Gegevenslocatie in Azure

Azure beschikt wereldwijd over meer regio's dan elke andere cloudprovider en biedt zodoende de schaal- en gegevenslocatieopties die u nodig hebt om toepassingen dichter bij gebruikers over de hele wereld te brengen.

Als klant blijft u eigenaar van klantgegevens ofwel de inhoud, persoonlijke en andere gegevens die u opgeeft voor opslag en hosting in Azure-services. Microsoft zal geen klantgegevens opslaan of verwerken buiten het geografische gebied dat u opgeeft, behalve voor bepaalde niet-regionale services. U hebt ook de controle over alle aanvullende geografische gebieden waar u besluit uw oplossingen te implementeren of uw gegevens te repliceren.

Hieronder vindt u meer informatie als globale gegevensreplicatie vereist is voor de functionaliteit van een service.

  • Microsoft beveiligt uw gegevens met behulp van meerdere lagen met beveiligings- en versleutelingsprotocollen. Bekijk een overzicht van hoe Microsoft versleuteling gebruikt om uw gegevens te beveiligen.

    Uw gegevens worden standaard beveiligd met door Microsoft beheerde sleutels en klantgegevens die aanwezig blijven op fysieke media worden altijd versleuteld met behulp van versleutelingsprotocollen die voldoen aan FIPS 140-2. Klanten kunnen ook gebruikmaken van door klant beheerde sleutels (CMK), dubbele versleuteling en/of Hardware Security Modules (HSM) voor verhoogde gegevensbeveiliging.

    Al het gegevensverkeer dat wordt uitgewisseld tussen datacentra wordt beveiligd met behulp van IEEE 802.1AE MAC-beveiligingsstandaarden, waardoor fysieke man-in-the-middle-aanvallen worden voorkomen. Microsoft maakt voor behoud van de tolerantie gebruik van variabele netwerkpaden die soms geografische grenzen overschrijden, maar replicatie van klantgegevens tussen regio's wordt altijd via versleutelde netwerkverbindingen uitgevoerd.

    Daarnaast minimaliseert Microsoft het privacyrisico door pseudoniem-id's te genereren waarmee Microsoft een wereldwijde cloudservice kan aanbieden (inclusief operationele en verbeteringsservices, facturering en fraudebescherming). Personen kunnen nooit rechtstreeks worden geïdentificeerd via pseudoniem-id's en de toegang tot de klantgegevens waarmee personen kunnen worden geïdentificeerd wordt altijd beveiligd zoals hierboven is beschreven.

  • Alle Azure-Services kunnen worden gebruikt in overeenstemming met de AVG. Als klanten die gebruikmaken van Azure-services ervoor kiezen om inhoud die persoonsgegevens bevat aan andere landen over te dragen, moeten zij rekening houden met de wettelijke vereisten die van toepassing zijn op dergelijke overdrachten. Microsoft biedt klanten services en resources om ze te helpen te voldoen aan AVG-vereisten die van toepassing kunnen zijn op hun activiteiten.

    In sommige onlineservices van Microsoft worden gegevens gedeeld met derden die als subprocessor fungeren. De openbaar gepubliceerde lijst met subprocessors van Microsoft Online Services bevat subprocessors die zijn geautoriseerd om klantgegevens of persoonlijke gegevens te verwerken. Al deze subprocessors zijn contractueel verplicht om te voldoen aan contractuele commitments van Microsoft aan klanten, of deze te overstijgen.

    Microsoft verstrekt aan geen enkele derde partij (a) directe, volledige of onbelemmerde toegang tot klantgegevens; (b) platformversleutelingssleutels die worden gebruikt om gegevens te beveiligen of de mogelijkheid om dergelijke versleuteling te doorbreken; of (c) toegang tot gegevens als Microsoft ervan op de hoogte is dat dergelijke gegevens worden gebruikt voor andere doeleinden dan zijn aangegeven in het verzoek van de derde partij. Meer informatie over de benadering van Microsoft inzake wettelijke openbaarmaking vanwege overheidsvereisten is hier beschikbaar.

Met de meeste Azure-services kunt u de regio opgeven waar uw klantgegevens worden opgeslagen en verwerkt. Microsoft kan repliceren naar andere regio's voor gegevenstolerantie, maar er worden geen klantgegevens buiten het geselecteerde geografische gebied opgeslagen of verwerkt. U en uw gebruikers kunnen uw klantgegevens vanuit elke locatie wereldwijd verplaatsen, kopiëren of openen.

Meer informatie over locatie van klantgegevens

Gegevensopslag voor regionale services

De meeste Azure-services worden regionaal geïmplementeerd en de klant kan de regio selecteren waar de service zal worden geïmplementeerd. Voorbeelden van dergelijke Azure-services zijn virtuele machines, opslag en SQL Database. Zie voor een volledige lijst met regionale services Producten die beschikbaar zijn per regio.

Microsoft kan klantgegevens kopiëren tussen regio's binnen een opgegeven geografisch gebied voor gegevensredundantie of andere operationele doeleinden. Geografisch redundante opslag repliceert bijvoorbeeld blob-, bestands-, wachtrij- en tabelgegevens tussen twee regio's binnen hetzelfde geografische gebied voor verhoogde duurzaamheid van gegevens in het geval van een noodgeval in een belangrijk datacentrum.

