Beveiliging, privacy en compliance van Todoist


In dit artikel willen we al jullie vragen beantwoorden over hoe we jullie persoonlijke gegevens verwerken, de beveiligingsmaatregelen die we implementeren, en onze naleving van wereldwijde regelgeving zoals de GDPR.

Snelle tip

Bekijk ons privacybeleid en veiligheidsbeleid waarin we meer uitleg geven over hoe we je gegevens beschermen.

Beveiliging

Beveiliging refereert naar de maatregelen en protocollen die we implementeren om je gegevens te beschermen tegen ongeautoriseerde toegang, inbreuken en andere bedreigingen. Het omvat de technische en procedurele voorzorgsmaatregelen die we ingevoerd hebben om ervoor te zorgen dat je gegevens vertrouwelijk, integraal en beschikbaar blijven.

Toegang tot persoonlijke data is beperkt en wordt slechts verleend aan een klein aantal medewerkers die toegang nodig hebben voor specifieke redenen om Todoist en Twist te verbeteren.

De effectiviteit van onze procedures en technologie wordt regelmatig getest, beoordeeld en geëvalueerd.

We maken gebruik van encryptie om gegevens te beveiligen.

Wanneer persoonlijke gegevens zijn opgeslagen in servers en databases worden ze beveiligd door middel van AES 256-encryptie. Wanneer de gegevens worden verzonden of ontvangen, wordt er gebruik gemaakt van TLS 1.1 of hoger. Backups van gegevens op onze servers zijn versleuteld met AES256 en getekend met RSA met 2048 key length.

Todoist maakt tevens automatische dagelijkse backups in de app voor Pro- en Business-gebruikers. We nemen de nodige veiligheidsmaatregelen om ervoor te zorgen dat deze goed beveiligd zijn door een beveiligingssysteem te onderhouden dat ongeautoriseerde toegang voorkomt.

Aangezien de GDPR diverse vereisten bevat, zullen je nalevingsbehoeften afhangen van je precieze omstandigheden. Als je specifieke vragen of behoeften hebt, kan je contact opnemen met ons.

Wanneer je Todoist op een individueel abonnement gebruikt in een standaard persoonlijke werkruimte, wordt Doist beschouwd als een dataverwerker, wat betekent dat wij bepalen hoe je gebruikersgegevens verwerkt worden en dat wij verantwoordelijk zijn dat dit volgens de GDPR-wetgeving gebeurt. Door onze diensten te gebruiken, verleen je Doist het recht om je content te delen met andere geautoriseerde gebruikers binnen de context van onze functies voor het samenwerken.

Door je content met andere Todoist-gebruikers te delen (inclusief binnen teamwerkruimtes of in gedeelde projecten binnen een persoonlijke werkruimte), verleen je elk van deze gebruikers het recht om toegang te krijgen tot je content via onze diensten, en om dergelijke content te gebruiken, te reproduceren, te distribueren, weer te geven, te bewerken, uit te voeren, en er op andere wijzes mee te interacteren. Wanneer je een teamwerkruimte (die in dit geval als organisatorisch beschouwd wordt) aanmaakt of er aan deelneemt, stem je ermee in om zich te houden aan het beleid van de toepasselijke organisatie en aan elke overeenkomst tussen jou en die organisatie. Dit betekent dat de organisatie de eigenaar is van alle gebruikerscontent in de betreffende werkruimte. Alle gebruikerscontent in de organisatorische werkruimte kunnen gedeeld worden met de organisatie en kunnen bewerkt, verwijderd of geopend worden door de organisatie. De organisatie kan je toegang tot de organisatorische werkruimte te allen tijde beeïndigen en het is mogelijk dat je geen toegang meer hebt tot je content in die werkruimte. Door enige content naar de organisatorische werkruimte over te dragen, verleen je de organisatie ruime rechten op je gebruikerscontent.

We bieden volledige toegang tot alle gegevens via onze API waarmee je alle persoonlijke gegevens kan verkrijgen en/of deze kan overdragen naar een andere gegevensverwerker. Je kan onze API voor Twist en Todoist hier vinden:

https://developer.todoist.com/sync/v7/#getting-started

https://developer.twistapp.com/v2/

Betalingsinformatie en integraties zijn niet beschikbaar via onze API. Wanneer je deze informatie wil opvragen of je hulp nodig hebt om je gegevens te exporteren, kan je contact opnemen met ons.

