Momentive levert zijn producten over de hele wereld en maakt gebruik van internationale subverwerkers om ons te helpen die producten en diensten te leveren. In ons contract met u verbinden wij ons ertoe dat elke overdracht van persoonsgegevens aan ons in overeenstemming is met de wetgeving inzake gegevensbescherming. We zorgen er ook voor dat wanneer we persoonlijke gegevens overdragen aan derden, de ontvanger de persoonlijke gegevens beschermt met waarborgen die niet minder streng zijn dan de norm die we toepassen op persoonlijke gegevens in ons beheer.

Om u te helpen bepalen of er een passend beschermingsniveau is voor Persoonlijke gegevens die worden overgedragen aan Momentive en verder, waarbij we rekening houden met het arrest van 16 juli 2020 van het Hof van Justitie van de EU (‘HvJEU’) in zaak C-311/18, Data Protection Commissioner v Facebook Ireland Limited en Maximilian Schrems (‘Schrems II’) en richtlijnen voor aanvullende maatregelen van het Europees Comité voor gegevensbescherming (‘EDPB’) , hebben we hieronder wat informatie toegevoegd over de manier waarop uw gegevens tijdens doorgifte worden beschermd.

Zie onze Privacymelding voor meer informatie over hoe we persoonlijke gegevens in het algemeen verwerken.

Deel I: overdrachten naar Momentive

Deel II: overdrachten naar subverwerkers

Als u een klant in de VS bent, bevat uw contract een addendum inzake gegevensbescherming ('DPA') met de Amerikaanse entiteit van Momentive bevatten: Momentive Inc. Indien u gebruikers hebt in de Europese Economische Ruimte ('EER') of het Verenigd Koninkrijk ('VK') en daarom een overdrachtsmechanisme voor gebruikersgegevens naar Momentive nodig hebt, kunt u ons verzoeken om EU- en/of VK-standaardcontractbepalingen ('SCC's') toe te voegen.

1Als u een klant in de EER of het VK bent, bevat uw contract een addendum inzake gegevensbescherming (DPA) met de Ierse entiteit van Momentive: Mometive Europe UC. Aangezien de overdracht van u naar Momentive plaatsvindt tussen Europese entiteiten  waarvoor geen overdrachtsmechanisme nodig is (of die elkaars geschiktheidsstatus hebben erkend), zijn geen andere overdrachtsmechanismen nodig.

Als u een klant buiten de VS, de EER of het VK bent maar gebruikers in de EER of het VK hebt en ervoor moet zorgen dat er een overdrachtsmechanisme is voor overdracht naar derden, dan bevat uw contract een DPA met de Ierse entiteit van Momentive, Mometive Europe UC, en kunt u ons verzoeken dat we EU- en/of VK-SCC's toevoegen.

1U draagt persoonlijke gegevens over aan Momentive zodat we de persoonlijke gegevens voor de volgende doeleinden kunnen verwerken:

Ga na of u gegevens overdraagt voor enige andere doeleinden.

De persoonlijke gegevens van klanten die aan Momentive worden overgedragen, kunnen zoveel of zo weinig persoonlijke gegevens bevatten als u besluit te verstrekken in uw vragen in enquêtes, formulieren en vragenlijsten. Als platform gaan we ervan uit dat u een grote verscheidenheid aan persoonlijke gegevens – inclusief mogelijke gegevens van speciale categorieën – verzamelt. 

De informatie die we verzamelen wordt gespecificeerd in artikel 2 van onze Privacymelding.

Zoals hierboven vermeld, sluit u afhankelijk van uw locatie een contract met een Momentive-entiteit in de VS of Ierland. Op basis van advies van externe adviseurs gespecialiseerd in gegevensbescherming en analyse van de wetten waaraan Momentive is onderworpen, menen we dat het risico verbonden aan het rechtsstelsel in de VS laag is en dat het risico verbonden aan het rechtsstelsel in Ierland geen materieel risico voor de betrokkene inhoudt. Zie het gedeelte 'Aanvullende maatregelen: organisatorisch' hieronder voor meer informatie over Amerikaanse wetgeving.

Zelfs wanneer er een laag of geen materieel risico is vanwege het rechtsstelsel in het land van bestemming, heeft Momentive aanvullende maatregelen genomen om persoonlijke gegevens nog beter te beveiligen. De aanvullende maatregelen zijn onderverdeeld in drie categorieën: (i) contractuele; (ii) organisatorische; en (iii) technische waarborgen. 

