Voorwaarden voor privacy en beveiliging

Algemeen

De Privacy- en beveiligingsbepalingen waren voorheen opgenomen in Bijlage 1 van de Voorwaarden voor Online Diensten.

De partijen gaan ermee akkoord dat deze Bijlage Bescherming van persoonsgegevens of BBP van Microsoft (gedefinieerd in de Woordenlijst) de respectieve verplichtingen van de partijen beschrijven met betrekking tot de verwerking en beveiliging van Gegevens van de Klant, Gegevens van Professionele Diensten en Persoonsgegevens door de Producten. De Bijlage Bescherming Persoonsgegevens kan hier worden gedownload: https://aka.ms/DPA. In het geval van strijdigheid of inconsistentie tussen de voorwaarden in de BBP en andere voorwaarden in de licentieovereenkomst van de Klant (met inbegrip van deze voorwaarden), prevaleren de voorwaarden van de BBP.

Uitzonderingen op de BBP

De voorwaarden voor privacy en beveiliging in de onderstaande tabel wijzigen de BBP voor elk van de geïdentificeerde Online Diensten of vullen deze aan.

Productfamilie	Online Dienst	Privacy- en beveiligingsbepalingen
Microsoft Azure	Azure AI Services	Services in Containers Omdat Microsoft geen zeggenschap heeft op de productieomgeving van de containers die zijn geïnstalleerd op de hardware voor specifiek gebruik van de Klant, zijn de voorwaarden van de GBO niet van toepassing op deze containers, uitgezonderd voor zover a) Persoonsgegevens worden verzameld voor factureringsdoeleinden, of b) Gegevens van de Klant aan Microsoft worden verstrekt voor aangepaste modeltraining die vereist is voor het downloaden van de Service die in de container wordt uitgevoerd.
	Azure AI Services	Inactieve Services-configuraties en Aangepaste Modellen Binnen de context van het bewaren en verwijderen van gegevens, kan Microsoft naar eigen goeddunken een Services-configuratie die, of een aangepast model dat inactief is geweest behandelen als een Online Dienst waarvoor het abonnement van de Klant is verlopen. Een configuratie of aangepast model is inactief indien gedurende 90 dagen (1) er geen aanroepen zijn gericht aan de configuratie of het aangepast model; (2) de configuratie of het aangepast model niet is gewijzigd en er geen huidige sleutel aan is toegewezen en (3) de klant zich er niet bij heeft aangemeld.
	Multi-Cloud Scanning Connectors voor Microsoft Purview	Om interoperabiliteit tussen implementaties van de Klant en andere cloudproviders mogelijk te maken, kan Microsoft binnen dergelijke andere clouds bepaalde optionele, afgescheiden gegevensscanfunctionaliteit uitvoeren voor gegevens van de Klant die in dergelijke andere clouds worden gehost (de "Multi-Cloud Scanning Connectors voor Microsoft Purview"). Microsoft beschrijft in haar documentatie hoe de Klant de Multi-Cloud Scanning Connectors voor Microsoft Purview kan inschakelen en gebruiken. Voor de duidelijkheid: de Multi-Cloud Scanning Connectors voor Microsoft Purview zijn een afzonderlijke add-on voor Microsoft Purview. De Multi-Cloud Scanning Connectors voor Microsoft Purview zijn geen Microsoft Azure Core Service en de volgende artikelen van de BBP zijn niet van toepassing op de Multi-Cloud Scanning Connectors voor Microsoft Purview: “Onderwijsinstellingen”, “CJIS Klantovereenkomst”, “HIPAA Business” en “Bijlage A - Beveiligingsmaatregelen”. Met betrekking tot uitsluitend de Multi-Cloud Scanning Connectors voor Microsoft Purview zijn de volgende aanpassingen van de BBP van toepassing: Toegang tot gegevens: Microsoft maakt gebruik van 'least privilege'-toegangsmechanismen voor het controleren van de toegang tot Klantgegevens (met inbegrip van eventuele daarin opgenomen Persoonsgegevens). Microsoft maakt gebruik van op rollen gebaseerde toegangscontrole om erop toe te zien dat toegang tot Klantgegevens door Microsoft die noodzakelijk is voor de werking van de dienst, plaatsvindt voor een passend doeleinde met goedkeuring en toezicht van de beheerders. Nalevingscontrole: De verplichtingen van Microsoft in het artikel Nalevingscontrole van de BBP gelden niet voor computers, computeromgevingen of fysieke datacenters van derden die worden gebruikt door de Multi-Cloud Scanning Connectors voor Microsoft Purview. Op uw gebruik van de Multi-Cloud Scanning Connectors voor Microsoft Purview zijn de standaardvoorwaarden voor gegevensbescherming die door de andere cloudproviders worden aangeboden van toepassing voor zolang de add-on wordt gehost in dergelijke andere clouds.
