NEN 7510

Visão geral do NEN 7510

As organizações dos Países Baixos que processam informações de saúde de pacientes devem demonstrar controle sobre esses dados e a organização deve obedecer os requisitos estabelecidos pelo padrão NEN 7510. A Microsoft não está sujeita ao NEN 7510, mas seus clientes de nuvem no setor de assistência médica precisam indicar que estão em conformidade com o NEN 7510 em relação a soluções criadas no Microsoft Cloud. Os serviços de nuvem da Microsoft passam por várias certificações e auditorias periódicas e algumas incluem elementos intimamente relacionados aos requisitos especificados no NEN 7510.

Microsoft e NEN 7510:2011

A Microsoft analisou nossas declarações de certificação e garantia atuais e criou um relatório sobre a cobertura do NEN 7510 (disponível na Service Trust Platform) que mapeia essas certificações e declarações de garantia em relação aos controles do NEN 7510 pelos quais a Microsoft é responsável enquanto provedor de serviços de nuvem. Este documento pode ajudar os clientes a determinar quais outros controles eles devem implementar para garantir que o uso dos serviços em nuvem da Microsoft para o armazenamento ou processamento de informações de saúde do paciente esteja em conformidade com a NEN 7510.

Saiba como acelerar sua implantação do NEN 7510 com nossos Blueprints de Conformidade e Segurança do Azure: Baixe o Microsoft Cloud: Guia do usuário da cobertura do padrão NEN7510-2011 do Azure e do Office 365

Plataformas e serviços em nuvem no escopo da Microsoft

  • Azure e Azure Governamental
  • Intune
  • Office 365

Office 365 e ISO 27001

Ambientes da nuvem do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes em nuvem do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Proteção de Informações do Azure, Bookings, Exchange Online, Proteção do Exchange Online, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, Microsoft To-Do para Web, MyAnalytics, Office 365 Cloud App Security, Grupos do Office 365, OneDrive for Business, Planner, Power Apps, Power Automate, Power BI para Office 365, PowerApps, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Yammer Enterprise

Auditorias, relatórios e certificados

Perguntas frequentes

Um cliente que usa os serviços em nuvem da Microsoft está em conformidade com o NEN 7510?

A demonstração da conformidade com o NEN é uma responsabilidade da organização de saúde (o "cliente"). Ao usar um fornecedor de serviços em nuvem, os clientes normalmente exigem garantias do fornecedor e adicionam sua própria (outra) tecnologia e decisões organizacionais, escolhas e processos. Esse esforço resulta em uma avaliação geral do cliente quanto à sua conformidade com o NEN 7510, que pode ser submetida para revisão ou certificação a um auditor externo. O relatório de cobertura do NEN 7510 fornece informações sobre quais controles do NEN 7510 são cobertos pelos serviços em nuvem da Microsoft, mas, como tal, não abrange a conformidade de ponta a ponta.

A Microsoft está em conformidade com o NEN 7510?

A responsabilidade pela conformidade com o NEN 7510 aplica-se a organizações de assistência médica holandesas. Ela exige que a organização implemente um sistema de gerenciamento de segurança das informações e trate do risco com medidas técnicas e organizacionais apropriadas. Para a Microsoft, no papel de provedor de serviços de nuvem, a conformidade com o NEN 7510 não é o objetivo nem é tecnicamente viável. Quando um cliente implementa ou utiliza os serviços em nuvem da Microsoft, esses serviços podem estar no escopo de uma avaliação do NEN 7510. No entanto, a organização deve adicionar seus próprios (outros) controles, escolhas e processos que fazem parte da avaliação geral da NEN 7510. O objetivo do relatório é demonstrar que uma entidade de assistência médica pode adotar os serviços em nuvem da Microsoft em conformidade com o NEN 7510.

O relatório não mostra uma cobertura total. A conformidade com o NEN 7510 não é viável?

Os serviços em nuvem da Microsoft oferecem muitos controles que ajudam as organizações de assistência médica holandesas em suas necessidades de conformidade com o NEN 7510. No entanto, uma organização precisa complementar essas garantias do fornecedor com suas próprias opções de implementação, outros controles de tecnologia e processos administrativos. O relatório já mostra mais de 94% de cobertura direta da lista completa de controles aplicáveis. Para os demais controles, a Microsoft fornece orientações no relatório sobre como a conformidade com esses controles pode ser demonstrada.

Observação

A implementação da lista completa de controles não é o objetivo principal do NEN 7510 (embora a grande cobertura do Microsoft Online Services ajude). O NEN 7510 exige a implementação de um sistema de segurança das informações baseado em risco que possa ser usado por uma organização para determinar quais controles se aplicam a ela.

O relatório sobre a cobertura do NEN 7510 é um documento de associação legal?

Não. É uma ferramenta de suporte para o processo interno de garantia da NEN 7510 do cliente e ajuda a estabelecer a confiança e a confiança de que a conformidade com a NEN 7510 é viável. O relatório (criado pela empresa de auditoria independente, KPMG) tem um status descritivo e inclui um aviso de isenção de responsabilidade legal.

A Microsoft pagou pelo relatório?

A Microsoft criou um mapeamento entre suas garantias globais para os controles no padrão NEN 7510. Posteriormente, a Microsoft contratou a KPMG (uma empresa de auditoria independente) para executar uma revisão independente do mapeamento dos controles para o NEN 7510, resultando assim no relatório.

Podemos compartilhar este relatório?

O relatório é fornecido sob um acordo de confidencialidade tendo como base o fato de destinar-se apenas a informações do cliente e que não será copiado ou divulgado por outros canais além do Portal de Confiança do Serviço da Microsoft.

Os clientes podem compartilhar o relatório com seu próprio auditor interno ou externo como parte dos processos de conformidade ou garantia.

Recursos