Nieuwe stappen om je data te beschermen

 |   Julie Brill - Corporate Vice President for Global Privacy and Regulatory Affairs en Chief Privacy Officer

Data on a screen

Onze klanten in de publieke sector en onze zakelijke klanten voeren regelmatig dataoverdrachten uit tussen landen, regio’s en werelddelen. Microsoft kondigt daarom nu nieuwe beschermingsmaatregelen aan voor de publieke sector en bedrijven die hun dataoverdrachten vanuit de Europese Unie uitvoeren. Microsoft voegt daar ook de contractuele verplichting aan toe dat we dataverzoeken van de overheid aanvechten en een financiële verplichting waarmee we onze overtuiging nog eens onderstrepen. Microsoft is het eerste bedrijf dat deze verplichtingen aanbiedt in reactie op de vorige week gepubliceerde duidelijke richtlijnen van regelgevende instanties voor databescherming in de Europese Unie.

 

Onze klanten voeren dagelijks dataoverdrachten uit via hun wereldwijde netwerken om hun klanten te bedienen, om te werken met leveranciers en partners en om de salarissen van hun wereldwijde personeel te beheren. Deze grensoverschrijdende dataoverdrachten zijn onderwerp van recent gevoerde processen en regelgeving zoals een uitspraak eerder dit jaar van het Hof van Justitie van de Europese Unie en conceptaanbevelingen eerder deze maand door het Europees Comité voor gegevensbescherming (EDPB) over hoe bedrijven kunnen voldoen aan deze uitspraak.

 

Met deze aankondiging is Microsoft het eerste bedrijf dat op de regelgeving van het EPDB reageert met nieuwe verplichtingen die onze overtuiging onderstrepen dat de data van onze klanten moet worden beschermd. Microsoft heeft al laten zien dat we krachtige beschermingsmaatregelen bieden voor de data van onze klanten, dat we transparant zijn over onze werkwijzen en dat we de data van onze klanten beschermen. De nieuwe stappen die we nu aankondigen gaan zelfs verder dan de regelgeving en conceptaanbevelingen van het EDPB. We hopen dan ook dat we onze klanten met deze stappen extra vertrouwen in de bescherming van hun data kunnen geven.

  • Microsoft verplicht zich er allereerst toe om elk verzoek om data te verkrijgen van de publieke sector of bedrijven (van elke overheid) aan te vechten indien daar een wettelijke basis voor is. Deze krachtige belofte gaat verder dan de voorgestelde aanbevelingen van het EDPB.
  • Microsoft verstrekt bovendien een financiële compensatie aan de gebruikers van die klanten indien wij hun data verstrekken in reactie op een overheidsverzoek dat in strijd met de AVG (Algemene verordening gegevensbescherming) van de EU. Deze belofte gaat ook verder dan de aanbevelingen van het EDPB. Hiermee bekrachtigt Microsoft dat wij de data van onze klanten in de publieke sector en onze zakelijke klanten beschermen en niet bloot zullen stellen aan ongepaste openbaarmaking.

Microsoft heeft deze beschermingsmaatregelen de titel Defending Your Data (Bescherming van je data) gegeven en we voegen deze per direct toe aan onze contracten met klanten uit de publieke sector en zakelijke klanten.

Deze maatregelen vormt een wezenlijke aanvulling op onze fundamentele privacybeloften en bouwt voort op de krachtige bescherming die Microsoft al biedt aan klanten.

  • We gebruiken krachtige versleuteling: voor klantdata gebruiken we een hoog versleutelingsniveau, zowel in transit als tijdens opslag. Versleuteling vormt een essentieel onderdeel van de conceptaanbevelingen van het EDPB. We verstrekken onze versleutelingssleutels of andere manieren om onze versleuteling te doorbreken niet aan overheden.
  • We komen op voor de rechten van klanten: we geven overheden geen directe, onbeperkte toegang tot klantdata. Als een overheid ons vraagt om klantdata, moet die overheid daarbij de juiste wettelijke procedures volgen. We voldoen alleen aan verzoeken wanneer we daartoe duidelijk genoodzaakt zijn. We proberen dergelijke verzoeken altijd eerst door te sturen naar klanten of we brengen hen daarvan op de hoogte. We zullen dergelijke verzoeken ook stelselmatig weigeren of aanvechten wanneer we van mening zijn dat deze niet rechtmatig zijn.
  • We zijn transparant: we publiceren al jarenlang informatie over de overheidsverzoeken om klantdata te verkrijgen. We hebben een rechtszaak tegen de Amerikaanse regering aangespannen voor toestemming om meer informatie te verstrekken over de door ons ontvangen bevelen in het kader van de staatsveiligheid waarmee wordt verzocht om klantdata. Het resultaat daarvan is een schikking waarmee Microsoft die toestemming heeft gekregen. Het resultaat is dat we twee keer per jaar meer gedetailleerde informatie over deze bevelen openbaar maken aan al onze bedrijfstakken (consumenten, bedrijven en publieke sector), in aanvulling op ons reguliere Rapport met wetshandhavingsverzoeken. 
  • Microsoft heeft een uitstekende reputatie als het gaat om succesvolle rechtszaken: Microsoft heeft meer ervaring dan enig ander bedrijf in het voeren van rechtszaken waarmee de grenzen van overheidsverzoeken worden vastgelegd. We hebben zelfs een rechtszaak aangespannen tegen het Amerikaanse hooggerechtshof. Onze inspanningen leiden tot meer transparantie en betere bescherming voor onze klanten. De belofte dat we bevelen voor datatoegang aanvechten, leidt niet automatisch tot succes, maar tot nu toe heeft Microsoft een aanzienlijk succespercentage.

Een deel van de publieke discussie over de invloed van dataverzoeken van de Amerikaanse regering is gericht op bedrijven die hun hoofdkantoor in de VS hebben. Maar het is duidelijk dat de Amerikaanse wetten voor overheidstoegang tot data ook van toepassing zijn op bedrijven die zaken doen in de VS, zelfs als hun hoofdkantoor zich in Europa of elders in de wereld bevindt.

 

Privacy is een basiswaarde voor Microsoft omdat we van mening zijn dat mensen alleen technologie gebruiken waar zij vertrouwen in hebben. Daarom werkten wij als eerste cloudprovider met Europese databeschermingsinstanties samen aan modelclausules, gebruikten wij als eerste nieuwe technische standaarden voor cloudprivacy en is Microsoft al een fervent voorstander van de AVG sinds het eerste voorstel in 2012. We hebben de basisrechten van de AVG uitgebreid naar alle consumenten in de hele wereld en we hebben de basisrechten van de California Consumer Privacy Act toegepast voor al onze klanten in de Verenigde Staten. Daarnaast is Microsoft gestart met het initiatief Tech Fit for Europe waarmee we digitale oplossingen ontwikkelen op basis van Europese waarden en regels.

We hopen dat we onze zakelijke klanten en onze klanten uit de publieke sector er van hebben overtuigd dat we met onze aangekondigde stappen verder gaan dan de wettelijk verplichting om hun data en die van hun gebruikers te beschermen.

 

Meer informatie over onze privacybeloften vind je hier