Zoals hierboven beschreven gaat Momentive met klanten SCC's aan. Het Schrems II-arrest geeft aan dat partijen gebruik kunnen maken van SCC's en (waar nodig) aanvullende waarborgen voor de overdracht van persoonlijke gegevens van het Verenigd Koninkrijk en de Europese Economische Ruimte ('Europese gegevens') naar de Verenigde Staten. Indien u een overeenkomst bent aangegaan met Momentive of anderszins diensten van Momentive afneemt waarvoor Momentive persoonlijke gegevens van Europese betrokkenen moet verwerken, doet Momentive het volgende (afhankelijk van de Momentive-entiteit waarmee u een contract hebt): 

Voor meer informatie over onze instemming om gebonden te zijn aan de standaardcontractbepalingen, zie de Gebruiksvoorwaarden (voor klanten die zichzelf bedienen), de Toepasselijke serviceovereenkomst (voor klanten van SurveyMonkey Enterprise of GetFeedback Digital), of een andere overeenkomst die u mogelijk met Momentive hebt gesloten.

1De bezorgdheid van het Hof van Justitie van de Europese Unie over de overdracht van gegevens aan de Verenigde Staten was gebaseerd op het verzamelen van gegevens door de Amerikaanse overheid krachtens US Executive Order 12333 ('EO 12333') en krachtens Section 702 van de Foreign Intelligence Surveillance Act ('FISA § 702'), met name 'upstream' surveillance krachtens FISA § 702.  De risico's van deze Amerikaanse wettelijke bepalingen zijn ofwel niet van toepassing op de verwerking van persoonlijke gegevens door Momentive of kunnen voldoende worden beperkt door organisatorische waarborgen die Momentive biedt.

Momentive komt niet in aanmerking voor 'upstream' of bulk surveillanceopdrachten krachtens FISA § 702. Momentive Inc. handelt gedeeltelijk als een elektronische communicatiedienst ('ECS') en mogelijk ook als een computerdienst op afstand ('RCS') (zoals gedefinieerd in Sections 2510 en 2711 van Title 18 USC., respectievelijk) in verband met bepaalde diensten of productfuncties die we aan klanten leveren.  Momentive Inc. behoort dus tot de grote groep bedrijven waaraan de Amerikaanse overheid een richtlijn krachtens FISA § 702 zou kunnen opleggen.  Echter, zoals de Amerikaanse overheid FISA § 702 heeft geïnterpreteerd en toegepast, komt Momentive niet in aanmerking voor het soort opdracht dat voor het Hof van Justitie van de Europese Unie in de Schrems II-beschikking het belangrijkste probleem was – d.w.z. een  FISA § 702-opdracht voor 'upstream' surveillance.  Zoals de Amerikaanse overheid FISA § 702 heeft toegepast, gebruikt zij upstream opdrachten alleen voor verkeer dat via internet-backboneproviders stroomt die internetverkeer voor derden (d.w.z. telecommunicatiebedrijven) doorgeven.  Zie bijvoorbeeld het verslag van de Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act (2 juli 2014), blz. 35-40, beschikbaar op https://fas.org/irp/offdocs/pclob-702.pdf.  Momentive levert dergelijke internet-backbonediensten niet, aangezien we alleen verkeer van onze eigen klanten verwerken.  Daarom komen wij niet in aanmerking voor het soort opdracht dat in de Schrems II-beschikking hoofdzakelijk aan de orde kwam en als problematisch werd beschouwd.

Momentive heeft geen richtlijn krachtens FISA § 702 ontvangen en het is onwaarschijnlijk dat we die zullen ontvangen. Op de datum van deze verklaring heeft Momentive geen richtlijn krachtens FISA § 702 ontvangen en heeft zij geen reden om aan te nemen dat een dergelijke richtlijn aan Momentive wordt gegeven.  Het is zeer onwaarschijnlijk dat de persoonlijke gegevens die Momentive voor onze klanten verwerkt – feedbackgegevens – relevant zijn voor de buitenlandse inlichtingenactiviteiten die onder FISA § 702 vallen.  Bovendien is het waarschijnlijker dat, indien dergelijke persoonlijke gegevens relevant zouden zijn voor een dergelijk onderzoek, de overheid deze gegevens opzoekt via andere vormen van juridische procedures (zoals een door een rechter goedgekeurd huiszoekingsbevel) die wel voldoen aan de hoge normen voor toegang van de overheid tot gegevens zoals beschreven in de Schrems II-beschikking.  Het zou voor de overheid namelijk veel sneller en gemakkelijker zijn om een opdracht of bevel aan te vragen op grond van iets anders dan FISA § 702 dan om de mechanismen in te voeren die de overheid nodig zou hebben om Momentive richtlijnen te geven krachtens FISA § 702.

