Vilkår for Personvern og Sikkerhet

Generelt

Disse personvern- og sikkerhetsvilkårene var tidligere innhold i vedlegg 1 til vilkårene for Elektroniske Tjenester.

Tillegget om personvern, eller DPA-en (definert i Ordlisten) angir partenes forpliktelser knyttet til behandlingen og sikkerheten av kundedata, Faglig tjenestedata, og personopplysninger med Produktene. Tillegget om personvern kan lastes ned her https://aka.ms/DPA. I tilfelle konflikt eller inkonsekvens mellom vilkårene i DPA-en og andre vilkår i Kundens lisensavtale (inkludert disse vilkårene), skal DPA-en ha forrang.

Unntak til DPA-en

Personvern- og sikkerhetsvilkårene i tabellen nedenfor endrer eller supplerer DPA-en for hver av de angitte Elektroniske tjenestene.

Produktfamilie	Elektronisk Tjeneste	Personvern og sikkerhetsvilkår
Microsoft Azure	Azure AI-tjenester	Tjenestene i Containere Siden Microsoft ikke har kontroll over driftsmiljøet til beholdere som er installert på kundens dedikerte maskinvare, skal vilkårene i DPA-en ikke gjelde for disse beholderne, bortsett fra i den grad a) det samles inn Personopplysninger i forbindelse med et faktureringsendepunkt, eller b) det oppgis Kundedata til Microsoft for opplæring i tilpassede modeller før nedlasting av Tjenesten som opererer i beholderen.
	Azure AI-tjenester	Inaktive Tjeneste-konfigurasjoner og egendefinerte modeller Når det gjelder oppbevaring og sletting av opplysninger, kan en Tjenestekonfigurasjon eller egendefinert modell som har vært inaktiv, etter Microsofts skjønn bli behandlet som en Elektronisk tjeneste der Kundens abonnement er utløpt. En konfigurasjon eller egendefinert modell er inaktiv hvis det i løpet av 90 dager (1) ikke gjøres noen kall til den, eller (2) den er ikke blitt endret og ikke er tilordnet en oppdatert nøkkel og (3) Kunden ikke logget seg på konfigurasjonen/modellen.
	Multi-Cloud-skanningskontakter for Microsoft Purview	For å muliggjøre interoperabilitet med Kundens distribusjoner med andre skyleverandører kan Microsoft innenfor slike andre skyer utføre visse valgfrie, diskrete dataskanningsfunksjoner for Kundens data som befinner seg i slike andre skyer ("Multi-Cloud Scanning Connectors for Microsoft Purview"). Microsoft vil tilkjennegi i sin dokumentasjon hvordan kunden kan aktivere og bruke Multi-Cloud-skanningskontakter for Microsoft Purview. For klarhetens skyld er Multi-Cloud Scanning Connectors for Microsoft Purview et eget tillegg til Microsoft Purview. Multi-Cloud-skanningskontakter for Microsoft Purview er ikke en kjernetjeneste i Microsoft Azure og de følgende delene av DPA gjelder ikke for Multi-Cloud-skanningskontakter for Microsoft Purview: "Utdanningsinstitusjoner", "CJIS-kundeavtale", "HIPAA Business" og "Vedlegg A – Sikkerhetstiltak". Med hensyn til kun Multi-Cloud-skanningskontakter for Microsoft Purview, gjelder følgende endringer av DPA: Tilgang til data: Microsoft benytter tilgangsmekanismer med minste privilegium for å styre tilgangen til kundedata (inkludert personopplysninger de inneholder). Microsoft bruker rollebaserte tilgangskontroller for å sikre at Microsofts tilgang til Kundedata som er nødvendige for drift av tjenester, blir brukt til et rettmessig formål og har blitt godkjent av ledelsen. Overholdelse av revisjon: Microsofts forpliktelser i delen Revisjonssamsvar i DPA-en omfatter ikke tredjeparts datamaskiner, datamiljøer eller fysiske datasentre som brukes av Multi-Cloud Scanning Connectors for Microsoft Purview. Standard databeskyttelsesvilkår som tilbys av de andre skyleverandørene styrer bruken din av Multi-Cloud-skanningskontakter for Microsoft Purview mens tillegget er vert for slike andre skyer.
	Visual Studio App Center	Personvernerklæringen på https://aka.ms/actestprivacypolicy gjelder Kundens bruk av Visual Studio App Center Test. Kunden kan ikke bruke Visual Studio App Center Test til å lagre eller behandle Personopplysninger.
