Einhaltung von Richtlinien in Microsoft Cloud for Healthcare
Microsoft Azure-, Microsoft Dynamics 365-, Microsoft 365-, Microsoft Power Platform- und Microsoft Fabric-Dienste und ihre zugrunde liegende Infrastruktur verwenden ein Sicherheitsframework. Dieses Framework umfasst bewährte Verfahren der Branche und erstreckt sich über mehrere Standards, darunter die ISO 27000-Standardfamilie, NIST 800 und andere. Im Rahmen unseres umfassenden Konformitäts-Angebots unterzieht sich Microsoft regelmäßig unabhängigen Audits, die von qualifizierten akkreditierten Dritt-Gutachtern durchgeführt werden.
Die Health Information Trust Alliance (HITRUST) ist eine Organisation, die von Vertretern der Gesundheitsbranche geleitet wird. HITRUST hat das Common Security Framework (CSF) erstellt und verwaltet es, ein zertifizierbares Framework, mit dem Gesundheitsorganisationen und ihre Anbieter ihre Sicherheit und Konformität auf konsistente und optimierte Weise nachweisen können. Der CSF basiert auf dem HIPAA (Health Insurance Portability and Accountability Act) und dem HITECH (Health Information Technology for Economic and Clinical Health Act). Er umfasst gesundheitsspezifische Sicherheits-, Datenschutz- und andere regulatorische Anforderungen aus bestehenden Frameworks wie dem PCI (Payment Card Industry) DSS (Data Security Standard), ISO 27001, den Datenschutzgesetzen und -vorschriften der Europäischen Union, NIST und MARS-E. HITRUST bietet einen Maßstab – ein standardisiertes Framework für die Einhaltung der Vorschriften, eine Bewertung und einen Zertifizierungsprozess – an dem Cloud-Serviceanbieter und abgedeckte Entitäten im Gesundheitswesen die Einhaltung der Vorschriften messen können.
Microsoft ist einer der ersten Hyperscale-Cloud-Dienstanbieter, der eine Zertifizierung für HITRUST CSF erhalten hat. Die HIPAA-Geschäftspartnervereinbarung (BAA) klärt und begrenzt, wie der Geschäftspartner (Microsoft) mit geschützten Gesundheitsinformationen (PHI) umgehen kann. Sie enthält weitere Bedingungen für jede Partei im Zusammenhang mit den Sicherheits- und Datenschutzbestimmungen des HIPAA und des HITECH Act. Die BAA ist automatisch Teil der Bestimmungen für Onlinedienste und gilt für Kunden, die versicherte Unternehmen oder Geschäftspartner sind und PHI speichern.
Sie finden die qualifizierenden Lizenzbedingungen für Microsoft 365/Office 365, Dynamics 365, Microsoft Power Platform und Azure in den Bestimmungen für Onlinedienste und den Microsoft-Datenschutzbestimmungen.
Microsoft Cloud for Healthcare und Onlinedienste (wie Office 365, Dynamics 365, Power Platform, Azure und Microsoft Fabric) (zusammen „Microsoft Cloud for Healthcare“):
sind nicht als Medizinprodukte vorgesehen oder verfügbar,
sind nicht für die Diagnose, Heilung, Linderung, Überwachung, Behandlung oder Vorbeugung einer Krankheit, eines Leidens oder einer Erkrankung konzipiert oder vorgesehen. Microsoft gewährt weder eine Lizenz noch ein Recht zur Nutzung der Onlinedienste für solche Zwecke.
sind nicht als Ersatz für eine professionelle medizinische Beratung, Diagnose, Behandlung oder Beurteilung konzipiert oder gedacht und sollten nicht als Ersatz für eine professionelle medizinische Beratung, Diagnose, Behandlung oder Beurteilung verwendet werden. Der Kunde sollte Microsoft Cloud for Healthcare nicht als Medizinprodukt verwenden. In dem Maße, in dem der Kunde Microsoft Cloud for Healthcare als medizinisches Gerät zur Verfügung stellt oder es für eine solche Verwendung in Betrieb nimmt, ist der Kunde allein für eine solche Verwendung verantwortlich und erkennt an, dass er der legale Hersteller in Bezug auf eine solche Verwendung wäre. Der Kunde ist allein dafür verantwortlich, den Endbenutzern seiner Implementierung von Microsoft Cloud for Healthcare die entsprechenden Einwilligungen, Warnhinweise, Haftungsausschlüsse und Bestätigungen anzuzeigen und/oder einzuholen. Der Kunde ist allein für jegliche Nutzung von Microsoft Cloud for Healthcare zur Erfassung, Speicherung, Übertragung, Verarbeitung oder Darstellung von Daten oder Informationen von Produkten Dritter (einschließlich medizinischer Geräte) verantwortlich.
Mehr über Microsofts Engagement für Datenschutz und Privatsphäre erfahren Sie in unserem Trust Center.
In den Geltungsbereich fallende Bestimmungen für Microsoft-Dienste
Dienstleistung | HITRUST | Datenschutzgesetze und -vorschriften der EU | SOC 1 | SOC 2 | ISO 27017 | ISO 27001 |
---|---|---|---|---|---|---|
Azure Data Lake Storage Gen2 | Ja | Ja | Ja | Ja | Ja | Ja |
Azure KI Health Bot | Ja | Ja | Ja | Ja | Ja | Ja |
Azure Gesundheitsdatenservices | Ja | Ja | Ja | Ja | Ja | Ja |
Azure Healthcare APIs | Ja | Ja | Ja | Ja | Ja | Ja |
Azure IoT Hub | Ja | Ja | Ja | Ja | Ja | Ja |
Azure Synapse Analytics | Ja | Ja | Ja | Ja | Ja | Ja |
Chat-Add-In für Dynamics 365 Customer Service (Omnichannel for Customer Service) | Ja | Ja | Ja | Ja | Ja | Ja |
Customer Service Insights-Add-In für Microsoft Dynamics 365 Customer Service | Ja | Ja | Ja | Ja | Ja | Ja |
Dataverse | Ja | Ja | Ja | Ja | Ja | Ja |
Dynamics 365 Customer Insights - Data | Ja | Ja | Ja | Ja | Ja | Ja |
Dynamics 365 Customer Insights - Journeys | Ja | Ja | Ja | Ja | Ja | Ja |
Dynamics 365 Customer Service | Ja | Ja | Ja | Ja | Ja | Ja |
Dynamics 365 Customer Voice | Ja | Ja | Ja | Ja | Ja | Ja |
Dynamics 365 Field Service | Ja | Ja | Ja | Ja | Ja | Ja |
Dynamics 365 Sales | Ja | Ja | Ja | Ja | Ja | Ja |
Microsoft Purview | Ja | Ja | Ja | Ja | Ja | Ja |
Microsoft Teams | Ja | Ja | Ja | Ja | Ja | Ja |
Power Apps | Ja | Ja | Ja | Ja | Ja | Ja |
Power Automate | Ja | Ja | Ja | Ja | Ja | Ja |
Power BI | Ja | Ja | Ja | Ja | Ja | Ja |
Datenlösungen für das Gesundheitswesen in Microsoft Fabric
Um sich die Compliance-Informationen für Datenlösungen im Gesundheitswesen in Microsoft Fabric anzusehen, gehen Sie zu Compliance und Sicherheit in den Datenlösungen für das Gesundheitswesen in Microsoft Fabric.