Amendement ID CTM CTM Amendement 2 Overweging
Amendement
ID CTM
CTM Amendement 2
Overweging
De Klant en Microsoft zijn een Microsoft Business and Services Agreement (MBSA) aangegaan met een ingangsdatum van 1 februari 2019, met referentie Framework-VNG (CTM Amendement 1), die gebaseerd was op een centrale raamwerkovereenkomst met de Staat der Nederlanden. In navolging van nadere afspraken gemaakt met de Staat der Nederlanden en aangezien Microsoft de Voorwaarden voor Online Diensten op een aantal onderdelen heeft gewijzigd, komen Microsoft en de Klant overeen om een aantal afspraken toe te voegen, zoals beschreven in dit amendement (CTM Amendement 2).
Amendement
De MBSA, CTM Amendement 1, de Enterprise Overeenkomst en de Voorwaarden voor Online Diensten van november 2019 en mogelijke toekomstige Voorwaarden voor Online Diensten (gezamenlijk gedefinieerd als Overeenkomst) worden hierbij als volgt gewijzigd.
Indien Microsoft de Productvoorwaarden of Gebruiksrechten voor de Online Diensten, waarvoor de Gelieerde Ondernemingen een abonnement hebben op de ingangsdatum van CTM Amendement 2, wijzigt dan zal iedere bepaling in zulke gewijzigde Productvoorwaarden of Gebruiksrechten die strijdig is met CTM Amendement 2 buiten toepassing blijven.
In het geval van strijd tussen de bepalingen van CTM Amendement 2 en de voorwaarden van de MBSA, Enterprise Overeenkomst, eventuele Enrollments, de Productvoorwaarden, de Voorwaarden voor Online Diensten, bestellingen die in het kader van een van deze voorwaarden of overeenkomsten zijn geplaatst, eventuele overige documenten in deze voorwaarden of overeenkomsten en eventuele andere toepasselijke voorwaarden of overeenkomsten tussen Microsoft en de Klant en iedere Gelieerde Onderneming, zullen de bepalingen van CTM Amendement 2 prevaleren.
Microsoft en de Klant (en al haar Gelieerde Ondernemingen) kunnen niet afwijken van de bepalingen van CTM Amendement 2, tenzij dit expliciet is overeengekomen in een opvolgend amendement dat expliciet verwijst naar de afwijking van de relevante bepalingen van CTM Amendement 2.
De ingangsdatum van dit CTM Amendement 2 is 1 mei 2019.
Dit CTM Amendement 2 is standaard van toepassing op nieuwe Enrollments of Enrollments die worden verlengd en waar deze MBSA op van toepassing is verklaard na de ingangsdatum van CTM Amendement 2. Voor bestaande Enrollments waarop deze MBSA van toepassing is vóór de ingangsdatum van CTM Amendement 2, kan de Geregistreerde Gelieerde Onderneming door een afzonderlijk amendement te tekenen er voor kiezen dit CTM Amendement 2 van toepassing te verklaren voor de looptijd van het Enrollment. Voor bestaande Enrollments waarop deze MBSA nog niet van toepassing is op de ingangsdatum van CTM Amendement 2 of daarna, kan de Geregistreerde Gelieerde Onderneming er voor kiezen de MBSA, zoals gewijzigd door CTM Amendement 1 en CTM Amendement 2, van toepassing te verklaren door een afzonderlijk “remaster” amendement te tekenen.
Bijlage 1: Instructies en beperkingen voor gegevensverwerking
Definities
De met hoofdletters gebruikte woorden die niet zijn gedefinieerd in dit CTM Amendement 2 hebben dezelfde betekenis als in de MBSA. Niet met hoofdletters gebruikte woorden die niet zijn gedefinieerd in dit CTM Amendement 2, zoals “inbreuk in verband met persoonsgegevens”, “verwerking”, “verwerkingsverantwoordelijke”, “verwerker”, “profilering”, “persoonsgegevens”, en “betrokkene” hebben dezelfde betekenis als vastgesteld in artikel 4 van de AVG.
Het onderdeel “Definities” van de Voorwaarden voor Online Diensten wordt gewijzigd door toevoeging van het volgende aan het eind van dit onderdeel:
“Gebruiker van de Klant” betekent een gebruiker van een Online Dienst die een werknemer, een overheidsambtenaar, onderaannemer ter plekke of agent ter plekke is waaraan de Klant of één van haar Gelieerde Ondernemingen een licentie heeft verstrekt voor het gebruik van een Online Dienst.
“Diagnostische Gegevens” zijn gegevens, inclusief telemetrische gegevens, verzameld of verkregen door Microsoft van lokaal geïnstalleerde software.
“Systeem Gegenereerde Gegevens” zijn gegevens gegenereerd door Microsoft door de werking van een Online Dienst.
Microsoft stemt ermee in en komt overeen dat Gegevens van de Klant, Ondersteuningsgegevens, Diagnostische Gegevens, Systeem Gegenereerde Gegevens, functionele gegevens en andere gegevens Persoonsgegevens kunnen bevatten.”
