Voorwaarden voor privacy en beveiliging
Algemeen
De Privacy- en beveiligingsbepalingen waren voorheen opgenomen in Bijlage 1 van de Voorwaarden voor Online Diensten.
De partijen gaan ermee akkoord dat deze Bijlage Bescherming van persoonsgegevens of BBP van Microsoft (gedefinieerd in de Woordenlijst) de respectieve verplichtingen van de partijen beschrijven met betrekking tot de verwerking en beveiliging van Gegevens van de Klant, Gegevens van Professionele Diensten en Persoonsgegevens door de Producten. De Bijlage Bescherming Persoonsgegevens kan hier worden gedownload: https://aka.ms/DPA. In het geval van strijdigheid of inconsistentie tussen de voorwaarden in de BBP en andere voorwaarden in de licentieovereenkomst van de Klant (met inbegrip van deze voorwaarden), prevaleren de voorwaarden van de BBP.
Online Diensten uitgesloten van de BBP
Behalve zoals bepaald in de Productspecifieke Voorwaarden, zijn de bepalingen van de BBP niet van toepassing op: Bing Maps Mobile Asset Management Platform, Bing Maps Transactions and Users, Bing Search Services, Azure AI Services in containers die zijn geïnstalleerd op hardware voor specifiek gebruik van de Klant, Microsoft Copilot met commerciële bescherming van persoonsgegevens (voorheen bekend als Bing Chat Enterprise), GitHub-aanbod, LinkedIn Sales Navigator, Microsoft Defender voor IoT (uitgezonderd eventuele functies met cloudconnectiviteit), Azure SQL Edge, Azure Stack HCI, Azure Stack Hub, Microsoft Graph data connect voor ISV's, Microsoft Genomics en Visual Studio App Center Test. Op elk van deze Online Diensten zijn de privacy- en beveiligingsbepalingen van toepassing in de toepasselijke Productspecifieke Voorwaarden.
Softwareproducten uitgesloten van de BBP
Behalve zoals bepaald in de Productspecifieke Voorwaarden, zijn de bepalingen van de BBP niet van toepassing op: Op internet gebaseerde functies in Softwareproducten, het Windows Desktop-besturingssysteem, Windows Server en deze Softwareproducten als onderdeel van andere Producten. Op elk van deze Producten zijn de privacy- en beveiligingsbepalingen van toepassing in de toepasselijke Productspecifieke Voorwaarden.
Niet-Microsoft-producten
Voor het gebruik van Niet-Microsoft-Producten door de Klant (zoals gedefinieerd in de Universele Licentievoorwaarden voor Online Diensten) gelden afzonderlijke voorwaarden, waaronder verschillende privacy- en beveiligingsbepalingen.
Geografische uitsluitingen van BBP-bepalingen
Voor Dynamics 365 en Power Platform Online Diensten zijn de specifieke voorwaarden van de BBP zoals vermeld in Bijlage A waarin wordt gesteld dat “Microsoft exemplaren van de Gegevens van de Klant en herstelprocedures op een andere locatie opslaat dan de locatie van de primaire computerapparatuur waarmee de Gegevens van de Klant worden verwerkt.”, niet van toepassing op de volgende geografische gebieden: Verenigde Arabische Emiraten en Zuid-Afrika.
Core Online Diensten
De term “Core Online Diensten” is uitsluitend van toepassing op de diensten in de onderstaande tabel, uitgezonderd eventuele Previews.