Momentive verleent geen bijstand – en kan niet worden bevolen om bijstand te verlenen – aan Amerikaanse autoriteiten bij het verzamelen van informatie krachtens Executive Order 12333. Momentive verleent geen bijstand en zal geen bijstand verlenen aan Amerikaanse autoriteiten die krachtens EO 12333 toezicht houden.  EO 12333 biedt de Amerikaanse overheid niet de mogelijkheid om bedrijven te dwingen bijstand te verlenen bij die activiteiten en Momentive zal daar niet vrijwillig aan meewerken.  Derhalve onderneemt Momentive geen actie, en kan zij niet worden opgedragen, om het soort bulk surveillance onder EO 12333 te vergemakkelijken dat in de Schrems II-beschikking problematisch werd geacht.

Momentive biedt een reeks technische maatregelen die de kerngebreken die in de voornoemde Schrems II-beschikking worden genoemd (bulk surveillance krachtens FISA § 702 en bulk interceptie krachtens EO 12333) ondervangen.  

Momentive versleutelt alle ongebruikte gegevens in onze datacenters met behulp van AES-256-versleuteling. Daarnaast versleutelt Momentive alle gebruikte gegevens met behulp van (i) RSA-certificaten met 2048-bits sleutellengte gegenereerd via een openbare certificeringsinstantie voor communicatie met entiteiten buiten Momentive's datacenters, en (ii) RSA-256-certificaten gegenereerd via een interne certificeringsinstantie, voor alle gegevens binnen het datacenter.  Deze versleutelingsinspanningen zijn gericht op het voorkomen van ongeoorloofde verwerving van gegevens in begrijpelijke vorm en het voorkomen van ongeoorloofd afluisteren/toegang wanneer gegevens worden verplaatst tussen twee eindpunten. 

Van sommige klanten van Momentive (bijvoorbeeld klanten van GetFeedback Digital) worden de gegevens alleen in de Europese Unie opgeslagen. In die gevallen worden de gegevens niet in de Verenigde Staten opgeslagen en is er slechts zeer minimale toegang tot die gegevens in de Verenigde Staten voor beperkte doeleinden (bijvoorbeeld om klanten op verzoek ondersteuning te bieden, Sun-beveiligingsondersteuning te bieden en/of voor beperkte technische doeleinden om problemen/bugs op te lossen of systemen uit te breiden).

1Momentive hanteert ook strikte administratieve, technische en fysieke procedures om de informatie die op haar servers is opgeslagen te beschermen. De toegang tot persoonlijke informatie is middels inloggegevens beperkt tot die medewerkers die deze nodig hebben om hun functie uit te oefenen. Momentive past gegevensminimaliseringstechnieken toe om de hoeveelheid persoonlijke gegevens die vanuit de EU naar derde rechtsgebieden worden overgedragen te beperken, waar nodig met inbegrip van pseudonimisering of de-identificatie van gegevens. Daarnaast gebruikt Momentive toegangscontroles zoals multifactorauthenticatie, eenmalig inloggen, toegang op noodzakelijke basis, sterke wachtwoordcontroles en beperkte toegang tot administratieve accounts.  

Bovendien is Momentive als ECS/RCS onderworpen aan de Amerikaanse Electronic Communications Privacy Act (ECPA), 18 USC. § 2701, et seq.  (‘ECPA’), die de klanten van Momentive beschermt.  Zo verbiedt de ECPA overheidsinstanties bijvoorbeeld om informatie te zoeken over Klanten van services zoals Momentive, tenzij dergelijke overheidsinstanties eerst passende rechtsinstrumenten verwerven, waaronder een gerechtelijk bevel of huiszoekingsbevel voor andere informatie dan basisinformatie over leden.  Evenzo bieden zowel de FISA als de ECPA klanten van Momentive verhaalmiddelen tegen de Amerikaanse overheid (inclusief vergoeding van financiële schade of disciplinaire maatregelen tegen de relevante overheidsinstanties) als deze op onoorbare wijze informatie over hen in handen krijgt (zie 18 USC. § 2712).