Verwerking van Gegevens van de Klant
De zinnen “Gegevens van de Klant worden alleen gebruikt of anderszins verwerkt om de Klant de Online Diensten te leveren, met inbegrip van doeleinden die in overeenstemming zijn met het leveren van die diensten. Microsoft zal geen Gegevens van de Klant gebruiken of anderszins verwerken of hier informatie van afleiden voor enige reclame of soortgelijke commerciële doeleinden. Tussen partijen behoudt de Klant alle rechten, eigendom en belangen met betrekking tot de Gegevens van de Klant. Microsoft verkrijgt geen rechten met betrekking tot de Gegevens van de Klant, anders dan de rechten die de Klant Microsoft verleent om de Online Dienst aan de Klant te leveren.” in de paragraaf getiteld “Verwerking van Gegevens van de Klant; eigendom” in het onderdeel “Bepalingen inzake de bescherming van persoonsgegevens” van de Voorwaarden voor Online Diensten worden als volgt in zijn geheel vervangen:
“Geautoriseerde doelen
De Klant instrueert Microsoft om Gegevens van de Klant (inclusief Persoonsgegevens daarin), inclusief, ter voorkoming van misverstanden, Persoonsgegevens die aan Microsoft worden verstrekt door of namens de Klant of Gebruikers van de Klant of andere betrokkenen door het gebruik van een Online Dienst, samen met Persoonsgegevens verzameld of gegenereerd door Microsoft in verband met het gebruik door de Klant of Gebruikers van de Klant van een Online Dienst, slechts in zover dit proportioneel is, te verwerken voor de volgende toegestane doeleinden:
Uitvoeren (het leveren en verbeteren van de Online Diensten, identificeren en mitigeren van afwijkingen, “bugs”, en andere problemen met Online Diensten door middel van het leveren van aanpassingen van de Online Diensten)
Onverminderd (a) hierboven, Beveiliging (identificeren en mitigeren van beveiligingsdreigingen en risico’s)
Onverminderd (a) hierboven, Actueel (leveren en installeren van de laatste updates van de Online Diensten)
Microsoft verantwoordelijkheden
Ten aanzien van Gegevens van de Klant (inclusief Persoonsgegevens daarin), inclusief, ter voorkoming van misverstanden, Persoonsgegevens die aan Microsoft worden verstrekt door of namens de Klant of Gebruikers van de Klant of andere betrokkenen door het gebruik van een Online Dienst, samen met Persoonsgegevens verzameld of gegenereerd door Microsoft in verband met het gebruik door de Klant of Gebruikers van de Klant van een Online Dienst, geldt dat Microsoft deze gegevens in de Online Diensten die door Microsoft als verwerker worden aangeboden, niet zal verwerken voor de volgende doeleinden:
data analytics,
profilering (inclusief, maar niet beperkt tot het creëren van psychometrische, psychografische of andere gebruikersprofielen),
adverteren (inclusief gerichte aanbevelingen op het scherm voor producten of diensten, aangeboden door Microsoft, maar niet gelicentieerd of gebruikt door de Klant) of een vergelijkbaar commercieel doel, of
marktonderzoek gericht op het creëren van nieuwe functionaliteiten, diensten of producten of enig ander doel;
tenzij dit is toegestaan op basis van de gedocumenteerde instructies van de Klant.
Het bovenstaande weerhoudt Microsoft er niet van om haar legitieme bedrijfsvoering uit te voeren, voor zover dit niet verder gaat dan:
factureren en voorbereiden van facturen,
account management,
vergoedingen,
financiële rapportages in overeenstemming met juridische verplichtingen en verplichtingen voortvloeiend uit de beursnotering,
omzetstatistieken, prijsbepaling, evalueren van het gebruik van de Online Diensten, plannen van de bedrijfsvoering inclusief structurering van de bedrijfsvoering en merkvoering, productstrategie, interne managementrapportages en capaciteitsmodellen en prognoses,
verbeteren van de kernfunctionaliteit van toegankelijkheid, privacy of energie-efficiëntie,
bestrijden van fraude, cybercriminaliteit en cyberaanvallen die mogelijk van invloed zijn op een Microsoft product of dienst, niet bestaande uit het discretionair scannen van de inhoud van Gegevens van de Klant of het richten tot Gebruikers van de Klant zonder voorgaande mededeling aan de Klant, of
voldoen aan de juridische verplichtingen van Microsoft, met inachtneming van de paragraaf getiteld “Bekendmaking van Gegevens van de Klant” uit het onderdeel “Bepalingen inzake de bescherming van persoonsgegevens” van de Voorwaarden voor Online Diensten en de vertrouwelijkheidsverplichtingen die zijn opgenomen in de MBSA.
met dien verstande dat Microsoft geen Gegevens van de Klant (inclusief Persoonsgegevens daarin), inclusief, ter voorkoming van misverstanden, Persoonsgegevens die aan Microsoft worden verstrekt door of namens de Klant of Gebruikers van de Klant of andere betrokkenen door het gebruik van een Online Dienst, samen met Persoonsgegevens verzameld of gegenereerd door Microsoft in verband met het gebruik door de Klant of Gebruikers van de Klant van een Online Dienst, zal verwerken voor de volgende doeleinden:
profilering (inclusief, maar niet beperkt tot het creëren van psychometrische, psychografische of andere gebruikersprofielen); of
adverteren (inclusief gerichte aanbevelingen op het scherm voor producten of diensten, aangeboden door Microsoft, maar niet gelicentieerd of gebruikt door de Klant) of een vergelijkbaar commercieel doel.
Ter voorkoming van misverstanden, gegevens die zijn verstrekt, gepseudonimiseerd of gedeïdentificeerd, maar niet geanonimiseerd als onderdeel van Microsoft’s legitieme bedrijfsvoering, of Persoonsgegevens afgeleid van Persoonsgegevens als onderdeel van Microsoft’s legitieme bedrijfsvoering, mogen niet worden gebruikt of verder gebruikt voor andere doeleinden.
Microsoft staat ervoor in dat zij, wanneer zij Persoonsgegevens anonimiseert:
voldoet aan toepasselijke wetten met betrekking tot gegevensbescherming en richtsnoeren van toezichthouders met betrekking tot anonimiseren, in het bijzonder met WP29 Opinie 05/2014 over Anonimiseringstechnieken (WP216); en
ervoor zal zorgen dat geanonimiseerde gegevens niet meer direct of indirect kunnen leiden tot de identificatie of re-identificatie van een betrokkene.
Bij de verwerking van geanonimiseerde gegevens :
is het Microsoft verboden om betrokkenen te re-identificeren;
is het Microsoft verboden om de geanonimiseerde gegevens te gebruiken om een maatregel of beslissing met betrekking tot specifieke betrokkenen te nemen; en
zal Microsoft de Klant onverwijld in kennis stellen in het geval Microsoft ontdekt dat betrokkenen kunnen worden of zijn gere-identificeerd.
