller beslist welke gegevens mogen worden verzameld en welke verwerking van persoonlijke gegevens plaatsvindt. Een dataprocessor handelt op aanwijzing van een datacontroller om persoonlijke gegevens te verzamelen, opslaan, ophalen en/of verwijderen. Keeper Security is een datacontroller wanneer we onze wachtwoordbeheerder rechtstreeks aan klanten verkopen. We zijn een dataprocessor wanneer we verkopen aan klanten, die op hun beurt worden beschouwd als datacontrollers.

Hoe kan ik mijn persoonlijke gegevens exporteren?

Om uw gegevens te exporteren, meld u zich aan bij de Keeper-webkluis via https://keepersecurity.com/vault en klikt u op 'Meer >> Back-up >> Exporteren'. U kunt uw opgeslagen gegevens in zowel .csv- and .pdf-indeling downloaden. Als uw account is verlopen, kunt u contact opnemen met exportme@keepersecurity.com. Ons supportteam helpt u dan met de toegang tot uw kluis.

Hoe kan ik een verzoek indienen om mijn gegevens te verwijderen?

Stuur een e-mail naar deleteme@keepersecurity.com en verstrek het e-mailadres dat gekoppeld is aan uw Keeper-account.

Waar worden mijn gegevens opgeslagen?

Keeper operates data centers in multiple regions throughout the world with Amazon AWS. Enterprise customers may elect to establish their Keeper tenant in any supported primary region including: United States (US), United States GovCloud (US_GOV), Europe (EU), Australia (AU), Canada (CA) and Japan (JP). Customer data and access to the platform are isolated to that specific region. From each primary region, Keeper utilizes multi-zone and multi-region replication to ensure high availability. In the United States commercial region, Keeper utilizes East and West locations. In the US GovCloud data center, Keeper utilizes East and West locations. In Europe, Keeper utilizes Ireland and Frankfurt locations. In Australia, Keeper utilizes Canada as a DR region. In Canada, data is replicated within the country. In Japan, the primary region is Tokyo and replicated to Osaka. Individual consumer users who sign up through the Keeper Web Vault, desktop app or mobile apps may select the desired data center location on the account creation screen.

Hoe kan ik mijn gegevens overdragen van het Amerikaanse datacentrum naar het Europese datacentrum?

Neem contact op met exportme@keepersecurity.com voor instructies en hulp bij deze gegevensoverdracht.

Hoe helpt Keeper Security met de naleving van de AVG?

Zero-knowledge architectuur en beveiliging: Keeper’s wachtwoordbeheerder is van de grond af aan opgebouwd met het idee dat de individuele gebruiker de enige persoon is met toegang tot de gegevens. Dit is perfect in overeenstemming met de AVG-principes en gegevensbeschermingsvereisten. Alle versleuteling vindt plaats op het apparaat of de apparaten van het individu. De gegevens worden onderweg versleuteld met Transport Layer Security (TLS) en opgeslagen in AES-256 versleutelde tekst. Door de gegevens en de versleuteling te scheiden, heeft geen enkele Keeper-werknemer ooit toegang tot de kluisgegevens van klanten. Volgens artikel 34, in het geval Keeper-kluisgegevens ooit zouden lekken, zou de versleutelde tekst waardeloos zijn voor de aanvallers en zou er derhalve geen melding van hoeven worden gemaakt.

Naast de gewone beveiligingscontroles en -tests, is Keeper SOC 2 Type 2-gecertificeerd en wordt het jaarlijks ISO27001-gecertificeerd.

Keeper maakt gebruik van de Amazon AWS versterkte cloudinfrastructuur op meerdere geografische locaties om de Keeper-kluis te hosten en laten werken. Gegevens in ruste en bij overdracht worden volledig geïsoleerd in het internationale datacentrum van voorkeur van de klant. Met andere woorden: EU-gegevens blijven in de EU. Op deze manier kunnen klanten profiteren van de snelste en veiligste opslag in de cloud.

Geen aanvullende verwerking: Keeper zal nooit gegevens opvragen uit de kluis van klanten, voor welk doeleinde dan ook. Ten eerste is het een kwestie van beleid op het hoogste niveau van Keeper dat we de privacy van onze klanten hoog in het vaandel hebben staan. Ten tweede is het vanwege onze zero-knowledge-architectuur technisch onmogelijk voor ons om dat te doen. We houden ons zo aan de principes van de AVG op zowel organisatorisch als technisch vlak teneinde persoonlijke gegevens te beschermen.

Gegevenscontrole: Klanten kunnen hun gegevens exporteren (in .csv- of .pdf-indeling), en hun kluisrecords aanpassen of verwijderen wanneer ze willen. Hiermee wordt voldaan aan de AVG-vereisten dat persoonlijke gegevens mogen worden overgedragen of verwijderd zodra het beoogde gebruik is voltooid, de toestemming wordt ingetrokken of de legitieme zakelijke reden wordt gewijzigd. Aangezien klanten in staat zijn om hun Keeper-kluizen zelf te beheren, wordt de datacontroller ontheven van een zware taak bij het naleven van de AVG. De gegevens worden zodanig versleuteld, dat alleen de klant er toegang tot heeft. Werknemers kunnen deze niet zien en hoeven er derhalve ook geen toegang tot te hebben.

Rollengebaseerde toegangscontrole: het beveiligingsconcept van 'minste privilege' houdt in dat werknemers uitsluitend toegang moeten hebben tot een minimale hoeveelheid gegevens die ze nodig hebben om hun werk te doen. Dit wordt vaak bereikt met rollengebaseerde toegangscontrole (Role Based Access Control, RBAC).

Keeper integreert met Microsoft Active Directory (AD) om te synchroniseren met knooppunten (organisatorische eenheden), teams en gebruikers. Eenmaal verbonden schakelt Keeper op rollen gebaseerde toegangscontrole in op elk knooppunt. Die controle kan worden uitgerold naar alle lagere knooppunten indien gewenst. Tot deze controle op de Keeper-kluizen behoren hoofdwachtwoordsterkte, rouleringstijd, 2FA-vereisten, IP-whitelisting en meer. Keeper vergrendelt accounts die worden beëindigd in AD en deze accounts worden mogelijk overgedragen naar vertrouwde beheerders. Op deze manier hebben IT-beheerders de controle over gegevensaccounts en -middelen in de hele organisatie.

Beheerdersinzicht en -controle: Keeper Enterprise biedt inzicht in de sterkte van werknemerswachtwoorden, het hergebruik en het gebruik van twee-factor-authenticatie. Keeper verstrekt controlelogs compleet met tijdstempels en filters om snel zoeken naar afwijkingen, wangedrag, misbruik of naleving te rapporteren.