Veelgestelde vragen over de AVG
Om jou en je organisatie te ondersteunen op weg naar naleving van de AVG hebben we een lijst met veelgestelde vragen opgesteld, en misschien nog wel belangrijker, de antwoorden hierop.
Vragen over Microsoft en de AVG
Ja. De AVG vereist dat controllers (zoals organisaties die zakelijke onlineservices van Microsoft gebruiken) alleen gebruikmaken van processors (zoals Microsoft) die voldoende garanties stellen zodat kan worden voldaan aan de vereisten van de AVG. Microsoft heeft proactief stappen ondernomen om deze garanties voor alle Volume Licensing-klanten te bieden als onderdeel van hun overeenkomsten.
Je kunt de contractuele verplichtingen van Microsoft met betrekking tot de AVG vinden onder Klantovereenkomsten op de overzichtspagina voor de AVG.
Microsoft biedt hulpmiddelen en documentatie om je verantwoordelijkheid in het kader van de AVG te ondersteunen. Dit omvat ondersteuning voor rechten van betrokkenen, het uitvoeren van je eigen gegevensbeschermingseffectbeoordelingen en samenwerken om inbreuken in verband met persoonlijke gegevens op te lossen. Ga naar de overzichtspagina voor de AVG.
De AVG-voorwaarden van Microsoft bevatten de verplichtingen die worden vereist van processors in het kader van artikel 28. Artikel 28 vereist dat processors zich verplichten om:
- Alleen gebruik te maken van subprocessors met de toestemming van de controller en aansprakelijk te blijven voor subprocessors.
- Persoonlijke gegevens uitsluitend in opdracht van de controller te verwerken, ook in het kader van overdrachten.
- Ervoor te zorgen dat personen die persoonlijke gegevens verwerken zijn gebonden aan vertrouwelijkheid.
- Voldoende technische en organisatorische maatregelen te implementeren zodat er een beveiligingsniveau ontstaat dat past bij het risico.
- Controllers te ondersteunen bij hun verplichtingen om te reageren op aanvragen van betrokkenen die hun rechten in het kader van de AVG willen uitoefenen.
- Aan de vereisten voor meldingen en ondersteuning bij inbreuken te voldoen.
- Controllers te ondersteunen bij gegevensbeschermingseffectbeoordelingen en consultatie met toezichtsorganen.
- Persoonlijke gegevens aan het einde van de dienstverlening te verwijderen of te retourneren.
- De controller te ondersteunen met bewijs van naleving van de AVG.
Microsoft gebruikt al jaren modelcontractbepalingen (ook wel modelclausules genoemd) op grond waarvan het gegevens overdraagt voor zijn zakelijke onlineservices. De modelcontractbepalingen zijn standaardvoorwaarden van de Europese Commissie die kunnen worden gebruikt om gegevens op een conforme manier buiten de Europese Economische Ruimte over te dragen. Microsoft heeft de modelcontractbepalingen opgenomen in alle Volume Licensing-overeenkomsten via de Voorwaarden voor onlineservices. De Artikel 29-werkgroep heeft uitdrukkelijk verklaard dat Microsofts implementatie van de modelcontractbepalingen conform is.
Toen het EU-VS-privacyschild beschikbaar kwam, was Microsoft het eerste bedrijf dat zich daarvoor certificeerde. Zie Microsofts certificering voor het privacyschild en lees de Voorwaarden voor onlineservices. Het EU-VS-privacyschild helpt klanten die hun gegevens naar de VS willen overdragen dit te doen op een manier die voldoet aan hun verplichtingen in het kader van gegevensbescherming.
Als wereldwijd bedrijf met klanten in bijna elk land ter wereld, beschikt Microsoft over een veelzijdig complianceportfolio om onze klanten te ondersteunen. Ga naar onze lijst met compliance-aanbiedingen voor een volledige lijst met onze compliance-aanbiedingen, waaronder FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud en vele andere.
