Veelgestelde vragen over EU-modelclausules

 
Alles weergeven

Via de EU-modelclausules kunnen klanten de EU-richtlijn voor de bescherming van persoonsgegevens met betrekking tot de overdracht van persoonlijke gegevens over de grens naleven.

Op basis van de wetgeving ter bescherming van persoonsgegevens in de EU wordt het exporteren van persoonlijke gegevens vanuit de Europese Economische Ruimte beperkt. De modelclausules (standaardcontractclausules) die zijn goedgekeurd door de Europese Commissie, zijn de voorkeursmethode voor de geautoriseerde overdracht van persoonlijke gegevens buiten de Europese Economische Ruimte.

Wereldwijde providers van cloudservices die services, beschikbaarheid en prestaties op ondernemingsniveau bieden, samen met aanvullende services, zoals 24/7 klantondersteuning en technische ondersteuning, moeten beschikken over flexibiliteit bij het verplaatsen van persoonlijke gegevens van een klant in de EU naar buiten de EU voor het leveren van de cloudservice.

Hoewel Microsoft en onze klanten gebruikmaken van het Safe Harbor-programma voor de geautoriseerde overdracht van persoonlijke gegevens vanuit de EU, hebben bepaalde Europese regulerende instanties voor de bescherming van persoonsgegevens aangegeven dat het Safe Harbor-programma mogelijk niet voldoende is voor cloudservices in een onderneming.

Microsoft is bereid overeenkomsten voor gegevensverwerking met standaardcontractclausules van de EU te ondertekenen voor al onze Office 365- en Microsoft Dynamics CRM Online-klanten, ongeacht de grootte van de klant of de waarde van het Office 365- of Microsoft Dynamics CRM Online-servicecontract van de klant.

Om de EU-modelclausules te kunnen aanbieden, moet er worden geïnvesteerd en moeten de bedrijfsfuncties en -processen worden opgezet die nodig zijn om te voldoen aan de exacte vereisten van de EU-modelclausules. Voor de naleving van de EU-modelclausules heeft Microsoft ruim boven de norm geïnvesteerd in de ontwikkeling van functies en processen om het ISO 27001-certificaat te krijgen. Tijdens de jaarlijkse controle worden we gecontroleerd op basis van deze functies. Daarnaast bieden we volledige openbaarmaking van subverwerkers, wordt de derde-begunstigdestatus toegepast op alle personen op wie de persoonlijke gegevens betrekking hebben en worden technische en organisatorische beveiligingsmaatregelen volledig openbaar gemaakt. Mogelijk hebben concurrenten die de EU-modelclausules niet aanbieden, deze functies en processen niet geïmplementeerd of hebben deze bestaande bedrijfsprocedures waardoor ze deze clausules niet kunnen naleven.

Als een cloudserviceprovider niet bereid is akkoord te gaan met de EU-modelclausules, is het misschien niet gemakkelijk voor een klant om erop te vertrouwen dat deze provider de vereisten naleeft van de EU-richtlijn voor de bescherming van persoonsgegevens voor de overdracht van persoonlijke gegevens van de EU naar rechtsgebieden die geen 'adequate bescherming' bieden voor persoonlijke gegevens. In de Artikel 29-werkgroep is het belang benadrukt van het vastleggen van contractbeveiligingen in de relatie tussen gegevenscontrollers en gegevensverwerkers (dat wil zeggen de klant en de cloudserviceprovider) en is het belang van de EU-modelclausules aangegeven.

Nee. Instanties voor bescherming van persoonsgegevens in de EU beschouwen versleuteling over het algemeen niet als alternatief voor de maatregelen met betrekking tot de overdracht van persoonlijke gegevens over de grens.

Klanten moeten letten op de algehele toezegging van de serviceprovider voor de privacy en beveiliging van gegevens naast de EU-modelclausules. De serviceprovider werkt proactief met nationale instanties voor de bescherming van persoonsgegevens en de Artikel 29-werkgroep is het bewijs van een dergelijke toezegging. Hiermee wordt ervoor gezorgd dat het aanbod van de serviceprovider voldoet aan de verwachtingen van klanten en regulerende instanties.

Microsoft heeft veel positieve beoordelingen ontvangen van Europese instanties voor de bescherming van persoonsgegevens voor de krachtige functies voor privacynaleving van Office 365 en Microsoft Dynamics CRM Online, waarmee duidelijk wordt aangetoond dat Microsoft bij het ontwerp van cloudservices veel aandacht besteedt aan privacy.

Tot op heden hebben we voor onze benadering van de EU-modelclausules schriftelijke validatie ontvangen van autoriteiten op het gebied van de bescherming van persoonsgegevens in Frankrijk, Duitsland (Beieren), Denemarken, Ierland, Luxemburg, Malta en Spanje. Deze validaties bevestigen dat we onze klanten helpen te voldoen aan de wettelijke vereisten met betrekking tot de overdracht van persoonlijke gegevens van de Europese Unie naar rechtsgebieden die geen 'adequate bescherming' bieden voor persoonlijke gegevens.

Een klant in de EU kan overstappen op Office 365 of Microsoft Dynamics CRM Online en voldoen aan de vereisten voor gegevensbescherming in de EU.

Office 365 is een service met meerdere tenants en Microsoft voert de service uit met dezelfde privacyfuncties, -controles en -processen voor alle klanten, zelfs voor klanten die ervoor kiezen de EU-modelclausules niet te ondertekenen.