We zijn toegewijd aan transparantie om u te helpen uw regelgevingsbehoeften na te leven.
Onze klanten over de hele wereld zijn onderworpen aan veel verschillende wetten en voorschriften. Wettelijke vereisten in een land of branche kunnen strijdig zijn met wettelijke vereisten die elders van toepassing zijn. Als provider van wereldwijde cloudservices moeten wij onze services beheren met gemeenschappelijke operationele praktijken en functies verspreid over meerdere klanten en rechtsgebieden. Teneinde onze klanten te helpen aan hun eigen vereisten te voldoen, bouwen wij onze services met gemeenschappelijke privacy- en beveiligingsvereisten in gedachten. Het is uiteindelijk echter aan onze klanten om ons aanbod te evalueren in vergelijking met hun eigen vereisten, zodat zij kunnen bepalen of onze services aan hun regelgevingsbehoeften voldoen. Wij zijn toegewijd aan het leveren van gedetailleerde informatie aan onze klanten over onze cloudservices, om hen te helpen hun eigen regelgevingsbeoordelingen te maken.
Informatie over certificeringen die behulpzaam kunnen zijn bij naleving van regelgeving bevindt zich in de sectie Beveiliging, controles en certificering.
Het is uw verplichting zich te houden aan uw regelgevingsverplichtingen. Wij voorzien u van informatie die u helpt dit te doen. Wij zijn toegewijd aan naleving van wetten inzake bescherming van persoonsgegevens en privacy die algemeen toepasselijk zijn op IT-serviceproviders. Als u onderworpen bent aan branche- of rechtsgebiedregelgeving, dient u een eigen beoordeling te maken van uw vermogen om na te leven, maar Klanten in veel branches en gebieden hebben ontdekt dat ze Microsoft Online Services kunnen gebruiken op een wijze die de toepasselijke regelgeving blijft naleven, op voorwaarde dat ze de services gebruiken op een wijze die past bij hun specifieke omstandigheden.
Organisaties die vallen onder de EU-richtlijn voor de bescherming van persoonsgegevens dienen bijvoorbeeld hun eigen beleid, beveiliging en opleidingsprogramma te hebben ingesteld om te garanderen dat hun personeel Microsoft Online Services niet gebruikt op een wijze die de richtlijn overtreedt.. Microsoft Online Services zal ons deel doen door zich te houden aan de beloften die wij hebben gedaan, waardoor wij u helpen conform de regels te blijven handelen.
Ter illustratie: een klant uit de Europese Unie kan een klantenlijst opslaan inclusief contactgegevens. Microsoft Online Services heeft beveiligingsprocedures ingesteld die ervoor zorgen dat Microsoftpersoneel geen ongepaste toegang verkrijgt tot deze gegevens of deze gegevens openbaart. Een van de werknemers van Klant die een gebruiker is van Microsoft Exchange Online kan de service echter gebruiken om een dergelijke klantenlijst naar een marketeer te verzenden zonder gepaste toestemming. Een eventuele overtreding van EU-vereisten inzake bescherming van persoonsgegevens die voortvloeit uit het door Microsoft Online Services opvolgen van de instructie van de klant (namelijk door te veroorzaken dat een e-mail wordt verzonden in het gebruikelijke proces van het leveren van de services) is de verantwoordelijkheid van de klant.
Onder EU-wetgeving inzake bescherming van persoonsgegevens en onze contractuele overeenkomst treedt Microsoft Online Services op als beheerder van uw gegevens, in wezen als onderaannemer (de wet noemt ons de 'gegevensverwerker'). U, de klant, heeft het uiteindelijke eigendom van de gegevens en de verantwoordelijkheid onder de wet om u ervan te vergewissen dat wij de regels navolgen en dat het voor u wettelijk is toegestaan om persoonlijke gegevens naar ons te verzenden (de wet noemt u de 'gegevenscontroleur'). U moet voor uw onderneming in uw specifieke situatie bepalen of u onze services mag gebruiken om uw persoonlijke gegevens te verwerken en op te slaan.