	Azure Arc-aktivert SQL administrert forekomst	Vilkårene i DPA-en gjelder ikke behandling av data i Azure Arc-aktivert SQL administrert forekomst som kjører i et miljø utenfor Microsofts kontroll, bortsett fra i den grad det samles inn Personopplysninger for å aktivere Azure-administrasjonstjenester og for å måle bruk for faktureringsformål.
	Microsoft Genomics	Microsoft-personvernerklæringen på https://aka.ms/privacy gjelder Kundens bruk av Microsoft Genomics og ikke DPA-en, bortsett fra at denne Microsoft Genomics-delen avgjør i hvilken grad den er i strid med Microsofts personvernerklæring. Broad lisensvilkår Microsoft Genomics omfatter tilgang til Genetic Analysis Toolkit (GATK) fra Broad Institute, Inc. ("Broad"). Bruk av GATK og all relatert dokumentasjon som en del av Microsoft Genomics er også underlagt Broads GATK-sluttbrukerlisensavtale ("Broad EULA" som er tilgjengelig på https://software.broadinstitute.org/gatk/eula/index?p=Azure). Microsoft kan samle inn enkelte statistiske og tekniske opplysninger om Kundens bruk av GATK og dele disse med Broad. Kunden gir Microsoft tillatelse til å rapportere Kundens status som bruker av GATK i Microsoft Genomics til Broad.
	Azure SQL Edge	Vilkårene i DPA-en gjelder ikke for Azure SQL Edge som er installert på Kundens IoT-enhet, bortsett fra i den grad det blir samlet inn Personopplysninger for å muliggjøre Azure-administrasjonstjenester og måle bruk for faktureringsformål, ettersom Microsoft ikke har kontroll over driftsmiljøet til disse IoT-enhetene.
	Azure Stack HCI	Microsoft vil være en behandlingsansvarlig av personopplysninger når kunder aktiverer innsamling av Windows-diagnostiske data som beskrevet i produktdokumentasjonen. Når Microsoft er en behandlingsansvarlig, skal Microsoft håndtere disse Personopplysningene i samsvar med Microsofts personvernerklæring på aka.ms/privacy, og vilkårene i DPA-en skal ikke gjelde.
	Azure Stack Hub	Microsoft vil være en behandlingsansvarlig av personopplysninger når kunder aktiverer innsamling av Windows-diagnostiske data som beskrevet i produktdokumentasjonen. Når Microsoft er en behandlingsansvarlig, skal Microsoft håndtere disse Personopplysningene i samsvar med Microsofts personvernerklæring på aka.ms/privacy, og vilkårene i DPA-en skal ikke gjelde. Hvis en Microsoft Cloud-avtale eller Microsoft-kundeavtale bruker Azure Stack Hub-programvare eller -tjenester som er levert av en forhandler, vil slik bruk være underlagt forhandlerens personvernpraksis, som kan avvike fra Microsoft sin.
	Azure VMware Solution	Data for Profesjonelle Tjenester overføres til VMware Hvis kunden kontakter Microsoft for teknisk støtte relatert til Azure VMware Solution, og Microsoft må engasjere VMware for å få hjelp med problemet, vil Microsoft overføre profesjonelle tjenestedata og de personlige dataene i saken til VMware. Overføringen er underlagt vilkårene i Support Transfer Agreement mellom VMware og Microsoft, som etablerer Microsoft og VMware som uavhengige prosessorer av profesjonelle tjenestedata. Før overføringen av profesjonelle tjenestedata til VMware utføres, vil Microsoft innhente og registrere samtykke fra kunden for overføringen. Databehandlingsavtale for VMware Når profesjonelle tjenestedata er overført til VMware (i henhold til avsnittet ovenfor), vil behandlingen av profesjonelle tjenestedata, inkludert personopplysningene som inneholder saken, styres av VMware sin uavhengige databehandlingsavtale for Microsoft AVS-kunder overført til L3 Support (https://rc.portal.azure.com/verifyLink?href=https%3A%2F%2Fwww.vmware.com%2Fvmware-dpa-for-avs-customers.html&id=Microsoft_Azure_Marketplace). Kunden gir også tillatelse til å tillate sine representanter som ber om teknisk støtte for Azure VMware Solution å gi samtykke på sine vegne til Microsoft for overføring av profesjonelle tjenestedata til VMware.