	Visual Studio App Center	De privacyverklaring op https://aka.ms/actestprivacypolicy is van toepassing op het gebruik van Visual Studio App Center Test door de Klant. De Klant mag Visual Studio App Center Test niet gebruiken voor het opslaan of verwerken van Persoonsgegevens.
	SQL Managed Instance via Azure Arc	De voorwaarden van de BBP zijn niet van toepassing op de verwerking van gegevens in een SQL Managed Instance via Azure Arc die wordt uitgevoerd in een omgeving waarover Microsoft geen controle heeft, uitgezonderd voor zover Persoonsgegevens worden verzameld om Azure-beheerservices mogelijk te maken en om verbruik te meten voor factureringsdoeleinden.
	Microsoft Genomics	De Privacyverklaring van Microsoft op https://aka.ms/privacy is van toepassing op het gebruik van Microsoft Genomics door de Klant en niet op de BBP, uitgezonderd dat dit artikel Microsoft Genomics prevaleert waar dit in strijd is met de Privacyverklaring van Microsoft. Licentievoorwaarden van Broad In Microsoft Genomics is toegang tot de Genetic Analysis Toolkit (GATK) van Broad Institute, Inc. (“Broad”) inbegrepen. Daarnaast is het gebruik van de GATK en de bijbehorende documentatie in het kader van Microsoft Genomics onderworpen aan de gebruiksrechtovereenkomst voor de GATK van Broad ("Gebruiksrechtovereenkomst van Broad" dat hier https://software.broadinstitute.org/gatk/eula/index?p=Azure te vinden is). Microsoft kan bepaalde statistische en technische gegevens met betrekking tot het gebruik van de GATK verzamelen en delen met Broad. De Klant machtigt Microsoft om de status van de Klant als gebruiker van de GATK in Microsoft Genomics te melden aan Broad.
	Azure SQL Edge	De voorwaarden van de BBP zijn niet van toepassing Azure SQL Edge indien geïnstalleerd op een IoT-apparaat van de Klant, uitgezonderd voor zover Persoonsgegevens worden verzameld om Azure-beheerservices mogelijk te maken en om verbruik te meten voor factureringsdoeleinden, aangezien Microsoft geen zeggenschap heeft over de besturingssysteemomgeving van dergelijke IoT-apparaten.
	Azure Stack HCI	Microsoft treedt op als verwerkinsgsverantwoordelijke met betrekking tot Persoonsgegevens wanneer klanten de verzameling van diagnostische Windows-gegevens inschakelen, zoals beschreven in de productdocumentatie. Wanneer Microsoft optreedt als verwerkingsverantwoordelijke, verwerkt Microsoft deze Persoonsgegevens in overeenstemming met de Privacyverklaring van Microsoft op aka.ms/privacy en zijn de bepalingen van de BBP niet van toepassing.
	Azure Stack Hub	Microsoft treedt op als verwerkinsgsverantwoordelijke met betrekking tot Persoonsgegevens wanneer klanten de verzameling van diagnostische Windows-gegevens inschakelen, zoals beschreven in de productdocumentatie. Wanneer Microsoft optreedt als verwerkingsverantwoordelijke, verwerkt Microsoft deze Persoonsgegevens in overeenstemming met de Privacyverklaring van Microsoft op aka.ms/privacy en zijn de bepalingen van de BBP niet van toepassing. Indien een Klant met een Microsoft Cloud Overeenkomst of Microsoft Customer Agreement gebruikmaakt van Azure Stack Hub-software of -services die worden gehost door een Reseller, is dit gebruik onderworpen aan de privacypraktijken van de Reseller. Deze kunnen afwijken van die van Microsoft.
	Azure VMware Solution	Overdracht van Gegevens van Professionele Diensten aan VMware Indien de klant contact opneemt met Microsoft voor technische ondersteuning met betrekking tot de Azure VMware Solution en Microsoft een beroep moet doen op VMware voor assistentie bij het probleem, draagt Microsoft de Gegevens van Professionele Diensten en de Persoonsgegevens uit het ondersteuningsdossier over aan VMware. De overdracht vindt plaats onderworpen aan de voorwaarden van de Ondersteuningsoverdrachtovereenkomst tussen VMware en Microsoft waarin Microsoft en VMware worden aangewezen als onafhankelijke verwerkers van de Gegevens van Professionele Diensten. Voordat overdracht van Gegevens van Professionele Diensten aan VMware plaatsvindt, vraagt Microsoft toestemming van de klant voor de overdracht en wordt deze toestemming geregistreerd. VMware Gegevensverwerkingsovereenkomst Nadat de Gegevens van Professionele Diensten zijn overgedragen aan VMware (in overeenstemming met het voorgaande artikel), geldt voor de verwerking van de Gegevens van Professionele Diensten, met inbegrip van eventuele Persoonsgegevens in het ondersteuningsdossier, door VMware als onafhankelijke verwerker de VMware Gegevensverwerkingsovereenkomst voor Microsoft AVS-klanten waarvan gegevens zijn overgedragen voor L3-ondersteuning (https://rc.portal.azure.com/verifyLink?href=https%3A%2F%2Fwww.vmware.com%2Fvmware-dpa-for-avs-customers.html&id=Microsoft_Azure_Marketplace). De klant verleent tevens autorisatie aan vertegenwoordigers van de klant die technische ondersteuning vragen voor Azure VMware Solution om namens de klant toestemming te verlenen aan Microsoft voor de overdracht van Gegevens van Professionele Diensten aan VMware.
