SurveyMonkey levert diensten over de hele wereld en maakt gebruik van internationale subverwerkers. In ons contract met u verbinden wij ons ertoe dat elke overdracht van persoonsgegevens aan ons in overeenstemming is met de geldende wetgeving voor gegevensbescherming. We geven persoonlijke gegevens uitsluitend door aan subverwerkers die persoonlijke gegevens beschermen met waarborgen die niet minder streng zijn dan de norm die we toepassen op persoonlijke gegevens in ons beheer.

De aanvullende maatregelen die we hebben genomen houden rekening met het arrest van 16 juli 2020 van het Hof van Justitie van de EU (HvJEU) in zaak C-311/18, Data Protection Commissioner v Facebook Ireland Limited en Maximilian Schrems (Schrems II) en richtlijnen voor aanvullende maatregelen van het Europees Comité voor gegevensbescherming (EDPB). Hieronder hebben we gedetailleerde informatie toegevoegd.

Zie onze Privacymelding voor meer informatie over hoe we persoonlijke gegevens in het algemeen verwerken.

Deel I: overdrachten naar SurveyMonkey

Deel II: Verdere doorgifte naar Subverwerkers

Als u een klant in de VS bent, bevat uw contract een addendum voor gegevensbescherming (DPA) met de Amerikaanse entiteit van SurveyMonkey: SurveyMonkey Inc. Als u gebruikers hebt in de Europese Economische Ruimte (EER), het Verenigd Koninkrijk (VK) of Zwitserland en daarom een overdrachtsmechanisme voor gebruikersgegevens naar SurveyMonkey nodig hebt, kunt u ons verzoeken om het relevante overdrachtsmechanisme toe te voegen. (Als u een zelfserviceklant bent, bevat ons online kader voor gegevensbescherming automatisch deze doorgiftemechanismen).

Naast de standaardcontractbepalingen en als secundaire maatregel, zelfcertificeert SurveyMonkey Inc. volgens het Europees-Amerikaanse kader voor gegevensprivacy. Dit houdt in dat de Europese Commissie onze verwerking adequaat heeft geacht op grond van artikel 45, lid 3, van de AVG. Na goedkeuring door de Britse en Zwitserse autoriteiten, voert SurveyMonkey tevens zelfcertificering uit volgens de uitbreiding van het VK tot het Europees-Amerikaanse kader voor gegevensprivacy en de principes van het Zwitsers-Amerikaanse kader voor gegevensprivacy.

Als u een klant in de EER, het VK of Zwitserland bent, bevat uw contract een addendum inzake gegevensbescherming (DPA) met de Ierse entiteit van SurveyMonkey: SurveyMonkey Europe UC. Aangezien de overdracht van u naar SurveyMonkey plaatsvindt tussen Europese entiteiten waarvoor geen overdrachtsmechanisme nodig is (of die elkaars geschiktheidsstatus hebben erkend), zijn geen andere overdrachtsmechanismen nodig.

Als u een klant buiten de VS, de EER of het VK bent, maar gebruikers in de EER, het VK of Zwitserland hebt en ervoor moet zorgen dat er een overdrachtsmechanisme is voor overdracht naar derden, dan bevat uw contract een DPA met de Ierse entiteit van SurveyMonkey, SurveyMonkey Europe UC, en kunt u ons verzoeken om het relevante overdrachtsmechanisme toe te voegen. (Als u een zelfcertificerende klant bent, houd er dan rekening mee dat onze online DPA automatisch deze overdrachtsmechanismen omvat).

U draagt persoonlijke gegevens over aan SurveyMonkey zodat we de persoonlijke gegevens voor de volgende doeleinden kunnen verwerken:

Ga na of u gegevens overdraagt voor enige andere doeleinden.

De persoonlijke gegevens van klanten die aan SurveyMonkey worden overgedragen, kunnen zoveel of zo weinig persoonlijke gegevens bevatten als u besluit te verstrekken in uw vragen in enquêtes, formulieren en vragenlijsten. Door de aard van het platform gaan we ervan uit dat u een grote verscheidenheid aan persoonlijke gegevens verzamelt, waaronder mogelijke gegevens van speciale categorieën. 