Microsoft zal geen klantgegevens opslaan of verwerken buiten het door de klant opgegeven geografische gebied zonder uw toestemming, behalve voor de volgende regionale services:

  • Azure Cloud Services, waarmee de implementatiepakketten van web- en werkrolsoftware een back-up krijgen in de Verenigde Staten ongeacht het implementatiegebied.
  • Language Understanding, waarmee u gegevens voor actief leren kunt opslaan in de Verenigde Staten, Europa of Australië op basis van de auteursregio's die de klant gebruikt. Meer informatie
  • Azure Machine Learning, die vrije-vormtekst kan opslaan die de klant verstrekt (zoals namen voor werkruimten, resourcegroepen, experimenten, bestanden en afbeeldingen) en experimentparameters in de Verenigde Staten.
  • Azure Databricks waarvoor identiteitsgegevens, bepaalde tabelnamen en objectpadgegevens worden opgeslagen in de Verenigde Staten.
  • Azure Sentinel
  • Seriële Azure-console, waarmee alle data-at-rest van klanten worden opgeslagen in het geografische gebied dat is geselecteerd door de klant. Bij gebruik via Azure Portal kunnen consoleopdrachten en reacties echter buiten het geografische gebied worden verwerkt, omdat de console-ervaring in de portal wordt geboden.
  • Previews, bèta- of andere evaluatieversies die standaard klantgegevens in de Verenigde Staten maar mogelijk wereldwijd opslaan.

Klanten kunnen de volgende Azure-services, -servicelagen of -abonnementen configureren om klantgegevens uitsluitend in één regio op te slaan:

1Gegevenslocatie voor één regio is momenteel alleen standaard beschikbaar in de regio Azië - zuidoost (Singapore) van het geografische gebied Azië en Stille Oceaan en in Brazilië - zuid van het geografische gebied Brazilië (Staat Sao Paulo). Voor alle andere regio's worden klantgegevens opgeslagen in Geo.

2Gegevenslocatie voor één regio is momenteel alleen standaard beschikbaar in de regio Azië - zuidoost (Singapore) van het geografische gebied Azië en Stille Oceaan. Voor alle andere regio's worden klantgegevens opgeslagen in Geo.

3De preview-functie om het opslaan van klantgegevens in één regio in te schakelen, is momenteel alleen beschikbaar in de regio Azië - zuidoost (Singapore) van het geografisch gebied Azië en Stille Oceaan en in Brazilië - zuid van het geografisch gebied Brazilië (Staat Sao Paulo). Voor alle andere regio's worden klantgegevens opgeslagen in Geo.

4Voor Azure Databricks worden identiteitsgegevens, bepaalde tabelnamen en objectpadgegevens opgeslagen in de Verenigde Staten. De mogelijkheid om het opslaan van alle klantgegevens in één regio in te schakelen, is momenteel beschikbaar in de regio Azië - zuidoost (Singapore) van het geografisch gebied Azië en Stille Oceaan en in Brazilië - zuid (Staat Sao Paulo) van het geografisch gebied Brazilië. Voor alle andere regio's worden klantgegevens opgeslagen in Geo (onderhevig aan de eerder genoemde uitzondering).

5Voor ZRS Classic worden gegevens in meerdere regio's opgeslagen.

Gegevensopslag voor niet-regionale services

Bepaalde Azure-services stellen de klant niet in staat om de regio te specificeren waar de service zal worden geïmplementeerd. Met deze services kunnen klantgegevens worden opgeslagen of verwerkt in elk Microsoft-datacentrum, tenzij anders vermeld.

  • Azure Content Delivery Network met een wereldwijde cache-service en waarbij klantgegevens wereldwijd worden opgeslagen op edge-locaties.
  • Azure Active Directory (Azure AD), waarbij Azure AD-gegevens wereldwijd worden opgeslagen. Dit is niet van toepassing op Azure AD-implementaties in de Verenigde Staten (waar Azure AD-gegevens uitsluitend in de Verenigde Staten worden opgeslagen) en in Europa (waar Azure AD-gegevens in Europa of de Verenigde Staten worden opgeslagen). Meer informatie
  • Multi-Factor Authentication van Azure, waarbij verificatiegegevens in de Verenigde Staten worden opgeslagen. Meer informatie
  • Azure Security Center, die een kopie van aan beveiliging gerelateerde klantgegevens kan opslaan, verzameld uit of gekoppeld aan een klantenresource (zoals virtuele machine of Azure AD-tenant):

    (a) in hetzelfde geografische gebied als die resource, behalve in de geografische gebieden waar Microsoft nog geen Security Center heeft geïmplementeerd, in welk geval een kopie van dergelijke gegevens zal worden opgeslagen in de Verenigde Staten; en

    (b) wanneer Security Center een andere onlineservice van Microsoft gebruikt om dergelijke gegevens te verwerken, kunnen deze gegevens worden opgeslagen in overeenstemming met de geolocatieregels van die andere onlineservice.

  • Services met regionale routeringsmogelijkheden die zelf geen klantgegevens verwerken of opslaan. Dit zijn onder andere Azure Traffic Manager voor taakverdeling tussen verschillende regio's en Azure DNS voor domeinnaamservices voor routering naar verschillende regio's.

Zie voor een volledige lijst met niet-regionale services Producten die beschikbaar zijn per regio en selecteer Niet-regionaal.