Bing	Bing	De Bijlage Bescherming van Persoonsgegevens is niet van toepassing op Bing Search Services of op enig gebruik van Bing binnen een Product. Voor elk onderdeel van een Product dat wordt aangestuurd door Bing, zoals bekendgemaakt in de productdocumentatie, is de Privacyverklaring van Microsoft (https://privacy.microsoft.com/privacystatement) van toepassing.
GitHub	GitHub-aanbod	Ondanks enige tegengestelde bepaling in de Volume Licensing-overeenkomst van de Klant (met inbegrip van deze Productvoorwaarden en de BBP), zijn de Privacyverklaring van GitHub op https://aka.ms/github_privacy en de GitHub Gegevensbeschermingsovereenkomst op https://aka.ms/github_dpa van toepassing op het gebruik door de Klant van onderdelen van het GitHub-aanbod, met inbegrip van GitHub Enterprise als zelfstandige dienst of als Visual Studio Enterprise of Professional met GitHub Enterprise.
Office 365-diensten	Office 365 Education	Als de tenant van de Klant wordt verstrekt buiten de EU of EVA en de Klant een Office 365 Education-abonnement heeft maar geen Advanced Data Residency heeft aangeschaft voor de Education Add-on, kan Microsoft, niettegenstaande het gedeelte 'Locatie van Klantgegevens at-rest voor Core Online Diensten' in de Productvoorwaarden, de Office 365 Education-tenant van de Klant verstrekken in, Klantgegevens overbrengen naar, en Klantgegevens at-rest opslaan op elke locatie binnen Europa of Noord-Amerika. Als de tenant van de Klant wordt verstrekt binnen de EU of EVA en de Klant een Office 365 Education-abonnement heeft maar geen Advanced Data Residency heeft aangeschaft voor de Education Add-on, kan Microsoft, niettegenstaande het gedeelte 'Locatie van Klantgegevens at-rest voor Core Online Diensten' in de Productvoorwaarden, de Office 365 Education-tenant van de Klant verstrekken in, Klantgegevens overbrengen naar, en Klantgegevens at-rest opslaan op elke locatie binnen de EU.
Microsoft Dynamics 365 Services	Dynamics 365 Business Central en Dynamics 365 Finance in Denemarken	Wetten en voorschriften voor boekhouden Deze voorwaarden zijn alleen van toepassing op klanten met een onderneming in Denemarken, zoals vereist onder de Boekhoudwet. De DPA regelt hoe Microsoft omgaat met Klantgegevens in Dynamics 365 Business Central en Dynamics 365 Finance, met uitzondering van het bewaren, verwijderen en openbaar maken van boekhoudmaterialen. In het geval van strijdigheid of inconsistentie tussen de voorwaarden in de BBP en andere voorwaarden in de licentieovereenkomst van de Klant, prevaleren deze voorwaarden. Definities 'Boekhoudmaterialen' betekent alle documenten die deel uitmaken van de boekhouding, inclusief geregistreerde transacties, ontvangstbewijzen en andere gegevens (inclusief Persoonsgegevens) voor een onderneming die de Klant verstrekt of namens de Klant wordt verstrekt in een digitaal standaardboekhoudsysteem, zoals vereist door de Boekhoudwet. 'Boekhoudwet' betekent de Deense Boekhoudwet van 24 mei 2022 en eventuele uitgevaardigde uitvoeringsbesluiten die de boekhoudkundige verplichtingen van ondernemingen, evenals aanbieders van digitale standaardboekhoudsystemen, in Denemarken reguleren. 'Deense autoriteit' betekent elke (i) Deense overheidsinstantie die het noodzakelijke wettelijke recht heeft om een onderneming te inspecteren en haar boekhoudmateriaal op te vragen krachtens de Boekhoudwet of andere relevante wetten; of (ii) vereffenaar, curator of reorganisator die het beheer van de onderneming heeft overgenomen. 