NEN 7510NEN 7510

Übersicht über NEN 7510NEN 7510 overview

Organisationen in den Niederlanden, die Gesundheitsdaten von Patienten verarbeiten, müssen nachweisen, dass sie die Kontrolle über diese Daten haben und die im Standard NEN 7510 festgelegten Anforderungen erfüllen.Organizations in the Netherlands that process patient health information must demonstrate control over that data and their organization consistent with the requirements set out in the NEN 7510 standard. Microsoft unterliegt zwar nicht selbst dem NEN 7510-Standard, aber seine Cloudkunden im Gesundheitswesen müssen Compliance mit NEN 7510 für Lösungen auf Basis der Microsoft Cloud nachweisen.Microsoft is not itself subject to NEN 7510, but its cloud customers in the healthcare sector need to establish that they comply with NEN 7510 regarding solutions built on the Microsoft Cloud. Microsoft-Clouddienste werden regelmäßig verschiedenen Zertifizierungen und Prüfungen unterzogen. Einige dieser Zertifizierungen und Prüfungen enthalten Elemente, die eng an den im Standard NEN 7510 festgelegten Anforderungen ausgerichtet sind.Microsoft cloud services undergo various periodic certifications and audits, some of which include elements closely related to requirements specified in NEN 7510.

Microsoft und NEN 7510:2011Microsoft and NEN 7510:2011

Microsoft hat seine aktuellen Zertifizierungen und Erklärungen analysiert und einen NEN 7510-Abdeckungsbericht erstellt und auf der Service Trust Platform bereitgestellt. In diesem Bericht werden die Zertifizierungen und Erklärungen den NEN 7510-Kontrollen zugeordnet, für die Microsoft als Clouddienstanbieter verantwortlich ist.Microsoft has analyzed our current certifications and assurance statements and created a NEN 7510 coverage report (available on the Service Trust Platform), which maps those certifications and assurance statements against the NEN 7510 controls for which Microsoft is responsible as a cloud service provider. Anhand dieses Dokuments können Kunden ermitteln, welche zusätzlichen Kontrollen sie implementieren müssen, um sicherzustellen, dass ihre Verwendung von Microsoft-Clouddiensten für die Speicherung oder Verarbeitung von Patientendaten die Anforderungen von NEN 7510 erfüllt.This document can help customers determine which additional controls they must implement to ensure that their use of Microsoft cloud services for the storage or processing of patient health information complies with NEN 7510.

Erfahren Sie, wie Sie Ihre NEN 7510-Implementierung mithilfe der Azure Security and Compliance Blueprints beschleunigen können: Benutzerleitfaden zur NEN 7510:2011-Standardabdeckung durch die Microsoft Cloud (Azure und Office 365) herunterladenLearn how to accelerate your NEN 7510 deployment with our Azure Security and Compliance Blueprints: Download the Microsoft Cloud — Azure and Office 365 NEN7510-2011 Standard Coverage User Guide

Microsoft Cloud Services im LeistungsumfangMicrosoft in-scope cloud services

Prüfungen, Berichte und ZertifikateAudits, reports, and certificates

Häufig gestellte FragenFrequently asked questions

Stellen Kunden, die Microsoft-Onlinedienste verwenden, eine Compliance mit NEN 7510 her?Is a customer that uses Microsoft Online Services compliant with NEN 7510?

Der Nachweis der NEN-Compliance liegt in der Verantwortung der Organisation aus dem Gesundheitssektor („Kunde“).Demonstrating NEN compliance is the responsibility of the healthcare organization (the “customer”). Wenn ein Kunde mit einem Clouddienstanbieter zusammenarbeitet, fordert er in der Regel einen Nachweis vom Anbieter und muss eigene (zusätzliche) technische und betriebliche Funktionen, Auswahlmöglichkeiten und Prozesse einrichten.When using a cloud services vendor, customers typically demand assurances from the vendor, and add their own (additional) technology and organizational decisions, choices, and processes. Dies führt zu einer Gesamtbewertung durch den Kunden hinsichtlich seiner NEN 7510-Compliance, die zur Prüfung oder Zertifizierung an unabhängige Drittprüfer gesendet werden kann.This results in an overall assessment by the customer on its NEN 7510 compliance, which can be submitted for review or certification to a third-party auditor. Der NEN 7510-Abdeckungsbericht stellt Einsichten in die NEN 7510-Kontrollen bereit, die von Microsoft-Onlinediensten abgedeckt werden, stellt jedoch keine End-to-End-Compliance her.The NEN 7510 coverage report provides insight into which NEN 7510 controls are covered by Microsoft Online Services, but, as such, does not cover end-to-end compliance.

Hat Microsoft Compliance mit NEN 7510 erzielt?Is Microsoft compliant with NEN 7510?