Bing	Bing	Personverntillegget gjelder ikke for bruken din av Bing søketjenester eller for bruk av Bing i et Produkt. Microsofts personvernerklæring (https://privacy.microsoft.com/privacystatement) gjelder for enhver komponent av et Produkt som drives av Bing, som beskrevet i produktdokumentasjonen.
GitHub	GitHub-tilbud	Selv om Kundens volumlisensavtale (inkludert disse Produktvilkårene og DPA-en) skulle si noe annet, skal GitHub-personvernerklæringen tilgjengelig på https://aka.ms/github_privacy og personvernavtalen for GitHub på https://aka.ms/github_dpa gjelde for Kundens bruk av GitHub-tilbud, inkludert GitHub Enterprise lisensiert frittstående eller som Visual Studio Enterprise eller Professional with GitHub Enterprise.
Office 365-tjenester	Office 365 Education	Hvis Kunden holder til utenfor EU eller EFTA, og Kunden har et Office 365 Education-abonnement, men ikke har kjøpt et Advanced Data Residency for Education-tillegg, kan Microsoft til tross for punktet "Plassering av Kundedata i hvile for Elektroniske kjernetjenester" i Produktvilkårene levere Kundens Office 365 Education-leietaker i, overføre Kundedata til og lagre hvilende Kundedata hvor som helst i Den europeiske union eller Nord-Amerika. Hvis Kunden holder til i EU eller EFTA, og Kunden har et Office 365 Education-abonnement, men ikke har kjøpt et Advanced Data Residency for Education-tillegg, kan Microsoft til tross for punktet "Plassering av og kundedata i hvile for Elektroniske kjernetjenester" i Produktvilkårene levere Kundens Office 365 Education-leietaker i, overføre Kundedata til og lagre hvilende Kundedata hvor som helst i Den europeiske union.
Microsoft Dynamics 365-tjenester	Dynamics 365 Business Central og Dynamics 365 Finance i Danmark	Lover og regler for bokføring Disse vilkårene gjelder kun for Kunder med et foretak i Danmark slik bokføringsloven krever det. DPA-en styrer hvordan Microsoft håndterer Kundedata i Dynamics 365 Business Central og Dynamics 365 Finance, bortsett fra oppbevaring, sletting og utlevering av Regnskapsmateriale. Ved motstrid eller uoverensstemmelse mellom DPA-en og andre vilkår i Kundens lisensavtale skal disse vilkårene ha forrang. Definisjoner "Regnskapsmateriale" betyr alle dokumenter som omfatter bokføring, inkludert alle registrerte transaksjoner og kvitteringer og andre opplysninger (inkludert Personopplysninger) for et foretak som Kunden fremskaffer, eller som fremskaffes på vegne av Kunden i et Digitalt standard bokføringssystem, slik bokføringsloven krever. "Bokføringsloven" betyr den danske bokføringsloven av 24. mai 2022 og alle utstedte pålegg som regulerer bokførings- og regnskapsforpliktelser for foretak, samt leverandører av Digitale standard bokføringssystemer, i Danmark. "Dansk myndighet" betyr enhver (i) dansk offentlig myndighet som har den nødvendige rettslige kompetanse til å inspisere et foretak og be om dets regnskapsmateriale i henhold til bokføringsloven eller andre relevante lover; eller (ii) likvidator, bobestyrer eller reorganisator som har overtatt ledelsen av foretaket. "Digitalt standard bokføringssystem" betyr en digital tjeneste eller programvare som inneholder funksjoner som gjør det mulig for foretak å registrere og lagre Regnskapsmateriale, eller i det minste en fullstendig sikkerhetskopi av det samme, på en server driftet av leverandøren eller en annen tredjepart i henhold til bokføringslovens bestemmelser og standarder. Datalagring og sletting av regnskapsmateriale Ved å bruke Dynamics 365 Business Central eller Dynamics 365 Finance godtar Kunden at Microsoft eller dets tilknyttede selskaper, i samsvar med deres juridiske forpliktelse, kan kopiere, lagre og oppbevare Kundens regnskapsmateriale i fem (5) år fra slutten av regnskapsåret for de relaterte registrerte transaksjoner og