'Digitaal standaardboekhoudsysteem' betekent een digitale service of software die functies bevat waarmee ondernemingen boekhoudmateriaal kunnen vastleggen en opslaan, of op zijn minst een volledig back-upexemplaar daarvan, op een server die wordt gehost door de aanbieder of een andere derde partij volgens de voorschriften en standaarden van de Boekhoudwet. Gegevensbewaring en verwijdering van boekhoudmateriaal Door Dynamics 365 Business Central of Dynamics 365 Finance te gebruiken, stemt de Klant ermee in dat Microsoft of zijn dochterondernemingen, in overeenstemming met hun wettelijke verplichting, het boekhoudmateriaal van de Klant kan kopiëren, opslaan en bewaren gedurende vijf jaar vanaf het einde van het financiële jaar van de gerelateerde geregistreerde transacties en ontvangsten ('Bewaartermijn'), zelfs als de Klant van boekhoudsysteem verandert, failliet gaat of wordt geliquideerd, zoals vereist door de Boekhoudwet. Microsoft zal het boekhoudmateriaal van de Klant at-rest opslaan in een door Microsoft beheerde opslag op dezelfde locatie als de primaire computerapparatuur die de Klantgegevens voor deze services verwerkt of in de Europese Unie. Tijdens de bewaarperiode kan de Klant geen boekhoudmateriaal openen, extraheren, corrigeren of verwijderen uit deze opslag. Microsoft zal dezelfde beveiligingsmaatregelen gebruiken om het boekhoudmateriaal van de Klant te beschermen als het gebruikt om andere Klantgegevens te beschermen. Nadat de bewaartermijn is verstreken, zal Microsoft het boekhoudmateriaal van de Klant verwijderen. Microsoft is niet aansprakelijk voor het verwijderen van het boekhoudmateriaal van de Klant. Openbaarmaking van boekhoudmateriaal Microsoft zal het boekhoudmateriaal van de Klant openbaar maken of toegang verlenen aan de Deense autoriteiten als dit nodig is om te voldoen aan een verzoek dat een dergelijke openbaarmaking afdwingt, zoals vereist door de Boekhoudwet. Andere gegevens die een Klant opslaat in deze digitale standaardboekhoudsystemen, zijn niet openbaar. De Deense autoriteiten zijn alleen bevoegd om boekhoudmateriaal op te vragen bij aanbieders van digitale standaardboekhoudsystemen als het niet mogelijk is om de informatie rechtstreeks van de onderneming te verkrijgen. Microsoft is niet aansprakelijk voor de openbaarmaking van het boekhoudmateriaal van de Klant aan een Deense autoriteit.
Microsoft Dynamics 365 Services	Microsoft Relationship Sales	LinkedIn Sales Navigator LinkedIn Sales Navigator wordt geleverd door LinkedIn Corporation. De Klant mag de LinkedIn Sales Navigator Service uitsluitend gebruiken voor het genereren van sales leads. Elke gebruiker van LinkedIn Sales Navigator moet lid zijn van LinkedIn er ermee akkoord gaan te zijn gebonden aan de Gebruikersovereenkomst van LinkedIn op https://www.linkedin.com/legal/preview/user-agreement. Niettegenstaande enige tegengestelde bepaling in de volume licensing overeenkomst van de Klant (met inbegrip van deze Productvoorwaarden), is het privacybeleid van LinkedIn op https://www.linkedin.com/legal/privacy-policy van toepassing op het gebruik van de service LinkedIn Sales Navigator door de Klant. LinkedIn Corporation (als gegevensverwerker) en de Klant (als verwerkingsverantwoordelijke) zullen zich houden aan de voorwaarden van de Gegevensverwerkingsovereenkomst van LinkedIn, beschikbaar op https://legal.linkedin.com/dpa.
Microsoft 365	Legacy Glint Diensten	De toegang tot en het gebruik van Legacy Glint Diensten door de Klant vallen onder de voorwaarden die zijn uiteengezet in de meest recent actieve LinkedIn-bestelformulieren van de Klant voor Legacy Glint Diensten. Op de Legacy Glint Diensten zijn geen Microsoft-voorwaarden van toepassing, met inbegrip van, maar niet beperkt tot de Microsoft Productvoorwaarden, de BBP of andere overeenkomsten tussen de Klant en Microsoft.
Overige Online Diensten	Microsoft Intune	Indien de Intune Company Portal-app wordt gebruikt voor het beheren van apparaten, zijn de voorwaarden die van toepassing zijn op de Microsoft Intune Online Diensten (zoals bepaald in de tabel Core Online Diensten in deze Beveiligings- en privacyvoorwaarden voor Online Diensten) van toepassing op het gebruik van de Intune Company Portal-app. De verplichtingen van Microsoft met betrekking tot de Intune Company Portal-app strekken zich niet uit tot gegevensverwerking, beleid of praktijken van externe providers of mobiele platforms waarop de Intune Company Portal-app wordt uitgevoerd (bijvoorbeeld Apple, Google).
Overige Online Diensten	Beheerde apparaten en toepassingen	Microsoft Managed Desktop (MMD) integreert gegevens (inclusief Klantgegevens) tussen andere Microsoft-producten, waaronder Windows, Microsoft Entra ID, Microsoft Intune, Microsoft Defender voor Endpoint, Office en andere Online Services zoals geconfigureerd door de Klant, indien van toepassing (gezamenlijk voor de doeleinden van deze bepaling "Geïntegreerde MMD-services"). Zodra gegevens zijn overgedragen tussen de Geïntegreerde MMD-diensten, vallen die gegevens onder de Productvoorwaarden die van toepassing zijn op de dienst waarin ze zich bevinden.

