Overslaan naar hoofdinhoud

Hoe Kaspersky gegevens verwerkt

Kaspersky's manier om gebruikersgegevens te verwerken is gebaseerd op het respecteren en beschermen van de privacy van mensen, evenals op het streven naar transparantie en aansprakelijkheid.

Het belangrijkste doel van gegevensbescherming in ons bedrijf is om onze klanten de beste beveiligingsoplossingen te bieden. Om dit doel te bereiken, verwerken we gegevens over het algemeen met deze drie hoofdredenen: (a) de belangrijkste functionaliteit van producten ondersteunen, (b) de prestaties en effectiviteit van de beschermingscomponenten verbeteren, en (c) verbeterde, geschiktere oplossingen bieden aan klanten en ze geschikte content bieden. Meer informatie vind je in ons Privacybeleid voor producten en services.

Om deze doelen te bereiken, hoeven gegevens niet altijd aan een specifiek individu te worden gekoppeld en kan waar mogelijk worden geanonimiseerd. Dit kan Kaspersky bereiken door accountgegevens van verzonden URL's te verwijderen, hashsommen van dreigingen op te halen in plaats van de exacte bestanden, IP-adressen van gebruikers te verbergen, etc.

In de meeste gevallen kunnen gebruikers van Kaspersky-producten kiezen of ze persoonlijke gegevens aan het bedrijf willen verstrekken, of ze kunnen kiezen hoeveel ze willen verstrekken op basis van de functionaliteit van de producten, services en websites. Ze kunnen er ook voor kiezen om geen informatie rechtsteeks aan Kaspersky te verschaffen. 

Kaspersky biedt altijd duidelijke informatie over gegevensverwerking. Zo bieden we de hele lijst met gegevens aan die zullen worden verwerkt om ervoor te zorgen dat gebruikers weloverwogen beslissingen kunnen maken. Kaspersky beoordeelt continu het soort gegevens dat wordt verwerkt door zijn oplossingen om de privacy van zijn klanten te beschermen en te voldoen aan de meest recente wetgeving.

Alle gegevens die worden verwerkt en/of overgedragen, worden goed beveiligd door middel van encryptie, digitale certificaten, gescheiden opslag, strenge beleidsregels voor gegevenstoegang en andere methoden. Het bedrijf past ook het Secure Software Development Framework (SSDF) toe en implementeert maatregelen voor supply chain-risicobeheer om de eigen infrastructuur en systemen voor gegevensverwerking te beveiligen.

Elke zes maanden maken we openbaar hoeveel gegevensverzoeken we van onze gebruikers hebben ontvangen en verwerkt. Deze gegevens zijn beschikbaar in ons Transparantierapport.




Hoe verwerken jullie persoonlijke gegevens?

In overeenstemming met sommige wettelijke kaders (zoals de AVG) kan informatie die door Kaspersky wordt verwerkt gegevens bevatten die als persoonlijk of persoonlijk identificeerbaar kunnen worden beschouwd. Kaspersky verwerkt nooit 'gevoelige' persoonsgegevens van klanten zoals religie, politieke opvattingen, seksuele oriëntatie, gezondheid of andere bijzondere categorieën persoonsgegevens.

Indien het verwerken van persoonsgegevens nodig is voor de doelen van producten of services, analyseert Kaspersky zorgvuldig de doeleinden, samenstelling en wettelijke basis voor het verwerken van persoonsgegevens op basis van de toepasselijke wet. De persoonsgegevens die we verwerken komen altijd overeen met de doelen van de verwerking: onze producten en services verzamelen en verwerken niet meer persoonsgegevens dan nodig. Daarnaast biedt Kaspersky altijd alle gerelateerde informatie over gegevensverwerking. Zo bieden we de hele lijst met gegevens aan die zullen worden verwerkt om ervoor te zorgen dat gebruikers weloverwogen beslissingen kunnen nemen. Details van de verwerkte gegevens zijn te vinden in de Licentieovereenkomst voor eindgebruikers (EULA), de Kaspersky Security Network-verklaring (KSN), het Privacybeleid voor websites en webservices van Kaspersky en in andere verstrekte documenten. Dit verschilt per product en service. De gegevens die we verzamelen en verwerken, worden gebruikt als geaggregeerde statistieken en worden niet teruggekoppeld aan een specifiek individu. De gegevens worden altijd geanonimiseerd, indien mogelijk.

