Toegang tot je gegevens zoals je dat wilt

De operationele processen waarmee de toegang tot klantgegevens in zakelijke cloudservices van Microsoft worden geregeld, worden beschermd door middel van uitgebreide maatregelen en verificatie, die in twee categorieën kunnen worden onderverdeeld: fysieke en logische.

De toegang tot fysieke datacenterfaciliteiten wordt bewaakt door middel van buiten- en binnengrenzen, met toenemende beveiliging bij elk niveau, waaronder omheiningen, beveiligers, vergrendelde server racks, meervoudige toegangscontrole, geïntegreerde alarmsystemen en 24/7-videobewaking via het Operations Center.

Virtuele toegang tot klantgegevens wordt beperkt op basis van zakelijke vereisten via toegangsbeheer op basis van rollen, meervoudige verificatie, het minimaliseren permanente toegang tot productiegegevens en andere maatregelen. Toegang tot klantgegevens wordt ook strikt bijgehouden in een logboek en zowel Microsoft als derden voeren regelmatig audits uit (ook steekproefsgewijs) om te controleren of toegang gerechtvaardigd is.

Voor producten en services van Microsoft worden uiterst veilige overdrachtsprotocollen ingezet wanneer gegevens binnen een netwerk worden verplaatst, zoals tussen apparaten van gebruikers en Microsoft-datacenters of binnen datacenters zelf. Microsoft biedt een breed scala aan ingebouwde mogelijkheden voor versleuteling om gegevens die niet worden gebruikt te helpen beschermen.

De meeste zakelijke cloudservices van Microsoft zijn multitenantservices, wat betekent dat je gegevens, implementaties en virtuele machines mogelijk op dezelfde fysieke hardware worden opgeslagen als die van andere klanten. Microsoft zet logische isolatie in om de opslag en verwerking voor verschillende klanten van elkaar te scheiden met behulp van speciale technologie die is ontwikkeld om ervoor te zorgen dat je gegevens niet worden gecombineerd met die van anderen.

Zakelijke cloudservices met gecontroleerde certificeringen als ISO 27001 worden regelmatig geverifieerd door Microsoft en erkende accountantskantoren, die steekproefsgewijs audits uitvoeren om te bevestigen dat alleen toegang wordt verleend voor gerechtvaardigde zakelijke doeleinden.

De operationele en ondersteunende medewerkers van Microsoft zijn 24 uur per dag en 365 dagen per jaar beschikbaar zijn. De meeste serviceactiviteiten zijn geautomatiseerd, zodat slechts voor een klein gedeelte menselijke interactie nodig is.

Microsoft-technici hebben geen standaardtoegang tot klantgegevens in de cloud. Ze krijgen daarentegen alleen toegang onder toezicht van het management wanneer dat nodig is.

Medewerkers van Microsoft gebruiken klantgegevens alleen om je de services uit je overeenkomst te leveren, zoals probleemoplossing en verbetering van functies, zoals  beveiliging tegen malware.

• Ondersteunen van cloudtechnologieën die zijn geïntegreerd met Microsoft Online Services en Microsoft Cloud-functies: Subprocessors kunnen klant- en persoonlijke gegevens (bestaande uit anonieme persoonlijke id's) verwerken, opslaan of op andere wijze raadplegen, terwijl ze deze service verlenen.
  
• Aanvullende services bieden: Subverwerkers ondersteunen, beheren en onderhouden Microsoft Online Services. In dergelijke gevallen kunnen subprocessor klant- en persoonlijke gegevens (bestaande uit anonieme persoonlijke id's) verwerken, opslaan of op andere wijze raadplegen, terwijl ze deze ondersteunende services verlenen.
• Contractmedewerkers voorzien: Contractmedewerkers werken nauw samen met Microsoft-medewerkers om Microsoft Online Services uit te voeren, te leveren en te onderhouden. Hierbij kunnen contractmedewerkers namens Microsoft klant- of persoonlijke gegevens (bestaande uit anonieme persoonlijke id's) verwerken. In al deze gevallen bevinden gegevens zich nog alleen op systemen van Microsoft en zijn ze onderworpen aan het beleid en toezicht van Microsoft. De verwerkingsactiviteiten van deze contractmedewerkers binnen Microsoft Online Services zijn onderhevig aan onafhankelijke audits die Microsoft jaarlijks uitvoert.

Microsoft definieert klantgegevens als de klant alle gegevens aan Microsoft verstrekt via het gebruik van onze zakelijke clouddiensten (bekijk hoe Microsoft gegevens categoriseert). Bepaalde klantgegevens zijn persoonlijke gegevens, zoals gedefinieerd in de AVG. Microsoft verwerkt ook bepaalde persoonlijke gegevens die worden gegenereerd of verzameld via de werking van online services die niet zijn opgenomen in klantgegevens.

In de lijst met subprocessors van Microsoft Online Services worden de subprocessors geïdentificeerd die zijn gemachtigd om klant of persoonlijke gegevens te verwerken in Microsoft Online Services. Deze lijst is van toepassing op alle Microsoft Online Services die onderhevig zijn aan de Microsoft Addendum voor gegevensbescherming.

Microsoft publiceert de namen van nieuwe subprocessors voor zijn online services ten minste zes maanden voordat de subprocessors worden gemachtigd services uit te voeren waarbij ze mogelijk toegang krijgen tot klantgegevens of persoonlijke gegevens.¹

Volg de instructies waarin de functionaliteit Mijn bibliotheek wordt beschreven om meldingen te krijgen over updates van deze lijst met subprocessors.