Softwareproducten uitgesloten van de BBP

Behalve zoals bepaald in de Productspecifieke Voorwaarden, zijn de bepalingen van de BBP niet van toepassing op: Op internet gebaseerde functies in Softwareproducten, het Windows Desktop-besturingssysteem, Windows Server en deze Softwareproducten als onderdeel van andere Producten. Op elk van deze Producten zijn de privacy- en beveiligingsbepalingen van toepassing in de toepasselijke Productspecifieke Voorwaarden.

Niet-Microsoft-producten

Voor het gebruik van Niet-Microsoft-Producten door de Klant (zoals gedefinieerd in de Universele Licentievoorwaarden voor Online Diensten) gelden afzonderlijke voorwaarden, waaronder verschillende privacy- en beveiligingsbepalingen.

Geografische uitsluitingen van BBP-bepalingen

Voor Dynamics 365 en Power Platform Online Diensten zijn de specifieke voorwaarden van de BBP zoals vermeld in Bijlage A waarin wordt gesteld dat “Microsoft exemplaren van de Gegevens van de Klant en herstelprocedures op een andere locatie opslaat dan de locatie van de primaire computerapparatuur waarmee de Gegevens van de Klant worden verwerkt.”, niet van toepassing op de volgende geografische gebieden: Verenigde Arabische Emiraten en Zuid-Afrika.

Core Online Diensten

De term “Core Online Diensten” is uitsluitend van toepassing op de diensten in de onderstaande tabel, uitgezonderd eventuele Previews.

Online Diensten
Microsoft Dynamics 365 Core Services	De volgende diensten, elk als zelfstandige dienst of opgenomen in een plan of toepassing onder de merknaam Dynamics 365: Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations en Dynamics 365 Sales. Niet inbegrepen in Dynamics 365 Core Services zijn (1) Dynamics 365-diensten voor ondersteunde apparaten of software, met inbegrip van, maar niet beperkt tot Dynamics 365 voor apps, tablets en/of telefoons; (2) LinkedIn Sales Navigator; of (3) uitgezonderd hetgeen uitdrukkelijk is bepaald in de licentievoorwaarden van de corresponderende dienst, diensten die onder een afzonderlijke merknaam beschikbaar zijn gesteld samen of in verband met Dynamics 365 Core Services.
Office 365-diensten	De volgende diensten, elk als zelfstandige dienst of opgenomen in een plan of suite onder de merknaam Office 365 of Microsoft 365: Customer Lockbox, Exchange Online Archiving, Exchange Online Protection, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (Classic), Microsoft Teams, Microsoft To-Do, Microsoft Defender voor Office 365, webversie van Office, OneDrive voor Bedrijven, Project, SharePoint, Sway, Viva Insights, Whiteboard, Viva Engage en Microsoft 365 Copilot. Microsoft 365-apps voor ondernemingen, onderdelen van een PSTN-dienst die niet onder toezicht van Microsoft wordt uitgevoerd, clientsoftware en andere diensten die onder een afzonderlijke merknaam worden geleverd bij een Office 365- of Microsoft 365-abonnement of -suite, zoals een Bing-dienst of een dienst met de aanduiding "for Office 365", worden niet gerekend tot de Office 365-diensten.
Microsoft 365 Compliance-diensten	De volgende diensten, elk als zelfstandige dienst of opgenomen in een plan of suite onder de merknaam Microsoft 365: Microsoft Purview Customer Lockbox, Microsoft Purview Data Loss Prevention, Microsoft Purview Customer Key, Microsoft Purview Data Lifecycle Management, Microsoft Purview Information Barriers, Microsoft Purview Privileged Access Management, Microsoft Purview Compliance Manager, Microsoft Purview Information Protection, Microsoft Information Governance, Microsoft Purview-Insider Risk Management, Microsoft Purview Communication Compliance, Microsoft Purview Records Management, Microsoft Purview eDiscovery, and Microsoft Purview Audit, Microsoft Priva Privacy Risk Management en Microsoft Priva Subject Rights Request.
Microsoft Azure Core Services	Azure AI, Azure AI Content Safety, Azure Active Directory B2C, Anomaly Detector, API Management, App Service (API Apps, Logic Apps, Mobile Apps, WebJobs, Functions), Lab Services, Application Gateway, Azure Monitor, Automation, Azure API for FHIR, Azure App Configuration, Azure Bastion, Azure AI Bot Service, Azure Cache for Redis, Azure AI Search, Azure Communication Services, Azure Container Apps, Azure Container Instances, Azure Container Registry (ACR), Azure Cosmos DB, Azure Data Explorer, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Databricks, Azure DDOS Protection, Azure DevOps, Azure DNS, Microsoft Entra ID, Azure Event Grid, Microsoft Fabric, Azure Firewall, Azure AI Document Intelligence, Azure Health Data Services, Azure AI Immersive Reader, Azure Kubernetes Service, Azure Managed Grafana, Azure Machine Learning, Azure AI Metrics Advisor, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure VMware Solution, Microsoft Purview Data Map (Classic), Microsoft Purview Data Catalog (Classic), Microsoft Purview Data Estate Insights (Classic), Microsoft Purview Data Policies (Classic), Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Azure AI Video Indexers, Azure Web PubSub, Backup, Batch, Cloud Services, Computer Vision, Content Moderator, Azure AI Custom Vision, Data Factory, Data Lake Analytics, Data Lake Store, Event Hubs, Express Route, Face, HDInsight, Import/Export, IoT Hub, Key Vault, Language Understanding, Load Balancer, Azure Machine Learning Studio (classic), Media Services, Microsoft Azure Portal, Notification Hubs, Azure AI Personalizer, Power BI Embedded, QnA Maker, Microsoft Defender for Cloud, Service Bus, Service Connector, Service Fabric, Azure SignalR Service, Site Recovery, Speech Services, SQL Database, SQL Managed Instance, SQL Server Stretch Database, Storage, StorSimple, Stream Analytics, Synapse Analytics, Text Analytics, Traffic Manager, Azure AI Translator, Virtual Machines, Virtual Machine Scale Sets, Virtual Network en VPN Gateway.
Microsoft Intune Online Diensten	Het clouddienstgedeelte van Microsoft Intune.
Microsoft Power Platform Core Services	De volgende diensten, elk als zelfstandige dienst of opgenomen in een plan of suite onder de merknaam Office 365 of Microsoft Dynamics 365: Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio. Microsoft Power Platform Core Services omvat geen clientsoftware, met inbegrip van, maar niet beperkt tot, Power BI Report Server, de mobiele toepassingen voor Power BI, PowerApps of Microsoft Power Automate, Power BI Desktop, of Power Apps Studio.
Microsoft Copilot	Microsoft Copilot, te gebruiken met een werk- of schoolaccount.
Microsoft Defender Experts	Het clouddienstgedeelte van Microsoft Defender Experts.
Microsoft Defender voor cloud-apps	Het cloudservicegedeelte van Microsoft Defender voor cloud-apps (voorheen Microsoft Cloud App Security).
Microsoft Defender for Endpoint Services	Het onderdeel van Microsoft Defender for Endpoint voor clouddiensten.
Microsoft Defender for Identity	Het onderdeel van Microsoft Defender for Identity voor clouddiensten.
Microsoft Defender XDR	Het clouddienstgedeelte van Microsoft Defender XDR.
Microsoft Sentinel	Het clouddienstgedeelte van Microsoft Sentinel.
Windows 365	Het clouddienstgedeelte van Windows 365, uitgezonderd het Windows-besturingssysteem dat wordt uitgevoerd op Windows 365 Cloud-pc's.

