Beveiliging, privacy en compliance van Todoist

Toegang tot persoonlijke data is beperkt en wordt slechts verleend aan een klein aantal medewerkers die toegang nodig hebben voor specifieke redenen om Todoist en Twist te verbeteren.

De effectiviteit van onze procedures en technologie wordt regelmatig getest, beoordeeld en geëvalueerd.

We maken gebruik van encryptie om gegevens te beveiligen.

Wanneer persoonlijke gegevens zijn opgeslagen in servers en databases worden ze beveiligd door middel van AES 256-encryptie. Wanneer de gegevens worden verzonden of ontvangen, wordt er gebruik gemaakt van TLS 1.1 of hoger. Backups van gegevens op onze servers zijn versleuteld met AES256 en getekend met RSA met 2048 key length.

Todoist maakt tevens automatische dagelijkse backups in de app voor Pro- en Business-gebruikers. We nemen de nodige veiligheidsmaatregelen om ervoor te zorgen dat deze goed beveiligd zijn door een beveiligingssysteem te onderhouden dat ongeautoriseerde toegang voorkomt.

Aangezien de GDPR diverse vereisten bevat, zullen je nalevingsbehoeften afhangen van je precieze omstandigheden. Als je specifieke vragen of behoeften hebt, kan je contact opnemen met ons.

Wanneer je Todoist in een persoonlijke werkruimte gebruikt, wordt Doist beschouwd als een gegevensverwerker, wat betekent dat wij bepalen hoe jouw gebruikersgegevens worden verwerkt en dat wij verantwoordelijk zijn voor de verwerking van de gegevens binnen de GDPR.

Gedeelde projecten in een persoonlijke werkruimte

Wanneer je content met andere Todoist-gebruikers deelt (inclusief in gedeelde projecten binnen een persoonlijke werkruimte):

• Alle medegebruikers zijn eigenaar van de gegevens en content in het gedeelde project.
• Indien de originele maker van het gedeelde project hun account verwijdert, of het project verlaat, wordt het eigenaarschap overgeheveld naar de overblijvende medegebruikers in het gedeelde project.
• Dit gezamenlijk eigenaarschap heeft geen invloed op het eigendom van de oorspronkelijke maker van enige auteursrechtelijk beschermde content die ze naar de service hebben geüpload.
• Door je content te delen, verleen je elke medegebruiker het recht om via onze service toegang te verkrijgen tot dergelijke content, het te gebruiken, te reproduceren, te distribueren, weer te geven, te bewerken, uit te voeren, inclusief andere interacties.

Gedeelde projecten in een teamwerkruimte

Wanneer je aan gedeelde projecten deelneemt of ze aanmaakt in de teamwerkruimte:

• Je stemt ermee in het beleid van de betreffende organisatie en elke overeenkomst tussen jou en die organisatie na te leven.
• De organisatie is de eigenaar van alle gebruikerscontent in de respectievelijke werkruimte.
• Alle gebruikerscontent in de werkruimte van de organisatie kan gedeeld worden met de organisatie, en kan gewijzigd, verwijderd of geopend worden door de organisatie.
• De organisatie kan je toegang tot de werkruimte van de organisatie op elk moment beeïndigen, en je hebt mogelijk geen toegang meer tot je content in die werkruimte.
• Door enige content over te hevelen naar de werkruimte van de organisatie, verleen je de organisatie brede rechten tot je gebruikerscontent.

We bieden volledige toegang tot alle gegevens via onze API waarmee je alle persoonlijke gegevens kan verkrijgen en/of deze kan overdragen naar een andere gegevensverwerker. Je kan onze API voor Twist en Todoist hier vinden:

https://developer.todoist.com/sync/v7/#getting-started

https://developer.twistapp.com/v2/

Let erop dat betalingsinformatie en integraties niet beschikbaar zijn via onze API. Wanneer je deze informatie wil opvragen of als je hulp nodig hebt om je gegevens te exporteren, contacteer je ons.

De content van gebruikers, zoals taken en opmerkingen, wordt bewaard in onze data storage, die van het internetverkeer afgeschermd wordt. Er is een strikt toegangsbeleid binnen het bedrijf.

Toegang daartoe wordt gecontroleerd, vereist meerdere lagen van authenticatie en wordt alleen toegestaan voor een geldig zakelijk doel. Met andere woorden: er is geen enkele manier voor een gerechtigde interne werknemer om er toegang tot te krijgen zonder dat anderen het weten. Het is vrij zeldzaam dat het nodig is om toegang te krijgen tot gebruikerscontent.

Ja, na een tijdje. Het systeem markeert eerst gegevens als verwijderd voordat ze daadwerkelijk verwijderd worden. 'Zachte' verwijderingen zorgen ervoor dat er geen toegang tot content is vanuit de klanttoepassingen. 'Harde' verwijderingen gebeuren later, uitgesteld in de tijd. Dit gedrag van het systeem ondersteunt onze mechanismen voor synchronisatie op meerdere toestellen. Gegevens die als verwijderd gemarkeerd zijn helpen de algoritmes voor synchronisatie om conflicten in de datastatus op te lossen.