Microsoft zal een onderzoek doen naar de risico’s in verband met de re-identificatie van betrokkenen. Een onderzoek kan betrekking hebben op meerdere vergelijkbare verwerkingen met vergelijkbare risico’s.
Voor zover
Microsoft gegevens verzamelt of genereert die geen Gegevens van de
Klant (inclusief Persoonsgegevens daarin) noch Persoonsgegevens
zijn, maar wel die wel herleidbaar zijn naar Klant, dan is het
gebruik van deze gegevens door Microsoft onderworpen aan de
paragraaf getiteld “Bekendmaking van Gegevens van de Klant” in
het onderdeel “Bepalingen inzake de bescherming van
persoonsgegevens” van de Voorwaarden voor Online Diensten en de
vertrouwelijkheidsverplichtingen die zijn opgenomen in de
Overeenkomst.
Met betrekking tot dit onderdeel en ter voorkoming van misverstanden omvat het “verwerken” van gegevens: het verstrekken, pseudonomiseren, de-identificeren of het anonimiseren van zulke gegevens, het verwerken of verder verwerken van zulke gegevens op iedere andere wijze, het samenvoegen van zulke gegevens met andere gegevens, of het afleiden van gegevens of informatie uit zulke gegevens.”
Gedocumenteerde instructies
De zin “Microsoft verwerkt Persoonsgegevens uitsluitend op gedocumenteerde instructie van de Klant” in de subparagraaf “Rollen en verantwoordelijkheden van de verwerker en de verwerkingsverantwoordelijke” in de paragraaf “Verwerking van persoonsgegevens; AVG” van het onderdeel “Bepalingen inzake de bescherming van persoonsgegevens” van de Voorwaarden voor Online Diensten wordt in zijn geheel vervangen door het volgende:
“Tenzij Microsoft een verwerkingsverantwoordelijke is, zal Microsoft Gegevens van de Klant en Persoonsgegevens slechts verwerken op gedocumenteerde instructies van de Klant”
Toepasselijke Voorwaarden voor Online Diensten en Updates
De paragraaf getiteld “Toepasselijke Voorwaarden voor Online Diensten en Updates” in het onderdeel “Inleiding” van de Voorwaarden voor Online Diensten wordt in zijn geheel vervangen door het volgende:
“Toepasselijke Voorwaarden voor Online Diensten en Updates
Wanneer de Klant een abonnement op een Online Dienst verlengt of een nieuw abonnement aanschaft, zijn de Voorwaarden voor Online Diensten die op dat moment van kracht zijn van toepassing en deze veranderen niet gedurende de loop van het abonnement van de Klant op de desbetreffende Online Dienst. Wanneer Microsoft functies, aanvullingen of verwante software introduceert die nieuw zijn (bijvoorbeeld die niet voorheen bij het abonnement waren geleverd), kan Microsoft voorwaarden leveren of de Voorwaarden voor Online Diensten aanpassen die betrekking hebben op het gebruik van deze functies, aanvullingen of verwante software van de Klant. De bepalingen van deze Voorwaarden voor Online Diensten treden in de plaats van hiermee strijdige bepalingen uit de Microsoft-privacyverklaring die anders van toepassing zouden kunnen zijn op de verwerking van Gegevens van de Klant, Persoonsgegevens, of Ondersteuningsgegevens zoals hierin gedefinieerd.”
Verantwoordelijkheden van de Klant
De subparagraaf getiteld “Verantwoordelijkheden van de Klant” in de paragraaf “Gegevensbeveiliging” in het onderdeel “Bepalingen inzake de bescherming van persoonsgegevens” van de Voorwaarden voor Online Diensten wordt in zijn geheel vervangen door het volgende:
“Verantwoordelijkheden van de Klant
De Klant is geheel zelf verantwoordelijk voor de onafhankelijke vaststelling of de technische en organisatorische maatregelen voor een Online Dienst voldoen aan de vereisten van de Klant, met inbegrip van de veiligheidsverplichtingen op grond van de AVG of andere toepasselijke wetten en voorschriften inzake de bescherming van persoonsgegevens. Microsoft is verantwoordelijk voor het implementeren, onderhouden en het opvolgen van passende technische en organisatorische maatregelen met als doel de bescherming van de Gegevens van de Klant tegen onopzettelijke, ongeautoriseerde of onwettige toegang, bekendmaking, verlies, wijziging of vernietiging. De Klant is verantwoordelijk voor de implementatie en het behoud van de privacybescherming en de veiligheidsmaatregelen voor componenten die klant levert of beheert (zoals apparaten die zijn geregistreerd met Microsoft Intune of binnen een virtuele Microsoft Azure-machine of -toepassing van de klant).”
Installatie en Gebruiksrechten
De subparagraaf getiteld “Installatie en Gebruiksrechten” in de paragraaf “Office 365-toepassingen” in het onderdeel “Specifieke voorwaarden voor Online Diensten” van de Voorwaarden voor Online Diensten wordt in zijn geheel vervangen door het volgende:
“Installatie en Gebruiksrechten
Elke gebruiker waaraan de Klant een Gebruikers-SL toewijst, dient te beschikken over een werk- of schoolaccount om de software die bij het abonnement wordt geleverd te kunnen gebruiken. Deze gebruikers:
mogen de software die bij de SL worden geleverd activeren op ten hoogste vijf OSE's voor lokaal of extern gebruik;
mag de software ook installeren en gebruiken, met Shared Computer Activation, op een gedeeld apparaat, een Netwerkserver of op gedeelde servers op Microsoft Azure of bij een Qualified Multitenant Hosting-partner. Een lijst van Qualified Multitenant Hosting-partners en aanvullende implementatievereisten zijn te vinden op xxx.xxxxxx.xxx/xxx. Deze voorziening voor Shared Computer Activation geldt niet voor Klanten met licenties voor Office 365 Business; en
moet met elk apparaat waarop de gebruiker de software heeft geïnstalleerd ten minste eenmaal per 30 dagen een verbinding met internet maken. Dit nalaten kan gevolgen hebben voor de functionaliteit van de software.
mogen gebruikmaken van Online Diensten met internetverbinding als onderdeel van ProPlus. Verder kunnen gebruikers, indien toegestaan door de Klant, ervoor kiezen gebruik te maken van online diensten die zijn onderworpen aan andere gebruiksvoorwaarden dan deze Voorwaarden van Online Diensten en waarvoor Microsoft fungeert als verwerkingsverantwoordelijke (dergelijke Online Diensten met internetverbinding zijn de “Controller Connected Services”), zoals aangegeven in de productdocumentatie.