Die Verantwortung für die Compliance mit NEN 7510 liegt bei niederländischen Organisationen im Gesundheitswesen.The responsibility for NEN 7510 compliance is applicable to Dutch Healthcare organizations. Das Unternehmen muss ein Managementsystem für Informationssicherheit einrichten und Risiken mit entsprechenden technischen und betrieblichen Maßnahmen entgegenwirken.It requires the organization to implement an information security management system and to address risk with appropriate technical and organizational measures. Für Microsoft in seiner Rolle als Clouddienstanbieter ist Compliance mit NEN 7510 weder das Ziel noch technisch machbar.For Microsoft in its role as cloud service provider, NEN 7510 compliance is not the objective, nor is it technically feasible. Wenn ein Kunde Microsoft-Onlinedienste implementiert oder verwendet, können diese Dienste zum Umfang einer NEN 7510-Bewertung gehören.When a customer implements or uses Microsoft Online Services, those services may be in scope of a NEN 7510 evaluation. Die Organisation muss jedoch ihre eigenen (zusätzlichen) Kontrollen, Wahlmöglichkeiten und Prozesse hinzufügen, die Teil der NEN 7510-Gesamtbewertung sind.However, the organization must add its own (additional) controls, choices, and processes that are part of the overall NEN 7510 evaluation. Ziel des Berichts ist der Nachweis, dass eine Organisation aus dem Gesundheitssektor die Microsoft-Onlinedienste auf eine Weise nutzen kann, die die NEN 7510-Complianceanforderungen erfüllt.The objective of the report is to demonstrate that a Healthcare entity can adopt the Microsoft Online Services in a manner that is compliant with NEN 7510.

Der Bericht weist keine 100-prozentige Abdeckung nach. Kann die NEN 7510-Compliance nicht erzielt werden?The report does not show 100% coverage. Is NEN 7510 compliance not feasible?

Microsoft-Onlinedienste bieten viele Kontrollen, die Organisationen im niederländischen Gesundheitswesen bei der Erreichung von NEN 7510-Compliance unterstützen.Microsoft Online Services provides many controls that help organizations within Dutch Healthcare with their NEN 7510 compliance needs. Das Unternehmen muss diese Anbieterfunktionen trotzdem mit eigenen Implementierungsmöglichkeiten, zusätzlichen technologischen Kontrollen und Verwaltungsprozessen erweitern.However, an organization needs to complement those vendor assurances with their own implementation choices, additional technology controls, and administrative processes. Der Bericht weist bereits eine direkte 94-prozentige Abdeckung der gesamten Liste der anwendbaren Kontrollen auf.The report shows already over 94% direct coverage of the full list of applicable controls. Für die verbleibenden Kontrollen stellt Microsoft im Bericht Anweisungen zur Verfügung, wie Compliance mit diesen Kontrollen nachgewiesen werden kann.For the remaining controls, Microsoft provides guidance in the report on how compliance with those controls can be demonstrated.

Hinweis

Die Implementierung der vollständigen Kontrollliste ist nicht der primäre Zweck von NEN 7510 (allerdings ist die umfassende Abdeckung der Microsoft-Onlinedienste hilfreich).Implementing the full list of controls is not the primary purpose of NEN 7510 (although the large coverage of Microsoft Online Services does help). NEN 7510 ordnet die Implementierung eines risikobasierten Informationssicherheitssystems an, mit dessen Hilfe eine Organisation ermitteln kann, welche Kontrollen für sie relevant sind.NEN 7510 mandates the implementation of a risk-based information security system that can be used by an organization to determine which controls are applicable to them.

Ist der NEN 7510-Abdeckungsbericht ein rechtlich bindendes Dokument?Is the NEN 7510 coverage report a legal binding document?

Nein.No. Es handelt sich um ein Tool, das die internen Prozesse von Kunden zur Herstellung der Compliance mit NEN 7510 unterstützt und ihnen die Sicherheit geben soll, dass die Compliance mit NEN 7510 erreicht werden kann.It is a supporting tool for the customer’s internal NEN 7510 assurance process and helps to establish confidence and trust that NEN 7510 compliance is feasible. Der Bericht wurde vom unabhängigen Prüfunternehmen KPMG erstellt, ist beschreibender Art und enthält einen Haftungsausschluss.The report (created by independent auditor, KPMG) has a descriptive status and includes a legal disclaimer.

Hat Microsoft den Bericht bezahlt?Did Microsoft pay for the report?

Microsoft hat seine globalen Mechanismen den Kontrollen des NEN 7510-Standards zugeordnet.Microsoft created a mapping between its global assurances to the controls in the NEN 7510 standard. Anschließend hat Microsoft das unabhängige Prüfunternehmen KPMG damit beauftragt, die Zuordnung der Mechanismen zu den Kontrollen des NEN 7510-Standards unabhängig zu prüfen. Das Ergebnis dieser Prüfung ist der Bericht.Microsoft then hired KPMG (an independent auditor) to perform an independent review on the control mapping to NEN 7510, which resulted in the report.

Können wir diesen Bericht weitergeben?Can we share this report?

Der Bericht wird Ihnen im Rahmen einer Vertraulichkeitsvereinbarung (Non Disclosure Agreement, NDA) unter der Voraussetzung zur Verfügung gestellt, dass er nur der Information von Kunden dient und weder kopiert noch über andere Kanäle als das Microsoft Service Trust Portal offengelegt wird.The report is provided with you under a non-disclosure agreement (NDA), on the basis that it is for customer information only and that it will not be copied or disclosed via other channels than the Microsoft Service Trust Portal.

Kunden können den Bericht im Rahmen ihrer Compliance- oder Assurance-Prozesse an ihren eigenen internen oder externen Prüfer weitergeben.Customers can share the report with their own internal or external auditor as part of their compliance or assurance processes.

RessourcenResources