Trace Id is missing
Overslaan naar hoofdinhoud
Microsoft 365
Aanmelden

Vertrouwenscentrum: Informatie betreffende beveiliging, privacy en naleving voor Office 365 en Microsoft Dynamics CRM Online

Naleving van regelgeving

Streeft Microsoft naar transparantie om klanten te helpen de toepasselijke regelgeving na te leven?

Ja. Onze Office 365- en Microsoft Dynamics CRM Online-klanten over de hele wereld zijn onderworpen aan veel verschillende wetten en voorschriften. Wettelijke vereisten in een land of branche kunnen strijdig zijn met wettelijke vereisten die elders van toepassing zijn. Als aanbieder van wereldwijde cloudservices moeten wij onze services uitvoeren met gangbare operationele procedures en functies voor uiteenlopende klanten en rechtsgebieden. Teneinde onze klanten te helpen aan de vereisten te voldoen, bouwen wij onze services met het oog op gangbare privacy- en beveiligingsvereisten en onze ingebouwde mogelijkheden helpen klanten te voldoen aan uiteenlopende voorschriften en privacyvereisten.

Uiteindelijk is het echter aan onze klanten om ons aanbod te beoordelen op basis van hun eigen vereisten, zodat ze kunnen bepalen of onze services voldoen aan hun behoeften op het gebied van regelgeving. Wij streven ernaar onze klanten gedetailleerde informatie over onze cloudservices te bieden om hen zo te helpen hun eigen beoordelingen op het gebied van regelgeving uit te voeren.

Informatie over certificeringen die nuttig kunnen zijn bij naleving van regelgeving vindt u in het gedeelte Beveiliging, controles en certificering.

Voldoen Office 365 en Dynamics CRM Online aan mijn vereisten op het gebied van regelgeving?

Het is uw eigen plicht zich te houden aan uw verplichtingen op het gebied van regelgeving. Wij voorzien u van informatie die u hierbij helpt.

Wij streven naar naleving van wetten inzake gegevensbescherming en privacy die algemeen toepasselijk zijn op IT-serviceproviders. Als u bent onderworpen aan vereisten van uw branche of rechtsgebied, dient u zelf te beoordelen of u aan deze vereisten kunt voldoen. Klanten in veel branches en gebieden hebben echter ontdekt dat ze Office 365 en Microsoft Dynamics CRM Online kunnen gebruiken op een wijze die in overeenstemming is met de toepasselijke regelgeving, op voorwaarde dat ze de services gebruiken op een wijze die past bij hun specifieke omstandigheden.

Organisaties die vallen onder de EU-richtlijn voor gegevensbescherming moeten bijvoorbeeld hun eigen beleid, beveiliging en opleidingsprogramma hebben ingesteld om te garanderen dat hun personeel Office 365- of Microsoft Dynamics CRM Online-services niet gebruikt op een manier die de richtlijn overtreedt. Office 365 en Microsoft Dynamics CRM Online vervullen hun plicht door zich te houden aan de contractuele beloften die ze hebben gedaan, waardoor ze u helpen conform de regels te blijven handelen.

Zo kan een klant uit de Europese Unie (EU) bijvoorbeeld een klantenlijst opslaan die contactgegevens bevat. Office 365 en Microsoft Dynamics CRM Online hebbenbeveiligingsprocedures ingesteld die ervoor zorgen dat Microsoft-medewerkers geen ongeoorloofde toegang verkrijgen tot deze gegevens en deze gegevens niet openbaren. Een van de werknemers van de klant, die Microsoft Exchange Online gebruikt, kan de service echter gebruiken om een dergelijke klantenlijst zonder de juiste toestemming naar een marketeer te verzenden. Een eventuele overtreding van EU-vereisten inzake gegevensbescherming die voortvloeit uit het feit dat Office 365 en Microsoft Dynamics CRM Online de instructie van de klant hebben opgevolgd (namelijk door te zorgen dat een e-mail wordt verzonden tijdens de normale gang van zaken bij het leveren van de services) is de verantwoordelijkheid van de klant.