De Klant heeft de mogelijkheid en verantwoordelijkheid voor het in- of uitschakelen van de Controller Connected Services.
Op de ingangsdatum van dit CTM Amendement 2 is Microsoft de enige verwerkingsverantwoordelijke met betrekking tot de volgende Controller Connected Services:
-
3D Maps
Help > Contact Support
Map Charts
Help > Suggest a Feature
Insert Online Pictures
Insert online video
Insert Online 3D Models
Microsoft Error Reporting Program (MERP)
PowerPoint QuickStarter
Office Store
Researcher
Research
Smart Lookup
Weather Bar in Outlook
Resume Assistant
Controller Connected Services: De gezaghebbende documentatie van Microsoft is hier gepubliceerd: xxxxx://xxxx.xxxxxxxxx.xxx/xx-xx/xxxxxxxxxxxx/xxxxxxx/xxxxxxxx-xxxxxxxxx-xxxxxxxxxxx.
Deze documentatie wordt gewijzigd als de status van de beschikbare ervaringen wijzigt.”
Modelcontractbepalingen - Definities
De definitie van “Modelcontractbepalingen” in de sectie van de Voorwaarden voor Online Diensten getiteld “Definities” wordt in zijn geheel vervangen door:
““Modelcontractbepalingen” betekent de modelbepalingen voor de bescherming van persoonsgegevens die betrekking hebben op de doorgifte van persoonsgegevens aan verwerkers gevestigd in derde landen die geen passende waarborgen bieden, zoals beschreven in artikel 46 van de AVG en goedgekeurd door het Europese Commissie besluit 2010/87/EU van 5 februari 2010. De Modelcontractbepalingen staan in Bijlage 3.”
Modelcontractbepalingen
De eerste paragraaf van het onderdeel van de Voorwaarden voor Online Diensten getiteld “Inleiding” wordt gewijzigd door toevoeging van het volgende:
“Met betrekking tot Gegevens van de Klant, in het geval van een strijdigheid tussen de bepalingen van de Modelcontractbepalingen en de bepaling van de Overeenkomst (inclusief Voorwaarden voor Online Diensten, bestellingen), eventuele Enrollments en Productvoorwaarden die in het kader van een van deze voorwaarden of overeenkomsten zijn geplaatst, eventuele overige documenten in deze voorwaarden of overeenkomsten en eventuele andere toepasselijke voorwaarden of overeenkomsten tussen Microsoft en de Klant, zullen de bepalingen van de Modelcontractbepalingen prevaleren.”
Subverwerkers
De zinnen in de paragraaf getiteld “Kennisgeving en maatregelen betreffende het gebruik van Subverwerkers” in het onderdeel “Bepalingen inzake de bescherming van persoonsgegevens” van de Voorwaarden voor Online Diensten
“Zo nu en dan kan Microsoft nieuwe Subverwerkers inschakelen. Microsoft zal ten minste 14 dagen voordat een nieuwe Subverwerker toegang wordt verleend tot de Gegevens van de Klant of Persoonsgegevens de Klant in kennis stellen van eventuele nieuwe Subverwerkers (door de website bij te werken en de Klant te voorzien van een mechanisme om op de hoogte te worden gesteld van deze wijziging). In het geval van Core Online Diensten zal Microsoft echter ten minste 6 maanden voordat een nieuwe Subverwerker toegang wordt verleend tot de Gegevens van de Klant of Persoonsgegevens de Klant in kennis stellen van eventuele nieuwe Subverwerkers (door de website bij te werken en de Klant te voorzien van een mechanisme om op de hoogte te worden gesteld van deze wijziging).”
worden in zijn geheel vervangen door het volgende:
“Zo nu en dan kan Microsoft nieuwe Subverwerkers inschakelen. Microsoft zal ten minste 14 dagen voordat een nieuwe Subverwerker de mogelijkheid wordt verleend tot het verwerken van Gegevens van de Klant of Persoonsgegevens de Klant in kennis stellen van eventuele nieuwe Subverwerkers (door de website bij te werken en de Klant te voorzien van een mechanisme om op de hoogte te worden gesteld van deze wijziging). In het geval van Core Online Diensten zal Microsoft echter ten minste 6 maanden voordat een nieuwe Subverwerker toegang wordt verleend tot de Gegevens van de Klant of Persoonsgegevens de Klant in kennis stellen van eventuele nieuwe Subverwerkers (door de website bij te werken en de Klant te voorzien van een mechanisme om op de hoogte te worden gesteld van deze wijziging).”
Opschorting
Het volgende wordt toegevoegd aan artikellid 5(c) van de Enterprise Overeenkomst:
“Dit artikellid 5(c) is ook van toepassing indien Microsoft voornemens is een Online Dienst op te schorten wegens niet-nakoming”
Gebruiksregels
Microsoft bevestigt dat de zin “Schending van de voorwaarden in deze bepaling kan leiden tot opschorting van de Online Dienst.” alleen van toepassing is op de tekst onder het kopje “Gebruiksregels”.
Gegevensbewaring
Het volgende wordt toegevoegd aan de paragraaf getiteld “Bewaring en verwijdering van gegevens” van het onderdeel “Bepalingen inzake de bescherming van persoonsgegevens” van de Voorwaarden voor Online Diensten:
“Op de datum van uitvoering van CTM Amendement 2, is de maximum bewaartermijn voor diagnostische gegevens in Office 365 ProPlus 18 maanden vanaf de datum dat Microsoft de gegevens ontvangt.”