kvitteringer ("Oppbevaringsperiode"), selv om Kunden endrer sitt bokføringssystem, går konkurs eller blir avviklet, slik bokføringsloven krever. Microsoft vil lagre Kundens hvilende regnskapsmateriale i et Microsoft-administrert lager på samme sted som det primære datautstyret som behandler Kundedata for disse tjenestene, eller i EU. I løpet av oppbevaringsperioden kan ikke Kunden få tilgang til, trekke ut, korrigere eller slette noe av regnskapsmaterialet fra denne lagringen. Microsoft skal bruke de samme sikkerhetstiltakene til å beskytte Kundens regnskapsmateriale som de bruker til å beskytte andre Kundedata. Når oppbevaringsperioden er utløpt, skal Microsoft slette Kundens regnskapsmateriale. Microsoft har intet erstatningsansvar for slettingen av Kundens regnskapsmateriale. Offentliggjøring av regnskapsmateriale Microsoft skal utlevere til Danske myndigheter eller gi til Danske myndigheter tilgang til Kundens regnskapsmateriale i den grad det er nødvendig for å oppfylle en forespørsel som pålegger slik utlevering, slik bokføringsloven krever. Andre data som en Kunde lagrer i disse digitale standard bokføringssystemene er ikke gjenstand for offentliggjøring. Danske myndigheter har kun tillatelse til å be om regnskapsmateriale fra leverandører av digitale standard bokføringssystemer dersom det ikke er mulig å innhente informasjonen direkte fra foretaket. Microsoft har ikke noe erstatningsansvar knyttet til at Kundens regnskapsmateriale blir utlevert til Danske myndigheter.
Microsoft Dynamics 365-tjenester	Microsoft Relationship-salg	LinkedIn Sales Navigator LinkedIn Sales Navigator leveres av LinkedIn Corporation. Kunden kan bare bruke LinkedIn Sales Navigator-tjenesten for å skaffe potensielle kunder. Hver bruker av LinkedIn Sales Navigator må være medlem av LinkedIn og godta å være bundet av brukeravtalen for LinkedIn som er tilgjengelig på https://www.linkedin.com/legal/preview/user-agreement. Selv om Kundens volumlisensavtale (herunder disse Produktvilkårene) skulle si noe annet, gjelder LinkedIns Personvernerklæring på https://www.linkedin.com/legal/privacy-policy for Kundens bruk av LinkedIn Sales Navigator-tjenesten. LinkedIn Corporation (som databehandler) og Kunden (som behandlingsansvarlig) skal overholde vilkårene for LinkedIns databehandlingsavtale, som ligger på https://legal.linkedin.com/dpa.
Microsoft 365	Legacy Glint-tjenester	Kundens tilgang til og bruk av Legacy Glint-tjenester styres av vilkårene angitt i Kundens sist aktive LinkedIn-bestillingsskjema(er) for Legacy Glint-tjenester. Ingen Microsoft-vilkår, inkludert uten begrensning Microsoft-produktvilkårene, DPA eller noen avtaler mellom Kunden og Microsoft skal gjelde for eldre Glint-tjenester.
Andre elektroniske tjenester	Microsoft Intune	Hvis Intune Company Portal-appen brukes til å administrere enheter, skal vilkårene som gjelder for Microsoft Intune elektroniske tjenester (som definert i tabellen over Elektroniske kjernetjenester i disse Personvern- og sikkerhetsvilkårene), gjelde for bruk av Intune Company Portal-appen. Microsofts forpliktelser relatert til Intune Company Portal App omfatter ikke databehandling, retningslinjer eller praksis fra tredjepartsleverandører av mobile plattformer som Intune Company Portal App fungerer på (f.eks. Apple, Google).
Andre elektroniske tjenester	Administrerte enheter og applikasjoner	Microsoft administrert skrivebord (MMD) integrerer data (inkludert Kundedata) mellom andre Microsoft-produkter, inkludert Windows, Microsoft Entra ID, Microsoft Intune, Microsoft Defender for Endpoint, Office og andre Elektroniske tjenester som konfigurert av Kunden (for formålene med denne bestemmelsen samlet kalt "MMD-integrerte tjenester"). Når data overføres mellom MMD-integrerte tjenester, er dataene underlagt produktvilkårene som gjelder for tjenesten de befinner seg på.