Is het mij wettelijk toegestaan Office 365 en Microsoft Dynamics CRM Online te gebruiken als ik mij in de Europa bevind?

Onder de EU-richtlijn inzake gegevensbescherming en onze contractuele verplichtingen fungeren Office 365 en Microsoft Dynamics CRM Online als beheerder van uw gegevens en dus in feite als onderaannemer (in de wet worden wij de 'gegevensverwerker' genoemd).

U, de klant, bent eigenaar van de gegevens en bent er wettelijk verantwoordelijk voor zich ervan te vergewissen dat wij de regels navolgen en dat het voor u wettelijk is toegestaan om persoonlijke gegevens naar ons te verzenden (in de wet wordt u de 'gegevensbeheerder' genoemd). U moet voor uw onderneming in uw specifieke situatie bepalen of u onze services mag gebruiken om uw persoonlijke gegevens te verwerken en op te slaan.

In het ontwerp en beheer van onze services voor normaal gebruik is rekening gehouden met vereisten van de EU-richtlijn inzake gegevensbescherming en wij controleren voortdurend of er wijzigingen op dit gebied zijn die relevant zijn voor de ontwikkeling van de services.

Microsoft heeft zichzelf ook gecertificeerd voor het Safe Harbor-programma tussen de VS en de EU en het vrijwel identieke Safe Harbor-programma tussen de VS en Zwitserland, zoals mee ingestemd door het Amerikaanse ministerie van Economische Zaken en, respectievelijk, de EU en Zwitserland. Daarom zijn wij verplicht te voldoen aan de vereisten van de EU-richtlijn voor gegevensbescherming en is het wettelijk toegestaan dat we gegevens overbrengen buiten de EU om Office 365- en Microsoft Dynamics CRM Online-services te leveren. U vindt de Safe Harbor-certificering van Microsoft op http://safeharbor.export.gov/. We begrijpen dat sommige klanten een grotere zekerheid eisen dan wat de zelfcertificering bij Safe Harbor kan bieden. Daarom zijn we bereid voor elke klant de modelclausules van de EU (ook wel de 'standaard contractuele clausules' genoemd) te ondertekenen. Raadpleeg voor meer informatie over de overdracht van gegevens buiten de EU het gedeelte Gegevenskaarten van het Vertrouwenscentrum.

In sommige landen houden wij ons ook aan de beveiligingsvereisten voor opslag van vertrouwelijke persoonlijke gegevens, zoals bij wet gedefinieerd. Als u zich zorgen maakt over de regels in uw land of het type gegevens dat u bewaart, of als u meer informatie wilt over de procedures en ondersteunde functies van Office 365 of Microsoft Dynamics CRM Online, en als u die informatie niet vindt in de servicedocumentatie, kunt u contact opnemen met de ondersteuning. Voor zover het onze beveiliging niet verzwakt wanneer we nuttige informatie verstrekken, zullen wij dit doen om u te helpen uw eigen afweging te maken met betrekking tot de aanvaardbaarheid van de implementatie van Office 365 of Microsoft Dynamics CRM Online in overeenstemming met uw vereisten.

Het wordt aanbevolen de algemene vragen over naleving te lezen. U moet echter begrijpen dat het feit dat Office 365 of Microsoft Dynamics CRM Online uw organisatie ondersteunt bij het naleven van privacywetten, niet betekent dat uw organisatie de regels naleeft. U moet mogelijk extra stappen implementeren, zoals het instellen van het juiste bedrijfsbeleid en het opleiden van werknemers in goede privacyprocedures. Tevens kunnen er, afhankelijk van uw land, extra stappen zijn die u moet nemen om lokale wetten na te leven, zoals het verstrekken van gegevens aan het College bescherming persoonsgegevens.

Worden klantgegevens die door Office 365 of Microsoft Dynamics CRM Online worden verwerkt, geregistreerd bij EU-autoriteiten?

Nee. Office 365 en Microsoft Dynamics CRM Online registreren, als gegevensverwerkers, bij EU-autoriteiten geen klantgegevens die we namens onze klanten verwerken.