Toestemming
Artikel 4(a) van de MBSA wordt hierbij als volgt in zijn geheel vervangen:
“(a) Elke partij is verplicht om ervoor zorg te dragen dat de verstrekking van persoonlijke informatie of andere gegevens aan de andere partij in overeenstemming is met de privacywetgeving, gegevensbeschermingswetgeving en andere juridische bepalingen (bijvoorbeeld, contractuele) van toepassing op de respectieve partij, voordat zulke gegevens worden verstrekt aan de andere partij. Dit is inclusief toestemming van de Klant voor het verwerken van persoonlijke informatie door Microsoft en haar agenten om het onderwerp van deze overeenkomst mogelijk te maken, voor jurisdicties waarin dergelijke toestemming juridisch beschikbaar en vereist is.”
Toepasselijkheid op andere Producten en Professionele Diensten
Microsoft erkent dat de Klant kan vereisen dat de principes in dit CTM Amendement 2, waar relevant, ook worden toegepast op andere Producten en Professionele Diensten zodat de Klant deze producten en diensten kan blijven gebruiken of kan gaan gebruiken. Microsoft stemt er mee in om, onder voorbehoud van verdere analyse en overleg, dienovereenkomstig te onderzoeken om deze principes ook van toepassing te verklaren op andere Producten en Professionele Diensten.
Kennisgeving van beveiligingsincidenten
Bepaling 23 van CTM Amendement 1 (in verband met de Voorwaarden voor Online Diensten paragraaf getiteld “Kennisgeving van beveiligingsincidenten”) komt in zijn geheel te vervallen.
Bijlage 2: Gecentraliseerd auditraamwerk
Nalevingscontrole (audit)
Onderdeel 9 van CTM Amendement 1 (waarmee een nieuw artikellid getiteld “Controle en Recht op Instructie” wordt toegevoegd aan artikel 4 “Privacy en naleving van wetten” van de MBSA) komt hierbij te vervallen. De volgende zinnen uit de Voorwaarden voor Online Diensten worden hierbij verwijderd:
“Indien de Klant een overeenkomst met Microsoft is aangegaan waarin de Modelcontractbepalingen zijn opgenomen, of indien de AVG-voorwaarden van toepassing zijn, gaat de Klant ermee akkoord zijn controlerechten uit te oefenen door Microsoft op te dragen de controle uit te voeren zoals beschreven in dit gedeelte van de Voorwaarden voor Online Diensten. Indien de Klant deze instructie wenst te wijzigen, heeft de Klant het recht dat te doen zoals beschreven in de Modelcontractbepalingen en de AVG-voorwaarden. Deze wijziging dient schriftelijk te worden aangevraagd.”
De subparagraaf getiteld “Nalevingscontrole” in de paragraaf “Gegevensbeveiliging” in het onderdeel “Bepalingen inzake de bescherming van persoonsgegevens” van de Voorwaarden voor Online Diensten wordt gewijzigd door middel van toevoeging van het volgende:
“Recht op Nalevingscontrole voor Klant met betrekking tot Gegevens van de Klant en Persoonsgegevens
In het geval Klant haar recht op nalevingscontrole onder de Modelcontractbepalingen of de AVG wil uitoefenen dan zal Microsoft de systemen waarmee zij gegevens verwerkt, faciliteiten en ondersteunende documentatie die relevant zijn voor het verwerken van Gegevens van de Klant en Persoonsgegevens door Microsoft, haar Gelieerde Ondernemingen en Subverwerkers beschikbaar stellen voor nalevingscontrole door de Klant, voor zover inspectie van het voorgaande relevant is voor het doel van nalevingscontrole van de gegevensverwerking.
Voor het doel van de nalevingscontrole wijst de Klant hierbij één vertegenwoordiger aan, aangesteld door het Nederlandse Ministerie van Justitie en Veiligheid (de J&V Vertegenwoordiger), en stemt hij ermee in deel te nemen aan de nalevingscontrole die wordt uitgevoerd onder een centraal kader dat wordt beheerd via deze vertegenwoordiger (het Nederlandse Gecentraliseerde Nalevingscontrolekader).De nalevingscontrole zal altijd worden uitgevoerd door een gekwalificeerde, onafhankelijke derde auditor, geselecteerd en betaald door deze vertegenwoordiger van de Klant. Deze onafhankelijke derde auditor zal een marktconforme geheimhoudingsovereenkomst tekenen met Microsoft.
Het doel van de nalevingscontrole is vast te stellen of Microsoft de verplichtingen nakomt met betrekking tot de verwerking van Gegevens van de Klant en Persoonsgegevens onder de Modelcontractbepalingen, de AVG en de Voorwaarden voor Online Diensten, als gewijzigd, met betrekking tot de Online Diensten die de Klant of haar Gelieerde Ondernemingen gebruiken.
Microsoft zal, en staat ervoor in dat de relevante Subverwerkers, alle redelijke assistentie en uitleg aan de auditors op een open en transparante manier verschaffen, na wederzijdse overeenstemming met de J&V Vertegenwoordiger over de reikwijdte, het proces en de kosten hiervan. Op grond van zulke overeenstemming zal de Klant zich tot het uiterste inspannen om verstoring van de activiteiten van Microsoft te voorkomen of te minimaliseren en staat de Klant ervoor in dat de personen die de nalevingscontrole uitvoeren voldoen aan de toepasselijke proces-, veiligheids- en beveiligingsvereisten van Microsoft tijdens het uitvoeren van de nalevingscontrole. De auditors zullen geen toegang hebben tot gegevens van andere klanten van Microsoft of tot systemen of faciliteiten van Microsoft die niet zijn of worden gebruikt voor het leveren van de Online Diensten.
