Naar hoofdinhoud gaan
AppSignal heeft altijd een sterke focus gehad op het beschermen van data die wij verzamelen en verwerken. Als Europees bedrijf waarderen wij de versteviging hiervan door de Algemene Verordening Gegevensbescherming (AVG/GDPR) die op 25 mei 2018 in werking treedt. Hieronder leest u hoe de AVG van toepassing is op AppSignal, onze klanten en de mensen waarvan onze klanten data verzamelen.

Naleving in relatie tot onze werknemers en leveranciers

AppSignal B.V. is de entiteit die de AppSignal-dienst bezit en exploiteert, een bedrijf gevestigd in Nederland en daarom gebonden aan Nederlands en Europees recht. Deze entiteit voldoet volledig aan de AVG, wat betekent dat we alleen data opvragen en verwerken op basis van de juridische grondslagen zoals gedefinieerd in de AVG. In samenwerking met onze juridisch adviseur hebben we een grondige beoordeling gemaakt van al onze processen en dataopslag. Waar nodig hebben we onze interne richtlijnen en procedures gewijzigd om te voldoen aan de AVG en hebben we data verwijderd die we niet nodig hadden of wilden. We hebben ook een nieuw privacybeleid opgesteld en een verwerkersovereenkomst geschreven (meer hierover hieronder). Ten slotte hebben we contact opgenomen met onze leveranciers om overeenkomsten aan te vragen die ervoor zorgen dat we compliant blijven bij het gebruik van hun diensten.

Naleving in relatie tot onze klanten

In relatie tot onze klanten is AppSignal zowel verwerkingsverantwoordelijke als verwerker, afhankelijk van het type verzamelde data.

Verwerkingsverantwoordelijke

AppSignal is de verwerkingsverantwoordelijke voor de informatie die we verzamelen over onze klanten en bezoekers, wat betekent dat we het “doel en de middelen” van de data die we als verwerkingsverantwoordelijke verzamelen, bepalen. Enkele voorbeelden: hun naam, hun e-mailadres, hun creditcardnummer en andere data die we verzamelen op basis van de juridische grondslagen van de AVG. Deze data wordt beschermd door diverse richtlijnen en procedures. Bij het delen van data met leveranciers hebben we ervoor gezorgd dat er contracten zijn die ervoor zorgen dat zij deze data ook op een rechtmatige manier ontvangen en verwerken. U kunt meer lezen over welke data we verzamelen en voor welk doel in ons nieuwe Privacybeleid.

Verwerker

Onze klanten zijn de verwerkingsverantwoordelijken voor de data die hun applicaties verzamelen en naar AppSignal sturen. AppSignal verwerkt die data namens hen, wat ons de verwerker maakt. Om onze klanten in staat te stellen volledig AVG-compliant te zijn bij het gebruik van AppSignal, hebben we verschillende maatregelen genomen. Kortom: AppSignal wenst geen persoonlijke data over uw bezoekers te ontvangen en biedt de tools waarmee u deze informatie kunt strippen voordat u deze ter verwerking naar AppSignal stuurt. Voor meer details, zie hieronder.

Verwerkersovereenkomst

We hebben een verwerkersovereenkomst opgesteld die bijvoorbeeld uitlegt hoe we een verwerker zijn, hoe we de verwerking beperken tot het niveau dat nodig is om de AppSignal-dienst te kunnen leveren, dat we ervoor zorgen dat onze leveranciers ook compliant zijn, enz. (dit is een onvolledige lijst die alleen ter illustratie dient; raadpleeg de volledige verwerkersovereenkomst voor alle details). De verwerkersovereenkomst is toegankelijk voor alle eigenaren van een organisatie op AppSignal. Open de verwerkersovereenkomst voor uw organisatie (er is er één voor elke organisatie). U kunt de verwerkersovereenkomst digitaal ondertekenen, en zodra deze is ondertekend, tonen we wie deze heeft ondertekend en wanneer.

Alleen toegestane request headers

We hebben er altijd voor gezorgd om alle persoonlijke data te strippen uit inkomende events zoals databasequery’s, maar we sloegen wel request headers op zoals REMOTE_ADDR. Afhankelijk van de architectuur kan dit nuttige informatie blootleggen over load balancers of interne IP-adressen. In de meeste gevallen werden hierdoor echter bezoekers-IP-adressen naar AppSignal gestuurd. Aangezien IP-adressen persoonlijke data zijn, hebben we een standaard allowlist gemaakt van headers waarvan we denken dat ze geen persoonlijke data bevatten. Klanten kunnen aanvullende headers aan de allowlist toevoegen (Ruby / Elixir) zoals nodig, zolang ze geen individu identificeren (bijv. als REMOTE_ADDR het IP-adres van een load balancer bevat, is dat prima). Alle niet-allowlisted headers worden gestript voordat ze naar AppSignal worden verzonden.

Filteropties voor parameters en sessiedata

We hebben al lange tijd filteropties voor parameters, maar in onze parameter filtering-documentatie benadrukken we nu het belang met betrekking tot de AVG. Recente releases van de Ruby-gem, het Elixir-package en het Node.js-package breiden deze filterfunctie ook uit naar sessiedata. Het stelt klanten in staat om parameters naar AppSignal te sturen zonder persoonlijke data bloot te leggen, door die data te vervangen door [FILTERED]. Een klant kan er ook voor kiezen om helemaal geen parameters (Ruby) of sessiedata (Ruby / Elixir / Node.js)) te sturen. Data wordt gefilterd voordat deze naar AppSignal wordt verzonden.

Vereisten voor Tagging

We hebben de documentatie voor onze functies Tagging en Metadata gewijzigd om sterk te benadrukken dat er geen persoonlijke data naar AppSignal mag worden gestuurd in tags, en dat user-ID’s, hashes of gepseudonimiseerde identifiers in plaats daarvan moeten worden gebruikt.

Documentatie zoeken (Algolia DocSearch)

Onze documentatiewebsite op docs.appsignal.com maakt gebruik van Algolia DocSearch om zoekfunctionaliteit te bieden. Wanneer u de zoekfunctie gebruikt, verzamelt Algolia anonieme gebruiksdata zoals zoekqueries, klikken en paginaweergaven om de relevantie van zoekresultaten te verbeteren. Algolia genereert een anoniem, kortstondig token voor elk paginabezoek — er worden geen cookies geplaatst en er vindt geen cross-session tracking plaats. Deze data bevat geen persoonlijk identificeerbare informatie (PII) en wordt 90 dagen bewaard voordat ze automatisch worden gewist. Voor meer informatie, zie het privacybeleid van Algolia.

Procedure voor dataverwijdering

Alle details over een request worden opgeslagen in wat wij “samples” noemen. Deze samples hebben een retentie van 30, 45 of 60 dagen, afhankelijk van het plan. Dit is altijd het geval geweest, maar het is ook van belang in het kader van de AVG. Het betekent dat als er per ongeluk persoonlijke data is verzameld, deze nog steeds na maximaal 60 dagen wordt verwijderd. Daarna bewaren we alleen geaggregeerde data. Als een klant merkt dat er per ongeluk persoonlijke data is verzonden als onderdeel van een sample, hebben we een procedure opgesteld waarmee we een of meer samples kunnen verwijderen wanneer hierom wordt verzocht in een e-mail aan support@appsignal.com.