Gegevenslocaties voor de Europese Unie

Uw gegevens zijn van u

Microsoft erkent het belang van het behouden van de privacy en vertrouwelijkheid van uw bedrijfsgegevens. Uw gegevens zijn van u en u kunt deze op elk gewenst moment openen, wijzigen of verwijderen. Microsoft zal uw gegevens niet gebruiken zonder uw toestemming en als we uw toestemming hebben, gebruiken we uw gegevens om alleen de services te leveren die u hebt gekozen. Als u een van onze diensten verlaat, zorgen wij ervoor dat u het eigendom van uw gegevens behoudt. We volgen strikte normen en processen om de gegevens uit onze systemen te verwijderen.

Notitie

Klantgegevens (ook wel 'uw gegevens' of 'uw bedrijfsgegevens' genoemd) omvatten alle gegevens, inclusief tekst-, geluids-, video- of afbeeldingsbestanden en software die u aan Microsoft verstrekt of die namens u wordt verstrekt door uw gebruik van zakelijke Microsoft onlineservices, met uitzondering van Microsoft Professional Services. Het omvat klantinhoud, dit zijn de gegevens die u uploadt voor opslag of verwerking en apps die u uploadt voor distributie via een zakelijke Microsoft-cloudservice. Klantinhoud omvat bijvoorbeeld Exchange Online-e-mailberichten en bijlagen, site-inhoud van SharePoint Online of chatgesprekken.

Gegevens opslaan en verwerken

Wanneer u Microsoft 365-services gebruikt, gaan we ervan uit dat onze zakelijke klanten graag willen dat hun bedrijfsgegevens dicht bij huis worden opgeslagen en verwerkt. We doen dat zoveel mogelijk. Om uw gegevens in datacenters bij u in de buurt te houden, slaan wij uw gegevens op op basis van de bedrijfslocatie die u opgeeft bij het aanmaken van uw Tenant. Om opslaglocaties te kiezen die betekenisvol zijn voor de bedrijven van uw organisatie, kunt u zoveel Tenants voor uw organisatie maken als u wilt.

Waar worden EU-gegevens opgeslagen?

We hebben datacenters in Duitsland en Frankrijk, die u in staat stellen om gegevens in uw land op te slaan als uw bedrijf zich daar bevindt. Onze regionale datacenters in de Europese Unie bevinden zich in Oostenrijk, Finland, Frankrijk, Ierland en Nederland. Uw gegevens voor de volgende services worden op de volgende locaties gehost op basis van het factuuradres dat u kiest:

Servicenaam Locatie voor Tenants die zijn gemaakt met een factuuradres in Frankrijk Locatie voor Tenants die zijn gemaakt met een factuuradres in Duitsland Locatie voor tenants die zijn gemaakt met een factuuradres in de overige EU-landen
Exchange Online Frankrijk Duitsland Europese Unie
OneDrive voor Bedrijven Frankrijk Duitsland Europese Unie
SharePoint Online Frankrijk Duitsland Europese Unie
Skype voor Bedrijven Europese Unie Europese Unie Europese Unie
Microsoft Teams Frankrijk Duitsland Europese Unie
Office Online & Mobile Frankrijk Duitsland Europese Unie
Exchange Online Protection Frankrijk Duitsland Europese Unie
Intune Europese Unie Europese Unie Europese Unie
MyAnalytics Frankrijk Duitsland Europese Unie
Planner Europese Unie Europese Unie Europese Unie
Yammer Europese Unie Europese Unie Europese Unie
OneNote-services Frankrijk Duitsland Europese Unie
Stream Europese Unie Europese Unie Europese Unie
Whiteboard Europese Unie Europese Unie Europese Unie
Forms Europese Unie Europese Unie Europese Unie

Notitie

Als u een Office 365 Education-abonnement hebt met een factuuradres in Frankrijk of Duitsland, zijn uw gegevens mogelijk opgeslagen in onze Europese datacenters. Zie Waar uw Microsoft 365-klantgegevens worden opgeslagen voor de locaties van tenanttegevens buiten de EU.

Waar worden EU-gegevens berekend?

Wanneer u begint met het gebruik van een van de bovenstaande services, zullen de berekeningen die nodig zijn om de service te leveren voor uw gegevens die zijn opgeslagen in een van onze regionale Europese datacentra (of in uw land), binnen dezelfde geografische grens plaatsvinden, tenzij een tijdelijke gegevensoverdracht plaatsvindt die nodig is om de berekening uit te voeren in een verder weg gelegen Microsoft-datacenter.