Veiligheidsmaatregelen en -beleid voor Core Online Diensten

Naast de veiligheidsmaatregelen en -beleid voor Online Diensten in de BBP, worden bij elke Core Online Dienst de controlenormen en -raamwerken uit de onderstaande tabel toegepast en de veiligheidsmaatregelen gehanteerd die worden uiteengezet in Bijlage A van de BBP teneinde de Gegevens van de Klant te beschermen.

Online Dienst	SSAE 18 SOC 1 Type II	SSAE 18 SOC 2 Type II
Office 365-diensten	Ja	Ja
Microsoft 365 Compliance-diensten	Ja	Ja
Microsoft Dynamics 365 Core Services	Ja	Ja
Microsoft Azure Core Services	Varieert*	Varieert*
Microsoft Intune Online Diensten	Ja	Ja
Microsoft Power Platform Core Services	Ja	Ja
Microsoft Copilot	Ja	Ja
Microsoft Defender Experts	Varieert*	Varieert*
Microsoft Defender voor cloud-apps	Ja	Ja
Microsoft Defender for Endpoint Services	Ja	Ja
Microsoft Defender for Identity	Ja	Ja
Microsoft Defender XDR	Ja	Ja
Microsoft Sentinel	Ja	Ja
Windows 365	Ja	Ja

*Huidige reikwijdte wordt beschreven in het controlerapport en samengevat in het Vertrouwenscentrum van Microsoft.

Locatie van Gegevens van de Klant at-rest voor Core Online Diensten

In het geval van Core Online Diensten slaat Microsoft Gegevens van de Klant at-rest als volgt op in bepaalde grote geografische gebieden (elk een Geo), tenzij anders bepaald in de specifieke voorwaarden voor de Online Dienst.