De informatie die we verzamelen wordt gespecificeerd in artikel 2 van onze Privacymelding.

Zoals hierboven vermeld, sluit u afhankelijk van uw locatie een contract met een SurveyMonkey-entiteit in de VS of Ierland. Op basis van advies van externe adviseurs gespecialiseerd in gegevensbescherming en analyse van de wetten waaraan SurveyMonkey is onderworpen, menen we dat het risico verbonden aan het rechtsstelsel in de VS laag is en dat het risico verbonden aan het rechtsstelsel in Ierland geen materieel risico voor de betrokkene inhoudt. Zie het gedeelte 'Aanvullende maatregelen: organisatorisch' hieronder voor meer informatie over Amerikaanse wetgeving.

Zelfs wanneer er een laag of geen materieel risico is vanwege het rechtsstelsel in het land van bestemming, heeft SurveyMonkey aanvullende maatregelen genomen om persoonlijke gegevens nog beter te beveiligen. De aanvullende maatregelen zijn onderverdeeld in drie categorieën: (i) contractuele; (ii) organisatorische; en (iii) technische waarborgen. 

Zoals hierboven beschreven gaat SurveyMonkey met klanten Contractuele standaardbepalingen (SCC's) aan. Het Schrems II-arrest geeft aan dat partijen gebruik kunnen maken van SCC's en (waar nodig) aanvullende waarborgen voor de overdracht van persoonlijke gegevens van het Verenigd Koninkrijk, Zwitserland en de Europese Economische Ruimte ('Europese gegevens') naar de Verenigde Staten. Als u een overeenkomst bent aangegaan met SurveyMonkey of anderszins diensten van SurveyMonkey afneemt waarvoor SurveyMonkey persoonlijke gegevens van Europese betrokkenen moet verwerken, doet SurveyMonkey het volgende (afhankelijk van de SurveyMonkey-entiteit waarmee u een contract hebt): 

Voor meer informatie over onze instemming om gebonden te zijn aan de contractuele standaardbepalingen, zie de Gebruiksvoorwaarden (voor klanten die zichzelf bedienen), de Toepasselijke serviceovereenkomst (voor klanten van SurveyMonkey Enterprise of GetFeedback Digital), of een andere overeenkomst die u mogelijk met SurveyMonkey hebt gesloten.

De zorgen van het Hof van Justitie van de Europese Unie over de overdracht van gegevens aan de Verenigde Staten waren gebaseerd op het verzamelen van gegevens door de Amerikaanse overheid krachtens US Executive Order 12333 ('EO 12333') en krachtens sectie 702 van de Foreign Intelligence Surveillance Act ('FISA § 702'), met name 'upstream' surveillance krachtens FISA § 702.  De risico's van deze Amerikaanse wettelijke bepalingen zijn ofwel niet van toepassing op de verwerking van persoonlijke gegevens door SurveyMonkey of kunnen voldoende worden beperkt door organisatorische waarborgen die SurveyMonkey biedt.

Daarnaast heeft de Europese Commissie op 10 juli 2023 zijn arrest inzake de adequaatheid van het Europees-Amerikaanse kader voor gegevensbescherming aangenomen. In dit arrest wordt geconcludeerd dat de Verenigde Staten een passend beschermingsniveau garanderen – vergeleken met dat van de EU – voor persoonsgegevens die vanuit de Europese Unie worden doorgegeven aan Amerikaanse bedrijven die deelnemen aan het Europees-Amerikaanse kader voor gegevensbescherming.

