Het British Standards Institute (BSI) heeft in een onafhankelijk onderzoek vastgesteld dat naast Microsoft Azure ook Office 365 en Dynamics CRM Online voldoen aan de vastgestelde regels voor de bescherming van Persoonlijk Identificeerbare Informatie (PII) in de public cloud. Bureau Veritas heeft ook Microsoft Intune gecertificeerd.
Het belang van het voldoen aan de ISO 27018 normering is dat het zakelijke klanten garandeert dat privacy in de Microsoft cloud op verschillende manieren beschermd is. Zo behoudt de klant de controle over zijn eigen gegevens, Microsoft verwerkt persoonlijk herleidbare gegevens uitsluitend volgens de instructies die de klant verstrekt. Ook weet de klant wat er met zijn data gebeurt. Microsoft houdt zich aan strikte regels met betrekking tot het retourneren, overdragen en vernietigen van persoonlijke informatie die in haar datacenters zijn opgeslagen. Microsoft informeert de klant niet alleen waar zijn data staat, maar ook wanneer andere partijen toegang tot bepaalde gegevens willen. Ook wordt de klant direct geïnformeerd wanneer er sprake is van ongeautoriseerde toegang tot persoonlijke gegevens, verwerkingsapparatuur of systemen die resulteren in het verlies, openbaarmaking of veranderingen in deze informatie.
Ook biedt Microsoft en aantal belangrijke veiligheidsgaranties, zoals specifiek restricties die gelden bij het omgaan met persoonlijke gegevens, het verzenden ervan via openbare netwerken, het opslaan op draagbare media en het volgen van de juiste procedures bij eventuele datarecovery en herstel. De standaard bepaalt tevens dat alle personeel dat toegang heeft tot, cq. omgaat met persoonlijke gegevens, verplicht is om deze vertrouwelijk te houden. Dat houdt tevens in dat persoons- en persoonlijke gegevens niet voor commerciële doeleinden worden gebruikt, een regel waar niet alle serviceproviders zich aan houden. Wanneer overheidsinstanties toegang eisen tot bepaalde data van klanten moet dat voornemen volgens de ISO-norm aan zakelijke klanten worden gemeld, tenzij daar wettelijke bezwaren tegen bestaan.
Binnen de huidige juridische kaders, waarbij enterprise klanten vaak hun eigen compliance regelingen treffen kan de ISO 27018 standaard als een template dienen voor zowel regelgevende instanties als klanten bij het ontwikkelen van een zo sterk mogelijke bescherming van de privacy over landsgrenzen en door verticale marktsectoren heen. Sinds vorig voorjaar voldoen Microsoft’s cloud contracten al aan de ‘model clausule’ onder de Europese privacy wetgeving met betrekking tot het internationale transport van data. Afgelopen herfst was Microsoft een van de eerste bedrijven die de ‘Student Privacy Pledge’, opgesteld door het Future of Privacy Forum en de Software & Information Industry Association ter bescherming van de privacy van studentengegevens, ondertekende. Daarmee, en met de ISO 27018 certificering, wil Microsoft de betrouwbaarheid van zijn cloudplatform en -diensten onderstrepen, en daarmee de klant bieden waarnaar hij op zoek is: een dienst die hij kan vertrouwen.
Bovenstaand artikel is ontleend aan een blog van Brad Smith, General Counsel & Executive Vice President, Legal and Corporate Affairs bij Microsoft