Voldoen Office 365 en Microsoft Dynamics CRM Online aan de vereisten van de Health Insurance Portability and Accountability Act (HIPAA)? Zal Microsoft een HIPAA Business Associate Agreement (BAA) ondertekenen?

We helpen onze klanten te voldoen aan de HIPAA en zijn bereid voor alle klanten een HIPAA BAA te ondertekenen. Raadpleeg de veelgestelde vragen over HIPAA/HITECH voor meer informatie.

Voldoet Office 365 of Dynamics CRM Online aan de Gramm Leach Bliley Act (GLBA)?

Office 365 en Microsoft Dynamics CRM Online helpen klanten te voldoen aan de beveiligingsvereisten van GLBA door technische en organisatorische voorzorgsmaatregelen te bieden en klanten zo te helpen beveiliging te bieden en ongeautoriseerd gebruik te voorkomen.

Microsoft kan klanten op verzoek voorzien van een samenvattingsrapport van certificering door een onafhankelijke controleur.

Voldoet Office 365 of Dynamics CRM Online aan de Payment Card Industry Data Security Standard (PCI DSS)? Kan ik creditcardgegevens hosten op jullie service?

Office 365 en Microsoft Dynamics CRM Online bieden geen ondersteuning voor het verwerken, overdragen of opslaan van gegevens die zijn onderworpen aan de PCI, zoals creditcardnummers.

De PCI-standaard is niet van toepassing op Office 365 of Microsoft Dynamics CRM Online omdat verwerking van en gegevensopslag voor creditcards geen functie is die door Office 365 of Microsoft Dynamics CRM Online wordt aangeboden. Office 365 en Microsoft Dynamics CRM Online passen wel toepasselijk beveiligingsbeleid en controlehulpmiddelen toe die worden beschreven voor de beste procedures in de branche, zoals ISO 27001 en dergelijke.

Houd er echter wel rekening mee dat de Office 365- of Microsoft Dynamics CRM Online-systemen voor bestellen, factureren en betalen die omgaan met creditcardgegevens compatibel zijn met Level One PCI en dat klanten gerust creditcards kunnen gebruiken om te betalen voor de services.

Is Office 365 compatibel met FERPA?

Hoewel een onderwijsinstelling onder FERPA veel verschillende verplichtingen heeft, onderschrijft Microsoft de belangrijkste contractuele voorwaarden die gelden voor het gebruik en de openbaarmaking van onderwijsgegevens die kunnen zijn opgeslagen in Office 365. Daarom kunnen onderwijsinstellingen Office 365 gebruiken als onderdeel van een bredere strategie voor FERPA-naleving.

FERPA vereist dat onderwijsinstellingen die geld ontvangen van het Amerikaanse ministerie van Onderwijs de privacyrechten van studenten beschermen door onderwijsgegevens te beschermen tegen gebruik of openbaarmaking zonder toestemming. De richtlijn van het ministerie van Onderwijs bepaalt dat e-mailcommunicatie wordt beschouwd als onderwijsgegevens die zijn onderworpen aan FERPA en dat e-mailproviders in de cloud dienovereenkomstig moeten worden beperkt in de manier waarop ze informatie in e-mails en documenten gebruiken of openbaar maken.

FERPA vereist dat een cloudprovider ermee akkoord gaat dat onderwijsgegevens in e-mails en andere elektrische documenten van docenten, personeelsleden en studenten alleen worden gebruikt om de cloudservice te bieden en dat deze informatie niet wordt doorzocht of gebruikt om commerciële activiteiten, zoals reclame, te ondersteunen en te onderhouden. Microsoft biedt onderwijsinstellingen de mogelijkheid FERPA na te leven door ermee akkoord te gaan dat we voor FERPA een 'schoolfunctionaris' zijn met 'legitieme educatieve belangen' bij de gegevens van de instelling en door ermee akkoord te gaan dat we ons houden aan de beperkingen en vereisten die door FERPA worden opgelegd aan schoolfunctionarissen, waaronder het niet doorzoeken van e-mails of documenten van de instelling voor reclamedoeleinden.