Het adequaatheidsbesluit volgt op de ondertekening door de Verenigde Staten van een Executive Order inzake Enhancing Safeguards for United States Signals Intelligence Activity, waarin nieuwe beveiligingsmechanismen werden geïntroduceerd om tegemoet te komen aan de door het Hof van Justitie van de Europese Unie naar voren gebrachte punten in zijn Schrems II-besluit van juli 2020. De nieuwe verplichtingen zijn er met name op gericht ervoor te zorgen dat toegang tot gegevens door de Amerikaanse inlichtingendiensten beperkt blijft tot hetgeen noodzakelijk en evenredig is, en een onafhankelijk en onpartijdig verhaalmechanisme te creëren voor het afhandelen van klachten van Europeanen over het verzamelen van hun gegevens voor nationale veiligheidsdoeleinden (Zie: https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752).

SurveyMonkey komt niet in aanmerking voor 'upstream' of bulk surveillanceopdrachten krachtens FISA § 702. SurveyMonkey Inc. handelt gedeeltelijk als een elektronische communicatiedienst ('ECS') en mogelijk ook als een computerdienst op afstand ('RCS') (zoals gedefinieerd in secties 2510 en 2711 van Title 18 USC., respectievelijk) in verband met bepaalde diensten of productfuncties die we aan Klanten leveren.  SurveyMonkey Inc. behoort dus tot de grote groep bedrijven waaraan de Amerikaanse overheid een richtlijn krachtens FISA § 702 zou kunnen opleggen.  Echter, zoals de Amerikaanse overheid FISA § 702 heeft geïnterpreteerd en toegepast, komt SurveyMonkey niet in aanmerking voor het soort opdracht dat voor het Hof van Justitie van de Europese Unie in de Schrems II-beschikking het belangrijkste probleem was: d.w.z. een FISA § 702-opdracht voor 'upstream' surveillance.  Zoals de Amerikaanse overheid FISA § 702 heeft toegepast, gebruikt zij upstream opdrachten alleen voor verkeer dat via internet-backboneproviders stroomt die internetverkeer voor derden (d.w.z. telecommunicatiebedrijven) doorgeven.  Zie bijvoorbeeld het verslag van de Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act (2 juli 2014), blz. 35-40, beschikbaar op https://fas.org/irp/offdocs/pclob-702.pdf.  SurveyMonkey levert dergelijke internet-backbonediensten niet, aangezien we alleen verkeer van onze eigen klanten verwerken.  Daarom komen wij niet in aanmerking voor het soort opdracht dat in de Schrems II-beschikking hoofdzakelijk aan de orde kwam en als problematisch werd beschouwd.

SurveyMonkey heeft geen richtlijn krachtens FISA § 702 ontvangen en het is onwaarschijnlijk dat we die zullen ontvangen. Op de datum van deze verklaring heeft SurveyMonkey geen richtlijn krachtens FISA § 702 ontvangen en heeft het geen reden om aan te nemen dat een dergelijke richtlijn aan SurveyMonkey wordt gegeven.  Het is zeer onwaarschijnlijk dat de persoonlijke gegevens die SurveyMonkey voor onze klanten verwerkt (feedbackgegevens) relevant zijn voor de buitenlandse inlichtingenactiviteiten die onder FISA § 702 vallen.  Bovendien is het waarschijnlijker dat, indien dergelijke persoonlijke gegevens relevant zouden zijn voor een dergelijk onderzoek, de overheid deze gegevens opzoekt via andere vormen van juridische procedures (zoals een door een rechter goedgekeurd huiszoekingsbevel) die wel voldoen aan de hoge normen voor toegang van de overheid tot gegevens zoals beschreven in de Schrems II-beschikking.  Het zou voor de overheid namelijk veel sneller en gemakkelijker zijn om een opdracht of bevel aan te vragen op grond van iets anders dan FISA § 702 dan om de mechanismen in te voeren die de overheid nodig zou hebben om SurveyMonkey richtlijnen te geven krachtens FISA § 702.

