Belangrijkste vragen over privacy die een klant aan de cloudprovider moet stellen

Microsoft Office 365 bevat essentiële privacyfuncties voor alle Office 365-klanten. In deze sectie worden deze privacyfuncties beschreven, samen met de manier waarop ze voldoen aan de hoge privacystandaarden die zijn opgelegd door EU-instanties. Op 1 juli 2012 heeft de Artikel 29-werkgroep (WP29), een groep die bestaat uit nationale instanties voor de bescherming van persoonsgegevens in de Europese Unie, Opinion 05/2012 on Cloud Computing aangenomen. In Opinion on Cloud Computing worden de voordelen van de cloud beschreven, inclusief verbeterde efficiëntie en betere beveiliging. In Opinion benadrukt de WP29 het belang van het kiezen van een cloudserviceprovider die transparant is wat betreft de procedures voor gegevensbeveiliging en die de privacy van klantgegevens respecteert.

Opinion van de WP29 bevat essentiële richtlijnen voor huidige en toekomstige cloudgebruikers. Daarnaast wordt een aantal vragen gesteld die cloudgebruikers, in hun rol als datacontrollers, moeten overwegen bij het selecteren van een cloudprovider. Hier worden de belangrijkste vragen over privacy en de antwoorden van Office 365 beschreven.

Verwijzing naar Opinion van de WP29: in sectie 4.1 (het eerste opsommingsteken onder de kop 'Naleving via basisprincipes voor gegevensbescherming'), wordt aangegeven dat 'cloudproviders cloudgebruikers moet informeren over alle (gegevensbescherming) relevante aspecten van hun services…gebruikers moeten met name worden geïnformeerd over alle toeleveranciers die een bijdrage leveren aan de desbetreffende cloudservice en alle locaties waarop gegevens kunnen worden opgeslagen of verwerkt door de cloudprovider en/of de toeleveranciers.' In sectie 3.4.1.1 (Transparantie) wordt verder het belang van transparantie in de relatie tussen cloudprovider en cloudgebruiker benadrukt.

Office 365: Microsoft zorgt ervoor dat informatie over de privacy- en beveiligingsprocedures altijd beschikbaar zijn in het Office 365 Vertrouwenscentrum. Het Office 365 Vertrouwenscentrum bevat informatie over waar gegevens worden opgeslagen, wie hiertoe toegang hebben in welke omstandigheden en welke toeleveranciers betrokken zijn bij de verwerking van gegevens.
Verwijzing naar Opinion van de WP29: sectie 3.4.1.2 (Specificaties en beperkingen van het doel). De WP29 maakt duidelijk dat 'persoonsgegevens moeten worden verzameld voor specifieke, expliciete en wettige doeleinden en niet verder mogen worden verwerkt op een manier die niet overeenkomt met deze doeleinden' en dat cloudgebruikers ervoor verantwoordelijk zijn dat 'persoonsgegevens niet (onwettig) voor verdere doeleinden worden verwerkt door de cloudprovider'.

Office 365: voor Microsoft-cloudservices voor ondernemingen worden alleen klantgegevens gebruikt om de services aan te bieden. Dit kan onder andere probleemoplossing zijn die is gericht op het voorkomen, detecteren en herstellen van problemen die van invloed zijn op de werking van de services en de verbetering van functies met betrekking tot de detectie van en bescherming tegen nieuwe en bestaande dreigingen voor de gebruiker (zoals malware of spam). Office 365 maakt geen reclameproducten op basis van klantgegevens. Wij scannen uw e-mails of documenten niet met als doel analyse, gegevensanalyse of reclame of om de service verder te verbeteren.

Microsoft maakt geen klantgegevens openbaar aan derden (inclusief justitie of politie, andere overheidsinstanties of civiele procederende partijen, exclusief onze toeleveranciers), tenzij dit wordt gevraagd door onze klanten of dit is vereist door de wetgeving.
Verwijzing naar Opinion van de WP29: sectie 3.4.1.2 (Specificaties en beperkingen van het doel) en sectie 3.3.1 (Cloudgebruiker en cloudprovider).

Office 365: Microsoft-cloudservers voor ondernemingen zijn fysiek en/of logisch gescheiden van de servers voor de onlineservices voor consumenten. Klantgegevens voor ondernemingen, gegevens in Microsoft-onlineservices voor consumenten en gegevens die zijn gemaakt door of het resultaat zijn van scan-, indexerings- of gegevensanalyseactiviteiten van Microsoft, worden niet gecombineerd, tenzij dit van tevoren door de klant is goedgekeurd.
Verwijzing naar Opinion van de WP29: sectie 3.4.1.2 (Specificaties en beperkingen van het doel) en sectie 3.3.1 (Cloudgebruiker en cloudprovider).

Office 365: Microsoft scant geen e-mailberichten of documenten voor reclamedoeleinden. Voor Microsoft-ondernemingsservices worden klantgegevens onderhouden, gescand en geïndexeerd om de uitgebreide functies te kunnen leveren waarmee klanten klantgegevens kunnen openen en organiseren. Eindgebruikers kunnen bijvoorbeeld eenvoudig zoeken naar hun documenten en andere inhoud in Office 365.
Verwijzing naar Opinion van de WP29: sectie 3.4.3 (Technische en organisatorische maatregelen voor gegevensbescherming en -beveiliging).

Office 365: de commerciële Office 365-service is logisch gescheiden van de onlineservices voor consumenten. Klantgegevens voor ondernemingen en gegevens in Microsoft-onlineservices voor consumenten worden niet gecombineerd, tenzij dit van tevoren door de klant is goedgekeurd.
De WP29 concludeert dat traditionele methoden voor het overdragen van gegevens vanuit de Europese Economische Ruimte beperkingen hebben wanneer deze worden toegepast op de cloud. De WP29 noemt met name de Safe Harbor-richtlijnen, en geeft voor cloudgebruikers aan dat 'als een gegevensimporteur zich uitsluitend wil houden aan de Safe Harbor-richtlijnen, dit mogelijk niet voldoende is' voor de gegevensoverdracht naar providers in de V.S. Daarnaast herinnert de WP29 cloudgebruikers aan de noodzaak te voldoen aan mogelijk toepasselijke nationale wetgeving.

Office 365 biedt een uitgebreide gegevensverwerkingsovereenkomst samen met de EU-modelclausules, naast de zelfcertificering onder het V.S.-EU Safe Harbor-programma. Hoewel de EU-modelclausules specifiek zijn gemaakt voor klanten in de EU, is de gegevensverwerkingsovereenkomst een combinatie van de beste privacyprocedures van verschillende landen en wordt deze aangeboden aan alle klanten, ongeacht het land of de grootte. De processen die in Office 365 zijn geïmplementeerd om te voldoen aan de EU-modelclausules, zijn niet beperkt tot klanten in de EU, maar zijn beschikbaar voor alle klanten.