NEN 7510

Übersicht über NEN 7510

Organisationen in den Niederlanden, die Gesundheitsdaten von Patienten verarbeiten, müssen nachweisen, dass sie die Kontrolle über diese Daten haben und die im Standard NEN 7510 festgelegten Anforderungen erfüllen. Microsoft unterliegt zwar nicht selbst dem NEN 7510-Standard, aber seine Cloudkunden im Gesundheitswesen müssen Compliance mit NEN 7510 für Lösungen auf Basis der Microsoft Cloud nachweisen. Microsoft-Clouddienste werden regelmäßig verschiedenen Zertifizierungen und Prüfungen unterzogen. Einige dieser Zertifizierungen und Prüfungen enthalten Elemente, die eng an den im Standard NEN 7510 festgelegten Anforderungen ausgerichtet sind.

Microsoft und NEN 7510:2011

Microsoft hat seine aktuellen Zertifizierungen und Erklärungen analysiert und einen NEN 7510-Abdeckungsbericht erstellt und auf der Service Trust Platform bereitgestellt. In diesem Bericht werden die Zertifizierungen und Erklärungen den NEN 7510-Kontrollen zugeordnet, für die Microsoft als Clouddienstanbieter verantwortlich ist. Anhand dieses Dokuments können Kunden ermitteln, welche anderen Kontrollen sie implementieren müssen, um sicherzustellen, dass ihre Verwendung von Microsoft Cloud Services für die Speicherung oder Verarbeitung von Patientendaten die Anforderungen von NEN 7510 erfüllt.

So können Sie Ihre NEN 7510-Implementierung mithilfe der Azure Security and Compliance Blueprints beschleunigen: Microsoft Cloud: Azure und Office 365 NEN7510-2011 Standardabdeckung Benutzerhandbuch herunterladen

In Microsoft eingeschlossene Cloudplattformen und -Dienste

  • Azure und Azure Government
  • Intune
  • Office 365

Office 365 und ISO 27001

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Azure Information Protection, Bookings, Delve, Exchange Online, Exchange Online Protection, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, Microsoft To-Do für Web, MyAnalytics, Office 365 Cloud App Security, Office 365 Groups, OneDrive for Business,Planner, Power Apps, Power Automate, Power BI für Office 365, PowerApps, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage

Prüfungen, Berichte und Zertifikate

Häufig gestellte Fragen

Sind Kunden, die Microsoft Cloud Services nutzen, konform mit NEN 7510?

Für den Nachweis der NEN-Konformität ist die Gesundheitsorganisation (der „Kunde“) verantwortlich. Wenn ein Kunde mit einem Clouddienstanbieter zusammenarbeitet, fordert er in der Regel einen Nachweis vom Anbieter und muss eigene (andere) technische und betriebliche Funktionen, Auswahlmöglichkeiten und Prozesse einrichten. Das führt zu einer Gesamtbeurteilung durch Kunden bezüglich der Einhaltung der NEN 7510, die für eine externe Überprüfung oder Zertifizierung eingereicht werden kann. Der NEN 7510-Abdeckungsbericht gibt Erkenntnisse darüber, welche NEN 7510-Kontrollen von Microsoft Cloud Services abgedeckt werden, deckt aber als solche nicht die End-to-End-Compliance ab.

Hat Microsoft Compliance mit NEN 7510 erzielt?

Die Verantwortung für die Compliance mit NEN 7510 liegt bei niederländischen Organisationen im Gesundheitswesen. Das Unternehmen muss ein Managementsystem für Informationssicherheit einrichten und Risiken mit entsprechenden technischen und betrieblichen Maßnahmen entgegenwirken. Für Microsoft in seiner Rolle als Clouddienstanbieter ist Compliance mit NEN 7510 weder das Ziel noch technisch machbar. Wenn Kunden Microsoft Cloud Services implementieren oder nutzen, können diese Dienste in den Anwendungsbereich einer NEN 7510-Evaluierung fallen. Die Organisation muss jedoch ihre eigenen (anderen) Kontrollen, Wahlmöglichkeiten und Prozesse hinzufügen, die Teil der NEN 7510-Gesamtbewertung sind. Ziel des Berichts ist der Nachweis, dass eine Organisation des Gesundheitswesens Microsoft Cloud Services auf eine Weise nutzen kann, die mit NEN 7510 konform ist.

Der Bericht zeigt keine 100 %-Abdeckung an. Ist die Einhaltung von NEN 7510 nicht möglich?

Die Microsoft Cloud Services bieten viele Kontrollen, die Organisationen im niederländischen Gesundheitswesen bei der Einhaltung von NEN 7510 unterstützen. Das Unternehmen muss diese Anbieterzusicherungen trotzdem mit eigenen Implementierungsoptionen, anderen technologischen Kontrollen und Verwaltungsprozessen erweitern. Der Bericht weist bereits eine direkte 94-prozentige Abdeckung der gesamten Liste der anwendbaren Kontrollen auf. Für die verbleibenden Kontrollen stellt Microsoft im Bericht Anweisungen zur Verfügung, wie Compliance mit diesen Kontrollen nachgewiesen werden kann.

Hinweis

Die Implementierung der vollständigen Kontrollliste ist nicht der primäre Zweck von NEN 7510 (allerdings ist die umfassende Abdeckung der Microsoft-Onlinedienste hilfreich). NEN 7510 ordnet die Implementierung eines risikobasierten Informationssicherheitssystems an, mit dessen Hilfe eine Organisation ermitteln kann, welche Kontrollen für sie relevant sind.

Ist der NEN 7510-Abdeckungsbericht ein rechtlich bindendes Dokument?

Nein. Es ist ein unterstützendes Tool, das die internen Prozesse von Kunden zur Herstellung der Compliance mit NEN 7510 unterstützt und ihnen die Sicherheit und das Vertrauen gibt, dass die Compliance mit NEN 7510 erreicht werden kann. Der Bericht wurde vom unabhängigen Prüfunternehmen KPMG erstellt, ist beschreibender Art und enthält einen Haftungsausschluss.

Hat Microsoft den Bericht bezahlt?

Microsoft hat seine globalen Mechanismen den Kontrollen des NEN 7510-Standards zugeordnet. Anschließend hat Microsoft das unabhängige Prüfunternehmen KPMG damit beauftragt, die Zuordnung der Mechanismen zu den Kontrollen des NEN 7510-Standards unabhängig zu prüfen. Das Ergebnis dieser Prüfung ist der Bericht.

Können wir diesen Bericht weitergeben?

Der Bericht wird Ihnen im Rahmen einer Vertraulichkeitsvereinbarung (Non Disclosure Agreement, NDA) unter der Voraussetzung zur Verfügung gestellt, dass er nur der Information von Kunden dient und weder kopiert noch über andere Kanäle als das Microsoft Service Trust Portal offengelegt wird.

Kunden können den Bericht im Rahmen ihrer Compliance- oder Assurance-Prozesse an ihren eigenen internen oder externen Prüfer weitergeben.

Ressourcen