SurveyMonkey verleent geen bijstand (en kan niet worden bevolen om bijstand te verlenen) aan Amerikaanse autoriteiten bij het verzamelen van informatie krachtens Executive Order 12333. SurveyMonkey verleent geen bijstand en zal geen bijstand verlenen aan Amerikaanse autoriteiten die krachtens EO 12333 toezicht houden.  EO 12333 biedt de Amerikaanse overheid niet de mogelijkheid om bedrijven te dwingen bijstand te verlenen bij die activiteiten en SurveyMonkey zal daar niet vrijwillig aan meewerken.  Derhalve onderneemt SurveyMonkey geen actie, en kan het niet worden opgedragen, om het soort bulk surveillance onder EO 12333 te vergemakkelijken dat in de Schrems II-beschikking problematisch werd geacht.

SurveyMonkey biedt een reeks technische maatregelen die de kerngebreken die in de voornoemde Schrems II-beschikking worden genoemd (bulk surveillance krachtens FISA § 702 en bulk interceptie krachtens EO 12333) ondervangen.  

SurveyMonkey versleutelt alle gegevens in rust in onze datacenters met behulp van op AES 256 gebaseerde versleuteling. Bovendien versleutelt SurveyMonkey alle gegevens in beweging via (i) RSA met certificaten op basis van een sleutellengte van 2048 bits die zijn gegenereerd via een openbare certificeringsinstantie, voor communicatie met rechtspersonen buiten de datacenters van SurveyMonkey, en via (ii) RSA 256-certificaten die zijn gegenereerd via de interne certificeringsinstantie, voor alle gegevens binnen het datacenter.  Deze versleutelingsinspanningen zijn gericht op het voorkomen van ongeoorloofde verwerving van gegevens in begrijpelijke vorm en het voorkomen van ongeoorloofd afluisteren/toegang wanneer gegevens worden verplaatst tussen twee eindpunten. 

Van sommige klanten van SurveyMonkey (bijvoorbeeld klanten van GetFeedback Digital) worden de gegevens alleen in de Europese Unie opgeslagen. In die gevallen worden de gegevens niet in de Verenigde Staten opgeslagen en is er slechts zeer minimale toegang tot die gegevens in de Verenigde Staten voor beperkte doeleinden (bijvoorbeeld om klanten op verzoek ondersteuning te bieden, Sun-beveiligingsondersteuning te bieden en/of voor beperkte technische doeleinden om problemen/bugs op te lossen of systemen uit te breiden).

SurveyMonkey hanteert ook strikte administratieve, technische en fysieke procedures om de informatie die op haar servers is opgeslagen te beschermen. De toegang tot persoonlijke informatie is middels inloggegevens beperkt tot die medewerkers die deze nodig hebben om hun functie uit te oefenen. SurveyMonkey past gegevensminimaliseringstechnieken toe om de hoeveelheid persoonlijke gegevens die vanuit de EU naar derde rechtsgebieden worden overgedragen te beperken, waar nodig met inbegrip van pseudonimisering of de-identificatie van gegevens. Daarnaast gebruikt SurveyMonkey toegangscontroles zoals multifactorauthenticatie, eenmalige aanmelding, toegang op noodzakelijke basis, sterke wachtwoordcontroles en beperkte toegang tot administratieve accounts.  

Bovendien is SurveyMonkey als ECS/RCS onderworpen aan de Amerikaanse Electronic Communications Privacy Act (ECPA), 18 USC. § 2701, et seq.  ('ECPA'), die de Klanten van SurveyMonkey beschermt.  Zo verbiedt de ECPA overheidsinstanties bijvoorbeeld om informatie te zoeken over Klanten van services zoals SurveyMonkey, tenzij dergelijke overheidsinstanties eerst passende rechtsinstrumenten verwerven, waaronder een gerechtelijk bevel of huiszoekingsbevel voor andere informatie dan basisinformatie over leden.  Evenzo bieden zowel de FISA als de ECPA Klanten van SurveyMonkey verhaalmiddelen tegen de Amerikaanse overheid (inclusief vergoeding van financiële schade of disciplinaire maatregelen tegen de relevante overheidsinstanties) als deze op onoorbare wijze informatie over hen in handen krijgt (zie 18 USC. § 2712).

