Wie er toegang heeft tot je gegevens en onder welke voorwaarden

Jijzelf hebt altijd toegang tot je eigen klantgegevens. In de zakelijke cloudservices van Microsoft worden uitgebreide maatregelen genomen om gegevens te helpen beschermen tegen ongeoorloofde toegang en oneigenlijk gebruik.

Wie er toegang heeft tot je gegevens

In de zakelijke cloudservices van Microsoft worden strenge maatregelen genomen om je klantgegevens te helpen beschermen tegen toegang of gebruik door onbevoegde personen. Dit omvat het beperken van de toegang voor Microsoft-medewerkers en -onderaannemers en het zorgvuldig definiëren van vereisten voor het reageren op overheidsverzoeken om klantgegevens. Jijzelf hebt echter altijd toegang tot je eigen klantgegevens.

Altijd en overal toegang tot je klantgegevens

Wanneer je een Microsoft-abonnement hebt, heb je op elk moment toegang tot je gegevens. Abonnees van Azure, Dynamics 365, Intune en Office 365 kunnen gegevens zonder kennisgeving ophalen. Je behoudt gewoon je gegevens wanneer je je abonnement beëindigt.


Beperkte toegang tot klantgegevens

We nemen strenge maatregelen om de gegevens van klanten te beschermen tegen onterechte toegang of gebruik door niet-gemachtigde gebruikers, zowel intern als extern, en om te voorkomen dat klanten toegang krijgen tot de gegevens van anderen.


Hoe worden je cloudgegevens verwerkt in Microsoft?

Het waarborgen van de veiligheid tijdens het verwerken van klantgegevens die zijn opgeslagen en gedeeld in Microsoft-cloudservices, heeft onze hoogste prioriteit. Dit document biedt een overzicht van veelgestelde vragen met betrekking tot beveiliging, privacy en compliance bij de verwerking van gegevens in Microsoft die zijn gedeeld en opgeslagen in Microsoft-cloudservices, inclusief het gebruik van services van derden.

|

De operationele processen waarmee de toegang tot klantgegevens in zakelijke cloudservices van Microsoft worden geregeld, worden beschermd door middel van uitgebreide maatregelen en verificatie, die in twee categorieën kunnen worden onderverdeeld: fysieke en logische.

De toegang tot fysieke datacenterfaciliteiten wordt bewaakt door middel van buiten- en binnengrenzen, met toenemende beveiliging bij elk niveau, waaronder omheiningen, beveiligers, vergrendelde server racks, meervoudige toegangscontrole, geïntegreerde alarmsystemen en 24/7-videobewaking via het Operations Center.

Virtuele toegang tot klantgegevens wordt beperkt op basis van zakelijke vereisten via toegangsbeheer op basis van rollen, meervoudige verificatie, het minimaliseren permanente toegang tot productiegegevens en andere maatregelen. Toegang tot klantgegevens wordt ook strikt bijgehouden in een logboek en zowel Microsoft als derden voeren regelmatig audits uit (ook steekproefsgewijs) om te controleren of toegang gerechtvaardigd is.

Daarnaast gebruikt Microsoft versleuteling om klantgegevens te beschermen en je te helpen de controle over deze gegevens te behouden. Wanneer gegevens binnen een netwerk worden verplaatst, zoals tussen apparaten van gebruikers en Microsoft-datacenters of binnen datacenters zelf, worden in producten en services van Microsoft uiterst veilige overdrachtsprotocollen ingezet. Microsoft biedt een breed scala aan ingebouwde mogelijkheden voor versleuteling om gegevens die niet worden gebruikt te helpen beschermen.

 

De meeste zakelijke cloudservices van Microsoft zijn multitenantservices, wat betekent dat je gegevens, implementaties en virtuele machines mogelijk op dezelfde fysieke hardware worden opgeslagen als die van andere klanten. Microsoft zet logische isolatie in om de opslag en verwerking voor verschillende klanten van elkaar te scheiden met behulp van speciale technologie die is ontwikkeld om ervoor te zorgen dat je klantgegevens niet worden gecombineerd met die van anderen.

 

Zakelijke cloudservices met gecontroleerde certificeringen als ISO 27001 worden regelmatig geverifieerd door Microsoft en erkende accountantskantoren, die steekproefsgewijs audits uitvoeren om te bevestigen dat alleen toegang wordt verleend voor gerechtvaardigde zakelijke doeleinden.

De operationele en ondersteunende medewerkers van Microsoft bevinden zich over de hele wereld, zodat de juiste medewerkers 24 uur per dag en 365 dagen per jaar beschikbaar zijn. We hebben de meeste serviceactiviteiten geautomatiseerd, zodat slechts voor een klein gedeelte menselijke interactie nodig is.

 

Microsoft-technici hebben niet standaard toegang tot klantgegevens in de cloud. Ze krijgen daarentegen alleen toegang onder toezicht van het management wanneer dat nodig is.

 

Medewerkers van Microsoft gebruiken klantgegevens alleen om je de services uit je overeenkomst te leveren, zoals probleemoplossing en verbetering van functies, waaronder beveiliging tegen malware.

Via zakelijke cloudservices van Micrsoft worden verschillende categorieën van gegevens verwerkt, waaronder klantgegevens en persoonlijke gegevens. Wanneer Microsoft een onderaannemer inhuurt om werk uit te voeren waarvoor mogelijk toegang tot dergelijke gegevens nodig is, wordt deze beschouwd als een subprocessor. Microsoft geeft hieronder meer informatie over subprocessors.

