Hébergement des données de santé (HDS), mode d’emploi

Comment s’y conformer tout en restant performant ?

IACOLARE Vincent

Des procédures et contrôles encadrent l’hébergement des données de santé (HDS) sur support numérique (en dehors des services d’archivage électronique) notamment en ce qui concerne les données personnelles au sens du RGPD (Règlement général sur la protection des données) et donc des données sensibles (au sens de la sécurité de l’information).

Elles nécessitent d’être hébergeur agréé (ancienne procédure) ou certifié (nouvelle procédure). En quoi cela consiste ? Comment s’y conformer tout en restant performant ?

La certification

 Le décret 2018-137 du 26 février 2018 définit la procédure de certification et organise la transition entre l’agrément et la certification.

Les hébergeurs déposent une demande de certificat HDS auprès de tout organisme de certification ayant réalisé les démarches d’accréditation auprès du COFRAC (Comité français d’accréditation, ou tout organisme équivalent au niveau européen).

C’est une évaluation de conformité au référentiel de certification.

L’audit se déroule en deux étapes : audit documentaire et audit sur site.

En cas de non-conformités, l’hébergeur dispose de trois mois pour les corriger.

Le certificat est délivré pour une durée de trois ans, avec un audit de surveillance annuel.

Deux périmètres de certificats seront délivrés aux hébergeurs pour deux métiers d’hébergement distincts (non exclusif) :

Un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle

Un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’administration/exploitation et de sauvegarde externalisée .

Texte Odoo et bloc d'image
Odoo image et bloc de texte

Contenu du référentiel HDS  

  • Intégralité des exigences de ISO 27001 Partie des exigences ISO 20000-1 : 5.2 Planification nouveaux services…, 5.3 Conception... nouveaux services , 6.3 Continuité/ Disponibilité, 6.5 Capacité

  • Exigences complémentaires à ISO 27001 : périmètre, déclaration d’applicabilité, externalisation sauvegarde, audits client

  • Exigences complémentaires à ISO 20000-1 : critère d’acceptation des services, ...

  • Exigences de protection des DCP (25 exigences principales de type ISO 27018 et 4 exigences complémentaires) : Droits des personnes , Finalité , Communication des DCP, Transparence, Responsabilité, Sécurité des DCP, Localisation des DCP

  • Exigences spécifiques au domaine de la santé : Rôles et responsabilités, Conformité, Rapport d’audit, Liste de contacts, langue française.

Bonnes pratiques et préconisation Synertal

  • Valoriser au maximum l’existant dès le début de la démarche (opter pour une approche de Formation-Diagnostic-Action)

  • Mettre en place des conditions de sécurité adaptées à la criticité des données.

  • Déterminer le périmètre de certification en tenant compte des périmètre HDS et du périmètre SMSI (système de management de la sécurité de l’information)

  • Éviter la lourdeur documentaire (procédure ne veut pas dire document. Penser « information documentée » au sens de iso 27001. Favoriser l’application et l’appropriation)

  • Opter pour un système de management le plus intégrer possible (intégrant les dynamiques iso 27001, iso 2000-1, iso 9001, RGPD, HDS, … et toutes les autres pertinentes de type iso 45001, iso 14001…)

  • Ne pas se perdre dans un maîtrise de risques trop détaillée et lourde (focus sur les données et biens significatifs/ sensibles, approche progressive de type entonnoir, ne pas oublier le critères d’incertitude et d’appétence)

  • Se laisser guider par les opérationnels plus que par les experts, auditeurs…

Texte Odoo et bloc d'image

Laisser un commentaire

Vous devez être Connecté en tant que pour poster un commentaire.