| Online Diensten | |
|---|---|
| Microsoft Dynamics 365 Core Services | De volgende diensten, elk als zelfstandige dienst of opgenomen in een plan of toepassing onder de merknaam Dynamics 365: Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations en Dynamics 365 Sales. Niet inbegrepen in Dynamics 365 Core Services zijn (1) Dynamics 365-diensten voor ondersteunde apparaten of software, met inbegrip van, maar niet beperkt tot Dynamics 365 voor apps, tablets en/of telefoons; (2) LinkedIn Sales Navigator; of (3) uitgezonderd hetgeen uitdrukkelijk is bepaald in de licentievoorwaarden van de corresponderende dienst, diensten die onder een afzonderlijke merknaam beschikbaar zijn gesteld samen of in verband met Dynamics 365 Core Services. |
| Office 365-diensten | De volgende diensten, elk als zelfstandige dienst of opgenomen in een plan of suite onder de merknaam Office 365 of Microsoft 365: Cortana, Customer Lockbox, Exchange Online Archiving, Exchange Online-bescherming, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (Classic), Microsoft Teams, Microsoft To-Do, Microsoft Defender for Office 365, webversie van Office, OneDrive voor Bedrijven, Project, SharePoint, Sway, Viva Insights, Whiteboard, Yammer Enterprise en Microsoft Copilot voor Microsoft 365. Microsoft 365-apps voor ondernemingen, onderdelen van een PSTN-dienst die niet onder toezicht van Microsoft wordt uitgevoerd, clientsoftware en andere diensten die onder een afzonderlijke merknaam worden geleverd bij een Office 365- of Microsoft 365-abonnement of -suite, zoals een Bing-dienst of een dienst met de aanduiding "for Office 365", worden niet gerekend tot de Office 365-diensten. |
| Microsoft 365 Compliance-diensten | De volgende diensten, elk als zelfstandige dienst of opgenomen in een plan of suite onder de merknaam Microsoft 365: Microsoft Purview Customer Lockbox, Microsoft Purview Data Loss Prevention, Microsoft Purview Customer Key, Microsoft Purview Data Lifecycle Management, Microsoft Purview Information Barriers, Microsoft Purview Privileged Access Management, Microsoft Purview Compliance Manager, Microsoft Purview Information Protection, Microsoft Information Governance, Microsoft Purview-Insider Risk Management, Microsoft Purview Communication Compliance, Microsoft Purview Records Management, Microsoft Purview eDiscovery, and Microsoft Purview Audit, Microsoft Priva Privacy Risk Management en Microsoft Priva Subject Rights Request. |
| Microsoft Azure Core Services | Azure AI, Azure Active Directory B2C, Anomaly Detector, API Management, App Service (API Apps, Logic Apps, Mobile Apps, WebJobs, Functions), Lab Services, Application Gateway, Azure Monitor, Automation, Azure API for FHIR, Azure App Configuration, Azure AI Bot Service, Azure Cache for Redis, Azure AI Search, Azure Communication Services, Azure Container Apps, Azure Container Instances, Azure Container Registry (ACR), Azure Cosmos DB, Azure Data Explorer, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Databricks, Azure DevOps, Azure DNS, Microsoft Entra ID, Azure Event Grid, Microsoft Fabric, Azure Firewall, Azure AI Document Intelligence, Azure Health Data Services, Azure AI Immersive Reader, Azure Kubernetes Service, Azure Managed Grafana, Azure Machine Learning, Azure AI Metrics Advisor, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure VMware Solution, Microsoft Purview Data Map, Microsoft Purview Data Catalog, Microsoft Purview Data Estate Insights, Microsoft Purview Data Policies, Microsoft Purview Data Sharing, Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Azure AI Video Indexers, Azure Web PubSub, Backup, Batch, Cloud Services, Computer Vision, Content Moderator, Azure AI Custom Vision, Data Factory, Data Lake Analytics, Data Lake Store, Event Hubs, Express Route, Face, HDInsight, Import/Export, IoT Hub, Key Vault, Language Understanding, Load Balancer, Azure Machine Learning Studio (classic), Media Services, Microsoft Azure Portal, Notification Hubs, Azure AI Personalizer, Power BI Embedded, QnA Maker, Microsoft Defender for Cloud, Service Bus, Service Connector, Service Fabric, Azure SignalR Service, Site Recovery, Speech Services, SQL Database, SQL Managed Instance, SQL Server Stretch Database, Storage, StorSimple, Stream Analytics, Synapse Analytics, Text Analytics, Traffic Manager, Azure AI Translator, Virtual Machines, Virtual Machine Scale Sets, Virtual Network en VPN Gateway. |
| Microsoft Defender voor cloud-apps | Het cloudservicegedeelte van Microsoft Defender voor cloud-apps (voorheen Microsoft Cloud App Security). |
| Microsoft Intune Online Diensten | Het clouddienstgedeelte van Microsoft Intune. |
| Microsoft Power Platform Core Services | De volgende diensten, elk als zelfstandige dienst of opgenomen in een plan of suite onder de merknaam Office 365 of Microsoft Dynamics 365: Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio. Microsoft Power Platform Core Services omvat geen clientsoftware, met inbegrip van, maar niet beperkt tot, Power BI Report Server, de mobiele toepassingen voor Power BI, PowerApps of Microsoft Power Automate, Power BI Desktop, of Power Apps Studio. |
| Microsoft Defender for Endpoint Services | Het onderdeel van Microsoft Defender for Endpoint voor clouddiensten. |
| Microsoft Defender for Identity | Het onderdeel van Microsoft Defender for Identity voor clouddiensten. |
| Microsoft Defender XDR | Het clouddienstgedeelte van Microsoft Defender XDR. |
| Windows 365 | Het clouddienstgedeelte van Windows 365, uitgezonderd het Windows-besturingssysteem dat wordt uitgevoerd op Windows 365 Cloud-pc's. |
Veiligheidsmaatregelen en -beleid voor Core Online Diensten
Naast de veiligheidsmaatregelen en -beleid voor Online Diensten in de BBP, worden bij elke Core Online Dienst de controlenormen en -raamwerken uit de onderstaande tabel toegepast en de veiligheidsmaatregelen gehanteerd die worden uiteengezet in Bijlage A van de BBP teneinde de Gegevens van de Klant te beschermen.