Vanwege het feit dat de Online Diensten door meerdere klanten worden gebruikt en de praktische beperkingen verbonden aan de nalevingscontrole, en zonder afbreuk te doen aan het recht op nalevingscontrole van de Klant als verwerkingsverantwoordelijke uit de Modelcontractbepalingen en de AVG, zullen de Klant en Microsoft eerst andere mogelijkheden beproeven om te voldoen aan de vereisten voor de controle van de gegevensverwerking. Deze mogelijkheden mogen echter niet door Microsoft worden aangewend om de nalevingscontrole te vertragen. De nalevingscontrole mag zo vaak worden uitgevoerd als de Klant vereist middels het Nederlandse Gecentraliseerde Nalevingscontrolekader. Tenzij de Klant of de J&V Vertegenwoordiger anders verzoekt, zal Microsoft, binnen 5 werkdagen na een schriftelijk verzoek van de J&V Vertegenwoordiger om een nalevingscontrole uit te laten voeren, zonder onnodige vertraging starten, instemmen met de voorbereiding van een nalevingscontrole voor de Klant door de J&V Vertegenwoordiger en deze uitvoeren.
Voorbereiding bestaat uit wederzijdse overeenstemming over:
De Online Diensten die worden gebruikt door de Klant die binnen de reikwijdte van de nalevingscontrole vallen;
De uitkomsten van de gegevensverwerking, informatie en controlevereisten die binnen de reikwijdte van de bewijsvereisten voor de nalevingscontrole vallen;
De aard en het proces voor het verkrijgen van voldoende bewijs voor de nalevingscontrole (bijvoorbeeld: inzien van interne Microsoft documentatie of systemen, inspectie van Microsoft faciliteiten, overleg met vakinhoudelijke experts van Microsoft);
De locatie en planning van de activiteiten voor de nalevingscontrole die noodzakelijk zijn om het bovenstaande te bewerkstelligen, met dien verstande dat dit vereiste om overeenstemming te bereiken over de planning Microsoft niet de mogelijkheid geeft om het uitvoeren van nalevingscontrole onredelijk te vertragen; en
Beschrijving van de middelen van Microsoft die nodig zijn om het bovenstaande uit te voeren en een berekening van de vergoeding voor de nalevingscontrole gebaseerd op de “basis voor vergoeding” in de tabel hieronder.
Audit Resource |
Microsoft vergoeding |
Personeel verantwoordelijk voor ontwerp, ontwikkeling en bedrijfsvoering van Microsoft Online Diensten, programmamanagers op het gebied van de naleving van regelgeving, professionals op het gebied van procesbeveiliging en andere kleine groepen van werknemers die de Online Diensten uitvoeren.
|
Het laagste bedrag van:
De bovenstaande bedragen zullen ook worden toegepast op (redelijke, vooraf overeengekomen in de voorbereiding van de nalevingscontrole) voorbereidingstijd in verband met klantspecifieke bewijsvereisten en het uitvoeren van presentaties of uitleg met betrekking tot de uitkomst van de nalevingscontrole.
De
vergoedingen worden evenredig per uur berekend voor werkdagen
korter dan 8 uur. Alle vergoedingen zullen vooraf worden overeengekomen met betrekking tot het doel van de nalevingscontrole als overeengekomen in de voorbereiding op de nalevingscontrole.
Wederzijds overeengekomen wijzigingsbeheer met betrekking tot Professionele Diensten zal worden gebruikt om vooraf overeenstemming te bereiken over aanvullende of gewijzigde doelen van de nalevingscontrole en bijkomende aanvullende of gewijzigde vergoedingen als gevolg daarvan. |
Reiskosten van Microsoft personeel betrokken bij de nalevingscontrole.
|
In overeenstemming met het op dat moment gepubliceerde reiskostenbeleid met betrekking tot Professionele Diensten, die op voorhand moet worden verstrekt tijdens de voorbereiding van de nalevingscontrole. |
Accountteam |
Geen vergoeding |
Administratief personeel, document voorbereiding en vergelijkbare logistieke zaken |
Xxxx vergoeding |
Gebruik van Microsoft faciliteiten |
Geen vergoeding voor gebruik tijdens het uitvoeren van de nalevingscontrole. |
Na afronding van de voorbereiding, zal de nalevingscontrole worden uitgevoerd als voorbereid.
Microsoft en de Klant dragen ieder hun eigen kosten en uitgaven voor iedere nalevingscontrole, met dien verstande dat de J&V Vertegenwoordiger de Microsoft vergoedingen voor nalevingscontrole verschuldigd zal zijn namens de Klant en eventuele andere Nederlandse publieke sector klanten die deel uitmaken van het centrale raamwerk dat via deze vertegenwoordiger wordt beheerd, onder de voorwaarden van de overeenkomst van het Nederlandse Ministerie van Justitie en Veiligheid met Microsoft. In het geval dat uit het rapport met de uitkomsten van de nalevingscontrole door de Klant een materiële non-conformiteit blijkt dan zal de Klant dit rapport delen met Microsoft en Microsoft zal elke materiële non-conformiteit onverwijld verhelpen.
Geen Microsoft vergoedingen voor nalevingscontorles zijn verschuldigd door het Ministerie van Veiligheid en Justitie of de Klant indien:
de Klant een nalevingscontrole van Microsoft uitvoert als gevolg van een onderzoek door een toezichthoudende autoriteit van de Klant naar naleving van de AVG, waarop de Klant moet antwoorden en waar dit onderzoek een nalevingscontrole door de Klant van Microsoft, als verwerker of Subverwerker van de Klant, vereist; of
na een Beveiligingsincident, de Klant wenst om een nalevingscontrole uit te voeren op de technische en organisatorische maatregelen geimplementeerd door Microsoft om de oorzaak van dit Beveiligingsincident te verhelpen.
