Share via

Naleving en gegevensprivacy

  • Artikel

Microsoft streeft naar het hoogste niveau van vertrouwen, transparantie, conformiteit met normen en naleving van regelgeving. Het brede pakket cloudproducten en -services van Microsoft is vanaf de basis opgezet om te voldoen aan de strengste eisen op het gebied van beveiliging en privacy van onze klanten.

Om uw organisatie te helpen voldoen aan nationale, regionale en branchespecifieke vereisten voor het verzamelen en gebruiken van persoonsgegevens, biedt Microsoft de meest uitgebreide set nalevingsaanbiedingen (inclusief certificeringen en attesten) van alle cloudserviceproviders. Er zijn ook hulpmiddelen voor beheerders om de inspanningen van uw organisatie te ondersteunen. In dit deel van het document zullen we meer gedetailleerd ingaan op de beschikbare middelen om u te helpen bij het bepalen en realiseren van de vereisten van uw eigen organisatie.

Vertrouwenscentrum

Het Microsoft Vertrouwenscentrum is een centrale bron voor informatie over de productportfolio van Microsoft. Dit omvat informatie over beveiliging, privacy, naleving en transparantie. Hoewel deze inhoud een deelverzameling van deze informatie kan bevatten voor Power Apps, is het belangrijk om altijd het Microsoft Vertrouwenscentrum te raadplegen voor de meest actuele gezaghebbende informatie.

Voor een snelle referentie kunt u de informatie over het Vertrouwenscentrum voor het Microsoft Power Platform hier vinden: https://www.microsoft.com/trust-center/product-overview. Dit bevat informatie over Power Apps, Microsoft Power Automate en Power BI.

Gegevenslocatie

Microsoft beheert wereldwijd vele datacenters die de Microsoft Power Platform-toepassingen ondersteunen. Wanneer uw organisatie een tenant opzet, wordt de standaard geografische locatie (ofwel 'geo') bepaald. Bovendien, wanneer u omgevingen maakt om toepassingen te ondersteunen en Microsoft Dataverse-gegevens te bevatten, kunnen de omgevingen worden gericht op een specifieke geo. Een actuele lijst van de geo's voor het Microsoft Power Platform vindt u hier: https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location.

Om de continuïteit van de activiteiten te ondersteunen, kan Microsoft gegevens repliceren naar andere regio's binnen een geo, maar de gegevens worden niet buiten de geo verplaatst om gegevenstolerantie te ondersteunen. Dit ondersteunt de mogelijkheid om sneller een failover- of herstelbewerking uit te voeren bij een ernstige storing. Er zijn enkele redelijke uitzonderingen op het bewaren van gegevens in de specifieke geografische locatie die op de bovenstaande site worden vermeld, primair gericht op factoren op juridisch gebied en voor ondersteuning. Het is ook belangrijk om op te merken dat u of uw gebruikers acties kunnen ondernemen die gegevens zichtbaar maken buiten de geo. Andere services kunnen ook worden geconfigureerd om toegang te krijgen tot de gegevens en deze buiten de geo zichtbaar te maken. Standaard hebben geautoriseerde gebruikers toegang tot het platform en uw toepassingen en gegevens, overal ter wereld waar ze verbinding hebben.

Gegevensbescherming

Gegevens zijn beveiligd wanneer ze onderweg zijn tussen gebruikersapparaten en de Microsoft datacenters. Verbindingen tussen klanten en Microsoft-datacenters worden versleuteld en alle openbare eindpunten worden beveiligd met TLS, wat de norm is in de branche. TLS brengt effectief een beveiligde browser-server-verbinding tot stand, waarmee de vertrouwelijkheid en integriteit van gegevens tussen desktops en datacenters kan worden gewaarborgd. API-toegang van het klanteindpunt naar de server is ook op dezelfde manier beschermd. Momenteel is TLS 1.2 (of hoger) vereist voor toegang tot de servereindpunten.

Gegevens die worden overgedragen via de on-premises gegevensgateway worden ook versleuteld. Gegevens die gebruikers uploaden, worden doorgaans verzonden naar Azure Blob Storage en alle metagegevens en artefacten voor het systeem zelf worden opgeslagen in een Azure SQL-database en Azure Table Storage.

Alle omgevingen van de Dataverse-database gebruiken Microsoft SQL Server Transparent Data Encryption (TDE) om real-time versleuteling uit te voeren van gegevens wanneer deze naar schijf worden geschreven. Dit wordt ook 'versleuteling van data-at-rest' genoemd.