Algemene vragen
Ga naar www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation voor meer informatie over de mogelijkheden in Microsoft-services om aan de vereisten van de AVG te voldoen.
De AVG legt een groot aantal vereisten op aan organisaties die persoonlijke gegevens verzamelen of verwerken, waaronder de vereiste om te voldoen aan zes belangrijke principes:
- Transparantie, eerlijkheid en rechtmatigheid bij de omgang met en het gebruik van persoonlijke gegevens. Je moet personen duidelijkheid verschaffen over de manier waarop je persoonlijke gegevens gebruikt en je hebt ook een rechtsgrondslag nodig om die gegevens te verwerken.
- Beperking van de verwerking van persoonlijke gegevens tot gespecificeerde, expliciete, en legitieme doeleinden. Je mag persoonlijke gegevens niet opnieuw gebruiken of vrijgeven voor doeleinden die niet stroken met het doeleinde waarvoor de gegevens oorspronkelijk zijn verzameld.
- Minimalisering van de verzameling en opslag van persoonlijke gegevens tot datgene wat toereikend en relevant is voor het beoogde doeleinde.
- Zorg dragen voor de nauwkeurigheid van persoonlijke gegevens en de mogelijkheid bieden dat deze kunnen worden verwijderd of gecorrigeerd. Je moet stappen ondernemen om ervoor te zorgen dat de persoonlijke gegevens die je bewaard kloppen en kunnen worden gecorrigeerd mochten deze fouten bevatten.
- Limitering van de opslag van persoonlijke gegevens. Je moet ervoor zorgen dat je persoonlijke gegevens slechts bewaard zolang dat nodig is om de doeleinden waarvoor ze zijn verzameld te verwezenlijken.
- Zorg dragen voor de beveiliging, integriteit en vertrouwelijkheid van persoonlijke gegevens. Je organisatie moet stappen ondernemen om persoonlijke gegevens veilig te houden door middel van technische en organisatorische beveiligingsmaatregelen.
Je moet begrijpen wat de specifieke verplichtingen van jouw organisatie in het kader van de AVG zijn en hoe je eraan kunt voldoen. Microsoft ondersteunt je hierbij.
Ga naar www.microsoft.com/gdpr voor meer informatie over de algemene verordening gegevensbescherming (AVG). Hier vind je ook meer informatie over de manier waarop specifieke producten van Microsoft je kunnen helpen voor te bereiden op de naleving van de AVG. Bekijk hiervoor de secties over Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 en Windows 10.
De AVG geeft ingezetenen van de EU de controle over hun persoonlijke gegevens door middel van een set 'rechten van betrokkenen'. Deze set omvat het recht om:
- Toegang te krijgen tot informatie over de manier waarop gegevens worden gebruikt.
- Toegang te krijgen tot persoonlijke gegevens die een organisatie bewaart.
- Onjuiste persoonlijke gegevens te laten verwijderen of corrigeren.
- Persoonlijke gegevens onder bepaalde omstandigheden te laten corrigeren en wissen (dit wordt soms ook wel het 'recht om vergeten te worden' genoemd).
- De geautomatiseerde verwerking van persoonlijke gegevens te beperken of hier bezwaar tegen te maken.
- Een kopie van de persoonlijke gegevens te verkrijgen.
Een controller is een natuurlijke of rechtspersoon, overheidsinstantie, bureau of ander orgaan dat, zelfstandig of samen met anderen, de doeleinden en middelen van de verwerking van persoonlijke gegevens bepaalt. Een processor is een natuurlijke of rechtspersoon, overheidsinstantie, bureau of ander orgaan dat persoonlijke gegevens verwerkt namens de controller.
Ja, de AVG is zowel van toepassing op controllers als processors. Controllers mogen alleen processors inzetten die maatregelen hebben genomen om aan de vereisten van de AVG te voldoen.