 

Subprocessors hebben alleen toegang tot gegevens om de functies ter ondersteuning van onlineservices te leveren waarvoor Microsoft ze heeft ingehuurd en mogen gegevens niet voor andere doeleinden gebruiken. Ze worden verplicht de vertrouwelijkheid van deze gegevens in acht te nemen en zijn contractueel verplicht om strikte privacyvereisten aan te houden die gelijkwaardig zijn aan of strikter zijn dan de contractuele verplichtingen die Microsoft jegens zijn klanten heeft in de Voorwaarden voor onlineservices. Subprocessors moeten ook aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG) van de EU voldoen, waaronder vereisten met betrekking tot het implementeren van geschikte technische en organisatorische maatregelen om persoonlijke gegevens te beschermen.

 

Microsoft verplicht subprocessors om deel te nemen aan het Microsoft Supplier Security and Privacy Assurance Program. Dit programma is opgezet om de procedures met betrekking tot de verwerking van gegevens te standaardiseren en te versterken, en om ervoor te zorgen dat de zakelijke processen en systemen van leveranciers compatibel zijn met die van Microsoft.

 

Subprocessors die toegang tot klantgegevens en persoonlijke gegevens hebben, zijn onderworpen aan strengere eisen. Subprocessors van klantgegevens moeten akkoord gaan met de EU-modelclausules voor services waarvoor Microsoft zijn klanten de EU-modelclausules biedt.

 

Subprocessors kunnen werk uitvoeren in de volgende hoedanigheid:

  • Subprocessors die technologieën verlenen waarmee bepaalde Microsoft Online Services mogelijk worden gemaakt Subprocessors die voor een specifieke service worden geïdentificeerd, mogen klantgegevens of persoonlijke gegevens verwerken, opslaan of anderszins gebruiken om die service te verlenen.

  • Subprocessors die aanvullende services verlenen ter ondersteuning van Microsoft Online Services Subprocessors mogen beperkte klantgegevens of persoonlijke gegevens verwerken, opslaan of anderszins gebruiken om hun aanvullende services te verlenen.    

  • Subprocessors die arbeidscontractanten leveren Arbeidscontractanten die nauw samenwerken met medewerkers van Microsoft om te helpen de Microsoft Online Services te ondersteunen, correct te laten werken en te onderhouden, en op die manier in aanraking kunnen komen met klantgegevens of persoonlijke gegevens. In dergelijke gevallen bevinden klantgegevens zich nog steeds alleen in faciliteiten van Microsoft, op systemen van Microsoft, en zijn ze onderworpen aan het beleid en toezicht van Microsoft. Een subprocessor kan probleemoplossing op afstand uitvoeren op een Microsoft-server en daarbij in aanraking komen met fragmenten van klantgegevens in een logboekbestand van een servercrashdump. Activiteiten van deze subprocessors met betrekking tot online services worden ook opgenomen in van toepassing zijnde audits van derden.

In de contractuele verplichtingen van Microsoft jegens klanten worden klantgegevens gedefinieerd als alle gegevens die de klant aan Microsoft verstrekt via zijn gebruik van onze zakelijke cloudservices (zie Hoe Microsoft gegevens categoriseert). Bepaalde klantgegevens zijn persoonlijke gegevens, zoals gedefinieerd in de AVG. Microsoft verwerkt ook bepaalde persoonlijke gegevens die worden gegenereerd of verzameld via de werking van de online services en niet zijn opgenomen in klantgegevens. De lijst met subprocessors van online services van Microsoft adresseert zowel klantgegevens als persoonlijke gegevens.

 

In de lijst met subprocessors van Microsoft Online Services worden de subprocessors geïdentificeerd die zijn gemachtigd om klantgegevens of persoonlijke gegevens te verwerken in Microsoft Online Services. Deze lijst is van toepassing op alle Microsoft Online Services die onderhevig zijn aan de Voorwaarden voor online services waarvoor Microsoft een gegevensverwerker is.

 

Microsoft publiceert de namen van nieuwe subprocessors voor zijn online services ten minste zes maanden voordat de subprocessors worden gemachtigd services uit te voeren waarbij ze mogelijk toegang krijgen tot klantgegevens of persoonlijke gegevens.2

 

Volg de instructies waarin de functionaliteit Mijn bibliotheek wordt beschreven om meldingen te krijgen over updates van deze lijst met subprocessors.

Verzoeken om klantgegevens van overheden

Microsoft garandeert dat er geen 'achterdeurtjes' zijn om bij je gegevens te komen zijn en dat overheden hier geen directe of ongehinderde toegang toe hebben. We leggen speciale eisen op aan verzoeken om klantgegevens door overheden, justitie en politie.

Aanvullende informatiebronnen over gegevenstoegang

Privacyverklaring van Microsoft Online Services

Ontdek alles over de gegevens die Microsoft verwerkt, hoe we die verwerken en voor welke doeleinden.

Licentievoorwaarden en documentatie van Microsoft

Bekijk de licentievoorwaarden, overige voorwaarden en aanvullende informatie over het gebruik van producten en services waarvoor je via Microsoft Volume Licensing-programma's een licentie hebt verkregen.

Informatie over de verzameling van gegevens

Ontdek welke soorten gegevens we verzamelen.

1 De informatie op deze pagina is van toepassing op Windows Defender Advanced Threat Protection, maar niet op andere Windows-services en Bing Search-services.
2 Opmerking: Bekijk de sectie Microsoft Professional Services en leveranciers van het Vertrouwenscentrum voor meer informatie over de manier waarop subprocessors worden ingezet wanneer Microsoft commerciële ondersteuning of andere professionele services verleent, bijvoorbeeld ter ondersteuning van onlineservices.