Bedrijf onderstreept commitment voor het beschermen van de privacy van klanten
Schiphol-Rijk, 17 mei 2001 - Microsoft is voornemens zich aan de privacy principes van de zogenaamde Safe Harbour Agreement te houden. De Safe Harbour Agreement is feitelijk een beslissing van de Europese Commissie waarin privacy principes zijn opgesomd ter bescherming van de onbelemmerde uitwisseling van persoonsgegevens tussen de Verenigde Staten en Europa. Deze privacy principes zijn gebaseerd op de regels die zijn vastgesteld in de 'Fair Information Principles'. Deze aankondiging deed Richard Purcell, director of Corporate Privacy van Microsoft, in Brussel. Microsoft is hiermee een van de eerste Amerikaanse multinationals die verklaart zich aan deze Safe Harbour privacy principes te zullen houden. "Microsoft spant zich wereldwijd in om de privacy van klanten te beschermen en hen de controle te geven over hun persoonsgegevens. Ons commitment aan internationale regels op het gebied van privacy, zoals gedefinieerd in de Fair Information Principles, is reeds lang bekend," zei Purcell in een toespraak voor een groep vertegenwoordigers van de EU in Brussel. "Omdat onze bedrijfsregels op het gebied van privacy al in lijn zijn met de door de EU gehanteerde principes voor informatiebescherming, kan Microsoft zich al deze zomer laten registreren op de openbare 'Safe Harbour' lijst bij het Amerikaanse Department of Commerce."
Jean Philippe Courtois, president van Microsoft Europe, Middle East and Africa (EMEA), sluit zich aan bij Purcell's uitspraken: "Microsoft is vastbesloten om beveiligde systemen en relaties te blijven ondersteunen. Dat we nu bekendmaken dat we de Safe Harbour Principes zullen aanhangen, zien wij dan ook als een logische stap die opnieuw ons voortdurende streven naar bescherming van de privacy van onze Europese klanten bevestigt. Het is voor ons van groot belang dat zij zich beschermd weten wanneer zij zaken met ons doen."
De Safe Harbour Agreement
De Europese Commissie heeft een Richtlijn voor de bescherming van persoonsgegevens opgesteld (ook wel de privacy richtlijn genoemd) met als doel de privacy van EU-burgers te beschermen en het vrij verkeer van persoonsgegevens binnen de EU te regelen. Deze richtlijn bepaalt dat de doorgifte van persoonsgegevens van landen uit de Europese Unie naar landen die geen passend beschermingsniveau kennen ter waarborging van de privacy van de betrokkenen, niet is toegestaan. Om de doorgifte van persoonsgegevens naar de VS toch mogelijk te maken, hebben het Amerikaanse Department of Commerce (onder President Clinton) en de Europese Commissie een 'safe harbour' raamwerk opgezet, dat ervoor zorgt dat organisaties in de VS bij naleving van dit raamwerk voldoen aan de Europese regels voor privacybescherming.
Amerikaanse organisaties die deel willen nemen aan de Safe Harbour Agreement, moeten voldoen aan alle in de beslissing van de Europese Commissie genoemde principes en dit vervolgens publiekelijk bekendmaken door zich aan te melden bij het Amerikaanse Department of Commerce. Hoewel het hier gaat om een vrijwillige beslissing, kunnen de organisaties die de principes niet naleven, met sancties van zowel de Amerikaanse Federal Trade Commission als van de Europese Unie te maken krijgen.
De Safe Harbour Privacy Principles
De Safe Harbour Principes zijn onder meer gebaseerd op de US Fair Information Principles, met daaraan toegevoegd regels over het doorgeven van informatie en de integriteit van gegevens. De 'Safe Harbour Agreement' bevat de volgende principes:
* Kennisgeving - Het kennisgevingprincipe gaat over het op heldere en ondubbelzinnige wijze informeren van online en offline betrokkenen over de doeleinden waarvoor informatie over hen wordt verzameld en gebruikt; over de beschikbare keuzemechanismen om het gebruik en de doorgifte van deze informatie te beperken; aan welke derde partijen de gegevens worden doorgegeven en op welke wijze de betrokkenen in contact kunnen treden met de organisatie voor vragen of klachten.
* Keuze - Dit beginsel houdt in dat aan betrokkenen door middel van een helder en duidelijk mechanisme de mogelijkheid wordt geboden om aan te geven dat hun gegevens niet gebruikt mogen worden voor andere doeleinden dan waarvoor deze verzameld zijn. Ook mogen deze niet worden doorgespeeld aan derden. Wanneer het gaat om gevoelige gegevens, zoals medische gegevens, gegevens over ras of etnische afkomst en politieke opvattingen of geloofsovertuiging, dan is expliciete toestemming van de betrokkenen nodig voordat deze gegevens verwerkt mogen worden.