In het kader van de AVG hebben processors te maken met aanvullende verplichtingen en aansprakelijkheid op het gebied van niet-naleving, of het handelen buiten de instructies die door de controller zijn gegeven, vergeleken met de Gegevensbeschermingsrichtlijn. De verplichtingen van processors bestaan uit, maar zijn niet beperkt tot:
- Het uitsluitend volgens de instructies van de controller verwerken van gegevens.
- Het implementeren van voldoende technische en organisatorische maatregelen om persoonlijke gegevens te beschermen.
- Het ondersteunen van de controller bij aanvragen van betrokkenen.
- Zorgen dat subprocessors die ze benaderen aan deze vereisten voldoen.
Bedrijven kunnen boetes tot € 20 miljoen of 4% van hun jaarlijkse omzet krijgen, waarbij de hoogste van deze twee opties van toepassing is, voor niet-naleving van bepaalde AVG-vereisten. Aanvullende individuele rechtsmiddelen kunnen je risico mogelijk vergroten wanneer je niet aan de AVG-vereisten voldoet.
Dat hangt af van een aantal factoren die in de verordening worden genoemd. In artikel 37 van de AVG is bepaald dat controllers en processors een functionaris voor gegevensbescherming moeten instellen in elk geval waarin: (a) de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken; (b) de kernactiviteiten van de controller of de processor bestaan uit verwerkingen die, vanwege hun aard, hun omvang en/of hun doeleinden, regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of (c) de kernactiviteiten van de controller of processor bestaan uit de grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 en van persoonlijke gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.
De meeste organisaties zal het tijd en geld kosten om aan de AVG te voldoen, hoewel de overgang soepeler verloopt voor diegenen die met een goed ontworpen cloudservicesmodel werken en een effectief programma voor gegevensbeheer hebben.
Vragen over persoonlijke gegevens
Via de AVG wordt de verzameling, de opslag, het gebruik en het delen van persoonlijke gegevens geregeld. Het begrip persoonlijke gegevens wordt in het kader van de AVG heel breed gedefinieerd als gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon.
Persoonlijke gegevens kunnen bestaan uit, maar zijn niet beperkt tot, online id's (bijvoorbeeld IP-adressen), werknemersgegevens, verkoopdatabases, klantenservicegegevens, feedbackformulieren van klanten, locatiegegevens, biometrische gegevens, beveiligingscamerabeelden, records van loyaliteitsprogramma's, gezondheidsgegevens, financiële gegevens en nog veel meer. Deze gegevens kunnen zelfs bestaan uit informatie die niet persoonlijk lijkt, zoals een foto van een landschap zonder mensen, maar waarbij die informatie door middel van een accountnummer of unieke code is gekoppeld aan een identificeerbare persoon. Zelfs persoonlijke gegevens die zijn gepseudonimiseerd kunnen persoonlijke gegevens zijn als het pseudoniem kan worden gekoppeld aan een bepaalde persoon.
Je moet er ook rekening mee houden dat het verwerken van bepaalde 'bijzondere' categorieën van persoonlijke gegevens, zoals persoonlijke gegevens die de raciale of etnische afkomst van iemand onthullen, of die te maken hebben met hun gezondheid of seksuele geaardheid, onderworpen is aan nog striktere regels dan het verwerken van 'gewone' persoonlijke gegevens.
Deze evaluatie van persoonlijke gegevens is erg afhankelijk van feiten, dus raden we aan contact op te nemen met een expert om jouw specifieke omstandigheden te evalueren.
Ja. Hoewel de regels op dit punt ietwat afwijken, is de AVG van toepassing op organisaties die gegevens voor hun eigen doeleinden verzamelen en verwerken (controllers) EN op organisaties die gegevens namens anderen verwerken (processors). Dit is een verandering ten opzichte van de bestaande Gegevensbeschermingsrichtlijn die van toepassing is op controllers.