De content van gebruikers, zoals taken en opmerkingen, wordt bewaard in onze data storage, die van het internetverkeer afgeschermd wordt. Er is een strikt toegangsbeleid binnen het bedrijf.

Toegang daartoe wordt gecontroleerd, vereist meerdere lagen van authenticatie en wordt alleen toegestaan voor een geldig zakelijk doel. Met andere woorden: er is geen enkele manier voor een gerechtigde interne werknemer om er toegang tot te krijgen zonder dat anderen het weten. Het is vrij zeldzaam dat het nodig is om toegang te krijgen tot gebruikerscontent.

Ja, na een tijdje. Het systeem markeert eerst gegevens als verwijderd voordat ze daadwerkelijk verwijderd worden. 'Zachte' verwijderingen zorgen ervoor dat er geen toegang tot content is vanuit de klanttoepassingen. 'Harde' verwijderingen gebeuren later, uitgesteld in de tijd. Dit gedrag van het systeem ondersteunt onze mechanismen voor synchronisatie op meerdere toestellen. Gegevens die als verwijderd gemarkeerd zijn helpen de algoritmes voor synchronisatie om conflicten in de datastatus op te lossen.

De content van gebruikers is ook aanwezig in de backups van de database. Ze zijn er voor de bedrijfscontinuïteit, voor het geval we ooit te maken krijgen met een rampzalig scenario van gegevensverlies, een lange periode van onbeschikbaarheid van gegevens, of corruptie van gegevens. Alle gegevens, inclusief backups, worden 'in rust' versleuteld bewaard. Tot nu toe hebben we nog nooit de backups van de database moeten gebruiken.

De backups van de database geven geen toegang tot de gegevens van gebruikers. In plaats daarvan kunnen we ze herstellen in een live database, waar de gewoonlijke regels voor toegang tot de gegevens van toepassing zijn. De backups worden automatisch geroteerd en worden niet langer dan 94 dagen bewaard.

Privacy

Privacy refereert aan hoe we je persoonsgegevens verzamelen, gebruiken, delen en beheren. Het gaat erom ervoor te zorgen dat je persoonlijke gegevens worden gebruikt op een manier die je rechten en verwachtingen respecteert.

De gegevens die we verzamelen zijn noodzakelijk om onze services aan te kunnen bieden en worden gebruikt om Twist en Todoist te verbeteren.

Wanneer je je registreert voor Todoist en/of Twist, stem je vrijwillig in met het geven van persoonlijke informatie zoals je naam en je e-mailadres. Je kan deze informatie te allen tijde bijwerken in je persoonlijke accountinstellingen.

Wanneer je gebruik maakt van onze services geef je ons tevens toestemming om gebruik te maken van de volgende gegevens:

 • E-mail
 • IP-adres
 • Toestel-ID
 • Voornaam en achternaam (optioneel, worden niet verwerkt)
 • Beroep (optioneel, wordt niet verwerkt)
 • Telefoonnummer (optioneel, wordt niet verwerkt)
 • BTW-nummer (optioneel)
 • Factuuradres (voor Pro- en Business-accounts)

Om je persoonlijke gegevens te laten exporteren, contacteer je ons.

We bieden volledige toegang tot alle gegevens via onze API waarmee je alle persoonlijke gegevens kan verkrijgen en/of deze kan overdragen naar een andere gegevensverwerker. Je kan onze API voor Twist en Todoist hier vinden:

Betalingsinformatie en integraties zijn niet beschikbaar via onze API. Wanneer je deze informatie wil opvragen, contacteer je ons.

Neen, wij verkopen nooit gegevens.

Bij het verwijderen van je account, worden al je persoonsgegevens verwijderd van onze productiesystemen. Er zal uitsluitend een versleutelde kopie van je gegevens in onze backup-archieven worden bewaard gedurende 90 dagen. Na deze periode worden al je persoonlijke gegevens permanent verwijderd. De versleutelde kopie uit onze backup-archieven verstrekken wij niet op verzoek.

