Einhaltung von Richtlinien in Microsoft Cloud for Healthcare
Microsoft Azure, Microsoft Dynamics 365, Microsoft 365 und Microsoft Power Platform Services und die zugrunde liegende Infrastruktur verwenden ein Sicherheits-Framework, das bewährte Methoden der Branche und mehrere Standards umfasst, darunter die ISO 27000-Standardfamilie, NIST 800 und andere. Im Rahmen unseres umfassenden Konformitäts-Angebots unterzieht sich Microsoft regelmäßig unabhängigen Audits, die von qualifizierten akkreditierten Dritt-Gutachtern durchgeführt werden.
Die Health Information Trust Alliance (HITRUST) ist eine Organisation, die von Vertretern der Gesundheitsbranche geleitet wird. HITRUST hat das Common Security Framework (CSF) erstellt und verwaltet es, ein zertifizierbares Framework, mit dem Gesundheitsorganisationen und ihre Anbieter ihre Sicherheit und Konformität auf konsistente und optimierte Weise nachweisen können. Das CSF baut auf dem HIPAA und dem HITECH Act auf und umfasst gesundheitsspezifische Sicherheits-, Datenschutz- und andere regulatorische Anforderungen aus bestehenden Frameworks wie dem PCI DSS, ISO 27001, EU Datenschutzgesetzte und -vorschriften, NIST und MARS-E. HITRUST bietet einen Maßstab – ein standardisiertes Framework für die Einhaltung der Vorschriften, eine Bewertung und einen Zertifizierungsprozess – an dem Cloud-Serviceanbieter und abgedeckte Entitäten im Gesundheitswesen die Einhaltung der Vorschriften messen können.
Microsoft ist einer der ersten Hyperscale-Cloud-Dienstanbieter, der eine Zertifizierung für HITRUST CSF erhalten hat. HIPAA Business Associate Agreement (BAA) klärt und begrenzt, wie der Geschäftspartner (Microsoft) mit geschützten Gesundheitsinformationen (PHI) umgehen kann, und legt für jede Partei zusätzliche Bedingungen in Bezug auf die in HIPAA und HITECH Act festgelegten Sicherheits- und Datenschutzbestimmungen fest. Die BAA ist automatisch ein Teil der Online-Servicebedingungen und gilt für Kunden, die versicherte Unternehmen oder Geschäftspartner sind und PHI speichern.
Die qualifizierenden Lizenzbedingungen für Microsoft 365/Office 365, Dynamics 365, Microsoft Power Platform, Azure und den Microsoft Health Bot Service finden Sie in den Bedingungen für Online-Dienste und den Microsoft-Datenschutzbestimmungen.
Microsoft Cloud for Healthcare und Onlinedienste (wie Office 365, Dynamics 365, Power Platform, Azure und der Healthcare Bot Service) (gemeinsam Microsoft Cloud for Healthcare)
sind nicht als Medizinprodukte gedacht und werden nicht als solche bereitgestellt
sind nicht für die Diagnose, Heilung, Behebung, Überwachung, Behandlung oder Vorbeugung einer Krankheit, einer Beschwerde oder eines Leidens vorgesehen und Microsoft gewährt keine Lizenz und kein Recht im Hinblick auf die Verwendung der Onlinedienste für solche Zwecke
sind nicht als Ersatz für eine professionelle medizinische Beratung, Diagnose, Behandlung oder Beurteilung konzipiert oder gedacht und sollten nicht als Ersatz für eine professionelle medizinische Beratung, Diagnose, Behandlung oder Beurteilung verwendet werden. Der Kunde sollte Microsoft Cloud for Healthcare nicht als Medizinprodukt verwenden. In dem Maße, in dem der Kunde Microsoft Cloud for Healthcare als medizinisches Gerät zur Verfügung stellt oder es für eine solche Verwendung in Betrieb nimmt, ist der Kunde allein für eine solche Verwendung verantwortlich und erkennt an, dass er der legale Hersteller in Bezug auf eine solche Verwendung wäre. Der Kunde ist allein dafür verantwortlich, den Endbenutzern seiner Implementierung von Microsoft Cloud for Healthcare die entsprechenden Einwilligungen, Warnhinweise, Haftungsausschlüsse und Bestätigungen anzuzeigen und/oder einzuholen. Der Kunde ist allein für jegliche Nutzung von Microsoft Cloud for Healthcare zur Erfassung, Speicherung, Übertragung, Verarbeitung oder Darstellung von Daten oder Informationen von Produkten Dritter (einschließlich medizinischer Geräte) verantwortlich.
Mehr über Microsofts Engagement für Datenschutz und Privatsphäre erfahren Sie in unserem Trust Center.
In den Geltungsbereich fallende Bestimmungen für Microsoft-Dienste
| Dienstleistung | HITRUST | Datenschutzgesetze und -vorschriften der EU | SOC 1 | SOC 2 | ISO 27017 | ISO 27001 |
|---|---|---|---|---|---|---|
| Azure Data Lake Storage Gen2 | Ja | Ja | Ja | Ja | Ja | Ja |
| Azure Health Bot | Ja | Ja | Ja | Ja | Ja | Ja |
| Azure Gesundheitsdatenservices | Ja | Ja | Ja | Ja | Ja | Ja |
| Azure Healthcare APIs | Ja | Ja | Ja | Ja | Ja | Ja |
| Azure IoT Hub | Ja | Ja | Ja | Ja | Ja | Ja |
| Azure Synapse Analytics | Ja | Ja | Ja | Ja | Ja | Ja |
| Chat Add-in für Dynamics 365 Customer Service (Omnichannel for Customer Service) | Ja | Ja | Ja | Ja | Ja | Ja |
| Customer Service Insights-Add-In für Microsoft Dynamics 365 Customer Service | Ja | Ja | Ja | Ja | Ja | Ja |
| Dataverse | Ja | Ja | Ja | Ja | Ja | Ja |
| Dynamics 365 Customer Insights | Ja | Ja | Ja | Ja | Ja | Ja |
| Dynamics 365 Customer Service | Ja | Ja | Ja | Ja | Ja | Ja |
| Dynamics 365 Customer Voice | Ja | Ja | Ja | Ja | Ja | Ja |
| Dynamics 365 Field Service | Ja | Ja | Ja | Ja | Ja | Ja |
| Dynamics 365 Marketing | Ja | Ja | Ja | Ja | Ja | Ja |
| Dynamics 365 Sales | Ja | Ja | Ja | Ja | Ja | Ja |
| Microsoft Purview | Ja | Ja | Ja | Ja | Ja | Ja |
| Microsoft Teams | Ja | Ja | Ja | Ja | Ja | Ja |
| Power Apps | Ja | Ja | Ja | Ja | Ja | Ja |
| Power Automate | Ja | Ja | Ja | Ja | Ja | Ja |
| Power BI | Ja | Ja | Ja | Ja | Ja | Ja |
Zusätzliche Ressourcen
- Trust Center
- Das neueste HITRUST-Zertifizierungsschreiben steht Kunden unter Service Trust Platform (STP) und HITRUST CSF Version zur Verfügung
- Microsoft 365 Datenresidenz und Datenschutz
- Azure Datenresidenz und Datenschutz
- Dynamics 365 und Power Platform-Datenresidenz und -Datenschutz
- Einhaltung gesetzlicher Vorgaben