Naleving in Microsoft Cloud voor de gezondheidszorg

  • Artikel
  • 3 minuten om te lezen

De services en de onderliggende infrastructuur van Microsoft Azure​, Microsoft Dynamics 365, Microsoft 365 en Microsoft Power Platform maken gebruik van een beveiligingsraamwerk dat de beste methoden uit de branche en meerdere standaarden omvat, waaronder de ISO 27000-familie van standaarden, NIST 800 en andere. Als onderdeel van ons uitgebreide aanbod voor naleving, ondergaat Microsoft regelmatig onafhankelijke audits die worden uitgevoerd door gekwalificeerde, door derden geaccrediteerde beoordelaars.

De Health Information Trust Alliance (HITRUST) is een organisatie die wordt bestuurd door vertegenwoordigers uit de gezondheidszorg. HITRUST heeft het Common Security Framework (CSF) opgezet, een certificeerbaar raamwerk waarmee zorgorganisaties en hun zorgverleners op een consistente en gestroomlijnde manier kunnen aantonen dat ze veilig werken en voldoen aan de nalevingseisen. CSF bouwt voort op HIPAA en de HITECH Act en omvat zorgspecifieke beveiligings-, privacy- en andere regelgevingsvereisten uit bestaande kaders zoals de PCI DSS, ISO 27001, EU GDPR, NIST en MARS-E.

HITRUST biedt een benchmark - een gestandaardiseerd nalevingskader, beoordelings- en certificeringsproces - waarmee cloudserviceproviders en gedekte gezondheidsentiteiten de naleving kunnen meten. HITRUST biedt 3 waarborg- of beoordelingsniveaus: zelfbeoordeling, CSF-gevalideerd en CSF-gecertificeerd. Elk niveau bouwt met toenemende nauwkeurigheid voort op het voorafgaande niveau. Een organisatie met het hoogste niveau, CSF-gecertificeerd, voldoet aan alle CSF-certificeringseisen.

Microsoft is een van de eerste hyperscale cloudserviceproviders die certificering heeft ontvangen voor HITRUST CSF. HIPAA Business Associate Agreement (BAA) verduidelijkt en beperkt hoe de zakenpartner (Microsoft) beschermde gezondheidsinformatie (PHI) kan verwerken en zet aanvullende voorwaarden uiteen voor elke partij met betrekking tot de beveiligings- en privacybepalingen uit HIPAA en de HITECH Act. BAA wordt automatisch opgenomen als onderdeel van Voorwaarden voor onlineservices en is van toepassing op klanten die gedekte entiteiten of zakenpartners zijn en PHI opslaan. De wettelijke nalevingsnormen die van toepassing zijn op bepaalde functies die worden aangeboden via de Microsoft Healthcare-invoegtoepassing zijn te vinden in het compliancedocument (PDF).

In de Specifieke voorwaarden voor de Microsoft Healthcare-invoegtoepassing wordt toegelicht wat de rechten en plichten van u en Microsoft zijn met betrekking tot wettelijke nalevingsnormen voor klantgegevens en niet-Microsoft-productgegevens, uitsluitend in verband met uw gebruik van de Microsoft Healthcare-invoegtoepassing.

De kwalificerende licentievoorwaarden voor Microsoft 365/Office 365, Dynamics 365, Microsoft Power Platform, Azure en de Microsoft Health Bot-service vindt u in Online Servicevoorwaarden en de Microsoft Privacyverklaring, en zijn een vereiste voor uw gebruik van de Healthcare-invoegtoepassing SKU.

De invoegtoepassing Microsoft Cloud voor de gezondheidszorg en online services (Office 365, Dynamics 365, Power Platform, Azure en de Health Bot-service) (gezamenlijk Microsoft Cloud voor de gezondheidszorg) (1) zijn niet bedoeld of beschikbaar gesteld als medisch apparaat, (2) zijn niet ontworpen of bedoeld om te worden gebruikt bij de diagnose, genezing, verlichting, monitoring, behandeling of preventie van een ziekte, aandoening of ziekte, en Microsoft verleent geen vergunning of het recht om de invoegtoepassing voor de gezondheidszorg of online services voor dergelijke doeleinden te gebruiken, en (3) zijn niet ontworpen of bedoeld ter vervanging van professioneel medisch advies, diagnose, behandeling of oordeel en mogen niet worden gebruikt ter vervanging of als substituut van professioneel medisch advies, diagnose, behandeling of oordeel. Klanten moeten Microsoft Cloud voor de gezondheidszorg niet gebruiken als medisch hulpmiddel. Voor zover de klant Microsoft Cloud voor de gezondheidszorg beschikbaar stelt als medisch hulpmiddel, of het voor dergelijk gebruik in gebruik neemt, is de klant als enige verantwoordelijk voor dergelijk gebruik en erkent deze de wettelijke fabrikant te zijn met betrekking tot dergelijk gebruik. De klant is als enige verantwoordelijk voor het weergeven aan eindgebruikers en/of het verkrijgen van de juiste toestemmingen, waarschuwingen, disclaimers en erkenningen van de implementatie van Microsoft Cloud voor de gezondheidszorg. De klant is als enige verantwoordelijk voor enig gebruik van Microsoft Cloud voor de gezondheidszorg voor het verzamelen, opslaan, verzenden, verwerken of weergeven van gegevens of informatie van producten van derden (inclusief medische apparaten).

De wettelijke nalevingsnormen die van toepassing zijn op bepaalde functies die worden aangeboden via de Microsoft Healthcare-invoegtoepassing zijn te vinden in het compliancedocument (PDF). Meer informatie over de toezeggingen van Microsoft op het gebied van gegevensbescherming en privacy en de Microsoft Healthcare-invoegtoepassing vindt u in ons Vertrouwenscentrum.

HIPAA- en HITECH-services in het bereik

  • Dynamics 365 Customer Service
  • Invoegtoepassing voor digitale berichtgeving voor Dynamics 365 Customer Service
  • Chat-invoegtoepassing voor Dynamics 365 Customer Service/Omnichannel voor klantenservice
  • Dynamics 365 Marketing
  • Dynamics 365 Field Service
  • Dynamics 365 Universal Resource Scheduling
  • Dynamics 365 Resource Scheduling Optimization
  • Power BI
  • Power Apps
  • Power Automate
  • Microsoft Dataverse
  • Azure Healthcare APIs (preview)
  • Azure IOT-hub
  • Microsoft Teams

Extra resources