We gebruiken cookies om informatie te verzamelen over je surfactiviteiten en om je te onderscheiden van andere Todoist-gebruikers. Dit bevordert je ervaring bij het gebruik van onze app en stelt ons in staat de functionaliteit ervan te verbeteren.

We gebruiken de volgende cookies:

 • Strikt noodzakelijke cookies: vereist voor de uitvoering van je login-functionaliteit, gebruikersauthenticatie en beveiliging;
 • Functionele cookies: gebruikt om je te herkennen wanneer je terugkeert naar onze website en onze content te personaliseren voor jou, je bij naam te begroeten, en je voorkeuren te onthouden;
 • Analytische en advertentiecookies: gebruikt om ons te helpen begrijpen hoe gebruikers ons product gebruiken. Wij gebruiken een handvol cookies van derden: Google Analytics (analyseren van websiteverkeer en gebruikersgedrag), Datadog (monitoren van webprestaties en gebruikerservaring), Stripe (afhandelen van betalingen en prijs-/upgradepagina), Zendesk (laden van afbeeldingen, bieden van ondersteuning en helpcentrum), YouTube (tonen van video's op helpcentrum-pagina's), Cloudinary (laden en optimaliseren van afbeeldingen).

We gebruiken GDPR-conforme diensten van derden en hostingpartners zoals Stripe, AWS en Google Workspace. In deze gevallen nemen we de nodige voorzorgsmaatregelen om ervoor te zorgen dat we GDPR-compliant zijn bij het verzenden en ontvangen van gegevens van een derde partij. Bekijk het veiligheids- en privacybeleid van Todoist en het veiligheids- en privacybeleid van Twist voor meer informatie.

Wanneer nodig, maken we gebruik van de diensten van volgende GDPR-conforme derde partijen:

 • Amazon Web Services
 • ChartMogul
 • CloudBees Rollout
 • Datadog
 • Dosu
 • Meta (Facebook)
 • Firebase
 • Google Analytics
 • MailChimp
 • Mailgun
 • Microsoft Azure
 • Microsoft Visual Studio App Center
 • PartnerStack
 • ProfitWell
 • Qualaroo
 • RequestMetrics
 • SendGrid
 • Sentry
 • Stripe
 • Zendesk

Ja, dat doen we. We verwerken gegevens in North Virginia, USA en maken hierbij gebruik van Amazon Web Services (AWS). We verzamelen zo min mogelijk gegevens en alle gegevens zijn versleuteld met AES 256-encryptie.

Compliance

Compliance verwijst naar onze naleving van wetten, voorschriften en normen die bepalen hoe we met je gegevens omgaan. Het zorgt ervoor dat onze praktijken in overeenstemming zijn met de wettelijke en reglementaire vereisten om je rechten als gebruiker te beschermen. Compliance houdt in dat we aantonen dat we ons aan deze regels houden en dat we verantwoordelijk kunnen worden gehouden voor de naleving ervan.

GDPR

Doist voldoet sinds 25 mei 2018 volledig aan alle regels omtrent GDPR. De Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) is de privacywetgeving ontworpen om inwoners en ingezetenen van de Europese Unie (EU) te helpen bij het beschermen van hun persoonlijke gegevens door middel van voorwaarden en regels die bepalen hoe zulke gegevens verzameld, verwerkt en opgeslagen mogen worden.

Ja, vanuit ons wel. Wanneer je klanten zich bevinden in een locatie waar de GDPR van toepassing is, dan zijn zij zelf verantwoordelijk om ervoor te zorgen dat hun bedrijfsvoering voldoet aan de GDPR.

Ja, we bieden een DPA die vooraf is ondertekend namens Doist. Je kan hier je gegevens invullen en het ondertekenen.

SOC 2 en HIPAA

Op dit moment hebben we nog geen SOC2- of HIPAA-certificering. Dat gezegd hebbende, zouden we graag meer te weten komen over compliance-certificeringen die jij en je team nodig hebben om Todoist te kunnen gebruiken. Laat het ons weten!

Contacteer ons

Heb je vragen die niet beantwoord werden? Contacteer ons. Wij (Pierre, Marco, Summer of een van onze 14 andere teamgenoten) beantwoorden ze graag!