Voor normaal gebruik is in het ontwerp en beheer van onze services rekening gehouden met vereisten van de EU-richtlijn voor de bescherming van persoonsgegevens, en wij volgen wijzigingen op dit gebied die relevant zijn voor de ontwikkeling van de services.
Microsoft is ook lid van het Safe Harbor-programma van de VS, zoals mee ingestemd door de EU en het Amerikaanse ministerie van economische zaken. Dit verbindt ons direct aan de vereisten van de EU-richtlijn voor de bescherming van persoonsgegevens, en staat ons toe gegevens tot buiten de EU over te brengen om Microsoft Online Services te leveren. Microsoft heeft zichzelf gecertificeerd onder de EU Safe Harbor van het Amerikaanse ministerie van economische zaken en bijna identieke Safe Harbor van Zwitserland. U kunt de Safe Harbor-certificering van Microsoft vinden op http://safeharbor.export.gov/. Raadpleeg voor meer informatie over de overdracht van gegevens buiten de EU de sectie Geografische begrenzingen van het Vertrouwenscentrum.
In sommige landen houden wij ons ook aan de beveiligingsvereisten voor opslag van gevoelige persoonlijke gegevens, zoals bij wet gedefinieerd.
Als u zorgen hebt omtrent de regels in uw land of het type gegevens dat u bewaart, of als u meer informatie wilt over de praktijken en ondersteunde functies van Microsoft Online Services, kunt u contact opnemen met Ondersteuning als u anders niet in staat bent die informatie te vinden in de servicedocumentatie. Voor zover het onze beveiliging niet verzwakt om behulpzame informatie te onthullen, zullen wij dit doen om u te helpen uw eigen afweging te maken met betrekking tot de aanvaardbaarheid van de implementatie van Microsoft Online Services in vergelijking met uw vereisten.
U dient de Veelgestelde vragen hierboven te lezen en te begrijpen dat enkel omdat Microsoft Online Services uw organisatie in staat stelt privacywetgeving na te leven, dit nog niet betekent dat uw organisatie conform de regels is; het kan zijn dat u extra stappen moet ondergaan zoals het instellen van juist bedrijfsbeleid en het opleiden van werknemers in goede privacypraktijken. Tevens, afhankelijk van uw land, kunnen er extra stappen zijn die u moet nemen om lokale wetten na te leven, zoals het deponeren van gegevens bij uw College bescherming persoonsgegevens.
Raadpleeg de HIPAA/HITECH FAQ voor meer informatie.
Microsoft Online Services helpt klanten de beveiligingsvereisten van GLBA na te leven door technische en organisatorische voorzorgsmaatregelen te leveren om klanten te helpen beveiliging te onderhouden en niet-geautoriseerd gebruik te voorkomen. Microsoft kan op verzoek een samenvattingsrapport leveren van een certificering van een derde partij door een onafhankelijke accountant.
Microsoft Online Services ondersteunt niet het verwerken, overdragen of opslaan van gegevens die onderworpen zijn aan de PCI, zoals creditcardnummers. De PCI-standaard is niet van toepassing op Microsoft Online Services omdat creditcardverwerking en -gegevensopslag niet een functie is die door Microsoft Online Services wordt aangeboden. Microsoft Online Services past wel toepasselijk beveiligingsbeleid en controles toe zoals gedefinieerd door best practices in de branche, zoals ISO 27001 en overigen.
Let er wel op dat de Microsoft Online Services-systemen voor bestellen, factureren en betalen die omgaan met creditcardgegevens Level One PCI Compliant zijn, en dat klanten met vertrouwen creditcards kunnen gebruiken om te betalen voor de services.
Nee, Microsoft Online Services registreert als gegevensverwerker geen klantgegevens die het namens zijn klanten verwerkt bij EU-autoriteiten.