Welke gegevens worden verwerkt?

Elke moderne IT-service moet grote hoeveelheden gegevens kunnen verwerken om efficiënt te kunnen werken. De samenstelling van de verwerkte gegevens is verschillend per product en service. Als wereldwijd leider op het gebied van cybersecurity kan Kaspersky verschillende gegevens en statistieken verwerken die aan cyberdreigingen gerelateerd zijn. Onder deze aan cyberdreigingen gerelateerde gegevens verstaan we onder andere verdachte en schadelijke bestanden, maar ook statistieken waarmee bekende IS-dreigingen, nieuwe malware en nieuwe aanvalsmethoden geïdentificeerd kunnen worden. Deze statistieken staan ook wel bekend als metagegevens. Dit zijn aanvullende technische gegevens over gebeurtenissen op het apparaat van een gebruiker die onze producten kunnen versturen, afhankelijk van verschillende factoren, bijvoorbeeld gebruikersactiviteiten, Kaspersky-productinstellingen, de configuratie van het besturingssysteem waarop het Kaspersky-product is geïnstalleerd en andere software die op het systeem geïnstalleerd is. Details van alle verwerkte gegevens zijn te vinden in de Licentieovereenkomst voor eindgebruikers (EULA), de Kaspersky Security Network-verklaring (KSN) en in andere documenten. Dit verschilt per product en service.

Hoe bescherm je gebruikersgegevens?

De veiligheid en beveiliging van gebruikersgegevens is een prioriteit van Kaspersky en het bedrijf volgt een veelzijdige aanpak om potentiële risico's te beperken. Kaspersky heeft een goed ontwikkeld beleid voor beveiligingsbeheer, gemaakt door de toegewijde afdeling voor informatiebeveiliging die verantwoordelijk is voor het implementeren van het beveiligingsbeleid en de strategie van het bedrijf en die doorlopend de beveiligingsprestaties monitort en de effectiviteit van beveiligingsprocessen evalueert.

De gebruikersgegevens worden beschermd via moderne beschermingsalgoritmen. Tegelijkertijd zorgt het bedrijf voor netwerk- en toegangsbeveiliging om ongeautoriseerde toegang tot gebruikersgegevens te voorkomen en wordt de fysieke toegang tot de gegevensinfrastructuur van het bedrijf streng beheerd. Deze wordt beveiligd met surveillance- en alarmsystemen. De algemene beveiliging van de netwerken en systemen van het bedrijf wordt ondersteund door maatregelen als constant assetbeheer, een holistisch proces voor risico- en kwetsbaarheidsbeheer, regelmatige nalevingscontroles en continue bijscholing voor werknemers, maar is niet beperkt tot deze maatregelen. Voor meer informatie over hoe we je privacy en gegevens beschermen, ga je naar het Privacybeleid voor producten en services van Kaspersky.

Hoe worden de door jou verwerkte gegevens geanonimiseerd?

Kaspersky neemt de privacy van zijn gebruikers zeer serieus. Het bedrijf gebruikt de volgende maatregelen om verwerkte gegevens te anonimiseren:

  • Een gelaagde aanpak die de bescherming versterkt en heridentificatierisico's beperkt: hierbij worden technieken zoals generalisering, randomisatie en differentiële privacy gecombineerd;
  • Verwijdering van alle zaken die rechtstreekse identificatie mogelijk maken (bijvoorbeeld namen, ID-nummers) in verwerkte gegevens (bijvoorbeeld URL's, bestanden, etc.);
  • De informatie wordt geanonimiseerd en in samengevoegde statistieken verwerkt en is niet terug te leiden naar specifieke personen;
  • Voorkomen dat geanonimiseerde gegevens aan andere gegevenssets worden gekoppeld die terug te leiden zijn naar individuen: de gegevens worden op aparte servers opgeslagen met een strikt beleid op het gebied van toegangsrechten;
  • Wanneer we mogelijke dreigingsgegevens verwerken, gebruiken we hashsommen. Die werken als een wiskundige eenrichtingsfunctie die een unieke bestands-ID verstrekken.
  • We documenteren en controleren regelmatig de anonimiseringsprocessen.