* Toegang - Dit principe houdt in dat betrokkenen inzage wordt geboden in de persoonsgegevens die een organisatie over hen heeft verzameld. Enkele uitzonderingen daargelaten, moeten organisaties betrokkenen de mogelijkheid bieden om deze gegevens te corrigeren, aan te vullen of te verwijderen.
* Beveiliging - Beveiliging houdt in dat een organisatie redelijke voorzorgsmaatregelen dient te treffen om de gegevens te beschermen tegen verlies, misbruik, ongeautoriseerde toegang, ongeautoriseerde bekendmaking, wijziging en vernietiging van die gegevens.
* Rechtshandhaving - Het rechtshandhaving-principe vereist dat er een op eenvoudige wijze toegankelijk en betaalbaar mechanisme in het leven wordt geroepen waardoor betrokkenen verhaal kunnen halen, alsmede dat maatregelen worden opgelegd aan organisaties die zich niet houden aan de principes.
* Verdere doorgifte - Dit principe houdt in dat organisaties die persoonsgegevens doorgeven aan derde partijen zich moeten houden aan de principes van kennisgeving en keuze, tenzij de derde partij optreedt als agent van de organisatie, of wanneer met deze derde partij een contract wordt aangegaan op grond waarvan deze derde tenminste dezelfde bescherming van de persoonlijke levenssfeer biedt als de Safe Harbour Principes, of wanneer de derde partij de Safe Harbour Principes zelf aanhangt of valt onder de Europese privacy richtlijn, dan wel kan aantonen dat op een andere wijze aan deze richtlijn wordt voldaan.
* Integriteit van gegevens - Dit beginsel houdt in dat de verzamelde persoonsgegevens relevant moeten zijn voor de doeleinden waarvoor deze verwerkt worden en dat er redelijke stappen moeten worden ondernomen om er voor te zorgen dat deze gegevens betrouwbaar, correct, volledig en actueel zijn.
Het Amerikaanse Department of Commerce is betrokken bij de uitvoering van de Safe Harbour Agreement voor ondernemingen in de VS. Meer informatie over de Safe Harbour Agreement is te vinden op de site van het Department of Commerce: www.export.gov/safeharbour/.
Microsofts interne processen die moesten aantonen dat haar bedrijfsprocessen daadwerkelijk voldoen aan de privacy principes, betroffen onder andere gedetailleerde evaluaties op basis van de Fair Information Principles. Deze evaluatieprocessen omvatten onder andere jaarlijkse onderzoeken naar de wijze waarop met klantgegevens wordt omgegaan, training van medewerkers, uitgebreide tests van belangrijke systemen, training op het gebied van de vereisten, richtlijnen en 'best practices', actieve participatie in interne onderzoeken en overleg met derden.
Microsoft en privacy
Microsoft heeft privacy tot een topprioriteit gemaakt, vanuit zowel technologisch als beleidsoogpunt. Daartoe werkt Microsoft nauw samen met organisaties op het gebied van privacy en past het in veel van haar producten en diensten technologieën toe die een veilige uitwisseling van informatie mogelijk maken.
Vanuit technisch oogpunt is Microsoft reeds sinds lange tijd vooraanstaand lid van het Platform for Privacy Preferences (P3P) van het World Wide Web Consortium (W3C). In maart van dit jaar heeft Microsoft een openbare preview vrijgegeven van de eerste algemeen beschikbare implementatie van op P3P gebaseerde privacy tools. Deze tools zijn onder andere opgenomen in Microsoft Internet Explorer 6.0 in Windows XP, de nieuwe versie van het Windows besturingssysteem die dit najaar zal verschijnen. Tevens zijn op ruim 26.000 websites privacyverklaringen te vinden die gebaseerd zijn op de Safe Harbour Principes en met behulp van de Microsoft Privacy Statement Wizard zijn opgesteld. Deze wizard is te vinden op http://privacy.bcentral.com/.
Voor consumenten heeft Microsoft onlangs Safe Internet (http://www.microsoft.com/safeinternet/) gelanceerd, een gebruiksvriendelijke website waar nuttige en gemakkelijk te gebruiken beveiligingstools en -adviezen zijn te vinden voor ouders en consumenten. Het bedrijf heeft een leidende rol gespeeld in het aanpakken van een aantal van de meest dringende kwesties op het gebied van beveiliging en privacy, via SafeNet 2000, een evenement dat vooraanstaande bedrijven, gerechtelijke instanties, beleidsmakers, wetenschappers en vertegenwoordigers van consumentenorganisaties bij elkaar bracht.
Microsoft
Microsoft (NASDAQ: MSFT) is opgericht in 1975 en is marktleider op het gebied van software, diensten en Internet-technologie voor privé- en zakelijk computergebruik. Het bedrijf levert een brede reeks aan producten en diensten die ontwikkeld zijn om mensen meer mogelijkheden te bieden met behulp van software, ongeacht op welke plaats, op welk moment en met welk apparaat.