NEN 7510
Présentation de la norme NEN 7510
Les entreprises situées aux Pays-Bas qui traitent des informations sur la santé des patients doivent mettre en place des contrôles pour protéger leurs données et se conformer aux exigences énoncées dans la norme NEN 7510. Microsoft n’est pas dans l’obligation de se conformer à la norme NEN 7510, toutefois ses clients cloud du secteur des soins de santé doivent prouver que les solutions intégrées au cloud Microsoft qu’ils utilisent sont conformes à cette norme. Les services de cloud computing Microsoft font l’objet de différents audits et certifications réguliers, certains incluant des éléments étroitement associés aux exigences énoncées dans la norme NEN 7510.
Microsoft et la norme NEN 7510:2011
Microsoft a analysé ses certifications et déclarations d’assurance actuelles et a créé un rapport de couverture de la norme NEN 7510 (disponible sur la plateforme d’approbation de services). Ce rapport établit la correspondance entre ces certifications et déclarations d’assurance d’une part et les contrôles de la norme NEN 7510 d’autre part, pour lesquels Microsoft est responsable en tant que fournisseur de services Cloud. Ce document peut aider les clients à déterminer les autres contrôles à mettre en place afin de s’assurer que leur utilisation des services de cloud computing Microsoft pour le stockage et au traitement des informations de santé des patients est conforme à la norme NEN 7510.
Découvrez comment accélérer le déploiement de votre NEN 7510 grâce à nos plans de sécurité et de conformité Azure : Téléchargez le Cloud Microsoft : Azure et Office 365 NEN7510-2011 Guide de l'utilisateur de la couverture standard
Plateformes et services du cloud computing de Microsoft dans le champ d’application
- Azure et Azure Government
- Intune
- Office 365
Office 365 and ISO 27001
Office 365 environnements
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
- Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
- Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
- Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
- Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
- Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.
L’applicabilité d’Office 365 et des services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :
l’applicabilité | Les Services dans l’étendue |
---|---|
Commerciale | Azure Information Protection, Bookings, Delve, Exchange Online, Exchange Online Protection, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, Microsoft To- Do for Web, MyAnalytics, Sécurité des applications cloud Office 365, groupes Office 365, OneDrive Entreprise, Planificateur, Power Apps, Power Automate, Power BI pour Office 365, PowerApps, SharePoint Online, Skype Entreprise, StaffHub, Stream, Sway, Viva Engage |
Audits, rapports et certificats
Foire aux questions
Un client qui utilise les services de cloud computing de Microsoft est-il conforme à la norme NEN 7510 ?
La démonstration de la conformité au NEN est la responsabilité de l'organisme de soins de santé (le « client »). Lorsque les clients font appel aux services d’un fournisseur de services cloud, ils exigent en général des assurances auprès de ce dernier et intègrent leurs propres technologies (autres) ainsi que leurs décisions, choix et processus organisationnels. Cet effort aboutit à une évaluation globale par le client de sa conformité à la norme NEN 7510, qui peut être soumise pour évaluation ou certification à un auditeur tiers. Le rapport sur la couverture NEN 7510 donne un aperçu des contrôles NEN 7510 qui sont couverts par les services de cloud computing de Microsoft, mais, en tant que tel, ne couvre pas la conformité de bout en bout.
Microsoft est-il conforme à la norme NEN 7510 ?
L’obligation de mise en conformité à la norme NEN 7510 est applicable aux organismes de soins de santé néerlandais. Celle-ci oblige les organisations à mettre en place un système de gestion de la sécurité des informations, afin de protéger les données grâce à des mesures organisationnelles et techniques appropriées. En tant que fournisseur de service Cloud, la conformité à la norme NEN 7510 ne constitue pas un objectif pour Microsoft, et n’est techniquement pas réalisable. Lorsqu'un client met en œuvre ou utilise les services de cloud computing de Microsoft, ces services peuvent faire l'objet d'une évaluation NEN 7510. Toutefois, l’organisation devra incorporer ses propres contrôles (autres), ses choix et ses processus, lesquels feront partie de l’évaluation NEN 7510 globale. L'objectif du rapport est de démontrer qu'une entité du secteur de la santé peut adopter les services de cloud computing de Microsoft d'une manière qui soit conforme à la norme NEN 7510.
Le rapport n’affiche pas de couverture à 100 %. La conformité NEN 7510 n’est-elle pas possible ?
Les services de cloud computing de Microsoft offrent de nombreux contrôles qui aident les organisations du secteur de la santé néerlandais à se conformer à la norme NEN 7510. Toutefois, ces dernières doivent faire leur propre choix en matière d’implémentation, d’autres contrôles technologiques et de processus administratifs pour compléter les assurances offertes par les fournisseurs. Ce rapport indique que déjà plus de 94 % des contrôles applicables sont directement couverts. En outre, Microsoft émet des recommandations dans ce rapport en vue de la mise en conformité aux contrôles restants.
Remarque
La mise en place de la l’intégralité des contrôles répertoriés ne constitue par l’objectif principal de la norme NEN 7510 (bien que la vaste couverture fournie par Microsoft Online Services facilite la mise en conformité). La norme 7510 rend obligatoire la mise en place d’un système de sécurité des informations basé sur les risques, qui pourra être utilisé par une entreprise afin de déterminer les contrôles qui lui sont applicables.
Le rapport de couverture de la norme NEN 7510 constitue-t-il un document juridiquement contraignant ?
Non. Il s’agit d’un outil annexe au processus interne de vérification de la conformité à la norme NEN 7510 du client, qui permet de démontrer que la mise en conformité à la norme NEN 7510 est réalisable. Le rapport (créé par un auditeur indépendant, KPMG) a un caractère purement descriptif et inclut une renonciation de responsabilité.
Microsoft a-t-il payé ce rapport ?
Microsoft a créé un mappage entre ses assurances globales et les contrôles indiqués dans la norme NEN 7510. Microsoft a ensuite fait appel aux services de la société KPMG (un auditeur indépendant) afin que ce dernier effectue une évaluation indépendante du mappage des contrôles par rapport à la norme NEN 7510 ; ce rapport en est le résultat.
Est-il possible de partager ce rapport ?
Ce rapport vous est fourni en vertu d’un accord de confidentialité de par son caractère purement indicatif, par conséquent sa reproduction ou sa divulgation via des canaux autres que le portail d’approbation de services Microsoft n’est pas autorisée.
Les clients peuvent remettre ce rapport à leur auditeur interne ou externe, dans le cadre de leur processus de mise en conformité ou de vérification de la conformité.