Verder heeft de externe juridisch adviseur waar Momentive al geruime tijd mee samenwerkt ervaring met het beantwoorden van verzoeken van de Amerikaanse overheid om gebruikersgegevens, waaronder verzoeken met betrekking tot de nationale veiligheid van de VS onder FISA § 702.  Het is beleid van Momentive om dergelijke verzoeken te escaleren naar het eigen interne complianceteam van Momentive en deze zo nodig te laten beoordelen door een externe adviseur.  In in het onwaarschijnlijke geval dat Momentive een dergelijk verzoek ontvangt, zal Momentive de juridische mechanismen die tot zijn beschikking staan inzetten om verzoeken om toegang tot gegevens aan te vechten met behulp van FISA § 702 (waaronder eventuele geheimhoudingsbepalingen of daaraan verbonden bevelen).  De eis wordt in dergelijke gevallen beoordeeld door een Amerikaans tribunaal (de FISA-rechtbank). 

Daarnaast erkent Momentive dat een bevel voor het verlenen van toegang tot gegevens onder FISA § 702 vereist dat Momentive onze Klanten ervan op de hoogte stelt dat we niet langer kunnen voldoen aan de Modelcontractbepalingen, waardoor ze de mogelijkheid hebben hun overeenkomst met ons te beëindigen en de gegevensstromen naar ons op te schorten.  Wij hebben nooit een dergelijke kennisgeving hoeven versturen.

Rekening houdend met de bovenstaande analyse concluderen wij dat het risico op schade voor de betrokkene niet significant is.

De tabel hieronder vat de conclusie van onze beoordeling van de impact van de doorgifte samen..

Met ‘Insignificant’ risico wordt aangeduid dat Persoonlijke gegevens worden overgedragen aan een rechtsgebied dat door de Europese Commissie adequaat wordt geacht (de wettelijke bescherming is gelijkwaardig aan de wettelijke bescherming in Europa) en dat er contractuele, technische en organisatorische maatregelen zijn voor verdere bescherming van gegevens.

Met ‘Laag’ risico wordt aangeduid dat Persoonlijke gegevens worden overgedragen aan een rechtsgebied met een Hoofdstuk V AVG-mechanisme anders dan adequaatheid Hoewel de wettelijke bescherming niet zonder meer gelijk is aan de wettelijke bescherming in Europa, is de doorgifte nog steeds in overeenstemming met de wet en wordt de doorgifte ondersteund door contractuele, technische en organisatorische maatregelen voor verdere gegevensbescherming.

Subverwerkers zijn leveranciers van Momentive die de persoonlijke gegevens van uw gebruikers verwerken zodat Momentive de service aan u kan aanbieden. Alle Momentive-subverwerkers zijn contractueel verplicht om persoonlijke gegevens te beschermen met beveiliging die niet minder strikt is dan de standaard die wij toepassen op persoonlijke gegevens die in ons bezit zijn.

Wanneer Momentive Persoonlijke gegevens doorgeeft ​​aan subverwerkers, voeren we een met de hierboven beschreven stappen vergelijkbare Transfer Impact Assessment (‘TIA’) uit. We doen dit om te waarborgen dat uw persoonlijke gegevens gedurende elke stap worden beschermd in overeenstemming met wetgeving inzake gegevensbescherming en ons contract met u. Hieronder bieden we een overzicht van de belangrijkste punten van de TIA voor elke subverwerker.

Houd er rekening mee dat niet alle subverwerkers worden gebruikt bij het leveren van al onze services. Onze lijst met subverwerkers is opgesplitst in specifieke Momentive-services. 

Als u e-mailmeldingen wilt ontvangen over updates van onze lijst met subverwerkers, kunt u zich hier inschrijven.

Campaign Monitor, Turbine Room Ltd (FirstOfficer.io) en Salesloft, Inc., voorheen subverwerkers van GetFeedback Direct, zijn uit deze lijst verwijderd.