Programvareprodukter som er ekskludert fra DPA-en

Bortsett fra det som er angitt i de produktspesifikke vilkårene, gjelder ikke vilkårene i DPA-en for: Internettbaserte funksjoner i programvareproduktene, operativsystemer for Windows-skrivebord, Windows-server og disse programvareproduktene som en del av andre produkter. Hver av disse produktene er underlagt personvern- og sikkerhetsvilkårene i de gjeldende produktspesifikke vilkårene.

Ikke-Microsoft-produkter

Separate vilkår, inkludert andre personvern- og sikkerhetsvilkår, gjelder for Kundens bruk av Ikke-Microsoft produkter (slik dette er definert i de generelle lisensvilkårene for Elektroniske Tjenester).

DPA-betingelser geografiske utelukkelser

For elektroniske tjenester fra Dynamics 365 og Power Platform er de spesifikke vilkårene for DPA-en som nevnt i vedlegg A som sier "Microsoft lagrer kopier av fremgangsmåter for Kundedata og datagjenoppretting på et annet sted enn der det primære datautstyret som behandler kundedataene befinner seg." gjelder ikke for følgende områder: De forente arabiske emirater og Sør-Afrika.

Online-kjernetjenester

Termen "Elektroniske kjernetjenester" gjelder bare på tjenestene i tabellen nedenfor, unntatt Forhåndsvisninger.

Elektroniske Tjenester
Microsoft Dynamics 365-kjernetjenester	Følgende tjenester, hver som en frittstående tjeneste eller inkludert i en Dynamics 365-merket plan eller applikasjon: Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations og Dynamics 365 Sales. Dynamics 365-kjernetjenester inkluderer ikke (1) Dynamics 365-tjenester for støttede tjenester eller programvare, som inkluderer, men er ikke begrenset til Dynamics 365 for apper, nettbrett, telefoner eller hvilken som helst av; (2) LinkedIn Sales Navigator; eller (3) med mindre annet er uttrykkelig definert i lisensvilkårene for tilhørende tjeneste, enhver annen separat merket tjeneste som er tilgjengelig med eller koblet til Dynamics 365-kjernetjenester.
Office 365-tjenester	Følgende tjenester, hver som en frittstående tjeneste eller inkludert i en Office 365- eller Microsoft 365-merket plan eller serie: Customer Lockbox, Exchange Online Archiving, Exchange Online Protection, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (Classic), Microsoft Teams, Microsoft To-Do, Microsoft Defender for Office 365, Office på nettet, OneDrive for Business, Project, SharePoint, Sway, Viva Insights, Whiteboard, Viva Engage og Microsoft 365 Copilot. Office 365-tjenestene inkluderer ikke Microsoft 365-apper for foretak, noen del av en PSTN-tjeneste som opererer utenfor Microsofts kontroll, klientprogramvare eller noen separat merketjeneste gjort tilgjengelig med en Office 365- eller Microsoft 365-merket plan eller suite, for eksempel en Bing eller en tjeneste merket "for Office 365".
Microsoft 365 F5 Compliance-tjenester	Følgende tjenester, hver som en frittstående tjeneste eller inkludert i en Microsoft Office 365-merket plan eller serie: Microsoft Purview Customer Lockbox, Microsoft Purview Data Loss Prevention, Microsoft Purview Customer Key, Microsoft Purview Data Lifecycle Management, Microsoft Purview informasjonsbarrierer, Microsoft Purview Privileged Access Management, Microsoft Purview Compliance Manager, Microsoft Purview Information Protection, Microsoft Information Governance, Microsoft Purview administrasjon av intern risiko, Microsoft Purview Communication Compliance, Microsoft Purview Records Management, Microsoft Purview eDiscovery og Microsoft Purview Audit, Microsoft risikostyring for personvern og Microsoft Priva forespørsler for registrerte.
Microsoft Azure-kjernetjenester	Azure AI, Azure AI Content Safety, Azure Active Directory B2C, Anomaly Detector, API Management, App Service (API Apps, Logic Apps, Mobile Apps, WebJobs, Functions), Lab Services, Application Gateway, Azure Monitor, Automation, Azure API for FHIR, Azure App Configuration, Azure Bastion, Azure AI Bot Service, Azure Cache for Redis, Azure AI Search, Azure Communication Services, Azure Container Apps, Azure Container Instances, Azure Container Registry (ACR), Azure Cosmos DB, Azure Data Explorer, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Databricks, Azure DDOS Protection, Azure DevOps, Azure DNS, Microsoft Entra ID, Azure Event Grid, Microsoft Fabric, Azure Firewall, Azure AI Document Intelligence, Azure Health Data Services, Azure AI Immersive Reader, Azure Kubernetes Service, Azure Managed Grafana, Azure Machine Learning, Azure AI Metrics Advisor, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure VMware-løsning, Microsoft Purview Data Map (klassisk), Microsoft Purview Data Catalog (klassisk), Microsoft Purview Data Estate Insights (klassisk), Microsoft Purview Data Policies (klassisk), Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Azure AI Video Indexers, Azure Web PubSub, Backup, Batch, Cloud Services, Computer Vision, Content Moderator, Azure AI Custom Vision, Data Factory, Data Lake Analytics, Data Lake Store, Event Hubs, Express Route, Face, HDInsight, Import/Export, IoT Hub, Key Vault, Language Understanding, Load Balancer, Azure Machine Learning Studio (klassisk), Media Services, Microsoft Azure-portal, Notification Hubs, Azure AI Personalizer, Power BI Embedded, QnA Maker, Microsoft Defender for Cloud, Service Bus, Service Connector, Service Fabric, Azure SignalR Service, Site Recovery, Speech Services, SQL Database, SQL Managed Instance, SQL Server Stretch Database, Storage, StorSimple, Stream Analytics, Synapse Analytics, Text Analytics, Traffic Manager, Azure AI Translator, Virtual Machines, Virtual Machine Scale Sets, Virtual Network og VPN Gateway.
Elektroniske Tjenester i Microsoft Intune	Skytjenestene i Microsoft 365 Intune.
Kjernetjenester i Microsoft Power Platform	Følgende tjenester, hver som en frittstående tjeneste eller inkludert i en Office 365- eller Microsoft Dynamics 365-merket plan eller serie: Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power Pages og Microsoft Copilot Studio. Microsoft Power Platform-kjernetjenester inkluderer ikke klientprogramvare, inkludert, men ikke begrenset til Power BI-rapportserver, Power BI, PowerApps eller Microsoft Power Automate mobilapplikasjoner, Power BI Desktop eller Power Apps Studio.
Microsoft Copilot	Microsoft Copilot som brukes med en jobb- eller skolekonto.
Microsoft Defender Experts	Skytjenestene i Microsoft Defender Experts.
Microsoft Defender for Cloud Apps	Skytjenestedelen av Microsoft Defender for Cloud Apps (tidligere Microsoft Cloud App Security).
Microsoft Defender for endepunkt-tjenester	Skytjenestene i Microsoft Defender for endepunkt.
Microsoft Defender for Identitet	Skytjenestene i Microsoft Defender for Identitet.
Microsoft Defender XDR	Skytjenestene i Microsoft Defender XDR.
Microsoft Sentinel	Skytjenestedelen i Microsoft Sentinel.
Windows 365	Skytjenestedelen av Windows 365, unntatt Windows-operativsystemet som kjører på Windows 365 Cloud-PCer.

