Center for sikkerhed og rettighedsadministration: Oplysninger om sikkerhed, beskyttelse af personlige oplysninger og kompatibilitet i forbindelse med Office 365 og Microsoft Dynamics CRM Online

Overholdelse af lovgivningen

Tilstræber Microsoft gennemsigtighed for at hjælpe kunderne med at overholde lovgivningen?

Ja. Vores kunder til Office 365 og Microsoft Dynamics CRM Online i hele verden er underlagt mange forskellige love og bestemmelser. Lovkravene i ét land eller én branche er muligvis ikke magen til de lovkrav, der gælder andre steder. Som global udbyder af skytjenester skal vi drive vores tjenester på grundlag af fælles praksisser og funktioner i forbindelse med drift på tværs af flere kunder og jurisdiktioner. For at hjælpe vores kunder med at overholde deres egne krav har vi opbygget vores tjenester med almindelige krav til beskyttelse af personlige oplysninger og sikkerhed for øje, og vores indbyggede funktioner er med til at sikre kompatibilitet med en lang række bestemmelser og krav om beskyttelse af personlige oplysninger.

I sidste ende er det dog op til vores kunder at vurdere vores tilbud i forhold til deres egne krav, så de kan afgøre, om vores tjenester gør det muligt for dem at opfylde deres lovkrav. Vi tilstræber at give vores kunder detaljerede oplysninger om vores skytjenester, så kunderne kan foretage deres egne lovmæssige vurderinger.

Oplysninger om certificeringer, der kan være en hjælp til overholdelse af lovgivningen, findes i afsnittet Sikkerhed, overvågning og certificeringer.

Overholder Office 365 og Microsoft Dynamics CRM Online mine lovmæssige forpligtelser?

Du er ansvarlig for at overholde dine lovmæssige forpligtelser. Vi leverer oplysninger som en hjælp dertil.

Vi tilstræber at overholde de generelle love om databeskyttelse og beskyttelse af personlige oplysninger, som gælder for it-tjenesteudbydere. Hvis du er underlagt krav, der er relateret til en branche eller jurisdiktion, skal du foretage din egen vurdering af, om du opfylder dine lovmæssige forpligtelser, men kunder i mange brancher og geografiske områder har fundet ud af, at de kan anvende Office 365 og Microsoft Dynamics CRM Online på en måde, der ligger inden for gældende bestemmelser, forudsat at de anvender tjenesterne på en måde, der passer til deres bestemte forhold.

Organisationer, der er omfattet af EU's direktiv om databeskyttelse, skal f.eks. have indført egne politikker, sikkerheds- og undervisningsprogrammer for at sikre, at medarbejderne ikke anvender Office 365- eller Microsoft Dynamics CRM Online-tjenester i strid med direktivet. Fra Office 365 og Microsoft Dynamics CRM Online overholder vi vores del ved at leve op til de kontraktmæssige løfter, vi har givet, for derigennem at hjælpe dig med fortsat at overholde lovgivningen.

En kunde fra EU kan f.eks. gemme en kundeliste, der omfatter kontaktoplysninger. Office 365 og Microsoft Dynamics CRM Online harindført sikkerhedsprocedurer for at sikre, at Microsoft-medarbejdere ikke får adgang til eller videregiver disse oplysninger på en uhensigtsmæssig måde. En af kundens medarbejdere, som bruger Microsoft Exchange Online, kan imidlertid muligvis bruge tjenesten til at sende den pågældende kundeliste til en udbyder uden forudgående samtykke. Enhver overtrædelse af kravene fra EU om databeskyttelse, som skyldes, at Office 365 og Microsoft Dynamics CRM Online har fulgt kundens anvisning – dvs. har forårsaget, at der blev sendt en e-mail som led i den almindelige levering af tjenester – er kundens ansvar.

Er det lovligt for mig at bruge Office 365 og Microsoft Dynamics CRM Online, hvis jeg befinder mig i EU?

I henhold til EU's direktiv om databeskyttelse og vores kontrakt agerer Office 365 og Microsoft Dynamics CRM Online som forvalter af dine data, faktisk som en underleverandør (i lovgivningen kaldes vi for "databehandler").

Du, kunden, har ejerskab til dataene og ansvaret i henhold til loven for at sikre, at vi følger reglerne, og at det er lovligt for dig at sende personlige oplysninger til os (i lovgivningen kaldes du for "dataansvarlig"). Du skal beslutte, om du kan bruge vores tjenester til at behandle og gemme dine personlige oplysninger i din virksomhed og i din særlige situation.

Der er taget højde for kravene i EU's direktiv om databeskyttelse i udviklingen og driften af vores tjenester til normal brug. Desuden overvåger vi løbende dette område for at holde os opdateret om eventuelle ændringer, der er relevante for videreudviklingen af tjenesterne.

Microsoft er også selvcertificeret i henhold til U.S.–EU Safe Harbor-programmet og det næsten identiske U.S.–Switzerland Safe Harbor-program som aftalt med henholdsvis det amerikanske handelsministerium og Schweiz. Vi er derfor forpligtet til at overholde kravene i EU's direktiv om databeskyttelse, og vi kan lovligt overføre data uden for EU for at levere Office 365- og Microsoft Dynamics CRM Online-tjenester. Microsofts Safe Harbor-certificering kan findes på http://safeharbor.export.gov/. Vi har fuld forståelse for, at nogle kunder har behov for sikkerhed, som er mere omfattende, end hvad Safe Harbor-selvcertificeringen kan levere, og vi er derfor parat til at underskrive EU-modelklausulerne (også kaldet "Standardkontraktklausulerne”) med alle kunder. Du finder flere oplysninger om overførsel af data uden for EU i afsnittet om datakort i Center for sikkerhed og rettighedsadministration.

