NEN 7510NEN 7510

Panoramica sulla norma NEN 7510NEN 7510 overview

Le organizzazioni dei Paesi Bassi che elaborano le informazioni sanitarie dei pazienti devono dimostrare di avere il controllo di tali dati e di essere conformi ai requisiti stabiliti dalla norma NEN 7510.Organizations in the Netherlands that process patient health information must demonstrate control over that data and their organization consistent with the requirements set out in the NEN 7510 standard. Microsoft non è soggetta alla norma NEN 7510, ma i suoi clienti cloud nel settore sanitario devono dimostrare di essere conformi a tale norma per quanto riguarda le soluzioni basate sul cloud Microsoft.Microsoft is not itself subject to NEN 7510, but its cloud customers in the healthcare sector need to establish that they comply with NEN 7510 regarding solutions built on the Microsoft Cloud. I servizi cloud Microsoft sono sottoposti a varie certificazioni e controlli periodici, alcuni dei quali includono elementi strettamente correlati ai requisiti specificati nella norma NEN 7510.Microsoft cloud services undergo various periodic certifications and audits, some of which include elements closely related to requirements specified in NEN 7510.

Microsoft e NEN 7510:2011Microsoft and NEN 7510:2011

Microsoft ha analizzato le attuali certificazioni e dichiarazioni di affidabilità e ha creato un report della copertura della norma NEN 7510 (disponibile sulla Service Trust Platform) in cui viene eseguita la mappatura di tali certificazioni e dichiarazioni rispetto ai controlli della norma NEN 7510 di cui Microsoft è responsabile in qualità di fornitore di servizi cloud.Microsoft has analyzed our current certifications and assurance statements and created a NEN 7510 coverage report (available on the Service Trust Platform), which maps those certifications and assurance statements against the NEN 7510 controls for which Microsoft is responsible as a cloud service provider. Questo documento consente ai clienti di stabilire quali controlli aggiuntivi implementare per garantire che l'utilizzo dei servizi cloud Microsoft per l'archiviazione o l'elaborazione delle informazioni sanitarie dei pazienti sia conforme alla norma NEN 7510.This document can help customers determine which additional controls they must implement to ensure that their use of Microsoft cloud services for the storage or processing of patient health information complies with NEN 7510.

Per informazioni su come accelerare la distribuzione della norma NEN 7510 con i progetti di sicurezza e conformità di Azure: Scaricare la guida per l'utente Microsoft Cloud — Azure and Office 365 NEN7510-2011 Standard CoverageLearn how to accelerate your NEN 7510 deployment with our Azure Security and Compliance Blueprints: Download the Microsoft Cloud — Azure and Office 365 NEN7510-2011 Standard Coverage User Guide

Servizi cloud Microsoft in ambitoMicrosoft in-scope cloud services

Controlli, report e certificatiAudits, reports, and certificates

Domande frequentiFrequently asked questions

I clienti che usano i Microsoft Online Services sono conformi alla norma NEN 7510?Is a customer that uses Microsoft Online Services compliant with NEN 7510?

Dimostrare la conformità alla norma NEN è responsabilità dell'organizzazione sanitaria ("il cliente").Demonstrating NEN compliance is the responsibility of the healthcare organization (the “customer”). Quando si utilizza un fornitore di servizi cloud, i clienti in genere richiedono garanzie al fornitore e aggiungono decisioni, scelte e processi tecnologici e organizzativi personali (supplementari).When using a cloud services vendor, customers typically demand assurances from the vendor, and add their own (additional) technology and organizational decisions, choices, and processes. Il risultato è una valutazione complessiva da parte del cliente sulla conformità alla norma NEN 7510, che può essere presentata per il controllo o la certificazione a un revisore di terze parti.This results in an overall assessment by the customer on its NEN 7510 compliance, which can be submitted for review or certification to a third-party auditor. Il report sulla copertura della norma NEN 7510 fornisce informazioni su quali controlli NEN 7510 sono coperti dai Microsoft Online Services, ma, di conseguenza, non copre la conformità end-to-end.The NEN 7510 coverage report provides insight into which NEN 7510 controls are covered by Microsoft Online Services, but, as such, does not cover end-to-end compliance.

Microsoft è conforme alla norma NEN 7510?Is Microsoft compliant with NEN 7510?