Sikkerhetspraksis og retningslinjer for online-kjernetjenester

I tillegg til sikkerhetspraksis og retningslinjer for onlinetjenester i DPA, overholder også hver Core Onlinetjeneste kontrollstandardene og rammene som er vist i tabellen nedenfor, og implementerer og opprettholder sikkerhetstiltakene angitt i vedlegg A til DPA for beskyttelse av kundedata.

Elektronisk Tjeneste	SSAE 18 SOC 1 Type II	SSAE 18 SOC 2 Type II
Office 365-tjenester	Ja	Ja
Microsoft 365 F5 Compliance-tjenester	Ja	Ja
Microsoft Dynamics 365-kjernetjenester	Ja	Ja
Microsoft Azure-kjernetjenester	Varierer*	Varierer*
Elektroniske Tjenester i Microsoft Intune	Ja	Ja
Kjernetjenester i Microsoft Power Platform	Ja	Ja
Microsoft Copilot	Ja	Ja
Microsoft Defender Experts	Varierer*	Varierer*
Microsoft Defender for Cloud Apps	Ja	Ja
Microsoft Defender for endepunkt-tjenester	Ja	Ja
Microsoft Defender for Identitet	Ja	Ja
Microsoft Defender XDR	Ja	Ja
Microsoft Sentinel	Ja	Ja
Windows 365	Ja	Ja

*Nåværende omfang er detaljert i revisjonsrapporten og oppsummert i Microsoft Trust Center.

Plassering av Kundedata i minnet for online-kjernetjenester

Når det gjelder Elektroniske Kjernetjenester, skal Microsoft lagre inaktive Kundedata innenfor visse viktige geografiske områder (hvert av disse et Geo) på følgende måte med mindre noe annet fremgår i de onlinetjenestespesifikke vilkårene:

Office 365-tjenester. Hvis Kunden leverer til leietaker i Australia, Brasil, Canada, Den europeiske union, Frankrike, Tyskland, India, Japan, Norge, Qatar, Sør-Afrika, Sør-Korea, Sverige, Sveits, Storbritannia, De forente arabiske emirater eller USA, skal Microsoft lagre følgende Kundedata i minnet bare innenfor det geo-området: (1) Exchange Online-postboksinnhold (e-posttekst, kalenderoppføringer og innholdet i e-postvedlegg), (2) SharePoint Online-nettstedinnhold og filene som er lagret på dette nettstedet, (3) filer lastet opp til OneDrive for Forretning, (4) Microsoft Teams chatmeldinger (inkludert private meldinger, kanalmeldinger, møtemeldinger og bilder brukt i chatter), og for kunder som bruker Microsoft Stream (Classic) (på SharePoint), møteopptak og (5) alt lagret innhold av interaksjoner med Microsoft 365 Copilot i den grad det ikke er inkludert i de foregående forpliktelsene. Hvis Kunden kjøper et Advanced Data Residency-abonnement, vil Microsoft lagre visse Kundedata i hvile i gjeldende Geo i samsvar med denne delen og delen "Oversikt over Advanced Data Residency og Commitments" i produktdokumentasjonen på https://aka.ms/adroverview.
Elektroniske Tjenester i Microsoft Intune. Når Kunden leverer en Microsoft Intune-leietakerkonto som skal distribueres i en tilgjengelig Geo, vil Microsoft for den tjenesten lagre Kundedata i minnet i den spesifiserte Geo, bortsett fra som nevnt i Microsoft Intune Trust Center.
Kjernetjenester i Microsoft Power Platform. Hvis Kunden leverer en Power Platform-kjernetjeneste til distribusjon i et tilgjengelig Område, skal Microsoft for den aktuelle tjenesten lagre inaktive Kundedata innenfor det angitte Området, med unntak som beskrevet i Klareringssenteret for Microsoft Power Platform Trust Center.
Microsoft Azure-kjernetjenester. Hvis Kunden konfigurerer at en bestemt tjeneste skal distribueres innenfor et bestemt Område, skal Microsoft lagre inaktive Kundedata innenfor Området som er angitt. Enkelte tjenester kan ikke gjøre det mulig for Kunden å konfigurere distribusjon i en bestemt Geo eller utenfor USA og kan lagre sikkerhetskopier på andre steder. Se Microsoft Trust Center (som Microsoft kan oppdatere fra tid til annen, men Microsoft vil ikke legge til unntak for eksisterende tjenester i generell utgave) for mer informasjon.
Microsoft Defender for Cloud Apps. Hvis kunden leverer til leietakeren sin i EU eller USA, vil Microsoft lagre kundedata i minnet bare innenfor den geoen, bortsett fra som beskrevet i Microsoft Defender for Cloud Apps Trust Center.
Microsoft Dynamics 365-kjernetjenester. Hvis Kunden leverer en Dynamics 365-kjernetjeneste til distribusjon i et tilgjengelig Område, skal Microsoft for den aktuelle tjenesten lagre inaktive Kundedata innenfor det angitte Området, med unntak som beskrevet i Klareringssenteret for Microsoft Dynamics 365.
Microsoft Defender for endepunkt-tjenester. Når Kunden leverer en Microsoft Defender for endepunkt-leietakerkonto som skal distribueres i en tilgjengelig Geo, vil Microsoft for den tjenesten lagre Kundedata i minnet i den spesifiserte Geo, bortsett fra som nevnt i Microsoft Defender for endepunkt Trust Center.
Microsoft Defender for Identitet. Når Kunden leverer en Microsoft Defender for Identitet-leietakerkonto som skal distribueres i en tilgjengelig Geo, vil Microsoft for den tjenesten lagre Kundedata i minnet i den spesifiserte Geo, bortsett fra som nevnt i Microsoft Defender for Identitet Trust Center.
Microsoft Defender XDR. Når Kunden leverer en Microsoft Defender XDR-leietakerkonto som skal distribueres i en tilgjengelig Geo, vil Microsoft for den tjenesten lagre Kundedata i minnet i den spesifiserte Geo, bortsett fra som nevnt i Microsoft Defender XDR Trust Center.
Windows 365. Når en Windows 365-leietaker er distribuert innenfor en tilgjengelig Geo, vil Microsoft, for denne leietakeren, lagre inaktive Kundedata i den spesifiserte Geo. Hvis kunden forsyner Windows 365 Cloud-PC-er innenfor samme leietaker til ulike tilgjengelige Geoer, vil Microsoft, for hver Cloud PC, lagre inaktive Cloud PC Kundedata i den spesifiserte Geo.

EUs datagrensetjenester

Begrepet "EUs datagrense" betyr Microsofts datamaskiner, datamiljø og fysiske datasentre som utelukkende er lokalisert i EU og Det europeiske frihandelsforbundet (EFTA). Termen "EUs datagrensetjenester" gjelder bare de Elektroniske Tjenestene i tabellen nedenfor, unntatt Forhåndsvisninger.

