AVG-verbintenissen van Microsoft tegenover klanten betreffende onze algemeen verkrijgbare Enterprise Software-producten
Inleiding
De algemene verordening gegevensbescherming (AVG) van de Europese Unie zet wereldwijd een belangrijke standaard voor privacyrechten, informatiebeveiliging en naleving. Bij Microsoft geloven we dat privacy een fundamenteel recht is en dat de AVG een belangrijke stap voorwaarts is in het beschermen en bevorderen van de privacyrechten van individuen.
Microsoft zet zich in voor haar eigen naleving van de AVG, evenals voor het leveren van een gamma van producten, functies, documentatie en middelen om onze klanten te ondersteunen bij het voldoen aan hun nalevingsverplichtingen onder de AVG. Hierna volgt een beschrijving van de contractuele verplichtingen van Microsoft ten aanzien van haar klanten met betrekking tot persoonsgegevens die zijn verzameld met behulp van enterprise software. (Voor software waarvoor licentie wordt verleend via het commerciële licentieprogramma van Microsoft moet u rechtstreeks verwijzen naar de Bijlage Bescherming van persoonsgegevens voor Producten en Diensten van Microsoft (BBP) op http://aka.ms/dpa)
Gaat Microsoft verbintenissen aan met zijn klanten met betrekking tot de AVG?
Ja. De AVG schrijft voor dat de verwerkingsverantwoordelijken (zoals organisaties en ontwikkelaars die gebruikmaken van de enterprise online diensten van Microsoft) alleen verwerkers (zoals Microsoft) gebruiken die namens de verwerkingsverantwoordelijken persoonsgegevens verwerken en voldoende garanties bieden om aan de belangrijkste eisen van de AVG te voldoen. Microsoft levert deze verbintenissen aan alle klanten van het commerciële licentieprogramma van Microsoft in de BBP. Klanten van andere algemeen verkrijgbare enterprise software onder licentie van Microsoft of onze gelieerde ondernemingen genieten ook de voordelen van de AVG-verplichtingen van Microsoft, zoals beschreven in deze mededeling, voor zover de software persoonsgegevens verwerkt.
Waar kan ik de contractuele verplichtingen van Microsoft met betrekking tot de AVG vinden?
U vindt de contractuele verbintenissen ten overstaan van de AVG (AVG-bepalingen) in de bijlage van de BBP onder de titel "Voorwaarden van de Algemene Verordening Gegevensbescherming van de Europese Unie". Deze voorwaarden verbinden Microsoft tot de vereisten van de verwerkers in AVG Artikel 28 en andere relevante artikelen van de AVG.
Microsoft breidt de AVG-voorwaarden uit tot alle klanten van algemeen verkrijgbare enterprise softwareproducten die door ons of onze gelieerde ondernemingen in licentie zijn gegeven onder de licentievoorwaarden van Microsoft-software, met ingang van 25 mei 2018, ongeacht de toepasselijke versie van de enterprise software, voor zover Microsoft een verwerker of subverwerker is van persoonsgegevens in verband met dergelijke software, en zolang Microsoft de versie blijft aanbieden of ondersteunen. Ondersteuningsgegevens kan u vinden in de Microsoft Lifecyle Policy op https://support.microsoft.com/lifecycle.
Voor alle duidelijkheid: voor beta- of voorbeeldsoftware, software die wezenlijk is gewijzigd, of software die door Microsoft of onze geaffilieerden in licentie is gegeven en die niet algemeen verkrijgbaar is voor het publiek of anderszins niet in licentie is gegeven onder de licentievoorwaarden van Microsoft-software, kunnen andere of minder belangrijke verplichtingen gelden. Sommige producten kunnen standaard telemetrie- of andere gegevens verzamelen en naar Microsoft sturen; productdocumentatie bevat informatie en instructies voor het uitschakelen of configureren van het op dergelijke wijze verzamelen van telemetriegegevens.
Welke verplichtingen staan in de AVG-Voorwaarden?
De AVG-voorwaarden van Microsoft weerspiegelen de verplichtingen die in Artikel 28 van de AVG van de verwerkers worden geëist. Artikel 28 vereist dat de verwerkers zich ertoe verbinden:
- alleen gebruik te maken van subverwerkers met toestemming van de verwerkingsverantwoordelijke en aansprakelijk te blijven voor subverwerkers;
- persoonsgegevens alleen te verwerken op instructie van de verwerkingsverantwoordelijke, inclusief betreffende doorgiften;
- ervoor te zorgen dat personen die persoonsgegevens verwerken, zich tot geheimhouding verplichten;
- passende technische en organisatorische maatregelen te implementeren om te zorgen voor een niveau van beveiliging van persoonsgegevens dat is afgestemd op het risico;
- de verwerkingsverantwoordelijke bij te staan in zijn verplichtingen om te reageren op verzoeken van betrokkenen om hun AVG-rechten uit te oefenen;
- te voldoen aan de AVG-vereisten betreffende het melden van inbreuken en het verlenen van ondersteuning bij inbreuken op persoonsgegevens;
- de verwerkingsverantwoordelijke bij te staan bij het uitvoeren van gegevensbeschermingseffectbeoordelingen en het overleg met de toezichthoudende autoriteiten;
- persoonsgegevens te wissen of terug te geven aan het einde van de dienstverlening; en
- de verwerkingsverantwoordelijke te ondersteunen met bewijzen van naleving van de AVG.