| Online Dienst | SSAE 18 SOC 1 Type II | SSAE 18 SOC 2 Type II |
|---|---|---|
| Office 365-diensten | Ja | Ja |
| Microsoft 365 Compliance-diensten | Ja | Ja |
| Microsoft Dynamics 365 Core Services | Ja | Ja |
| Microsoft Azure Core Services | Varieert* | Varieert* |
| Microsoft Defender voor cloud-apps | Ja | Ja |
| Microsoft Intune Online Diensten | Ja | Ja |
| Microsoft Power Platform Core Services | Ja | Ja |
| Microsoft Defender for Endpoint Services | Ja | Ja |
| Microsoft Defender for Identity | Ja | Ja |
| Microsoft Defender XDR | Ja | Ja |
| Windows 365 | Ja | Ja |
*Huidige reikwijdte wordt beschreven in het controlerapport en samengevat in het Vertrouwenscentrum van Microsoft.
Locatie van Gegevens van de Klant at-rest voor Core Online Diensten
In het geval van Core Online Diensten slaat Microsoft Gegevens van de Klant at-rest als volgt op in bepaalde grote geografische gebieden (elk een Geo), tenzij anders bepaald in de specifieke voorwaarden voor de Online Dienst.
- Office 365-diensten. Indien de Klant zijn tenant voorzieningen verleent in Australië, Brazilië, Canada, de Europese Unie, Frankrijk, Duitsland, India, Japan, Noorwegen, Qatar, Zuid-Afrika, het Verenigd Koninkrijk, Zwitserland, de Verenigde Arabische Emiraten, de Verenigde Staten, Zuid-Korea of Zweden, slaat Microsoft de volgende Gegevens van de Klant at-rest uitsluitend op binnen de betreffende Geo: (1) inhoud van Exchange Online-mailbox (inhoud van e-mail, agendavermeldingen en de inhoud van e-mailbijlagen), (2) inhoud van SharePoint Online-site en bestanden opgeslagen binnen de site, (3) bestanden geüpload naar OneDrive for Business, (4) Microsoft Teams-chatberichten (inclusief privéberichten, kanaalberichten, vergaderberichten en afbeeldingen die worden gebruikt in chats), en voor Klanten die Microsoft Stream (Classic) (op SharePoint) gebruiken, opnames van vergaderingen, en (5) alle opgeslagen inhoud van interacties met Microsoft Copilot voor Microsoft 365 voor zover niet inbegrepen in de voorgaande verplichtingen. Als de Klant een abonnement voor Advanced Data Residency aanschaft, zal Microsoft bepaalde Gegevens van de klant at-rest opslaan in de toepasselijke Geo overeenkomstig deze sectie en de sectie 'Verplichtingen voor Advanced Data Residency' in de productdocumentatie op https://aka.ms/adroverview.
- Microsoft Intune Online Diensten. Wanneer de Klant zorgt voor een tenant-account van Microsoft Intune voor implementatie binnen een beschikbare Geo, zal Microsoft de Gegevens van de Klant at-rest voor de betreffende dienst opslaan binnen de betreffende Geo, uitgezonderd voor zover beschreven in het Microsoft Intune Vertrouwenscentrum.
- Microsoft Power Platform Core Services. Wanneer de Klant de voorzieningen van een Power Platform Core Service verzorgt voor implementatie binnen een beschikbare Geo, zal Microsoft de Gegevens van de Klant at-rest voor de betreffende dienst opslaan binnen de betreffende Geo, uitgezonderd voor zover beschreven in het Microsoft Power Platform Trust Center.
