Vi jobber for åpenhet for å hjelpe deg å følge lovbestemte krav.
Kundene våre over hele verden er underlagt mange forskjellige lover og regler. Juridiske krav i ett land eller én bransje kan være forskjellige fra juridiske krav andre steder. Som leverandør av globale skytjenester må vi drive tjenestene med felles driftspraksis og felles funksjoner for flere kunder og i ulike rettsområder. For å hjelpe kundene med å følge egne krav, bygger vi opp tjenester med tanke på vanlige krav til personvern og sikkerhet. Det er imidlertid opp til kunden selv å vurdere tilbudene våre opp mot egne krav, slik at de kan finne ut om tjenestene oppfyller deres lovbestemte krav. Vi jobber for å gi kundene detaljert informasjon om skytjenestene våre, slik at de kan vurdere lovbestemte krav selv.
Informasjon om sertifiseringer som kan bidra til overholdelse av lovbestemte krav, finnes under Sikkerhet, revisjoner og sertifisering.
Det er ditt ansvar å følge lovbestemte krav. Vi gir deg informasjon som hjelper deg med det. Vi jobber for å overholde lover for databeskyttelse og personvern som generelt gjelder for leverandører av IT-tjenester. Hvis du er underlagt krav fra en bransje eller et rettsområde, må du foreta egne vurderinger av mulighetene for å overholde disse, men kunder i mange bransjer og geografiske områder har funnet ut at de kan bruke Microsoft Online Services på en måte som overholder gjeldende regler, så sant de bruker tjenestene på en måte som passer for deres spesifikke situasjon.
Organisasjoner som er underlagt EU-direktivet om databeskyttelse, bør for eksempel ha egne policyer, sikkerhet og opplæringsprogrammer som sikrer at de ansatte ikke bruker Microsoft Online Services-tjenesten på en måte som bryter direktivet. Microsoft Online Services gjør vår del ved å følge løftene våre, slik at vi hjelper deg med overholdelsen.
Eksempel: En kunde i EU lagrer kanskje en kundeliste med kontaktopplysninger. Microsoft Online Services har sikkerhetsprosedyrer som sikrer at Microsoft-personell ikke får upassende tilgang til eller videreformidler disse opplysningene. En av kundens ansatte som er bruker av Microsoft Exchange Online, kan imidlertid bruke tjenesten til å sende en slik kundeliste til en markedsfører uten passende samtykke. Et brudd på EU-direktivet om databeskyttelse som er et resultat av at Microsoft Online Services har fulgt kundens instruksjoner, det vil si ved at en e-postmelding blir sendt ved vanlig levering av tjenestene, er kundens ansvar.
I henhold til EU-direktivet om databeskyttelse og vår kontraktsavtale fungerer Microsoft Online Services som oppbevaringsplass for dataene, faktisk en underentreprenør (loven kaller oss "databehandleren"). Du som kunde, har overordnet eierskap over dataene og ansvaret i henhold til loven for å kontrollere at vi følger reglene, og for at du har lov til å sende personlige data til oss (loven kaller deg "datastyreren"). For din bedrift i din spesifikke situasjon må du finne ut om du kan bruke tjenestene våre til å behandle og oppbevare personlige data.
Krav i EU-direktivet for databeskyttelse er dekket i utformingen og driften av tjenestene våre for vanlig bruk, og vi overvåker dette området kontinuerlig for endringer som er relevante for utviklingen av tjenestene.
Microsoft er også medlem av programmet for Safe Harbor i USA, som er godkjent av EU og det amerikanske handelsdepartementet. Dette forplikter oss direkte til kravene i EU-direktivet om databeskyttelse og tillater at vi overfører data utenfor EU for å tilby Microsoft Online Services. Microsoft er egensertifisert i henhold til det amerikanske handelsdepartementets program for Safe Harbor i EU og det nesten identiske programmet for Safe Harbor i Sveits. Du finner Microsofts sertifisering for Safe Harbor på http://safeharbor.export.gov/. Hvis du vil ha mer informasjon om overføring av data utenfor EU, kan du se delen om geografiske grenser i klareringssenteret.
I enkelte land følger vi også sikkerhetskravene for oppbevaring av sensitive personlige data, som definert i loven.
Hvis du er bekymret over reglene i landet ditt eller datatypen du oppbevarer, eller hvis du vil ha mer informasjon om praksisen og støttede funksjoner i Microsoft Online Services, kan du kontakte Kundestøtte hvis du ikke finner informasjonen i tjenestedokumentasjonen. Så sant det ikke svekker sikkerheten vår å avsløre nyttig informasjon, gjør vi det for å hjelpe deg å finne ut selv om implementeringen av Microsoft Online Services overholder kravene.
Du bør lese Vanlige spørsmål ovenfor og forstå at selv om Microsoft Online Services gjør det mulig for organisasjonen din å overholde lover for personvern, betyr ikke det at organisasjonen overholder det den skal. Det kan finnes flere trinn du må utføre, for eksempel få få plass riktige firmapolicyer og lære opp de ansatte til god personvernpraksis. Avhengig av hvilket land du holder til i, kan det også fines flere trinn som må utføres for å følge lokale lover, for eksempel registrere informasjon hos Datatilsynet.
Se Vanlige spørsmål om HIPAA/HITECH for mer informasjon.
Microsoft Online Services hjelper kundene å overholde sikkerhetskravene i GLBA ved å tilby tekniske og organisatoriske sikkerhetstiltak som hjelper kunder med å opprettholde sikkerheten og forhindre uautorisert bruk. Microsoft kan på forespørsel tilby en sammendragsrapport med tredjepartssertifisering fra en uavhengig revisor.
Microsoft Online Services støtter ikke behandling, overføring eller lagring av PCI-styrte data, for eksempel kredittkortnumre. PCI-standarden gjelder ikke for Microsoft Online Services fordi behandling og oppbevaring av kredittkortdata ikke er en funksjon som tilbys av Microsoft Online Services. Microsoft Online Services bruker imidlertid gjeldende sikkerhetspolicyer og -kontroller som er definert i gode fremgangsmåter for bransjen, for eksempel ISO 27001 og andre.
Legg imidlertid merke til at Microsoft Online Services-systemene for bestilling, fakturering og betaling som håndterer kredittkortdata, overholder PCI-nivå 1, og kundene kan trygt bruke kredittkort til å betale for tjenestene.
Nei, Microsoft Online Services som databehandler registrerer ikke kundedata som behandles på vegne av kundene, hos EU-myndighetene.