AVG-verbintenissen van Microsoft tegenover klanten betreffende onze algemeen verkrijgbare Enterprise Software-producten
Inleiding
De algemene verordening gegevensbescherming (AVG) van de Europese Unie stelt wereldwijd een belangrijke norm voor privacyrechten, informatiebeveiliging en compliance. Bij Microsoft geloven we dat privacy een grondrecht is en dat de AVG een belangrijke stap voorwaarts is in het beschermen en bevorderen van de privacyrechten van individuen.
Microsoft zet zich in voor haar eigen compliance met de AVG, evenals voor het leveren van een gamma van producten, functies, documentatie en middelen om onze klanten te ondersteunen bij het voldoen aan hun complianceverplichtingen onder de AVG. Hierna volgt een beschrijving van de contractuele verplichtingen van Microsoft ten aanzien van haar klanten met betrekking tot persoonsgegevens die zijn verzameld met behulp van enterprise software. (Voor software die is gelicentieerd via een Microsoft Commercial Licensing-programma, raadpleegt u de Bijlage Bescherming van persoonsgegevens voor Producten en Diensten van Microsoft (BBP) op http://aka.ms/dpa)
Doet Microsoft toezeggingen aan haar klanten met betrekking tot de AVG?
Ja. De AVG schrijft voor dat de verwerkingsverantwoordelijken (zoals organisaties en ontwikkelaars die gebruikmaken van de online diensten van Microsoft) alleen verwerkers (zoals Microsoft) gebruiken die namens de verwerkingsverantwoordelijken persoonsgegevens verwerken en voldoende garanties bieden om aan de belangrijkste eisen van de AVG te voldoen. Microsoft doet deze toezeggingen aan alle klanten van Microsoft Commerical Licensing-programma's in de BBP. Klanten van andere algemeen verkrijgbare enterprise software onder licentie van Microsoft of onze geaffilieerden genieten ook de voordelen van de AVG-verplichtingen van Microsoft, zoals beschreven in deze mededeling, voor zover de software persoonsgegevens verwerkt.
Waar vind ik de contractuele verplichtingen van Microsoft met betrekking tot de AVG?
U vindt de contractuele verplichtingen van Microsoft met betrekking tot de AVG (AVG-voorwaarden) in de bijlage bij de BBP getiteld "Voorwaarden van de Algemene Verordening Gegevensbescherming van de Europese Unie". Deze voorwaarden binden Microsoft aan de vereisten voor verwerkers in AVG Artikel 28 en andere relevante artikelen van de AVG.
Microsoft breidt de AVG-voorwaarden uit tot alle klanten van algemeen verkrijgbare enterprise softwareproducten die door ons of onze geaffilieerden in licentie zijn gegeven onder de licentievoorwaarden van Microsoft-software, met ingang van 25 mei 2018, ongeacht de toepasselijke versie van de enterprise software, voor zover Microsoft een verwerker of subverwerker is van persoonsgegevens in verband met dergelijke software, en zolang Microsoft de versie blijft aanbieden of ondersteunen. Meer informatie vindt u in het Microsoft Lifecyle-beleid op https://support.microsoft.com/lifecycle.
Voor alle duidelijkheid: voor beta- of voorbeeldsoftware, software die wezenlijk is gewijzigd, of software die door Microsoft of onze geaffilieerden in licentie is gegeven en die niet algemeen verkrijgbaar is voor het publiek of anderszins niet in licentie is gegeven onder de licentievoorwaarden van Microsoft-software, kunnen andere of minder belangrijke verplichtingen gelden. Sommige producten kunnen standaard telemetrie- of andere gegevens verzamelen en naar Microsoft sturen; productdocumentatie bevat informatie en instructies voor het uitschakelen of configureren van het op dergelijke wijze verzamelen van telemetriegegevens.
Wat zijn verplichtingen in de AVG-voorwaarden?
De AVG-voorwaarden van Microsoft weerspiegelen de verplichtingen die in Artikel 28 van de AVG van de verwerkers worden geëist. Artikel 28 vereist dat de verwerkers zich ertoe verbinden:
- alleen gebruik te maken van subverwerkers met toestemming van de verwerkingsverantwoordelijke en aansprakelijk te blijven voor subverwerkers;
- persoonsgegevens alleen te verwerken op instructie van de verwerkingsverantwoordelijke, inclusief betreffende doorgiften;
- ervoor te zorgen dat personen die persoonsgegevens verwerken, zich tot geheimhouding verplichten;
- passende technische en organisatorische maatregelen te implementeren om te zorgen voor een niveau van beveiliging van persoonsgegevens dat is afgestemd op het risico;
- de verwerkingsverantwoordelijke bij te staan in zijn verplichtingen om te reageren op verzoeken van betrokkenen om hun AVG-rechten uit te oefenen;
- te voldoen aan de AVG-vereisten betreffende het melden van inbreuken en het verlenen van ondersteuning bij inbreuken op persoonsgegevens;
- de verwerkingsverantwoordelijke bij te staan bij het uitvoeren van gegevensbeschermingseffectbeoordelingen en het overleg met de toezichthoudende autoriteiten;
- persoonsgegevens te wissen of terug te geven aan het einde van de dienstverlening; en
- de verwerkingsverantwoordelijke te ondersteunen met bewijzen van compliance met de AVG.