Office 365-diensten. Indien de Klant zijn tenant voorzieningen verleent in Australië, Brazilië, Canada, de Europese Unie, Frankrijk, Duitsland, India, Japan, Noorwegen, Qatar, Zuid-Afrika, het Verenigd Koninkrijk, Zwitserland, de Verenigde Arabische Emiraten, de Verenigde Staten, Zuid-Korea of Zweden, slaat Microsoft de volgende Gegevens van de Klant at-rest uitsluitend op binnen de betreffende Geo: (1) inhoud van Exchange Online-mailbox (inhoud van e-mail, agendavermeldingen en de inhoud van e-mailbijlagen), (2) inhoud van SharePoint Online-site en bestanden opgeslagen binnen de site, (3) bestanden geüpload naar OneDrive for Business, (4) Microsoft Teams-chatberichten (inclusief privéberichten, kanaalberichten, vergaderberichten en afbeeldingen die worden gebruikt in chats), en voor Klanten die Microsoft Stream (Classic) (op SharePoint) gebruiken, opnames van vergaderingen, en (5) alle opgeslagen inhoud van interacties met Microsoft 365 Copilot voor zover niet inbegrepen in de voorgaande verplichtingen. Als de Klant een abonnement voor Advanced Data Residency aanschaft, zal Microsoft bepaalde Gegevens van de klant at-rest opslaan in de toepasselijke Geo overeenkomstig deze sectie en de sectie 'Verplichtingen voor Advanced Data Residency' in de productdocumentatie op https://aka.ms/adroverview.
Microsoft Intune Online Diensten. Wanneer de Klant zorgt voor een tenant-account van Microsoft Intune voor implementatie binnen een beschikbare Geo, zal Microsoft de Gegevens van de Klant at-rest voor de betreffende dienst opslaan binnen de betreffende Geo, uitgezonderd voor zover beschreven in het Microsoft Intune Vertrouwenscentrum.
Microsoft Power Platform Core Services. Wanneer de Klant de voorzieningen van een Power Platform Core Service verzorgt voor implementatie binnen een beschikbare Geo, zal Microsoft de Gegevens van de Klant at-rest voor de betreffende dienst opslaan binnen de betreffende Geo, uitgezonderd voor zover beschreven in het Microsoft Power Platform Trust Center.
Microsoft Azure Core Services. Indien de Klant een bepaalde dienst configureert voor gebruik binnen een Geo, zal Microsoft de Gegevens van de Klant at-rest opslaan binnen de opgegeven Geo. Bepaalde diensten stellen de Klant mogelijk niet in staat de implementatie te configureren in een bepaalde Geo of buiten de Verenigde Staten en kunnen back-ups opslaan op andere locaties. Raadpleeg het Vertrouwenscentrum van Microsoft (dat mogelijk van tijd tot tijd door Microsoft wordt bijgewerkt, maar waaraan door Microsoft geen uitzonderingen worden toegevoegd voor bestaande Diensten die algemeen verkrijgbaar zijn) voor meer informatie.
Microsoft Defender voor cloud-apps. Indien de Klant zijn tenant voorziet in de Europese Unie of de Verenigde Staten, slaat Microsoft Gegevens van de Klant at-rest uitsluitend op binnen de betreffende Geo, behalve zoals beschreven in het Microsoft Defender voor cloud-apps Vertrouwenscentrum.
Microsoft Dynamics 365 Core Services. Wanneer de Klant de voorzieningen van een Dynamics 365 Core Service verzorgt voor implementatie binnen een beschikbare Geo, zal Microsoft de Gegevens van de Klant at-rest voor de betreffende dienst opslaan binnen de betreffende Geo, uitgezonderd voor zover beschreven in het Microsoft Dynamics 365 Vertrouwenscentrum.
Microsoft Defender for Endpoint Services. Wanneer de Klant een Microsoft Defender for Endpoint-tenant faciliteert voor implementatie binnen een beschikbare Geo, zal Microsoft de Gegevens van de Klant at-rest voor de betreffende dienst opslaan binnen de betreffende Geo, uitgezonderd voor zover beschreven in het Vertrouwenscentrum voor Microsoft Defender for Endpoint.
Microsoft Defender for Identity. Wanneer de Klant een Microsoft Defender for Identity-tenant faciliteert voor implementatie binnen een beschikbare Geo, zal Microsoft de Gegevens van de Klant at-rest voor de betreffende dienst opslaan binnen de betreffende Geo, uitgezonderd voor zover beschreven in het Vertrouwenscentrum voor Microsoft Defender for Identity.
Microsoft Defender XDR. Wanneer de Klant een Microsoft Defender XDR-tenant faciliteert voor implementatie binnen een beschikbare Geo, slaat Microsoft de Gegevens van de Klant at-rest voor de betreffende dienst op binnen de betreffende Geo, uitgezonderd voor zover beschreven in het Vertrouwenscentrum voor Microsoft Defender XDR.
Windows 365. Wanneer een Windows 365-tenant wordt geïmplementeerd binnen een beschikbare Geo, slaat Microsoft Klantgegevens at-rest voor die tenant op binnen de betreffende Geo. Als de Klant Windows 365 Cloud-pc's binnen dezelfde tenant voorziet in verschillende beschikbare Geo's, dan slaat Microsoft voor elke Cloud-pc de Klantgegevens at-rest van de Cloud-pc op binnen de betreffende Geo.

EU Data Boundary-diensten

De term “EU Data Boundary” verwijst naar de Microsoft-computers, de computeromgeving en fysieke datacenters die zich uitsluitend in de Europese Unie (EU) en de Europese Vrijhandelsassociatie (EFTA) bevinden. De term “EU Data Boundary-diensten” is uitsluitend van toepassing op de Online Diensten in de onderstaande tabel, uitgezonderd eventuele Previews.

