NEN 7510

Información general de NEN 7510

Las organizaciones de los Países bajos que procesan la información de salud del paciente deben demostrar que tienen el control de los datos y que cumplen las especificaciones establecidas en la norma NEN 7510. Por sí misma, Microsoft no está sujeta a NEN 7510, pero los clientes en la nube del sector de la sanidad necesitan establecer que cumplen con NEN 7510 respecto a las soluciones basadas en la nube de Microsoft. Los servicios de nube de Microsoft experimentan diferentes certificaciones y auditorías periódicas, algunos de los cuales incluyen elementos estrechamente relacionados con los requisitos especificados en NEN 7510.

Microsoft y NEN 7510:2011

Microsoft ha analizado nuestras certificaciones y declaraciones de seguros actuales y ha creado un informe de cobertura de NEN 7510 (disponible en la Plataforma de confianza de servicios), que asigna esas certificaciones y declaraciones de garantía frente a los controles de NEN 7510 para los que Microsoft es responsable como proveedor de servicios de nube. Este documento puede ayudar a los clientes a determinar qué otros controles deben implementar para asegurarse de que su uso de los servicios de nube de Microsoft para almacenar o procesar la información sanitaria de pacientes cumple con la normativa NEN 7510.

Obtenga más información sobre cómo acelerar la implementación de la normativa NEN 7510 con los Planos técnicos de seguridad y cumplimiento de Azure: Descargar la guía de usuario de cobertura estándar de Microsoft Cloud: Azure y Office 365 NEN7510-2011

Servicios y plataformas en la nube dentro de Microsoft

  • Azure y Azure Government
  • Intune
  • Office 365

Office 365 e ISO 27001

entornos de Office 365

Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.

En esta sección se tratan los siguientes entornos de Office 365:

  • Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
  • Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
  • Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
  • Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
  • Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.

Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.

Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.

Aplicabilidad y servicios dentro Office 365

Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:

Aplicabilidad Servicios incluidos
Comercial Azure Information Protection, Bookings, Delve, Exchange Online, Exchange Online Protection, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, Microsoft To- Do for Web, MyAnalytics, Office 365 Cloud App Security, grupos de Office 365, OneDrive para la Empresa, Planner, Power Apps, Power Automate, Power BI para Office 365, PowerApps, SharePoint Online, Skype Empresarial, StaffHub, Stream, Sway, Viva Engage

Auditorías, informes y certificados

Preguntas más frecuentes

¿Un cliente que usa los servicios de nube de Microsoft cumple con la norma NEN 7510?

Demostrar el cumplimiento normativo de NEN es responsabilidad de la organización sanitaria (el “cliente”). Cuando se usa un proveedor de servicios de nube, los clientes suelen exigir garantías del proveedor y agregan su propia tecnología (adicional) y decisiones, elecciones y procesos de la organización. Esto da como resultado una evaluación general por parte del cliente de su cumplimiento de la normativa NEN 7510, que puede enviarse para su revisión o certificación a un auditor de terceros. El informe de cobertura de la norma NEN 7510 ofrece información acerca de los controles de la NEN 7510 que se encuentran en los servicios en la nube de Microsoft, pero no cubre el cumplimiento de un extremo a otro.

¿Microsoft cumple la norma NEN 7510?

La responsabilidad del cumplimiento de NEN 7510 se aplica a las organizaciones sanitarias holandesas. Requiere que la organización implemente un sistema de administración de seguridad de la información y que aborde los riesgos con las medidas técnicas y de la organización adecuadas. Para Microsoft, como proveedor de servicios de nube, el cumplimiento de la norma NEN 7510 no es un objetivo, ni es factible de forma técnica. Cuando un cliente implementa o usa los servicios en la nube de Microsoft, es posible que estos servicios estén en el ámbito de una evaluación de NEN 7510. Sin embargo, la organización debe agregar sus propios controles, elecciones y procesos (adicionales) que forman parte de la evaluación de NEN 7510 general. El objetivo del informe es demostrar que una entidad sanitaria puede adoptar los servicios en la nube de Microsoft de manera que cumpla con la normativa NEN 7510.

El informe no muestra una cobertura del 100 %. ¿No es factible el cumplimiento de NEN 7510?

Los servicios en la nube de Microsoft proporcionan muchos controles para ayudar a las organizaciones sanitarias holandesas con sus necesidades de cumplimiento de la normativa NEN 7510. Sin embargo, una organización debe complementar estas garantías de proveedor con sus propias opciones de implementación, controles de tecnología adicionales y procesos administrativos. El informe muestra que ya cuenta con un 94 % de cobertura directa de la lista completa de controles aplicables. Para los controles restantes, Microsoft ofrece directrices en el informe acerca de cómo se puede demostrar el cumplimiento de esos controles.

Nota:

La implementación de la lista completa de controles no es la finalidad principal de NEN 7510 (aunque la amplia cobertura de Microsoft Online Services resulta de ayuda). NEN 7510 establece la implementación de un sistema de seguridad de la información basado en riesgos que la organización pueda usar para determinar qué controles son aplicables.

¿El informe de cobertura de NEN 7510 es un documento jurídicamente vinculante?

No. Es una herramienta de ayuda para el proceso de garantía de NEN 7510 interno del cliente y le ayuda a establecer la confianza en que es viable el cumplimiento de NEN 7510. El informe (creado por un auditor independiente, KPMG) tiene un estado descriptivo y contiene una renuncia legal.

¿Pagó Microsoft por el informe?

Microsoft creó una asignación entre sus garantías globales y los controles en la norma NEN 7510. Posteriormente, Microsoft contrató a KPMG, un auditor independiente, para realizar una revisión independiente de la asignación de controles a NEN 7510, a partir de la cual se creó el informe.

¿Podemos compartir este informe?

El informe se le proporciona con un acuerdo de no divulgación (NDA), partiendo de la base de que solo se usará para informar a los clientes y que no se va a copiar o revelar por otros canales que no sea el Portal de confianza de servicios de Microsoft.

Los clientes pueden compartir el informe con su auditor interno o externo como parte de sus procesos de cumplimiento o garantía.

Recursos