Persoonlijke gegevens zijn gegevens die betrekking hebben op een geïdentificeerde of identificeerbare persoon. Er wordt geen onderscheid gemaakt tussen de privé-, openbare of werkgerelateerde rollen van een persoon. Persoonlijke gegevens bestaand onder andere uit:
Voorbeelden van persoonlijke gegevens:
Identiteit
- Naam
- Privéadres
- Werkadres
- Telefoonnummer
- Mobiel nummer
- E-mailadres
- Paspoortnummer
- Nationale identiteitskaart
- Burgerservicenummer (of gelijkwaardig)
- Rijbewijs
- Fysieke, psychologische of genetische informatie
- Medische gegevens
- Culturele identiteit
Financiën
- Bankgegevens/bankrekening
- Fiscaal nummer
- Werkadres
- Creditcardnummer/bankpasnummer
- Posts op sociale media
Rondzwervende digitale gegevens
- Posts op sociale media
- IP-adres (regio EU)
- Locatie- en GPS-gegevens
- Cookies
Ja, maar onder de AVG wordt de overdracht van persoonlijke gegevens van Europese ingezetenen naar bestemmingen die buiten de Europese Economische Ruimte liggen strikt gereguleerd. Je moet mogelijk een specifiek rechtsinstrument, zoals een contract, opstellen of aan een certificatiemechanisme voldoen om een dergelijke overdracht mogelijk te maken. De mechanismen die Microsoft gebruikt, vind je in de Voorwaarden voor onlineservices.
Als er legitieme gronden bestaan voor het blijven verwerken en bewaren van gegevens, zoals "voor het nakomen van een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust" (artikel 17 lid 3b), erkent de AVG het feit dat organisaties mogelijk zijn vereist gegevens te bewaren. We raden je echter wel sterk aan contact op te nemen met je juridisch adviseur om ervoor te zorgen dat de gronden voor bewaring worden afgewogen tegen de rechten en vrijheden van de betrokkenen, hun verwachtingen op het moment dat de gegevens werden verzameld, enzovoort.
Versleuteling wordt in de AVG genoemd als een beveiligingsmaatregel waarmee persoonlijke gegevens onbegrijpelijk worden gemaakt bij een inbreuk. Het feit of er al dan niet gebruik is gemaakt van versleuteling kan daarom van invloed zijn op de vereisten voor het op de hoogte stellen van betrokkenen bij een inbreuk in verband met persoonlijke gegevens. In de AVG wordt versleuteling in een aantal gevallen ook genoemd als een adequate technische of organisatorische maatregel, afhankelijk van het risico. Versleuteling is ook een vereiste onder de Payment Card Industry Data Security Standard (PCI-DSS) en onderdeel van de strikte compliancerichtlijnen die specifiek voor de financiële dienstverlening gelden. Producten en services van Microsoft, zoals Azure, Dynamics 365, Enterprise Mobility + Security, Office 365, SQL Server/Azure SQL Database en Windows 10 bieden robuuste versleuteling van gegevens die worden overgedragen en gegevens die niet worden gebruikt.
Kijk hoe onze producten je helpen te voldoen aan de vereisten van de AVG voor meer informatie over de manier waarop de producten en services van Microsoft je kunnen helpen voor te bereiden op de naleving van de AVG.
De AVG verandert vereisten voor gegevensbescherming en zorgt voor striktere verplichtingen voor processors en controllers met betrekking tot het melden van inbreuken in verband met persoonlijke gegevens. Onder de nieuwe verordening moet de processor de datacontroller zonder onnodige vertraging op de hoogte stellen van een inbreuk in verband met persoonlijke gegevens nadat de processor daarvan kennis heeft genomen. Op het moment dat de controller op de hoogte is gesteld van een inbreuk in verband met persoonlijke gegevens, moet deze de relevante gegevensbeschermingsautoriteit binnen 72 uur in kennis stellen. Als de kans groot is dat de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van personen, moeten controllers ook de getroffen personen zonder onnodige vertraging op de hoogte stellen. De EU artikel 29-werkgroep werkt momenteel aan aanvullende richtlijnen met betrekking tot dit onderwerp.
