Certification Hébergeur des Données de Santé
Comprendre la certification HDS
La certification HDS est obligatoire pour l’hébergement et l’infogérance des services et applications contenant des données de santé identifiables et personnelles.
La certification HDS a pour objectif d’améliorer la sécurité des données de Santé à caractère personnel.
La finalité de la démarche est donc de garantir la sécurité via un environnement de confiance pour tout ce qui concerne la santé et le numérique.
La certification est assez proche des certifications ISO et inclut plusieurs référentiels ISO (27001, 20000)
De plus, elle est délivrée par un organisme certificateur accrédité par le COFRAC .
Les données personnelles de santé étant des données sensibles, leur accès, les traitements font donc notamment l’objet d’un cadre règlementaire précis que toute entreprise doit respecter.
La certification HDS est obligatoire pour les hébergeurs de données personnelles de santé.
Point sur la réglementation
Les hébergeurs de données de santé (HDS) sont soumis depuis le 1er avril 2018 à l’obtention de la certification HDS. La certification HDS a pour objectif de garantir la qualité de service des hébergeurs de santé.
Les professionnels qui hébergent des données de santé à caractère personnel ont néanmoins l’obligation d’être certifiés HDS par un organisme accrédité.
Tout ce qu’il faut savoir sur la norme ISO 27001
Quels sont les organismes qui doivent être certifiés HDS ?
Tous les organismes publics ou privés qui hébergent et exploitent le SI de santé. Il est également possible qu’ils réalisent des sauvegardes pour le compte d’un établissement de santé ou d’un tiers de santé , ils doivent donc être certifiés HDS.
Les établissements de santé qui gèrent leur propre Système d’Information de santé n’ont pas la nécessité d’être certifié HDS. En revanche, il est nécessaire dans le cadre d’un groupement hospitalier.
Sont donc concernés : les DATACENTER hébergeant les données de santé, les éditeurs qui exploitent et maintiennent le SI de santé pour leurs clients et de façon plus large toute solution qui exploite des données de santé ( à condition que les données concernées soient des données personnelles de santé).
De plus, l’éditeur ou l’exploitant du système d’information de santé certifié HDS qui utilise la sous-traitance pour l’hébergement doit ainsi garantir la sécurité des données. Il a cependant deux moyens pour s’assurer de la sécurité de l’information de son sous-traitant :
- Recourir à un sous-traitant certifié HDS
- Mettre en place un processus de gestion et d’audit en sécurité de l’information de son sous-traitant.
Différents types de la certification HDS
Il existe deux types de certificats en fonction de l’activité :
- La certification « Hébergeur d’infrastructure physique » :
- Mise à disposition, le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé
- Mise à disposition, le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé
- La certification « hébergeurs infogéreurs » :
- Mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information de santé
- Mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information
- Administration et l’exploitation du système d’information contenant les données de santé
- Ainsi que la sauvegarde externalisée des données de santé
Quel est le référentiel de la certification HDS ?
Quel est le référentiel de certification ? A quelles exigences doivent se conformer les hébergeurs de données de santé ?
- 80 % des exigences concernent la norme ISO 27001 « système de gestion de la sécurité des systèmes d’information »
- Une partie des exigences de l’ISO 20000 « système de gestion de la qualité des services »
- Des exigences sur la « protection des données santé à caractère personnel »
- Des exigences d’informations vis à vis des responsables de traitement sur la règlementation et la localisation des données
Comment se déroule la certification HDS ?
Une fois que vous avez mis en place votre système de management et que vous vous êtes assuré de la réponse aux différentes exigences du référentiel, le processus est le suivant :
Le processus d'audit de la certification HDS ?
- Dépôt d’un dossier auprès de l’organisme certificateur (qui doit être accrédité COFRAC)
- Au bout d’un mois, une journée de pré-audit pour prendre connaissance du système d’un point de vue documentaire et vérifier l’auditabilité,
- La première année, l’audit de certification sur site sur le plan technique et organisationnel,
- L’examen du rapport en commission,
- 1 mois après environ la réponse sur la certification (favorable ou avec non-conformité),
- Généralement les organismes vous délivre une certification ISO 27001 et une certification HDS.
Si vous possédez déjà une certification ISO 27001, votre audit sera donc par la suite allégé.
Témoignage de l’accompagnement HDS par Feel Agile
Obtenez la certification HDS en 3 à 6 mois
Nous vous accompagnons à la certification HDS avec un engagement de résultat et pour un montant convenu sur la base d’un forfait.
Contactez nous pour réaliser un premier diagnostic !
La complémentarité entre la certification HDS et le RGPD
Ces deux dispositifs contribuent à construire un système renforçant la confiance sur le traitement des données personnelles de santé.
Exigences communes
L’obtention d’une certification HDS va largement aider le responsable de traitement ou le sous-traitant à être conforme à la règlementation sur le RGPD. Par exemple un des critères de l’ISO 27001 est le traitement des données à caractère personnel.
Quelle stratégie adopter pour la certification HDS ?
Dans la plupart des cas, il est utile d’engager une démarche de certification 27001 : 2013 référentiel qui comprend une grande part des exigences du référentiel HDS. De plus, la certification ISO 27001 est reconnue internationalement dans tous les secteurs d’activité.
Il est ensuite nécessaire de réaliser une étude pour identifier le périmètre exact et les activités précises qui seront certifiées et répondre aux questions suivantes :
- Certification Hébergeur d’infrastructure physique (40 exigences / 45) OU Certification Hébergeur infogérant (45 exigences) ?
- Quelles certifications complémentaires ? (27001, 20000-1, 9001, SecNumCloud, …)
- Comment intégrer le RGPD ?
- Quel est mon taux de conformité actuel ?
- …
Réaliser son autodiagnostic en 1 jour
Vous voulez connaitre les coûts et modalités de la certification HDS pour votre entreprise en fonction du nombre d’activités, nombre de sites et de la complexité de vos activités ?
Contactez-nous ! Nous réalisons votre diagnostic en 1 jour !
Pourquoi nous choisir pour accompagner votre certification HDS ?
Plus de 110 clients accompagnés en certification cybersécurité
Expertise en sécurité de l’information ISO 27001
La certification ICA ISO 20000-1 – Responsable d’audit services informatiques
Une connaissance du système d’information dans sa globalité
Plus de 15 ans d’expérience d’accompagnement en certification avec une approche agile pour la certification
