AVG-verbintenissen van Microsoft tegenover klanten betreffende onze algemeen verkrijgbare Enterprise Software-producten

Inleiding

De algemene verordening gegevensbescherming (AVG) van de Europese Unie legt wereldwijd een nieuwe lat voor privacyrechten, informatiebeveiliging en compliance. Bij Microsoft geloven we dat privacy een grondrecht is en dat de AVG een belangrijke stap voorwaarts is in het beschermen en bevorderen van de privacyrechten van individuen.

Microsoft zet zich in voor haar eigen compliance met de AVG, evenals voor het leveren van een gamma van producten, functies, documentatie en middelen om onze klanten te ondersteunen bij het voldoen aan hun complianceverplichtingen onder de AVG. Hierna volgt een beschrijving van de contractuele verplichtingen van Microsoft ten aanzien van haar klanten met betrekking tot persoonsgegevens die zijn verzameld met behulp van enterprise software:

Gaat Microsoft verbintenissen aan met haar klanten met betrekking tot de AVG?

Ja. De AVG schrijft voor dat de verwerkingsverantwoordelijken (zoals organisaties en ontwikkelaars die gebruikmaken van de online diensten van Microsoft) alleen verwerkers (zoals Microsoft) gebruiken die namens de verwerkingsverantwoordelijken persoonsgegevens verwerken en voldoende garanties bieden om aan de belangrijkste eisen van de AVG te voldoen. Microsoft heeft de proactieve stap genomen om deze verbintenissen aan te gaan met alle klanten van enterprise online-diensten als onderdeel van hun abonnementsovereenkomsten en ook met klanten met volumelicenties als onderdeel van hun enterprise-overeenkomsten. Klanten van andere algemeen verkrijgbare enterprise software onder licentie van Microsoft of onze geaffilieerden genieten ook de voordelen van de AVG-verplichtingen van Microsoft, zoals beschreven in deze mededeling, voor zover de software persoonsgegevens verwerkt.

Waar vind ik de contractuele verbintenissen van Microsoft met betrekking tot de AVG?

U kunt de contractuele verbintenissen van Microsoft met betrekking tot de AVG terugvinden in de Bijlage Bescherming van persoonsgegevens voor Online Diensten van Microsoft, die de verbintenissen van Microsoft ten aanzien van privacy en beveiliging omvatten, alsook de gegevensverwerkingsvoorwaarden en de AVG-voorwaarden voor door Microsoft gehoste diensten waarop klanten zich inschrijven onder een volumelicentieovereenkomst. Deze voorwaarden verbinden Microsoft tot de vereisten van de verwerkers in AVG Artikel 28 en andere relevante artikelen van de AVG.

Microsoft breidt de AVG-voorwaarden uit tot alle klanten van algemeen verkrijgbare enterprise softwareproducten die door ons of onze geaffilieerden in licentie zijn gegeven onder de licentievoorwaarden van Microsoft-software, met ingang van 25 mei 2018, ongeacht de toepasselijke versie van de enterprise software, voor zover Microsoft een verwerker of subverwerker is van persoonsgegevens in verband met dergelijke software, en zolang Microsoft de versie blijft aanbieden of ondersteunen. Meer informatie vindt u in het Microsoft Lifecyle-beleid op https://support.microsoft.com/en-us/lifecycle.

Voor alle duidelijkheid: voor beta- of voorbeeldsoftware, software die wezenlijk is gewijzigd, of software die door Microsoft of onze geaffilieerden in licentie is gegeven en die niet algemeen verkrijgbaar is voor het publiek of anderszins niet in licentie is gegeven onder de licentievoorwaarden van Microsoft-software, kunnen andere of minder belangrijke verplichtingen gelden. Sommige producten kunnen standaard telemetrie- of andere gegevens verzamelen en naar Microsoft sturen; productdocumentatie bevat informatie en instructies voor het uitschakelen of configureren van het op dergelijke wijze verzamelen van telemetriegegevens.

Welke verbintenissen staan er in de AVG-voorwaarden?

De AVG-voorwaarden van Microsoft weerspiegelen de verplichtingen die in Artikel 28 van de AVG van de verwerkers worden geƫist. Artikel 28 vereist dat de verwerkers zich ertoe verbinden:

  • alleen gebruik te maken van subverwerkers met toestemming van de verwerkingsverantwoordelijke en aansprakelijk te blijven voor subverwerkers;
  • persoonsgegevens alleen te verwerken op instructie van de verwerkingsverantwoordelijke, inclusief betreffende doorgiften;
  • ervoor te zorgen dat personen die persoonsgegevens verwerken, zich tot geheimhouding verplichten;
  • passende technische en organisatorische maatregelen te implementeren om te zorgen voor een niveau van beveiliging van persoonsgegevens dat is afgestemd op het risico;
  • de verwerkingsverantwoordelijke bij te staan in zijn verplichtingen om te reageren op verzoeken van betrokkenen om hun AVG-rechten uit te oefenen;
  • te voldoen aan de AVG-vereisten betreffende het melden van inbreuken en het verlenen van ondersteuning bij inbreuken op persoonsgegevens;
  • de verwerkingsverantwoordelijke bij te staan bij het uitvoeren van gegevensbeschermingseffectbeoordelingen en het overleg met de toezichthoudende autoriteiten;
  • persoonsgegevens te wissen of terug te geven aan het einde van de dienstverlening; en
  • de verwerkingsverantwoordelijke te ondersteunen met bewijzen van compliance met de AVG.