La responsabilità della conformità alla norma NEN 7510 si applica alle organizzazioni sanitarie olandesi.The responsibility for NEN 7510 compliance is applicable to Dutch Healthcare organizations. Richiede che l'organizzazione implementi un sistema di gestione della sicurezza delle informazioni e affronti i rischi con misure tecniche ed organizzative appropriate.It requires the organization to implement an information security management system and to address risk with appropriate technical and organizational measures. Per Microsoft, nel ruolo di fornitore di servizi cloud, la conformità alla norma NEN 7510 non è l'obiettivo, né è tecnicamente fattibile.For Microsoft in its role as cloud service provider, NEN 7510 compliance is not the objective, nor is it technically feasible. Se un cliente implementa o utilizza i Microsoft Online Services, tali servizi potrebbero rientrare nell'ambito di una valutazione della norma NEN 7510.When a customer implements or uses Microsoft Online Services, those services may be in scope of a NEN 7510 evaluation. Tuttavia, l'organizzazione deve aggiungere controlli, scelte e processi personali (supplementari) che fanno parte della valutazione complessiva della norma NEN 7510.However, the organization must add its own (additional) controls, choices, and processes that are part of the overall NEN 7510 evaluation. L'obiettivo del report è dimostrare che un'entità sanitaria può adottare i Microsoft Online Services in modo conforme alla norma NEN 7510.The objective of the report is to demonstrate that a Healthcare entity can adopt the Microsoft Online Services in a manner that is compliant with NEN 7510.

Il report non mostra una copertura del 100%. La conformità alla norma NEN 7510 non è fattibile?The report does not show 100% coverage. Is NEN 7510 compliance not feasible?

I Microsoft Online Services forniscono molti controlli che consentono alle organizzazioni sanitarie olandesi di soddisfare le esigenze di conformità alla norma NEN 7510.Microsoft Online Services provides many controls that help organizations within Dutch Healthcare with their NEN 7510 compliance needs. Tuttavia, un'organizzazione deve integrare le garanzie dei fornitore con scelte di implementazione, controlli tecnologici aggiuntivi e processi amministrativi personali.However, an organization needs to complement those vendor assurances with their own implementation choices, additional technology controls, and administrative processes. Il report indica già oltre il 94% di copertura diretta dell'elenco completo dei controlli applicabili.The report shows already over 94% direct coverage of the full list of applicable controls. Per gli altri controlli, Microsoft fornisce nel report indicazioni su come dimostrarne la conformità.For the remaining controls, Microsoft provides guidance in the report on how compliance with those controls can be demonstrated.

Nota

L'implementazione dell'elenco completo di controlli non è lo scopo principale della norma NEN 7510, anche se la vasta copertura dei Microsoft Online Services è di grande utilità.Implementing the full list of controls is not the primary purpose of NEN 7510 (although the large coverage of Microsoft Online Services does help). La norma NEN 7510 richiede l'implementazione di un sistema di sicurezza delle informazioni basato sui rischi che può essere utilizzato da un'organizzazione per individuare i controlli applicabili.NEN 7510 mandates the implementation of a risk-based information security system that can be used by an organization to determine which controls are applicable to them.

Il report sulla copertura della norma NEN 7510 è un documento giuridicamente vincolante?Is the NEN 7510 coverage report a legal binding document?

No.No. Si tratta di uno strumento di supporto per il processo interno di garanzia della norma NEN 7510 del cliente che conferma la fattibilità della conformità a tale norma.It is a supporting tool for the customer’s internal NEN 7510 assurance process and helps to establish confidence and trust that NEN 7510 compliance is feasible. Il report, creato da un revisore indipendente, KPMG, ha uno stato descrittivo e include una dichiarazione di non responsabilità legale.The report (created by independent auditor, KPMG) has a descriptive status and includes a legal disclaimer.

Il report è stato pagato da Microsoft?Did Microsoft pay for the report?

Microsoft ha creato una mappatura tra le garanzie globali e i controlli della norma NEN 7510.Microsoft created a mapping between its global assurances to the controls in the NEN 7510 standard. Microsoft ha quindi assunto KPMG, un revisore indipendente, per eseguire una revisione indipendente della mappatura dei controlli della norma NEN 7510, che ha generato il report.Microsoft then hired KPMG (an independent auditor) to perform an independent review on the control mapping to NEN 7510, which resulted in the report.

Il report può essere condiviso?Can we share this report?

Il report viene fornito nell'ambito di un accordo di non divulgazione (NDA), sulla base del fatto che è a solo titolo informativo per i clienti e che non sarà copiato o divulgato mediante canali diversi dal portale Microsoft Service Trust.The report is provided with you under a non-disclosure agreement (NDA), on the basis that it is for customer information only and that it will not be copied or disclosed via other channels than the Microsoft Service Trust Portal.

I clienti possono condividere il report con il proprio revisore interno o esterno nell'ambito dei processi di conformità o garanzia.Customers can share the report with their own internal or external auditor as part of their compliance or assurance processes.

RisorseResources