Veiligheid en privacy worden binnen Office 365 door Microsoft gegarandeerd door zich te committeren aan een aantal toonaangevende industrie standaarden rondom privacy, gegevensbescherming en veiligheid van data. Deze standaarden worden geverifieerd door onafhankelijke derde partijen. Daarnaast zal Microsoft slechts gegevens gebruiken van haar klanten ten behoeve van het onderhoud en het leveren van de Online services. In de volgende tabel wordt weergegeven wat Microsoft met welke data doet:
| Klantgegevens Microsoft Online Services1 | Gebruiksgegevens | Account- en adresboekgegevens | Klantgegevens (behalve centrale klantgegevens) | Centrale klantgegevens |
| De service beheren en problemen oplossen | Ja | Ja | Ja | Ja |
| Beveiliging, spam en malwarepreventie | Ja | Ja | Ja | Ja |
| Verbeteren van de aangekochte service, analyse | Ja2 | Ja | Ja | Nee |
| Persoonlijke aanpassingen, gebruikersprofielpromoties | Nee | Ja3 | Nee | Nee |
| Correspondentie (tips, advies, enquêtes, promoties) | Nee | Nee/Ja4 | Nee | Nee |
| Vrijwillige openbaring aan wetshandhaving | Nee | Nee | Nee | Nee |
| Reclame5 | Nee | Nee | Nee | Nee |
1Beheerdersinformatie kan worden gebruikt voor extra doelen verwant aan facturering en accountbeheer, inclusief vrijwillige openbaring van beheerderscontactgegevens aan wetshandhaving en extra correspondentie. Raadpleeg de sectie Accountbeheer en factureringsinformatie van het Vertrouwenscentrum voor meer informatie.
2Gebruiksgegevens worden gebruikt op combinatiebasis. Op de browser gebaseerde analyses worden alleen verzameld in de Microsoft Online Portal van beheerders, gebruikers die geen beheerder zijn met een verzendadres in de V.S., en alle gebruikers voor Office 365 voor professionals en kleine bedrijven (Abonnement P1). Gebruikers kunnen hun browserinstellingen wijzigen om anlyse te beperken zonder het juist functioneren van de services te beïnvloeden. Raadpleeg de Veelgestelde vragen hieronder voor meer details.
3Beheerders met enterprise-overeenkomsten kunnen verzoeken om alleen rol- en accountinformatie te gebruiken als gegevens voor persoonlijke aanpassingen.4
Nee voor Enterpriseversie, Ja voor Office 365 voor professionals en kleine bedrijven (Abonnement P1). In alle services kunnen gebruikers te allen tijde het ontvangen van correspondentie stoppen.
5Reclame is de promotie van goederen en diensten van derden binnen de service, of de overdracht van informatie over onze klanten aan derden ten behoeve van dergelijke reclame.
De verschillende certificeringen waar de online services op dit moment aan voldoen worden in onderstaande tabel weergegeven:
| Certificering | Omschrijving |
| ISO 27001 | ISO27001 is een van de beste beveiligingsmaatstaven ter wereld. Office 365 is de eerste grote openbare cloudservice voor bedrijfsproductiviteit waarvoor de stringente fysieke, logische, proces- en beheermechanismen zijn geïmplementeerd die worden gedefinieerd in ISO 27001. |
| EU-modelclausules | Niet alleen is Safe Harbor van de EU geïmplementeerd, maar Office 365 is tevens de eerste grote aanbieder van openbare cloudservices voor bedrijfsproductiviteit die de door de EU ontwikkelde standaardclausules (‘EU-modelclausules’) heeft ondertekend met alle klanten. EU-modelclausules hebben betrekking op de internationale overdracht van gegevens. Een voorbeeld exemplaar is hier te downloaden. |
| HIPAA-BAA (HIPAA-Business Associate Agreement). | Office 365 is de eerste grote aanbieder van openbare cloudservices voor bedrijfproductiviteit die de vereisten voor HIPAA-BAA met alle klanten heeft ondertekend. HIPAA is een Amerikaanse wet die van toepassing is op alle gezondheidszorginstanties met betrekking tot het gebruik, de openbaarmaking en bescherming van vertrouwelijke gezondheidsgegevens, en legt vereisten op aan de instanties waarop deze wet van toepassing is. Er wordt van zakelijke partners geëist dat ze overeenkomsten aangaan met leveranciers die deze vertrouwelijke gegevens gebruiken en openbaar maken. Een voorbeeld exemplaar is hier te downloaden. |
| FISMA (Federal Information Security Management Act). | Office 365 implementeert beveiligingsprocessen die de standaarden naleven die worden vereist door overheidsinstanties van de VS, en heeft van een nationale Amerikaanse instantie de kwalificatie ATO (Authority to Operate) verkregen voor FISMA. Nationale instanties in de VS worden aangemoedigd om het FISMA-pakket voor Office 365 te beoordelen voor het verlenen van ATO. |
| DPA (Data Processing Agreement). | Microsoft biedt een uitgebreide standaard-DPA (Data Processing Agreement of gegevensverwerkingsovereenkomst) aan alle klanten. De DPA heeft betrekking op privacy, beveiliging en het afhandelen van klantgegevens. Via onze standaardovereenkomst voor gegevensverwerking kunnen klanten lokale regelgeving naleven. Een voorbeeld van de overeenkomst is hier te downloaden. |
In het vertrouwenscentrum van Microsoft kan alle informatie nog eens nagelezen worden op de site.