- Microsoft Azure Core Services. Indien de Klant een bepaalde dienst configureert voor gebruik binnen een Geo, zal Microsoft de Gegevens van de Klant at-rest opslaan binnen de opgegeven Geo. Bepaalde diensten stellen de Klant mogelijk niet in staat de implementatie te configureren in een bepaalde Geo of buiten de Verenigde Staten en kunnen back-ups opslaan op andere locaties. Raadpleeg het Vertrouwenscentrum van Microsoft (dat mogelijk van tijd tot tijd door Microsoft wordt bijgewerkt, maar waaraan door Microsoft geen uitzonderingen worden toegevoegd voor bestaande Diensten die algemeen verkrijgbaar zijn) voor meer informatie.
- Microsoft Defender voor cloud-apps. Indien de Klant zijn tenant voorziet in de Europese Unie of de Verenigde Staten, slaat Microsoft Gegevens van de Klant at-rest uitsluitend op binnen de betreffende Geo, behalve zoals beschreven in het Microsoft Defender voor cloud-apps Vertrouwenscentrum.
- Microsoft Dynamics 365 Core Services. Wanneer de Klant de voorzieningen van een Dynamics 365 Core Service verzorgt voor implementatie binnen een beschikbare Geo, zal Microsoft de Gegevens van de Klant at-rest voor de betreffende dienst opslaan binnen de betreffende Geo, uitgezonderd voor zover beschreven in het Microsoft Dynamics 365 Vertrouwenscentrum.
- Microsoft Defender for Endpoint Services. Wanneer de Klant een Microsoft Defender for Endpoint-tenant faciliteert voor implementatie binnen een beschikbare Geo, zal Microsoft de Gegevens van de Klant at-rest voor de betreffende dienst opslaan binnen de betreffende Geo, uitgezonderd voor zover beschreven in het Vertrouwenscentrum voor Microsoft Defender for Endpoint.
- Microsoft Defender for Identity. Wanneer de Klant een Microsoft Defender for Identity-tenant faciliteert voor implementatie binnen een beschikbare Geo, zal Microsoft de Gegevens van de Klant at-rest voor de betreffende dienst opslaan binnen de betreffende Geo, uitgezonderd voor zover beschreven in het Vertrouwenscentrum voor Microsoft Defender for Identity.
- Microsoft Defender XDR. Wanneer de Klant een Microsoft Defender XDR-tenant faciliteert voor implementatie binnen een beschikbare Geo, slaat Microsoft de Gegevens van de Klant at-rest voor de betreffende dienst op binnen de betreffende Geo, uitgezonderd voor zover beschreven in het Vertrouwenscentrum voor Microsoft Defender XDR.
- Windows 365. Wanneer een Windows 365-tenant wordt geïmplementeerd binnen een beschikbare Geo, slaat Microsoft Klantgegevens at-rest voor die tenant op binnen de betreffende Geo. Als de Klant Windows 365 Cloud-pc's binnen dezelfde tenant voorziet in verschillende beschikbare Geo's, dan slaat Microsoft voor elke Cloud-pc de Klantgegevens at-rest van de Cloud-pc op binnen de betreffende Geo.
EU Data Boundary-diensten
De term “EU Data Boundary” verwijst naar de Microsoft-computers, de computeromgeving en fysieke datacenters die zich uitsluitend in de Europese Unie (EU) en de Europese Vrijhandelsassociatie (EFTA) bevinden. De term “EU Data Boundary-diensten” is uitsluitend van toepassing op de Online Diensten in de onderstaande tabel, uitgezonderd eventuele Previews.
| EU Data Boundary-diensten | |
|---|---|
| Azure | Azure-diensten die implementatie mogelijk maken in een regio binnen de EU Data Boundary en de volgende niet-regionale diensten: Azure Active Directory B2C, Azure Advisor, Azure Bot Service, Cloud Shell, Azure Communication Services, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Azure Kubernetes Service on Azure Stack HCI, Azure Lighthouse, Azure Migrate, Azure Monitor, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Azure Stack Hub, Azure Virtual Desktop, Azure VM Image Builder, Power BI Embedded, Traffic Manager, Translator |
| Dynamics 365 | Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management |
| Microsoft 365 | Cortana, Customer Lockbox, Exchange Online, Exchange Online Archiving for Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (Classic) (on SharePoint), Microsoft Teams, Microsoft To-Do, webversie van Office, Online Diensten als onderdeel van Microsoft 365-apps, OneDrive voor Bedrijven, SharePoint Online, Sway, Whiteboard, Yammer Enterprise, Microsoft Copilot voor Microsoft 365, Communications Compliance, eDiscovery and Audit, Insider Risk Management, Information Barriers, Microsoft Purview Data Loss Prevention, Microsoft Intune, Priva Privacy Risk Management, Priva Subject Rights Management, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning, Microsoft Viva Pulse, Microsoft Copilot for Sales en Microsoft Viva Topics |
| Power Platform | Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio. |
Locatie van klantgegevens voor EU Data Boundary-diensten
Voor EU Data Boundary-diensten zal Microsoft Gegevens van de Klant en Persoonsgegevens opslaan en verwerken binnen de EU Data Boundary zoals hieronder beschreven.
