Meer privacytransparantie voor onze commerciële cloudklanten

Bij Microsoft luisteren we naar onze klanten en streven we ernaar hun vragen en feedback zo goed als mogelijk te beantwoorden. Een van onze basisprincipes is immers om onze klanten te helpen succesvol te zijn. Vandaag kondigt Microsoft een update aan van de privacybepalingen in de Microsoft Voorwaarden voor Online Diensten (VOD) in onze commerciële cloudcontracten, die voortvloeit uit aanvullende feedback die we van onze klanten hebben gekregen.

Onze bijgewerkte VOD zullen contractuele wijzigingen weerspiegelen die we hebben ontwikkeld met één van onze klanten in de publieke sector, het Nederlandse Ministerie van Justitie en Veiligheid. De wijzigingen die we doorvoeren zullen onze klanten meer transparantie bieden over gegevensverwerking in de Microsoft-cloud.
Microsoft is momenteel de enige grote cloudaanbieder die dergelijke voorwaarden aanbiedt in zowel de Europese Economische Ruimte (EER), als daarbuiten.

Zo kondigen we ook aan dat we deze nieuwe contractvoorwaarden aan al onze commerciële klanten – zowel in de publieke als private sector, en zowel voor grote bedrijven als voor MKB-bedrijven – wereldwijd zullen aanbieden. Bij Microsoft beschouwen we privacy als een fundamenteel recht, en we zijn van mening dat sterkere privacybescherming door grotere transparantie en verantwoording onze klanten overal ten goede moet komen.

Inzicht in de verantwoordelijkheden van Microsoft voor clouddiensten onder de VOD-update
In aanloop naar de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) heeft Microsoft de meeste van haar zakelijke diensten ontworpen als diensten waar we als verwerker optreden voor onze klanten. We hebben daarbij de benodigde maatregelen genomen om te voldoen aan deze nieuwe wetgeving inzake gegevensbescherming in Europa. In de basis betekent dit dat Microsoft persoonsgegevens van haar zakelijke diensten verzamelt en gebruikt om de online diensten te leveren waar onze klanten om vragen en voor doeleinden waar ze ons over hebben geïnstrueerd. Als verwerker waarborgt Microsoft de integriteit en veiligheid van klantgegevens, maar die gegevens zelf zijn eigendom van, en worden beheerd door de klant.

Door de VOD-update die we vandaag aankondigen breiden we onze verantwoordelijkheid uit voor de gegevensbescherming van een subset van verwerkingen die Microsoft uitvoert bij het aanbieden van zakelijke diensten. In de VOD-update maken we duidelijk dat Microsoft de rol van verwerkingsverantwoordelijke op zich neemt, op het moment dat we gegevens verwerken voor gespecificeerde administratieve en operationele doeleinden bij het leveren van de clouddiensten die onder dit contractuele raamwerk vallen, zoals Azure, Office 365, Dynamics en Intune. Deze subset van gegevensverwerking dient administratieve of operationele doelen zoals accountbeheer, financiële rapportage, bestrijding van cyberaanvallen op Microsoftproducten of -diensten, en het voldoen aan onze wettelijke verplichtingen.

De wijziging om Microsoft verwerkingsverantwoordelijke te laten worden voor het specifieke gebruik van deze gegevens komt onze klanten ten goede: het geeft meer duidelijkheid over hoe we gegevens gebruiken, en over ons commitment om verantwoording af te leggen onder de AVG om te verzekeren dat de gegevens op een conforme manier worden behandeld.

Ondertussen blijft Microsoft de verwerker voor de levering van de diensten, het verbeteren en adresseren van bugs of andere problemen gerelateerd aan de dienst, het waarborgen van de beveiliging van de diensten, en het up-to-date houden van de diensten.

Zoals hierboven beschreven weerspiegelt de VOD-update de contractuele afspraken die zijn gemaakt met het Nederlandse Ministerie van Justitie en Veiligheid. De enige materiële verschillen in de update hebben betrekking op klant-specifieke aanpassingen voor het Nederlandse Ministerie van Justitie en Veiligheid, die zijn aangepast voor de bredere wereldwijde uitrol voor verdere Microsoft klanten.

Het werk om onze bijgewerkte VOD aan te bieden is reeds in gang gezet. We verwachten de nieuwe contractbepalingen begin 2020 wereldwijd aan alle klanten in zowel de publieke als private sectoren te kunnen aanbieden.

Samenwerken met onze klanten om privacy te versterken
Zowel voor- als nadat de AVG in de EU van kracht werd heeft Microsoft maatregelen genomen om ervoor te zorgen dat we de privacy beschermen van iedereen die onze producten en diensten gebruikt. We blijven eraan werken om namens onze klanten in lijn te blijven met de zich ontwikkelende juridische interpretaties van de AVG. Feedback van klanten als het Nederlandse Ministerie van Justitie & Veiligheid en anderen heeft bijvoorbeeld geleid tot de wereldwijde uitrol van een aantal nieuwe privacytools in onze belangrijkste diensten, specifieke wijzigingen in Office 365 ProPlus, als ook meer transparantie met betrekking tot het gebruik van diagnostische gegevens.

We blijven aandachtig luisteren naar de behoeften en zorgen van onze klanten met betrekking tot privacy. Bij nieuwe vragen van klanten staan onze technische, juridische en zakelijke middelen klaar om maatregelen door te voeren die onze klanten nodig hebben. Bij Microsoft is dat onderdeel van onze missie om elke persoon en organisatie op de planeet in staat te stellen meer te bereiken.

Julie Brill, Corporate Vice President for Global Privacy and Regulatory Affairs and Chief Privacy Officer, Microsoft