De content van gebruikers is ook aanwezig in de backups van de database. Ze zijn er voor de bedrijfscontinuïteit, voor het geval we ooit te maken krijgen met een rampzalig scenario van gegevensverlies, een lange periode van onbeschikbaarheid van gegevens, of corruptie van gegevens. Alle gegevens, inclusief backups, worden 'in rust' versleuteld bewaard. Tot nu toe hebben we nog nooit de backups van de database moeten gebruiken.

De backups van de database geven geen toegang tot de gegevens van gebruikers. In plaats daarvan kunnen we ze herstellen in een live database, waar de gewoonlijke regels voor toegang tot de gegevens van toepassing zijn. De backups worden automatisch geroteerd en worden niet langer dan 94 dagen bewaard.

De gegevens die we verzamelen zijn noodzakelijk om onze services aan te kunnen bieden en worden gebruikt om Twist en Todoist te verbeteren.

Wanneer je je registreert voor Todoist en/of Twist, stem je vrijwillig in met het geven van persoonlijke informatie zoals je naam en je e-mailadres. Je kan deze informatie te allen tijde bijwerken in je persoonlijke accountinstellingen.

Wanneer je gebruik maakt van onze services geef je ons tevens toestemming om gebruik te maken van de volgende gegevens:

• E-mail
• IP-adres
• Toestel-ID
• Voornaam en achternaam (optioneel, worden niet verwerkt)
• Beroep (optioneel, wordt niet verwerkt)
• Telefoonnummer (optioneel, wordt niet verwerkt)
• BTW-nummer (optioneel)
• Factuuradres (voor Pro- en Business-accounts)

Om je persoonlijke gegevens te laten exporteren, contacteer je ons.

We bieden volledige toegang tot alle gegevens via onze API waarmee je alle persoonlijke gegevens kan verkrijgen en/of deze kan overdragen naar een andere gegevensverwerker. Je kan onze API voor Twist en Todoist hier vinden:

• https://developer.todoist.com/sync/v7/#getting-started
• https://developer.twistapp.com/v2/

Betalingsinformatie en integraties zijn niet beschikbaar via onze API. Wanneer je deze informatie wil opvragen, contacteer je ons.

Neen, wij verkopen nooit gegevens.

Bij het verwijderen van je account, worden al je persoonsgegevens verwijderd van onze productiesystemen. Er zal uitsluitend een versleutelde kopie van je gegevens in onze backup-archieven worden bewaard gedurende 90 dagen. Na deze periode worden al je persoonlijke gegevens permanent verwijderd. De versleutelde kopie uit onze backup-archieven verstrekken wij niet op verzoek.

We gebruiken cookies om informatie te verzamelen over je surfactiviteiten en om je te onderscheiden van andere Todoist-gebruikers. Dit bevordert je ervaring bij het gebruik van onze app en stelt ons in staat de functionaliteit ervan te verbeteren.

We gebruiken de volgende cookies:

• Strikt noodzakelijke cookies: vereist voor de uitvoering van je login-functionaliteit, gebruikersauthenticatie en beveiliging;
• Functionele cookies: gebruikt om je te herkennen wanneer je terugkeert naar onze website en onze content te personaliseren voor jou, je bij naam te begroeten, en je voorkeuren te onthouden;
• Analytische en advertentiecookies: gebruikt om ons te helpen begrijpen hoe gebruikers ons product gebruiken. Wij gebruiken een handvol cookies van derden: Google Analytics (analyseren van websiteverkeer en gebruikersgedrag), Datadog (monitoren van webprestaties en gebruikerservaring), Stripe (afhandelen van betalingen en prijs-/upgradepagina), Zendesk (laden van afbeeldingen, bieden van ondersteuning en helpcentrum), YouTube (tonen van video's op helpcentrum-pagina's), Cloudinary (laden en optimaliseren van afbeeldingen).

We gebruiken GDPR-conforme diensten van derden en hostingpartners zoals Stripe, AWS en Google Workspace. In deze gevallen nemen we de nodige voorzorgsmaatregelen om ervoor te zorgen dat we GDPR-compliant zijn bij het verzenden en ontvangen van gegevens van een derde partij. Bekijk het veiligheids- en privacybeleid van Todoist en het veiligheids- en privacybeleid van Twist voor meer informatie.

Voor een overzicht van de diensten van derden die we gebruiken en hun doel, kan je onze lijst van sub-processors bekijken.

We draaien AI-modellen op onze eigen infrastructuur om te verzekeren dat gegevens van klanten binnen ons beveiligde omgeving blijven, en dit is zo ontworpen dat er nooit toegang toe kan zijn voor derden. Voor een overzicht van de AI-dienst die we gebruiken, waaronder het beleid voor het bewaren van gegevens, en links naar hun privacydocumentatie, kan je onze lijst van LLM/AI-diensten bekijken.

Ja, dat doen we. We verwerken gegevens in North Virginia, USA en maken hierbij gebruik van Amazon Web Services (AWS). We verzamelen zo min mogelijk gegevens en alle gegevens zijn versleuteld met AES 256-encryptie.

Ja, vanuit ons wel. Wanneer je klanten zich bevinden in een locatie waar de GDPR van toepassing is, dan zijn zij zelf verantwoordelijk om ervoor te zorgen dat hun bedrijfsvoering voldoet aan de GDPR.

Ja, we bieden een DPA die vooraf is ondertekend namens Doist. Je kan hier je gegevens invullen en het ondertekenen.