De Klant moet EU Data Boundary-diensten als volgt configureren:
- Voor Azure moet de Klant de dienst implementeren in een Azure-regio binnen de EU Data Boundary. Zie Gegevenslocatie in Azure (https://azure.microsoft.com/explore/global-infrastructure/data-residency) voor meer informatie. Voor services waarvoor implementatie in een bepaalde Azure-regio niet mogelijk is, moet de Klant de instructies volgen onder Configureren van niet-regionale Azure-services voor de EU Data Boundary (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services).
- Voor Dynamics 365 en Power Platform, wanneer de Klant voor een tenant zorgt met een factuuradres in de EU of EFTA, valt die tenant binnen het bereik van de EU Data Boundary indien de Klant ook alle omgevingen in een Geo binnen de EU Data Boundary creëert.
- Voor Microsoft 365: als de Klant een tenant in de EU of EFTA beschikbaar stelt, valt die tenant binnen het bereik van de EU Data Boundary, behalve voor die tenants waar de Klant ook de Microsoft 365-add-on Multi-Geo Capabilities heeft aangeschaft waarmee klanten de aanwezigheid van Microsoft 365-tenants kunnen uitbreiden naar meerdere geografische regio's of landen (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).
Het gebruik van EU Data Boundary-diensten kan leiden tot in beperkte overdracht van Gegevens van de Klant of Persoonsgegevens buiten de EU Data Boundary, zoals hieronder uiteengezet en verder uitgelegd in transparantiedocumentatie voor de EU Data Boundary die te vinden is op https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn of een opvolgende locatie. Dergelijke overdrachten worden uitgevoerd in overeenstemming met de Bijlage Bescherming van persoonsgegevens en de Productvoorwaarden.
- Externe toegang. Microsoft-personeel dat zich buiten de EU Data Boundary bevindt, kan op afstand toegang krijgen tot systemen voor gegevensverwerking binnen de EU Data Boundary voor zover noodzakelijk voor het uitvoeren van, problemen oplossen met en beveiligen van de EU Data Boundary-diensten.
- Door de klant geïnitieerde overdrachten. Klanten kunnen overdrachten starten buiten de EU Data Boundary, bijvoorbeeld door toegang te krijgen tot EU Data Boundary-diensten vanaf locaties buiten de EU Data Boundary, door een e-mail te sturen naar een ontvanger die zich buiten de EU Data Boundary bevindt of door gebruik te maken van EU Data Boundary-diensten in combinatie met andere diensten die niet binnen de EU Data Boundary vallen.
- Klanten beschermen. Microsoft draagt beperkte gegevens over buiten de EU Data Boundary voor zover dat noodzakelijk is om beveiligingsrisico's te detecteren en Klanten hiertegen te beschermen.
- Directorygegevens. Microsoft kan beperkte Microsoft Entra-directorygegevens van Microsoft Entra ID (inclusief gebruikersnaam en e-mailadres) repliceren buiten de EU Data Boundary om de dienst te verstrekken.
- Netwerktransport. Om routeringslatentie te verminderen en routeringsveerkracht te behouden, maakt Microsoft gebruik van variabele netwerkpaden die soms kunnen leiden tot overdracht van gegevens buiten de EU Data Boundary.
- Service- en platformkwaliteit en -beheer. Wanneer dit nodig is om de kwaliteit van de dienstverlening te bewaken en te behouden of om de nauwkeurigheid van statistische metingen van het gebruik of de prestaties van de dienst te garanderen, kunnen gepseudonimiseerde Persoonsgegevens buiten de EU Data Boundary worden overgedragen.
- Dienstspecifieke overdrachten. Zie de transparantiedocumentatie waarnaar hierboven wordt verwezen voor informatie over overdrachten die van toepassing zijn op specifieke EU Data Boundary-diensten.