In het geval de partijen door de nalevingscontrole op de hoogte komen van een Beveiligingsincident dat nog niet eerder door Microsoft is geadresseerd in overeenstemming met de paragraaf van de Voorwaarden voor Online Diensten getiteld “Kennisgeving van beveiligingsincidenten” dan zal Microsoft onverwijld en voor haar eigen rekening alle acties uitvoeren, die in het rapport worden genoemd om het Beveiligingsincident te verhelpen, inclusief , waar relevant, het van derden terughalen van Gegevens van de Klant, Persoonsgegevens en andere gegevens die door Microsoft in strijd met dit Amendement zijn verstrekt en het verbieden van het verdere gebruik daarvan door deze derden.
De Klant zal middels de J&V Vertegenwoordiger, met inachtneming van het bovenstaande:
met inachtneming van een redelijke termijn mededeling doen aan Microsoft van haar intentie om een nalevingscontrole van deze bepaling uit te voeren en volledig deelnemen aan de inspanningen om de reikwijdte van de nalevingscontrole te bepalen;
ervoor zorgen dat de gekwalificeerde onafhankelijke auditor die de nalevingscontrole uitvoert, voldoet aan de redelijke geheimhoudings-, gezondheids- en veiligheidsvoorschriften van Microsoft, zoals medegedeeld aan de Klant door Microsoft; en
ervoor zorgen dat haar vertegenwoordigers en gemachtigden die de nalevingscontrole uitvoeren zich redelijkerwijs inspannen om verstoring van de bedrijfsvoering van Microsoft, als het gevolg van het uitvoeren van de nalevingscontrole, te minimaliseren.
Alle rechten van de Klant en verplichtingen van Microsoft in dit artikel blijven geldig totdat zes maanden na beëindiging of opzegging van de relevante overeenkomsten tussen Microsoft en Klant zijn verstreken.
Dit Amendement op de Voorwaarden voor Online Diensten beperkt op geen enkele wijze het recht van de Klant op informatie, controle op naleving en inspecties uit de Modelcontractbepalingen en de AVG.”
Bijlage 3: Check-box instructies
Verwerking van persoonsgegevens: AVG
De subparagraaf getiteld “Verwerkingsdetails” in de paragraaf getiteld “Verwerking van persoonsgegevens; AVG” in het onderdeel “Bepalingen inzake de bescherming van persoonsgegevens” van de Voorwaarden voor Online Diensten wordt in zijn geheel vervangen door het volgende:
“Verwerkingsdetails
De partijen erkennen en gaan akkoord met het volgende:
Het onderwerp van de verwerking is beperkt tot Persoonsgegevens binnen de reikwijdte van “Verwerking van Gegevens van de Klant; eigendom” in het onderdeel “Bepalingen inzake de bescherming van persoonsgegevens” van de Voorwaarden voor Online Diensten en de AVG;
De duur van de verwerking is voor de duur van het recht van de Klant tot het gebruik van de Online Dienst en totdat alle Persoonsgegevens zijn verwijderd of geretourneerd overeenkomstig de instructies van de Klant of de bepalingen van de Voorwaarden voor Online Diensten;
De aard en het doel van de verwerking is de levering van de Online Dienst in het kader van de volumelicentieovereenkomst van de Klant, inclusief de paragraaf van de Voorwaarden voor Online Diensten getiteld “Verwerking van Gegevens van de Klant; eigendom” hierboven;
Tot de typen Persoonsgegevens die worden verwerkt door de Online Dienst behoren de Gegevens van de Klant inclusief de categorieën Persoonsgegevens als opgesomd in Bijlage 1 van Bijlage 3 – De Standardcontractclausules (verwerkers) van de Voorwaarden voor Online Diensten en andere Persoonsgegevens, waaronder Diagnostische Gegevens, Systeem Gegenereerde Gegevens en functionele gegevens, waaronder als beschreven in de “Service Trust Portal” (xxxxx://xxx.xx/xxx) en de toepasselijke Online Diensten documentatie (xxxxx://xxxx.xxxxxxxxx.xxx); en;
De categorieën van betrokkenen zijn vertegenwoordigers en eindgebruikers van de Klant, zoals werknemers, opdrachtnemers, medewerkers en klanten en de betrokkenen als opgesomd in Bijlage 1 van Bijlage 3 – De Standardcontractclausules (verwerkers) van de Voorwaarden voor Online Diensten.”
Modelcontractbepalingen voor het doorgeven van de categorieën van Persoonsgegevens
De Microsoft entiteit die dit CTM Amendement 2 ondertekent zal ervoor zorgdragen dat Microsoft Corporation de paragrafen “Betrokkenen” en “Categorieën gegevens” van Bijlage 1 bij Bijlage 3 – De Standardcontractclausules (verwerkers) van de Voorwaarden voor Online Diensten in zijn geheel vervangt door Bijlage 1 zoals hierin opgenomen. Ter voorkoming van misverstanden, individuele Gelieerde Ondernemingen zijn niet verplicht om Microsoft hun input te verschaffen ten aanzien van Bijlage 1 bij Bijlage 3, maar indien nodig kunnen zij een ingevulde versie van Bijlage 1 bij Bijlage 3 in hun administratie bewaren.
Bijlage 1 bij Bijlage 3 – De Standardcontractclausules (verwerkers)
Categorieën van betrokkenen
De doorgegeven persoonsgegevens betreffen de volgende categorieën betrokkenen (geef aan):
□ Werknemers, onderaannemers en uitzendkrachten (huidig, voormalig, toekomstig) van de gegevensexporteur (overheidsorganisatie);
□ Afhankelijke personen van bovengenoemde personen;
□ Medewerkers/contactpersonen van de gegevensexporteur (natuurlijke personen) of werknemers, onderaannemers of uitzendkrachten van medewerkers/contactpersonen met rechtspersoonlijkheid (huidig, voormalig, toekomstig);
□ Burgers (klanten, cliënten, patiënten, bezoekers, etc) en andere betrokkenen die gebruik maken van de overheidsdiensten van de gegevensexporteur;
□ Burgers, partners, belanghebbenden of individuen die actief samenwerken, communiceren of op andere wijze interactie hebben met werknemers van de gegevensexporteur en/of gebruik maken van de communicatie-tools zoals applicaties en websites die worden aangeboden door de gegevensexporteur;
□ Burgers, belanghebbenden of individuen die passief interactie hebben met de gegevensexporteur, omdat zij onderworpen zijn aan een onderzoek of worden genoemd in documenten of correspondentie van of naar de gegevensexporteur;
□ Minderjarigen;
□ Beroepsbeoefenaars met een beroepsgeheim (dokters, advocaten, notarissen, religieuze werkers, etc.)
