NEN 7510

Panoramica sulla norma NEN 7510

Le organizzazioni dei Paesi Bassi che elaborano le informazioni sanitarie dei pazienti devono dimostrare di avere il controllo di tali dati e di essere conformi ai requisiti stabiliti dalla norma NEN 7510. Microsoft non è soggetta alla norma NEN 7510, ma i suoi clienti cloud nel settore sanitario devono dimostrare di essere conformi a tale norma per quanto riguarda le soluzioni basate sul cloud Microsoft. I servizi cloud Microsoft sono sottoposti a varie certificazioni e controlli periodici, alcuni dei quali includono elementi strettamente correlati ai requisiti specificati nella norma NEN 7510.

Microsoft e NEN 7510:2011

Microsoft ha analizzato le attuali certificazioni e dichiarazioni di affidabilità e ha creato un report della copertura della norma NEN 7510 (disponibile sulla Service Trust Platform) in cui viene eseguita la mappatura di tali certificazioni e dichiarazioni rispetto ai controlli della norma NEN 7510 di cui Microsoft è responsabile in qualità di fornitore di servizi cloud. Questo documento consente ai clienti di stabilire quali controlli aggiuntivi implementare per garantire che l'uso dei servizi cloud Microsoft per l'archiviazione o l'elaborazione delle informazioni sanitarie dei pazienti sia conforme alla norma NEN 7510.

Per informazioni su come accelerare la distribuzione della norma NEN 7510 con i progetti di sicurezza e conformità di Azure: Scaricare la guida per l'utente Microsoft Cloud: Azure and Office 365 NEN7510-2011 Standard Coverage

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

  • Azure e Azure per enti pubblici
  • Intune
  • Office 365

Office 365 e ISO 27001

ambienti Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione illustra gli ambienti di Office 365 seguenti:

  • Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
  • Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
  • Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
  • Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
  • Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità Servizi inclusi nell'ambito
Commerciale Azure Information Protection, Bookings, Delve, Exchange Online, Exchange Online Protection, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, Microsoft To- Do for Web, MyAnalytics, Office 365 Cloud App Security, gruppi di Office 365, OneDrive for Business, Planner, Power Apps, Power Automate, Power BI per Office 365, PowerApps, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage

Controlli, report e certificati

Domande frequenti

I clienti che usano i servizi cloud Microsoft sono conformi alla norma NEN 7510?

Dimostrare la conformità alla norma NEN è responsabilità dell'organizzazione sanitaria ("il cliente"). Quando si usa un fornitore di servizi cloud, i clienti in genere richiedono garanzie al fornitore e aggiungono decisioni, scelte e processi tecnologici e organizzativi personali (supplementari). Il risultato è una valutazione complessiva da parte del cliente sulla conformità alla norma NEN 7510, che può essere presentata per il controllo o la certificazione a un revisore di terze parti. Il report sulla copertura della norma NEN 7510 fornisce informazioni dettagliate su quali controlli NEN 7510 sono inclusi nei servizi cloud Microsoft, tuttavia, di conseguenza, non include la conformità end-to-end.

Microsoft è conforme alla norma NEN 7510?

La responsabilità della conformità alla norma NEN 7510 si applica alle organizzazioni sanitarie olandesi. Richiede che l'organizzazione implementi un sistema di gestione della sicurezza delle informazioni e affronti i rischi con misure tecniche ed organizzative appropriate. Per Microsoft, nel ruolo di fornitore di servizi cloud, la conformità alla norma NEN 7510 non è l'obiettivo, né è tecnicamente fattibile. Se un cliente implementa o utilizza i servizi cloud Microsoft, tali servizi potrebbero rientrare nell'ambito di una valutazione della norma NEN 7510. Tuttavia, l'organizzazione deve aggiungere controlli, scelte e processi personali (supplementari) che fanno parte della valutazione complessiva della norma NEN 7510. L'obiettivo del report è dimostrare che un'entità sanitaria può adottare i servizi cloud Microsoft in modo conforme alla norma NEN 7510.

Il report non mostra una copertura del 100%. La conformità NEN 7510 non è fattibile?

I servizi cloud Microsoft forniscono molti controlli che consentono alle organizzazioni sanitarie olandesi di soddisfare le esigenze di conformità alla norma NEN 7510. Tuttavia, un'organizzazione deve integrare le garanzie dei fornitore con scelte di implementazione, controlli tecnologici aggiuntivi e processi amministrativi personali. Il report indica già oltre il 94% di copertura diretta dell'elenco completo dei controlli applicabili. Per gli altri controlli, Microsoft fornisce nel report indicazioni su come dimostrarne la conformità.

Nota

L'implementazione dell'elenco completo di controlli non è lo scopo principale della norma NEN 7510, anche se la vasta copertura dei Microsoft Online Services è di grande utilità. La norma NEN 7510 richiede l'implementazione di un sistema di sicurezza delle informazioni basato sui rischi che può essere utilizzato da un'organizzazione per individuare i controlli applicabili.

Il report sulla copertura della norma NEN 7510 è un documento giuridicamente vincolante?

No. Si tratta di uno strumento di supporto per il processo interno di garanzia della norma NEN 7510 del cliente che conferma la fattibilità della conformità a tale norma. Il report, creato da un revisore indipendente, KPMG, ha uno stato descrittivo e include una dichiarazione di non responsabilità legale.

Il report è stato pagato da Microsoft?

Microsoft ha creato una mappatura tra le garanzie globali e i controlli della norma NEN 7510. Microsoft ha quindi assunto KPMG, un revisore indipendente, per eseguire una revisione indipendente della mappatura dei controlli della norma NEN 7510, che ha generato il report.

Il report può essere condiviso?

Il report viene fornito nell'ambito di un accordo di non divulgazione (NDA), sulla base del fatto che è a solo titolo informativo per i clienti e che non sarà copiato o divulgato mediante canali diversi dal portale Microsoft Service Trust.

I clienti possono condividere il report con il proprio revisore interno o esterno nell'ambito dei processi di conformità o garanzia.

Risorse