Als een tijdelijke overdracht vereist is, zullen we altijd de modernste versleuteling gebruiken bij de overdracht en zullen we uw gegevens altijd onmiddellijk daarna terugsturen naar de door u gekozen gegevensopslaglocatie. We vertrouwen op onze naleving van de Europese wetgeving via de standaardcontractbepalingen (SCC's) voor deze tijdelijke overdrachten, samen met onze aanvullende maatregelen om ervoor te zorgen dat de gegevens zijn beschermd.

Zie Modelclausules van de Europese Unievoor meer informatie.

Notitie

Klantgegevens voor Sway en Workplace Analytics worden opgeslagen en berekend in de Verenigde Staten, als u ervoor kiest om deze services te gebruiken.

Notitie

Microsoft 365-services kunnen delen van tenant-directory-/identiteitsgegevens opvragen en opslaan in andere regio's dan de EU, waar dit nodig is om bepaalde scenario's mogelijk te maken. In scenario's van cross-regionale e-mailroutering, oproeproutering en verificatie hebben Microsoft 365-systemen bijvoorbeeld informatie over EU-ontvangers nodig om deze verzoeken correct te kunnen routeren. Microsoft 365-systemen zijn ook afhankelijk van Azure Active Directory voor identiteits- en verificatiefuncties. Zie Identiteitsgegevensopslag voor Europese klanten in Azure Active Directory voor meer informatie.

Hoe Microsoft uw gegevens beschermt

Beveiligingsmaatregelen

Microsoft beveiligt uw gegevens met behulp van meerdere beveiligings- en versleutelingsprotocollen. Bekijk een overzicht van de beveiligingsmogelijkheden van Microsoft voor gegevens in het Microsoft 365-versleutelingsartikel.

Standaard beschermen Microsoft Managed Keys uw klantgegevens. Gegevens die op fysieke media blijven staan, worden altijd versleuteld met FIPS 140-2-compatibele versleutelingsprotocollen. U kunt ook door de gebruiker beheerde sleutels (CMK) gebruiken dubbele versleutelingen/of hardwarematige beveiligingsmodules (HSM's), voor verhoogde gegevensbescherming.

Bovendien gebruikt Microsoft standaard het TLS-protocol (Transport Layer Security) om gegevens te versleutelen wanneer deze worden verzonden tussen de cloudservices en klanten. Microsoft Services onderhandelt over een TLS-verbinding met clientsystemen die verbinding kunnen maken met Microsoft 365-services.

Om ongeautoriseerde fysieke toegang tot datacentra te voorkomen, passen we rigoureuze operationele controles en processen toe, waaronder doorlopende videobewaking, getraind beveiligingspersoneel en beveiligingsprocessen, en smartcard- of biometrische toegangscontroles die gebruikmaken van meervoudige factoren. Aan het einde van de levensduur worden gegevensschijven vermalen en vernietigd. Als een harde schijf die voor opslag wordt gebruikt, een hardwarestoring vertoont of het einde van zijn levensduur bereikt, wordt deze veilig gewist of vernietigd. De gegevens op het station worden volledig overschreven om ervoor te zorgen dat de gegevens niet kunnen worden hersteld. Wanneer deze apparaten buiten gebruik worden gesteld, worden ze vermalen en vernietigd volgens de NIST SP 800-88 R1-richtlijnen voor het opschonen van media. Verslagen van de vernietiging worden bewaard en beoordeeld als onderdeel van het audit- en nalevingsproces van Microsoft. Alle Microsoft 365-services maken gebruik van goedgekeurde mediaopslag- en verwijderingsbeheerdiensten.

Technische besturingselementen

Naast fysieke en technologische beveiligingen neemt Microsoft krachtige maatregelen om uw klantgegevens te helpen beschermen tegen onbevoegde toegang door Microsoft-personeel en onderaannemers. Toegang tot klantgegevens door Microsoft operations en ondersteunend personeel wordt standaard geweigerd. Bijna alle serviceactiviteiten die door Microsoft worden uitgevoerd, zijn volledig geautomatiseerd. Eventuele menselijke betrokkenheid wordt sterk gecontroleerd en maakt gebruik van geabstraheerde klantgegevens.