□ Anderen, die dienen hieronder te worden genoemd: _________________________________________.
Categorieën gegevens
De doorgegeven persoonsgegevens betreffen de volgende categorieën van gegevens (geef aan):
□ Basis persoonsgegevens – zoals geboorteplaats, straatnaam en huisnummer (adres), postcode, woonplaats, woonland, mobiel telefoonnummer, voornaam, achternaam, initialen, emailadres, geslacht, geboortedatum;
□ Basis persoonsgegevens over familieleden en kinderen;
□ Authenticatiegegevens, gebruikersnaam, wachtwoord of pincode, beveiligingsvraag, audit trail;
□ Contactinformatie – zoals adressen, email, telefoonnummers, sociale media identifiers, noodcontactgegevens;
□ Unieke identificatienummers en handtekening – zoals BTW nummer, burgerservicenummer (BSN), socialezekerheidsnummer, bankrekeningnummer, paspoort- en ID nummer, rijbewijsnummer en voertuigregistratiegegevens, IP adressen, kentekennummer, werknemer nummer, studentnummer, patiëntennummer, handtekening, identificatiecookies of vergelijkbare technologie zoals browser fingerprints;
□ Gepseudominiseerde identifiers;
□ Financiële en verzekeringsinformatie (zoals verzekeringsnummer, bankrekeningnaam en –nummer, creditcardnaam en –nummer, factuurnummer, inkomen, type verzekering, betaalgedrag, kredietwaardigheid);
□ Commerciële informatie – zoals aankoopgeschiedenis, speciale aanbiedingen, informatie over abonnementen, betaalgeschiedenis;
□ Biometrische informatie - zoals DNA, vingerafdrukken en irisscans;
□ Locatiegegevens - CID, geolocatie netwerkgegevens, locatiegegevens bij aanvang/einde van een gesprek. Locatiegegevens afgeleid uit het gebruik van wifi access points;
□ Foto’s, video’s en audio;
□ Internetactiviteit – internetgeschiedenis, zoekgeschiedenis, lees-, televisie- en radioactiviteiten;
□ Apparaat identificatie (bijvoorbeeld IMEI-nummer, sim-kaart nummer, MAC-adres);
□ Profielen – zoals profielen gebaseerd op crimineel of asociaal gedrag of gepseudonimiseerde profielen gebaseerd op bezochte URLs, clickstream gegevens, browselogs, IP adressen, domeinen, geïnstalleerde applicaties, of profielen gebaseerd op marketingvoorkeuren
□ HR en wervingsgegevens – zoals verklaring van arbeidsstatus, wervingsinformatie (zoals CV, arbeidshistorie, opleidingshistorie), baan- en functiegegevens, inclusief werkuren, beoordelingen en salaris, werkvergunning details, beschikbaarheid, arbeidsvoorwaarden, belastinggegevens, betalingsgegevens, verzekeringsgegevens, locatie en organisatie;
□ Opleidingsgegevens - zoals opleidingshistorie, huidige opleiding, cijfers en resultaten, hoogst behaalde opleiding, leerprobleem;
□ Burgerschap en verblijfgegevens, zoals burgerschap, naturalisatie status, burgerlijke staat, nationaliteit, immigratiestatus, paspoortgegevens, woongegevens of werkvergunning;
□ Juridische informatie en strafrechtelijk verleden (niet behorend tot “Bijzondere categorieën gegevens” hieronder);
□ Informatie die wordt verwerkt voor het uitvoeren van een taak in het algemeen belang of in de uitvoering van een officiële taak dient hieronder te worden benoemd: _________________________________________;
□ Andere informatie, die dient hieronder te worden benoemd: _________________________________________.
Bijzondere categorieën gegevens (indien van toepassing)
De doorgegeven persoonsgegevens betreffen de volgende bijzondere categorieën gegevens (geef aan)
□ Geen;
□ Indien informatie met betrekking tot het ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid of gegevens met betrekking tot iemands strafrechtelijke veroordelingen of overtredingen wordt doorgegeven of gebruikt dan dient dat hieronder te worden benoemd:
____________________________________________________.
Verwerking
De doorgegeven persoonsgegevens zullen de volgende basisverwerkingen ondergaan (geef aan):
De verwerking is beperkt tot de verwerking van Gegevens van de Klant voor de doeleinden die zijn genoemd in onderdeel 3 van dit CTM Amendement 2.
Ondertekenaar van de Modelcontractbepalingen, Bijlage 1 en Bijlage 2 in naam van de gegevensimporteur:
Appendix 4: Additionele Microsoft
Bijlage 5 – Verwerkersovereenkomst
De Microsoft entiteit die dit CTM Amendement 2 ondertekent, zal ervoor zorgdragen dat Microsoft Corporation een nieuwe Bijlage 5, getiteld “Verwerkersovereenkomst”, toevoegt aan de Voorwaarden voor Online Diensten met de volgende tekst:
“Microsoft Corporation accepteert de "Bepalingen inzake de bescherming van persoonsgegevens" van de Voorwaarden voor Online Diensten als verwerkingsovereenkomst met Klant. Waar de "Bepalingen inzake de bescherming van persoonsgegevens" verwijzen naar het informeren van de Klant door informeren van de Klant door “Microsoft”, kan aan deze informatieverplichting zowel door Microsoft Corporation als door Microsoft Ireland Operations Limited worden voldaan.”
|
|
BD Pagina 1 van 16 |