Dans le contexte dynamique et vital de l’industrie de la santé, la protection des données occupe une place cruciale, dictée par les impératifs éthiques et les préoccupations croissantes liées à la confidentialité des informations médicales.
La « donnée de santé » navigue non seulement entre professionnels du monde médical, mais aussi au sein de leurs prestataires et partenaires.
Tous manipulent des informations dites sensibles, qui doivent être protégées et demeurer confidentielles.
En réponse à ces défis, la Certification Hébergeur de Données de Santé (HDS) émerge comme un pilier essentiel de la sécurité des données de santé.
Qu’est-ce que la certification HDS ?
La certification d’hébergeur des données de santé (HDS) s’impose comme un standard incontournable, offrant une protection accrue des informations sensibles, tout en répondant aux exigences réglementaires strictes qui encadrent le traitement des données de santé.
La collaboration souveraine
Découvrez notre solution de collaboration en ligne , sécurisée, hébergée en France et certifiée HDS.
En tant que norme visant à garantir la qualité de service des hébergeurs de données de santé, la certification HDS concrétise ce bond vers la sécurité et la confidentialité des informations médicales.
Elle garantit aussi l’intégrité des données de santé à caractère personnel au sein de l’Union européenne, au profit des patients, mais aussi des professionnels du secteur.
Basée sur la norme ISO 27001, la certification HDS permet aux professionnels de santé et aux intermédiaires chargés du traitement des données de démontrer leur engagement en faveur de la protection des informations de santé à caractère personnel.
Cette certification remplace l’ancien agrément HADS (Hébergeur agréé de données de santé).
Qui est concerné par la certification HDS ?
La certification HDS concerne tous les acteurs qui hébergent des données de santé à caractère personnel, exploitent un système d’information de santé, ou s’occupent de stocker et/ou de sauvegarder des données de ce type pour le compte d’un tiers.
La certification des hébergeurs de données de santé est donc une obligation légale.
La loi française impose aux établissements de santé et médico-sociaux (hôpitaux, cliniques, laboratoires, pharmacies, entreprises pharmaceutiques, maisons de santé, EHPAD, …) ainsi qu’aux professionnels (médecins, infirmier·ères, radiologues, …) qui gèrent des données sensibles d’avoir recours aux services d’un fournisseur Cloud offrant toutes les garanties de sécurité nécessaires – autrement dit, un prestataire certifié HDS, (Code de la Santé Publique, article L1111-8).
Le prestataire de services Cloud s’attache ainsi à respecter les exigences réglementaires pour le compte de son client.
Plus particulièrement, la certification HDS concerne plusieurs activités, classées dans deux catégories :
- Pour l’hébergeur d’infrastructure physique : la mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information employé pour réaliser le traitement des données de santé, ou des sites physiques (datacenters) qui hébergent l’infrastructure matérielle utilisée dans le même but.
- Pour l’hébergeur en infogérance : la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle ou de la plateforme d’hébergement d’applications du système d’information ; la gestion et l’exploitation du système d’information ; et la sauvegarde des données de santé.
Comment obtenir la certification HDS ?
La certification HDS peut être considérée comme une « surcouche » de la norme ISO 27001 sur la sécurité des systèmes d’information.
Un organisme qui ambitionne d’être certifié HDS doit donc, d’abord, obtenir la certification ISO 27001 en validant chacun des prérequis nécessaires.
Par la suite, la norme HDS est essentiellement contractuelle : elle définit un certain nombre d’engagements à prendre avec les clients et les partenaires.
Son obtention nécessite toutefois de présenter un grand nombre de preuves relatives à la sécurité des procédures de traitement des données de santé. Ces preuves concernent :
- le système informatique (mise à disposition et maintien en condition opérationnelle de l’infrastructure physique ou virtuelle, sauvegarde des données, etc.),
- le matériel (présence d’une déchiqueteuse sur le bureau pour détruire les documents),
- les processus internes (onboarding, politique de sécurité, procédure de gestion des incidents, etc.).
Une entité qui souhaite obtenir la certification 27001, puis la certification HDS, doit donc passer un audit pour chaque étape. Le processus peut prendre jusqu’à deux ans.
Oodrive : éditeur de logiciels SaaS
Découvrez nos solutions SaaS qualifiées SecNumCloud et certifiées HDS, ISO 27001 et 27701, eIDAS.
Si les prestataires de services d’hébergement devaient auparavant obtenir un agrément pour devenir hébergeurs de données de santé, c’est désormais le certificat HDS qui prévaut.
Elle est délivrée par un organisme certificateur accrédité par le COFRAC (Comité Français d’Accréditation). Le certificat est valable pour une durée de 3 ans et un audit est effectué tous les ans afin de vérifier la conformité.
La certification HDS : un gage de confiance pour les professionnels de santé
En somme, la certification HDS est un gage de confiance pour l’ensemble des acteurs du secteur de la santé et du secteur médico-social, qu’il s’agisse des établissements publics et privés ou des professionnels libéraux.
Dans un contexte de risque accru, la mise en valeur des fournisseurs de services Cloud certifiés HDS permet aux professionnels de santé d’identifier aisément les entités capables de répondre aux exigences réglementaires autant qu’aux attentes de leurs patients.
Les 3 points à retenir sur la certification HDS
- La certification HDS est une obligation légale pour toute organisation hébergeant des données de santé
- Elle garantit le respect strict des normes de sécurité et de confidentialité des données de santé
- L’obtention de la norme implique une évaluation initiale et un audit de conformité approfondi