Alleen in zeldzame gevallen moet een Microsoft-engineer toegang hebben tot klantgegevens. Dit is doorgaans alleen nodig als u de hulp van Microsoft vraagt om een probleem van een klant op te lossen. Toegang tot klantgegevens wordt sterk beperkt door op rollen gebaseerde toegangscontroles, meervoudige verificatie, dataminimalisatie en andere besturingselementen. Alle toegang tot klantgegevens wordt strikt gelogd en zowel Microsoft als derde partijen voeren regelmatig audits uit (evenals voorbeeldaudits) om te bevestigen dat elke toegang gepast is.

Klanten kunnen door de klant beheerde sleutels gebruiken om te voorkomen dat hun gegevens leesbaar zijn in geval van ongeautoriseerde toegang. Zowel server-side als client-side versleuteling kan vertrouwen op door de klant beheerde sleutels of door de klant verstrekte sleutels. In beide gevallen heeft Microsoft geen toegang tot coderingssleutels en kan het de gegevens niet decoderen. Twee keer per jaar wordt een SOC-audit uitgevoerd door een AICPA-geaccrediteerde auditor, om de effectiviteit van onze beveiligingscontroles te verifiëren. Het door de auditor gepubliceerde SOC 2 Type 2-attestrapport legt uit onder welke omstandigheden toegang tot klantgegevens kan plaatsvinden en hoe.

Naast het opslaan en verwerken van uw gegevens wanneer u de online services gebruikt, genereert Microsoft servicegegevens om de systeemstatus te bewaken en om servicewerkzaamheden, zoals probleemoplossing, uit te voeren. Als een privacybeschermingsmaatregel genereert en vertrouwt Microsoft op pseudonieme ID's in de door deze service gegenereerde gegevens, om de ene gebruiker van de andere te kunnen onderscheiden zonder daadwerkelijke gebruikers te identificeren. Pseudonieme id's identificeren een persoon niet direct, en de informatie die het mogelijk maakt om pseudonieme id's aan daadwerkelijke gebruikers te koppelen, wordt beschermd als onderdeel van uw gegevens.

Voor meer informatie, raadpleegt u Wie heeft toegang tot uw gegevens en onder welke voorwaarden en Subprocessen en gegevensprivacy.

De manier waarop Microsoft overheidsaanvragen afhandelt

Als een overheid klantgegevens wil opvragen, moet zij de toepasselijke juridische procedures volgen. Microsoft moet een bevelschrift of gerechtelijk bevel voor inhoud ontvangen, of een dagvaarding voor abonneegegevens of andere niet-inhoudelijke gegevens.

  • Alle aanvragen moeten zijn gericht op specifieke accounts en id's.
  • Het juridische compliance-team van Microsoft beoordeelt alle verzoeken om ervoor te zorgen dat ze geldig zijn, wijst de verzoeken af die niet geldig zijn en verstrekt alleen de aangevraagde gegevens.
  • Als Microsoft wettelijk verplicht is om klantgegevens vrij te geven, wordt u onmiddellijk op de hoogte gesteld en ontvangt u een kopie van het verzoek, tenzij het Microsoft wettelijk verboden is dit te doen.
  • Microsoft voert een lokale juridische beoordeling uit van elk verzoek dat het ontvangt, in overeenstemming met lokale wetten en normen. Microsoft evalueert ook periodiek haar wereldwijde screeningprocessen, om ervoor te zorgen dat lokale gerechtelijke procedures worden gevolgd en dat haar wereldwijde mensenrechtenverklaring wordt toegepast.

Zie Nieuwe stappen om uw gegevens te verdedigen voor meer informatie over de toezegging van Microsoft om gegevensaanvragen aan te vechten in overeenstemming met de AVG van de EU.

Wanneer overheden of wetshandhavingsinstanties een wettig verzoek doen om klantgegevens, zet Microsoft zich in voor transparantie en beperkt het wat het openbaar maakt. Tweemaal per jaar publiceren we het aantal wettelijke verzoeken om klantgegevens dat we ontvangen van wetshandhavingsinstanties over de hele wereld. Zie Rapport met verzoeken van autoriteiten. Dit rapport onthult geen specifieke kenmerken van een bepaalde aanvraag, noch de klant in kwestie. Twee keer per jaar publiceren we ook gegevens over de wettelijke verzoeken die we van de Amerikaanse overheid ontvangen. Zie Verslag over de Amerikaanse nationale beveiligingsorders voor het laatste rapport.

Voor meer informatie raadpleegt u Veelgestelde vragen over verzoeken van de overheid en wetshandhaving, met inbegrip van vragen over de CLOUD Act.

Aanvullende bronnen