Waar slaat Kaspersky gegevens op?

Kaspersky is een wereldwijd bedrijf en onze infrastructuur voor gegevensverwerking is over de hele wereld verspreid (bijvoorbeeld in Zwitserland, Duitsland, Rusland, Canada, enz.), waardoor een snellere verwerking van informatie mogelijk is en de beschikbaarheid van servers wordt gegarandeerd als een van deze om welke reden dan ook zou uitvallen. De gedetailleerde lijst met landen waar persoonsgegevens kunnen worden verwerkt, vind je in het officiële beleid van Kaspersky, waaronder het Privacybeleid voor producten en services.

Als onderdeel van ons Global Transparency Initiative (GTI) heeft Kaspersky een deel van zijn infrastructuur voor gegevensverwerking verhuisd. Schadelijke en verdachte bestanden die vrijwillig worden gedeeld door gebruikers van Kaspersky-producten in Europa, Noord- en Latijns-Amerika, het Midden-Oosten en meerdere landen in Azië-Pacific worden verwerkt in twee datacenters in Zürich (Zwitserland). Deze centra bieden faciliteiten van wereldklasse die toonaangevende beveiligingsnormen naleven. Bovendien is Zwitserland een van de weinige landen die een adequaatheidsbesluit hebben met de EU. Dit betekent dat het door de Europese Commissie is erkend voor het bieden van adequate bescherming van persoonsgegevens.

Wat is het Kaspersky Security Network?

Het Kaspersky Security Network (KSN) is een van de belangrijkste cloudsystemen van Kaspersky en is ontwikkeld om de effectiviteit van het ontdekken van nieuwe en onbekende cyberdreigingen te maximaliseren en zo de snelste en meest effectieve bescherming voor gebruikers te bieden. KSN verwerkt automatisch gegevens over cyberdreigingen die het heeft ontvangen van miljoenen apparaten van Kaspersky-gebruikers, die dit systeem gebruiken. Deze cloudgebaseerde systeembenadering is nu de norm in de branche en wordt door vele internationale cybersecurityleveranciers toegepast.

Wat is een cloudgebaseerd systeem?

Dit is een dienst die wordt uitgevoerd op de servers van een bedrijf in plaats van op de apparaten van de gebruiker. Deze dienst kan overal ter wereld via internet worden gebruikt. Voorbeelden van cloudgebaseerde diensten zijn e-mail, het delen van bestanden en bestandshosting. De services van Kaspersky Security Network worden vanuit verschillende landen wereldwijd aangeboden (zoals Canada, Duitsland, Zwitserland, Rusland, etc.), waardoor informatie sneller kan worden verwerkt en serverbeschikbaarheid gegarandeerd blijft, ook als er ergens een uitvalt.

Wat is het doel van cloudgebaseerde bescherming?

Kaspersky vindt het hybride beschermingsmodel het meest effectief (anti-virusdatabases + proactieve bescherming + de cloud).

Dankzij de uitstekend presterende beveiligingscloud kunnen we cyberdreigingen sneller en nauwkeuriger analyseren. Waar de cyclus van het bijwerken van de anti-virus- en anti-phishingdatabases doorgaans enkele uren duurt, kan de cloud gebruikers binnen enkele minuten bescherming bieden tegen een nieuwe bedreiging.

De cloud maakt een beveiligingsprogramma ook 'lichter' omdat er op het apparaat van de gebruiker minder geheugen en bronnen worden gebruikt.

Kan de gegevensverwerking worden beperkt?