Verder heeft de externe juridisch adviseur waar SurveyMonkey al geruime tijd mee samenwerkt ervaring met het beantwoorden van verzoeken van de Amerikaanse overheid om gebruikersgegevens, waaronder verzoeken met betrekking tot de nationale veiligheid van de VS onder FISA § 702.  Het is beleid van SurveyMonkey om dergelijke verzoeken te escaleren naar het eigen interne complianceteam van SurveyMonkey en deze zo nodig te laten beoordelen door een externe adviseur.  In het onwaarschijnlijke geval dat SurveyMonkey een dergelijk verzoek ontvangt, zal SurveyMonkey de juridische mechanismen die tot zijn beschikking staan inzetten om verzoeken om toegang tot gegevens aan te vechten met behulp van FISA § 702 (waaronder eventuele geheimhoudingsbepalingen of daaraan verbonden bevelen).  De eis wordt in dergelijke gevallen beoordeeld door een Amerikaans tribunaal (de FISA-rechtbank). 

Daarnaast erkent SurveyMonkey dat een bevel voor het verlenen van toegang tot gegevens onder FISA § 702 vereist dat SurveyMonkey onze Klanten ervan op de hoogte stelt dat we niet langer kunnen voldoen aan de Modelcontractbepalingen, waardoor ze de mogelijkheid hebben hun overeenkomst met ons te beëindigen en de gegevensstromen naar ons op te schorten.  Wij hebben nooit een dergelijke kennisgeving hoeven versturen.

Rekening houdend met de bovenstaande analyse concluderen wij dat het risico op schade voor de betrokkene niet significant is.

De tabel hieronder vat de conclusie van onze beoordeling van de impact van de doorgifte samen..

Met ‘Insignificant’ risico wordt aangeduid dat Persoonlijke gegevens worden overgedragen aan een rechtsgebied dat door de Europese Commissie adequaat wordt geacht (de wettelijke bescherming is gelijkwaardig aan de wettelijke bescherming in Europa) en dat er contractuele, technische en organisatorische maatregelen zijn voor verdere bescherming van gegevens.

Met ‘Laag’ risico wordt aangeduid dat Persoonlijke gegevens worden overgedragen aan een rechtsgebied met een Hoofdstuk V AVG-mechanisme anders dan adequaatheid Hoewel de wettelijke bescherming niet zonder meer gelijk is aan de wettelijke bescherming in Europa, is de doorgifte nog steeds in overeenstemming met de wet en wordt de doorgifte ondersteund door contractuele, technische en organisatorische maatregelen voor verdere gegevensbescherming.

Subverwerkers zijn leveranciers van SurveyMonkey die de persoonlijke gegevens van uw gebruikers verwerken zodat SurveyMonkey de service aan u kan aanbieden. Alle SurveyMonkey-subverwerkers zijn contractueel verplicht om persoonlijke gegevens te beschermen met beveiliging die niet minder strikt is dan de standaard die wij toepassen op persoonlijke gegevens die in ons bezit zijn.

Wanneer SurveyMonkey Persoonlijke gegevens doorgeeft aan subverwerkers, voeren we een met de hierboven beschreven stappen vergelijkbare Transfer Impact Assessment (‘TIA’) uit. We doen dit om te waarborgen dat uw persoonlijke gegevens gedurende elke stap worden beschermd in overeenstemming met wetgeving inzake gegevensbescherming en ons contract met u. Hieronder bieden we een overzicht van de belangrijkste punten van de TIA voor elke subverwerker.

Houd er rekening mee dat niet alle subverwerkers worden gebruikt bij het leveren van al onze services. Onze lijst met subverwerkers is opgesplitst in specifieke SurveyMonkey-services. 

Als u e-mailmeldingen wilt ontvangen over updates van onze Subverwerkerslijst, kunt u zich hier inschrijven.

Download hier een PDF met een lijst van onze huidige subverwerkers.