Standaard bewaart en beheert Microsoft de database-encryptiesleutel voor uw omgevingen, zodat u dat niet hoeft te doen. De functie voor sleutelbeheer in het Power Platform-beheercentrum biedt beheerders de mogelijkheid om zelf de database-encryptiesleutels te beheren die zijn gekoppeld aan omgevingen van Dynamics 365 (online). U kunt hier meer lezen over het beheren van uw eigen sleutels, maar over het algemeen wordt aanbevolen Microsoft de sleutels te laten beheren, tenzij u een specifieke zakelijke behoefte hebt om die zelf te onderhouden.

Resources voor beheer van AVG-naleving

De Algemene verordening gegevensbescherming (AVG) van de Europese Unie (EU) geeft individuen belangrijke rechten met betrekking tot hun gegevens. Verwijs naar het Microsoft Learn Overzicht Algemene verordening gegevensbescherming voor een overzicht van de AVG, inclusief terminologie, een actieplan en gereedheidschecklists om u te helpen voldoen aan uw verplichtingen onder de AVG bij het gebruik van Microsoft-producten en -services.

U kunt meer te weten komen over AVG en hoe Microsoft helpt bij het ondersteunen ervan en van onze klanten die ermee te maken hebben.

  • Het Vertrouwenscentrum van Microsoft biedt algemene informatie, beste practices op het gebied van naleving en documentatie die nuttig is voor de AVG-aansprakelijkheid, zoals DPIA's (Data Protection Impact Assessment), verzoeken van betrokkenen en melding van inbreuken op gegevens.
  • De Service Trust Portal biedt informatie over hoe Microsoft-services de naleving van de AVG helpen ondersteunen.

Als beheerder zal een van de belangrijkste activiteiten ter ondersteuning van de privacy verband houden met aanvragen over de Rechten van betrokkenen (DSR). Dit zijn formele aanvragen van een betrokkene aan een gegevensbeheerder (waarschijnlijk uw organisatie) om actie te ondernemen op basis van hun persoonsgegevens in uw systemen. Betrokkenen hebben het recht om kopieën te verkrijgen, correcties aan te vragen, de verwerking van de gegevens te beperken, de gegevens te verwijderen en om kopieën in elektronisch formaat te ontvangen, zodat deze naar een andere gegevensbeheerder kunnen worden verplaatst.

De volgende koppelingen verwijzen naar gedetailleerde informatie om u te helpen reageren op DSR-verzoeken, afhankelijk van de functies die uw organisatie gebruikt.

Functiegebied van platform Koppeling naar gedetailleerde stappen voor respons
Power Apps Reageren op AVG-aanvragen van betrokkenen voor exporteren van klantgegevens uit Power Apps
Dataverse Reageren op AVG-verzoeken betreffende klantgegevens in Dataverse
Power Automate Reageren op AVG-aanvragen (rechten van betrokkenen) voor Power Automate
Microsoft-accounts (MSA's) Reageren op AVG-aanvragen (rechten van betrokkene)
Apps voor klantbetrokkenheid Dynamics 365-privacyverzoeken rechten van betrokkenen

Microsoft 365-beveiligings- en compliancecentrum

Gebruik Microsoft Purview Compliance Manager om uw nalevingsinspanningen in Microsoft-cloudservices op één plek te beheren.

Gebeurtenissen in Power Automate-auditlogboeken

In Zoeken in het auditlogboek van het compliancecentrum kunnen beheerders Power Automate-gebeurtenissen zoeken en weergeven. Gebeurtenissen omvatten Stroom aangemaakt, Stroom bewerkt, Stroom verwijderd, Machtigingen bewerkt, Machtigingen verwijderd, Een betaalde proefversie gestart, Een betaalde proefversie vernieuwd. Met behulp van de portal kunt u kiezen wat u wilt zoeken en een tijdvenster opgeven.

  1. Meld u aan bij de Microsoft Purview-complianceportal.

  2. Selecteer onder OplossingenControleren.

  3. Selecteer onder Activiteiten de Power Automate-activiteiten die u wilt controleren.

    Selecteer de Power Automate-activiteiten die u wilt controleren.

  4. Selecteer Zoeken.

  5. Wanneer de zoekopdracht is voltooid, selecteert u deze om de lijst met gerelateerde activiteiten te zien.

    Lijst met Power Automate-activiteiten.

  6. Selecteer een rij in de lijst om de activiteitsdetails te zien.

    Lijst met Power Automate-activiteiten.

Auditgegevens worden 90 dagen bewaard. U kunt een CDSV-export van de gegevens uitvoeren, zodat u deze naar Excel of PowerBI kunt verplaatsen voor verdere analyse. U vindt een volledig overzicht van het gebruik van de controle-informatie hier: https://flow.microsoft.com/blog/security-and-compliance-center/.