Onze klanten kunnen kiezen of en zo ja, hoeveel gegevens ze willen aanleveren, afhankelijk van de functionaliteit van het product of de service die ze willen gebruiken en de bijbehorende, geaccepteerde overeenkomsten. Kaspersky biedt altijd informatie over gegevensverwerking. Zo bieden we de hele lijst met gegevens aan die zullen worden verwerkt om ervoor te zorgen dat gebruikers weloverwogen beslissingen kunnen nemen. Kaspersky maakt ook regelmatig informatie openbaar over hoeveel gegevensaanvragen er zijn ontvangen van gebruikers en hoeveel er zijn verwerkt. Deze informatie staat in het Transparantierapport. Het meest recente rapport is hier beschikbaar.

Voor enkele van onze producten voor bedrijven kunnen klanten de oplossingen dusdanig instellen dat er helemaal geen gegevens worden gedeeld. Zij kunnen ook rechtstreeks via https://support.kaspersky.com/general/privacy gebruikmaken van hun recht op toegang tot hun verwerkte persoonlijk gegevens.

Delen jullie persoonlijke gegevens die worden verwerkt door oplossingen van Kaspersky met derde partijen?

We geven nooit derden of overheidsinstanties toegang tot de infrastructuur van het bedrijf, inclusief de infrastructuur voor gebruikersgegevens.

Kaspersky deelt mogelijk gegevens met leveranciers; dit is dan onderhevig aan de gegevensverwerkingsovereenkomsten met hen. Bij het selecteren van leveranciers controleren we de naleving van wettelijk vereisten strikt, net als onze aanpak met betrekking tot gegevensverwerking. Deze leveranciers bieden ons bijvoorbeeld cloudopslag en andere relevante services.

Kaspersky werkt samen met internationale handhavingsinstanties en deelt met hen de informatie die nodig is om onderzoek te kunnen doen naar cybercriminaliteit.  Het bedrijf is open over deze contacten en vertelt in de Transparantierapporten meer over de binnengekomen aanvragen voor gebruikersgegevens en technische expertise, afkomstig van handhavingsinstanties.

In deze rapporten staat ook meer over de belangrijkste principes van het bedrijf voor wat betreft het reageren op aanvragen van wereldwijde overheids- en handhavingsinstanties, en we vertellen er over onze uitgebreide procedure voor het beoordelen van alle ontvangen aanvragen.  Alle binnenkomende aanvragen voor gebruikersgegevens doorlopen dus een verplichte juridische verificatie. Tijdens dit proces controleren we of aanvragen juridisch gegrond zijn, zijn ingediend in overeenstemming met van toepassing zijnde wetten en zodanig kunnen worden behandeld dat de veiligheid en privacy van Kaspersky-gebruikers niet in het gedrang komen. 

Zijn deze gegevensverwerkingsmethoden gecertificeerd?

Om te controleren of bedrijven de strengste beveiligingsnormen hanteren voor onze gebruikers, wordt voor de gegevensservices van Kaspersky periodiek een beveiligingsaudit of -controle uitgevoerd door een derde partij. De gegevensservices van het bedrijf zijn gecertificeerd op basis van ISO 27001 en opnieuw gecertificeerd in 2022 met een vergroot bereik, zodat de gegevensservices voor het verwerken van cyberdreigingsgerelateerde gegevens en statistieken ook worden gedekt. De certificering geldt voor de gegevensservices van het bedrijf die worden aangeboden via datacenters in Zürich, Frankfurt, Toronto, Moskou en Beijing. Conformiteit met ISO/IEC 27001:2013 (internationaal erkend als de beste beveiligingsnorm in de branche) vormt de basis van de aanpak van Kaspersky voor het implementeren en beheren van informatiebeveiliging. De certificering, toegekend door de externe, geaccrediteerde certificeringsinstantie, bewijst dat we zijn toegewijd aan uitstekende informatiebeveiliging en dat de gegevensservice van Kaspersky voldoet aan de best practices die in branche worden gevolgd. Het uiteindelijke rapport over de hernieuwde certificering wordt op aanvraag verstrekt aan onze zakelijke klanten en partners.