Veelgestelde vragen over EU-modelclausules

 
Alles weergeven

Cliënten kunnen door gebruik te maken van de EU-modelclausules voldoen aan vereisten voor internationale gegevensoverdracht van de gegevensbeschermingsrichtlijn van de EU en na 25 mei 2018 de Algemene verordening gegevensbescherming (AVG).

De modelclausules die zijn uitgegeven door de Europese Commissie bevatten bepalingen die verzekeren dat persoonlijke gegevens uit de EU afdoende worden beschermd wanneer ze internationaal worden verplaatst en zijn een wettelijk mechanisme voor de legitimatie van internationale verplaatsingen.

Wereldwijde providers van cloudservices die services, beschikbaarheid en prestaties op ondernemingsniveau bieden, samen met aanvullende services, zoals 24/7 klantondersteuning en technische ondersteuning, moeten beschikken over flexibiliteit bij het verplaatsen van persoonlijke gegevens van een klant in de EU naar een locatie ergens anders ter wereld in het proces om de cloudservice te leveren.

Microsoft heeft aan het ministerie van Handel gecertificeerd dat ze de Privacy Shield Principles naleven en dit raamwerk volgen om internationale gegevensverplaatsing van persoonlijke gegevens uit de EU te legitimeren.

De EU-modelclausules zijn inbegrepen bij de voor iedere cliënt beschikbare Microsofts Online Services Terms.

Het is belangrijk op te merken dat de EU-modelclausules die we bieden specifiek zijn ontworpen om te voorzien in de waarborgen voor gegevensverplaatsing van beheerders in de EU naar gegevensverwerkers buiten de EEA. Voor de online services is Microsoft een gegevensverwerker (of subverwerker) die optreedt namens onze cliënt om klant-, service- en persoonlijke gegevens te verwerken.

Door de EU-modelclausules aan te bieden als gegevensverwerker verzekert Microsoft klanten dat ze beheerder blijven over hun eigen gegevens en dat hun gegevens worden verwerkt volgens strenge gegevensbeschermingseisen.

De EU-modelclausules bevatten strenge gegevensbeschermingseisen waarin van cloudproviders wordt verwacht dat ze klantgegevens behandelen in overeenstemming met rigoureuze technische en organisatorische controles. Om te voldoen aan de EU-modelclausules heeft Microsoft aanzienlijke technische en operationele investeringen gedaan (en zal dit blijven doen) om te voldoen aan de privacy- en beveiligingseisen zoals die in de EU-modelclausules zijn beschreven. Onze investeringen omvatten o.a. technische controles en processen die meer dan voldoen aan de eisen die worden gesteld aan een ISO 27001-certificaat. We zijn in het bezit van dat certificaat en worden daarvoor elk jaar gecontroleerd. Bovendien zijn we transparant over onze gegevensverwerkingsactiviteiten. We maken bijvoorbeeld onze subverwerkers bekend en delen de technische en organisatorische beveiligingsmaatregelen die we nemen om klantgegevens te beschermen. Het is mogelijk dat cloudserviceproviders die de EU-modelclausules niet aanbieden deze controles en processen niet hebben geïmplementeerd of bestaande werkwijzen hebben waarmee ze niet kunnen voldoen aan deze clausules.

De EU-modelclausules kunnen klanten het vertrouwen schenken dat hun gegevens goed worden beschermd. Als een cloudserviceprovider niet bereid is akkoord te gaan met de EU-modelclausules, is het misschien niet gemakkelijk voor een klant om te vertrouwen op de gegevensbescherming van de cloudserviceprovider. De EU-modelclausules helpen cloudklanten te voldoen aan de vereisten van de EU voor internationale gegevensoverdracht. In de Artikel 29-werkgroep is het belang benadrukt van het vastleggen van contractbeveiligingen in de relatie tussen gegevenscontrollers en gegevensverwerkers (dat wil zeggen de klant en de cloudserviceprovider) en is het belang van de EU-modelclausules aangegeven.

Nee. Instanties voor bescherming van persoonsgegevens in de EU beschouwen versleuteling over het algemeen niet als alternatief voor de maatregelen met betrekking tot de internationale overdracht van persoonlijke gegevens uit de EU.

Klanten moeten weten of de cloudserviceprovider de EU-modelclausules naleeft als gegevensbeheerder of gegevensverwerker. Microsoft leeft de EU-modelclausules na als gegevensverwerker en garandeert de klant dat we hun gegevens alleen verwerken in navolging van hun instructies.

Als beide cloudserviceproviders de EU-modelclausules naleven als gegevensverwerkers, moeten klanten letten op de algehele toezegging van de serviceprovider voor de privacy en beveiliging van gegevens naast de EU-modelclausules. Proactief met nationale instanties werken voor de bescherming van persoonsgegevens en de Artikel 29-werkgroep is het bewijs van een dergelijke toezegging. Hiermee wordt ervoor gezorgd dat het aanbod van de serviceprovider voldoet aan de verwachtingen van klanten en regulerende instanties.

Microsoft heeft veel positieve beoordelingen ontvangen van Europese instanties voor de bescherming van persoonsgegevens voor de krachtige functies voor privacynaleving van Office 365 en Microsoft Dynamics CRM Online, waarmee duidelijk wordt aangetoond dat Microsoft bij het ontwerp van cloudservices veel aandacht besteedt aan naleving.

Tot op heden hebben we voor onze benadering van onze gegevensverwerking van de EU-modelclausules schriftelijke validatie ontvangen van autoriteiten op het gebied van de bescherming van persoonsgegevens in Frankrijk, Duitsland (Beieren), Denemarken, Ierland, Luxemburg, Malta en Spanje. Deze validaties bevestigen dat we onze klanten helpen te voldoen aan de wettelijke vereisten met betrekking tot de overdracht van persoonlijke gegevens van de Europese Unie naar rechtsgebieden die geen 'adequate bescherming' bieden voor persoonlijke gegevens.

Een klant in de EU kan overstappen op Office 365 of Microsoft Dynamics CRM Online en voldoen aan de vereisten voor gegevensbescherming in de EU.

Microsoft biedt de voordelen en waarborgen van de EU-modelclausules voor alle klanten. Office 365 is een service met meerdere tenants en Microsoft voert de service uit met dezelfde privacyfuncties, -controles en -processen voor alle klanten, zelfs voor klanten die ervoor kiezen de EU-modelclausules niet te ondertekenen.