EU Data Boundary-diensten
Azure	Azure-diensten die implementatie mogelijk maken in een regio binnen de EU Data Boundary en de volgende niet-regionale diensten: Azure Active Directory B2C, Azure Advisor, Azure Bot Service, Cloud Shell, Azure Communication Services, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Azure Kubernetes Service on Azure Stack HCI, Azure Lighthouse, Azure Migrate, Azure Monitor, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Azure Stack Hub, Azure Virtual Desktop, Azure VM Image Builder, Power BI Embedded, Traffic Manager, Translator
Dynamics 365	Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management
Microsoft 365	Customer Lockbox, Exchange Online, Exchange Online Archiving for Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (Classic) (on SharePoint), Microsoft Teams, Microsoft To-Do, webversie van Office, Online Diensten als onderdeel van Microsoft 365-apps, OneDrive voor Bedrijven, SharePoint Online, Sway, Whiteboard, Viva Engage, Microsoft 365 Copilot, Communications Compliance, eDiscovery and Audit, Insider Risk Management, Information Barriers, Microsoft Purview Data Loss Prevention, Microsoft Intune, Priva Privacy Risk Management, Priva Subject Rights Management, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning, Microsoft Viva Pulse, Microsoft 365 Copilot for Sales en Microsoft Viva Topics
Power Platform	Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio.

Locatie van klantgegevens voor EU Data Boundary-diensten

Voor EU Data Boundary-diensten zal Microsoft Gegevens van de Klant en Persoonsgegevens opslaan en verwerken binnen de EU Data Boundary zoals hieronder beschreven.

De Klant moet EU Data Boundary-diensten als volgt configureren:

Voor Azure moet de Klant de dienst implementeren in een Azure-regio binnen de EU Data Boundary. Zie Gegevenslocatie in Azure (https://azure.microsoft.com/explore/global-infrastructure/data-residency) voor meer informatie. Voor services waarvoor implementatie in een bepaalde Azure-regio niet mogelijk is, moet de Klant de instructies volgen onder Configureren van niet-regionale Azure-services voor de EU Data Boundary (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services).
Voor Dynamics 365 en Power Platform, wanneer de Klant voor een tenant zorgt met een factuuradres in de EU of EFTA, valt die tenant binnen het bereik van de EU Data Boundary indien de Klant ook alle omgevingen in een Geo binnen de EU Data Boundary creëert.
Voor Microsoft 365: als de Klant een tenant in de EU of EFTA beschikbaar stelt, valt die tenant binnen het bereik van de EU Data Boundary, behalve voor die tenants waar de Klant ook de Microsoft 365-add-on Multi-Geo Capabilities heeft aangeschaft waarmee klanten de aanwezigheid van Microsoft 365-tenants kunnen uitbreiden naar meerdere geografische regio's of landen (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).

Het gebruik van EU Data Boundary-diensten kan leiden tot in beperkte overdracht van Gegevens van de Klant of Persoonsgegevens buiten de EU Data Boundary, zoals hieronder uiteengezet en verder uitgelegd in transparantiedocumentatie voor de EU Data Boundary die te vinden is op https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn of een opvolgende locatie. Dergelijke overdrachten worden uitgevoerd in overeenstemming met de Bijlage Bescherming van persoonsgegevens en de Productvoorwaarden.

Externe toegang. Microsoft-personeel dat zich buiten de EU Data Boundary bevindt, kan op afstand toegang krijgen tot systemen voor gegevensverwerking binnen de EU Data Boundary voor zover noodzakelijk voor het uitvoeren van, problemen oplossen met en beveiligen van de EU Data Boundary-diensten.
Door de klant geïnitieerde overdrachten. Klanten kunnen overdrachten starten buiten de EU Data Boundary, bijvoorbeeld door toegang te krijgen tot EU Data Boundary-diensten vanaf locaties buiten de EU Data Boundary, door een e-mail te sturen naar een ontvanger die zich buiten de EU Data Boundary bevindt of door gebruik te maken van EU Data Boundary-diensten in combinatie met andere diensten die niet binnen de EU Data Boundary vallen.
Klanten beschermen. Microsoft draagt beperkte gegevens over buiten de EU Data Boundary voor zover dat noodzakelijk is om beveiligingsrisico's te detecteren en Klanten hiertegen te beschermen.
Directorygegevens. Microsoft kan beperkte Microsoft Entra-directorygegevens van Microsoft Entra ID (inclusief gebruikersnaam en e-mailadres) repliceren buiten de EU Data Boundary om de dienst te verstrekken.
Netwerktransport. Om routeringslatentie te verminderen en routeringsveerkracht te behouden, maakt Microsoft gebruik van variabele netwerkpaden die soms kunnen leiden tot overdracht van gegevens buiten de EU Data Boundary.
Service- en platformkwaliteit en -beheer. Wanneer dit nodig is om de kwaliteit van de dienstverlening te bewaken en te behouden of om de nauwkeurigheid van statistische metingen van het gebruik of de prestaties van de dienst te garanderen, kunnen gepseudonimiseerde Persoonsgegevens buiten de EU Data Boundary worden overgedragen.
Dienstspecifieke overdrachten. Zie de transparantiedocumentatie waarnaar hierboven wordt verwezen voor informatie over overdrachten die van toepassing zijn op specifieke EU Data Boundary-diensten.