EUs datagrensetjenester
Azure	Azure-tjenester som muliggjør distribusjon i en region innenfor EUs datagrense og de følgende ikke-regionale tjenestene: Azure Active Directory B2C, Azure Advisor, Azure Bot Service, Cloud Shell, Azure-kommunikasjonstjenester, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Azure Kubernetes Service på Azure Stack HCI, Azure Lighthouse, Azure Migrate, Azure Monitor, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Azure Stack Hub, Azure Virtual Desktop, Azure VM Image Builder, Power BI Embedded, Traffic Manager, Translator
Dynamics 365	Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management
Microsoft 365	Customer Lockbox, Exchange Online, Exchange Online Archiving for Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (Classic) (på SharePoint), Microsoft Teams, Microsoft To-Do, Office for på nettet, Elektroniske tjenester levert som en del Microsoft 365 Apps, OneDrive for Business, SharePoint Online, Sway, Whiteboard, Viva Engage, Microsoft 365 Copilot, Communications Compliance, eDiscovery and Audit, Insider Risk Management, Information Barriers, Microsoft Purview Data Loss Prevention, Microsoft Intune, Priva Privacy Risk Management, Priva Subject Rights Management, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning, Microsoft Viva Pulse, Microsoft 365 Copilot for Sales og Microsoft Viva Topics
Power Platform	Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio

Plassering av Kundedata for EUs datagrensetjenester

Når det gjelder EUs datagrensetjenester, vil Microsoft lagre og behandle Kundedata og Personopplysninger innenfor EUs datagrense som beskrevet nedenfor.

Kunden må konfigurere EUs datagrensetjenester som følger:

For Azure, må Kunden distribuere tjenesten i en Azure-region innenfor EUs datagrense. Se Datalagring i Azure (https://azure.microsoft.com/explore/global-infrastructure/data-residency) for mer informasjon. For tjenester som ikke kan distribueres til en spesifisert Azure-region, må Kunden følge instruksjonene beskrevet i Konfigurering av ikke-regionale Azure-tjenester for EUs datagrense (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services).
For Dynamics 365 og Power Platform, hvis Kunden gir en leietaker en faktureringsadresse i EU eller EFTA, vil denne leietakeren være innenfor EUs datagrense hvis kunden også oppretter alle sine miljøer innenfor en geo innenfor EUs datagrense.
Når det gjelder Microsoft 365: hvis Kunden gir en leietaker en faktureringsadresse i EU eller EFTA, vil denne leietakeren være innenfor EUs datagrense, bortsett fra de leietakerne der Kunden også har kjøpt Microsoft 365 Multi-Geo-funksjoner -tillegget som gjør det mulig for kunder å utvide Microsoft 365-leietakers tilstedeværelse til flere geografiske regioner eller land (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).

Bruk av EUs datagrensetjenester kan føre til begrensede overføringer av Kundedata eller Personopplysninger utenfor EUs datagrense, som beskrevet nedenfor og i større detalj i åpenhetsdokumentasjonen for EUs datagrense som ligger på https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn eller etterfølgende plassering. Alle slike overføringer vil bli utført i samsvar med Databeskyttelsestillegget og Produktvilkårene.

Ekstern pålogging. Microsoft-personell utenfor EUs datagrense kan eksternt få tilgang til databehandlingssystemer i EUs datagrense etter behov for å betjene, feilsøke og sikre EUs datagrensetjenester.
Kunde-initierte overføringer. Kunder kan starte overføringer utenfor EUs datagrense, for eksempel ved å få tilgang til EUs datagrensetjenester fra steder utenfor EUs datagrense, sende en e-post til en mottaker utenfor EUs datagrense, eller bruk av EUs datagrensetjenester i kombinasjon med andre tjenester som ikke er innenfor EUs datagrense.
Beskytte Kunder. Microsoft overfører begrensede data utenfor EUs datagrense etter behov for å oppdage og beskytte kunder mot sikkerhetstrusler.
Katalogdata. Microsoft kan kopiere begrensede Microsoft Entra katalogdata fra Microsoft Entra ID (inkludert brukernavn og e-postadresse) utenfor EUs datagrense for å tilby tjenesten.
Nettverkstransport. For å redusere rutingforsinkelse og opprettholde rutingmotstandsdyktighet, bruker Microsoft variable nettverksbaner som av og til kan føre til overføring av data utenfor EUs datagrense.
Tjeneste- og plattformkvalitet og administrasjon. Når det kreves for å overvåke og opprettholde tjenestekvalitet eller for å sikre nøyaktigheten av statistiske mål knyttet til tjenestebruk eller -ytelse, kan pseudonymiserte Personopplysninger overføres utenfor EUs datagrense.
Tjenestespesifikke overføringer. Se dokumentasjonen om åpenhet referert til ovenfor for informasjon om overføringer som gjelder spesifikke EU-datagrensetjenester.