I nogle lande overholder vi også sikkerhedskravene for lagring af følsomme personlige oplysninger i henhold til lovgivningen. Hvis du har betænkninger på grund af reglerne i dit land, eller på grund af den type data, du gemmer, eller hvis du vil have flere oplysninger om praksis og de understøttede funktioner i Office 365 eller Microsoft Dynamics CRM Online, kan du kontakte support, hvis du ikke kan finde oplysningerne i dokumentationen til tjenesten. I det omfang det ikke svækker sikkerheden at videregive nyttige oplysninger, gør vi det som en hjælp til dig til at tage din egen beslutning om, hvorvidt det er acceptabelt at implementere Office 365 eller Microsoft Dynamics CRM Online i forhold til dine krav.

Du bør læse de ofte stillede spørgsmål om overholdelse af lovgivningen og forstå, at blot fordi Office 365 og Microsoft Dynamics CRM Online understøtter din organisations overholdelse af lovgivningen om beskyttelse af personlige oplysninger, betyder det ikke, at din organisation reelt overholder den. Der kan være flere trin, der skal implementeres, f.eks. etablering af korrekte virksomhedspolitikker og uddannelse af medarbejdere inden for god praksis til beskyttelse af personlige oplysninger. Afhængigt af dit land kan der være yderligere trin, du skal udføre, for at overholde lokal lovgivning, f.eks. at registrere oplysningerne hos dit lands datatilsyn.

Registreres kundedata, der behandles af Office 365 eller Microsoft Dynamics CRM Online, hos EU-myndighederne?

Nej, som databehandler registrerer Office 365 og Microsoft Dynamics CRM Online ikke de kundedata, der behandles på vegne af deres kunder, hos EU-myndighederne.

Overholder Office 365 og Microsoft Dynamics CRM Online kravene i HIPAA (Health Insurance Portability and Accountability Act)? Vil Microsoft underskrive en HIPAA BAA-aftale (Business Associate Agreement –erhvervspartneraftale (BAA))?

Vi hjælper vores kunder med at overholde HIPAA og er parat til at underskrive en HIPAA BAA-aftale med alle kunder. Du finder flere oplysninger under Ofte stillede spørgsmål om HIPAA/HITECH.

Overholder Office 365 eller Microsoft Dynamics CRM Online GLBA-loven (Gramm Leach Bliley Act)?

Office 365 og Microsoft Dynamics CRM Online hjælper kunderne med at overholde sikkerhedskravene i GLBA ved at iværksætte tekniske og organisatoriske sikkerhedsforanstaltninger for at hjælpe kunderne med at opretholde sikkerheden og forhindre uautoriseret anvendelse.

Microsoft kan efter anmodning udlevere en oversigtsrapport over certificering af tredjepart fra en uafhængig revisor til kunder.

Overholder Office 365 eller Microsoft Dynamics CRM Online PCI DSS-standarden (Payment Card Industry Data Security Standard)? Kan jeg hoste kreditkortdata på tjenesten?

Office 365 og Microsoft Dynamics CRM Online understøtter ikke behandling, overførsel eller lagring af data, der er underlagt PCI, f.eks. kreditkortnumre.

PCI-standarden gælder ikke for Office 365 eller Microsoft Dynamics CRM Online, da behandling af kreditkort og datalagring ikke er en funktion, der tilbydes af Office 365 eller Microsoft Dynamics CRM Online. Office 365 og Microsoft Dynamics CRM Online anvender gældende sikkerhedspolitikker og -kontroller som defineret i de bedste praksisser for branchen, f.eks. ISO 27001 og andre.

Bemærk dog, at Office 365- og Microsoft Dynamics CRM Online-systemer til bestilling, fakturering og betaling, der håndterer kreditkortoplysninger, overholder Level One i PCI-standarden, og kunderne kan trygt bruge kreditkort til at betale for tjenesterne.

Overholder Office 365 FERPA?

En uddannelsesinstitution har mange forskelligartede forpligtelser ifølge FERPA, men Microsoft stipulerer de centrale kontraktmæssige vilkår, der styrer brug og videregivelse af uddannelsesoptegnelser, som kan gemmes i Office 365, og giver uddannelsesinstitutioner mulighed for at bruge Office 365 som del af en bredere FERPA-kompatibilitetsstrategi.

FERPA kræver, at enhver form for uddannelsesinstitution, der modtager midler fra det amerikanske undervisningsministerium, skal beskytte elevers og studerendes personlige oplysninger ved at sikre "uddannelsesoptegnelser" mod at blive brugt eller videregivet uden samtykke. Ifølge vejledningen fra undervisningsministeriet anses e-mailkommunikation for at være uddannelsesoptegnelser, der er underlagt FERPA, og udbydere af e-mail i skyen skal være tilsvarende begrænset af, hvordan de bruger eller videregiver e-mail og dokumenter.