De producten en services van Microsoft, zoals Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 en Windows 10, beschikken over oplossingen om je te helpen beveiligingsrisico's en inbreuken te detecteren en evalueren om zo te voldoen aan de meldingsvereisten in geval van een inbreuk van de AVG.
Vragen over FastTrack voor Microsoft 365
Microsoft FastTrack is een servicevoordeel*, onze service voor klantsucces die bedrijven helpt sneller zakelijke waarde te realiseren met de Microsoft Cloud. FastTrack helpt om:
- E-mail en inhoud te migreren en ondersteuning te bieden bij Microsoft 365-services.
- Apparaten te implementeren en veilig te beheren.
- Je bedrijf de juiste mogelijkheden te geven en ingebruikname door eindgebruikers te stimuleren.
Microsoft FastTrack is een blijvend en herhaalbaar servicevoordeel voor klanten en wordt aangeboden door technici en specialisten van Microsoft om klanten of partners te helpen ingebruikname/gebruik te plannen, te onboarden en te stimuleren en om klanten en partners vol vertrouwen en op hun eigen tempo naar de cloud te migreren.
Microsoft FastTrack verplicht zich om te voldoen aan de AVG op het moment dat de handhaving van start gaat op 25 mei 2018. We helpen klanten met specifieke implementaties en migratie naar onze onlineservices. Als onderdeel van het professionele FastTrack-servicevoordeel werken we ook samen met de huidige partner(s) van onze klanten en verwijzen we ze door naar partners voor ondersteuning bij implementatie en ingebruikname.
Raadpleeg https://FastTrack.Microsoft.com voor meer informatie.
*"Servicevoordeel" wordt beschouwd als een "professionele service" zoals gedefinieerd in onze Voorwaarden voor onlineservices en Microsoft Baseline Security Analyzer.
De technici en specialisten van FastTrack zijn deskundigen op het gebied van planning voor de scenario's en bedrijfswaarde die klanten of partners willen realiseren. Ze zijn gefocust op de planning, implementatie en stimulering van ingebruikname van de producten en services om klanten of partners te helpen deze doelen te behalen. Ga naar onze Vertrouwenscentrum-website voor meer informatie over de manier waarop de producten en services van Microsoft je ondersteunen bij naleving van de AVG. We moedigen onze klanten en partners aan de AVG te bespreken met een juridisch gekwalificeerde professional, hoe de AVG specifiek van toepassing is op hun organisatie en hoe ze het best kunnen zorgen voor compliance.
We raden onze klanten aan samen te werken met hun eigen juridische teams en complianceteams om de AVG-vereisten voor versleuteling en de algehele AVG-vereisten vast te stellen. Naleving van de AVG is afhankelijk van de verzamelde gegevens, gebruiksscenario's en bedrijfssectoren of -vectoren van een klant.
Microsoft FastTrack is een service voor klantsucces waarmee snellere implementaties en ROI worden geboden en een hogere ingebruikname van de producten en services van Microsoft door je werknemers en eindgebruikers wordt gestimuleerd. In dat opzicht beginnen we, wanneer klanten of partners een aanvraag voor ondersteuning via Microsoft FastTrack indienen, aan ons proces om de producten en services van Microsoft op een adequate manier te implementeren voor onze klanten of partners.
We werken als onderdeel van ons professionele FastTrack-servicevoordeel ook samen met de huidige partner(s) van onze klanten of verwijzen ze door naar partners voor ondersteuning bij implementatie en ingebruikname. Op de AVG-pagina van het Vertrouwenscentrum vind je meer informatie over partners die zijn gespecialiseerd in de AVG en die beschikbaar zijn om Microsoft-partners te ondersteunen op weg naar compliance. Je kan onze webpagina voor Trusted Cloud/AVG raadplegen om te evalueren of je voldoende bent voorbereid op de AVG. Ook zie je hier hoe je sneller aan de AVG kunt voldoen met de Microsoft Cloud en kun je Microsoft FastTrack gebruiken voor ondersteuning bij je implementatie.