Exigences du référentiel HDS
Exigences du référentiel Hébergeur de Données de Santé HDS
Pour obtenir la certification HDS, vous devez répondre aux exigences du référentiel Hébergeur de Données de Santé publié par l’ASIP Santé. La version applicable est la version est la version 1.1 de juillet 2018.
Le cadre légal
Toute entreprise qui propose un service d’hébergement doit disposer d’une certification HDS.
Article L. 1111-8 du code de santé publique
Cette obligation porte sur les sociétés et les services qui remplissent les deux conditions suivantes :
- Porte sur des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social
- Est fait pour le compte du patient ou pour le compte des professionnels de santé, des établissements et services de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social à l’origine de ces données.
Toute entreprise doit vérifier si la certification HDS est applicable lors de ces traitements de données de santé.
Téléchargement du référentiel HDS
Le référentiel HDS applicable est téléchargeable ci-dessous en langue française et anglaise, il regroupe toutes les exigences applicables pour les entreprises ou les organismes qui veulent se faire certifier HDS.
Organisation générale du référentiel HDS
1 - Exigences de sécurisation de l'information de l'ISO 27001
La norme ISO 27001 définie un système de management de la sécurité de l’information à mettre en place dans l’entreprise. Le SMSI est l’organisation (processus, responsabilités, actions…) que l’entreprise doit mettre en place pour améliorer la sécurité de l’information.
3 - Exigences sur la gestion des données personnelles
Il s’agit notamment de garantir que les données personnelles de santé sont correctement protégées, qu’une information claire contribue à la protection des données clients.
2 - Exigences sur la planification des services
Les exigences sur la planification des services, de leur conception et de l’implémentation de ces services sont aussi à mettre en oeuvre.
4 - Exigences complémentaires sur la responsabilité
Le référentiel précise également les exigences applicables aux deux certifications du HDS :
- Certaines exigences sont applicables aux hébergeurs d’infrastructures physiques et aux hébergeurs infogéreurs.
- D’autres sont uniquement applicables aux hébergeurs infogéreurs
Êtes vous déjà certifié ISO 27001 ?
La certification HDS nécessite et implique d’être certifié ISO 27001.
Si vous êtes déjà certifié ISO 27001 vous pouvez valider cette partie des exigences sous plusieurs conditions :
- Le périmètre de l’ISO 27001 contient l’hébergement des données de santé et tiens compte des enjeux associés
- La DDA (déclaration d’applicabilité) comprends l’ensemble des exigences du HDS
- Laisser la possibilité d’auditer les applications en production
Si vous n’êtes pas certifiés ISO 27001, il faudra soit obtenir la certification ISO 27001 indépendement ou lors de l’audit HDS.
Exigences relatives à la protection des données de santé à caractère personnel
La mise en place de la certification HDS nécessite la mise en place de moyens spécifiques et de procédures pour protéger les droits des personnes et garantir la protection des données personnelles de santé.
Obligation de coopérer et transparence sur les traitements
L’entreprise doit garantir la conformité au RGPD (article 15 à 22) et mettre en place les procédures et moyens associés.
L’entreprise doit formaliser les traitements réalisés pour le compte du responsable de traitement et s’interdir tout traitement à d’autres fin.
Communication et transmissions des données
Concernant la communication des données, l’entreprise :
- doit établir une durée de conservation des données temporaires
- doit conserver une preuve de leur destruction
- De plus, doit mettre ne place une procédure pour les saisies judiciaire et l’information client
- doit journaliser les transmissions de données
- doit contrôler la réception des données par le système cible
- Enfin, doit informer / obtenir l’accord en cas de recours à la sous-traitance
Responsabilité
L’entreprise doit :
- informer son client de toute violation des données personnelles
- définir des durées de conservation des politiques de sécurité
- définir une politique concernant la mise à disposition, restitution, destruction des données personnelles
- Aussi, définir une procédure de restitution des données en fin de contrat
Sécurité des données
L’entreprise doit :
- signer des accords de confidentialité avec les salariés et les prestataires
- limiter les copies papiers
- créer une procédure et journaliser les restaurations de données
- protéger par chiffrement les sauvegardes externalisées ou sur support
- chiffrer les données personnelles transmises sur les réseaux publics
- l’accès aux systèmes doit se faire avec des identifiants uniques et nominatifs
- les accès génériques doivent être limités et encadrés
- Une gestion des habilitations doit être en place
- mettre en place la journalisation des évènements et actions
- journaliser et communiquer les opérations d’administration
- absence de réutilisation des comptes
- Les contrats avec les clients doivent préciser les mesures de sécurité
- en cas de sous-traitance préciser les mesures de sécurité dans les contrats et maîtriser la sécurité des sous-traitants
- maîtrise de la réutilisation des espaces de stockage
Localisation des données
L’entreprise doit spécifier la liste de l’ensemble des pays au sein desquels les données du client sont ou peuvent être hébergées.
Elle doit informer son client des lieux d’hébergement. Sans oublier de lui permettre de choisir le(s) pays d’hébergement dans le(s)quel(s) les données de santé seront hébergées. Et enfin mettre en œuvre les mesures permettant de respecter ce choix.
Les exigences complémentaires
Définition des responsabilités
Décrire les responsabilités en termes de sécurité de l’information entre l’hébergeur et son client.
PGSSI-S – obligations
Informer les clients de l’obligation de mettre en oeuvre la PGSSI-S
Recueillir l’engagement des clients au respect de la PGSSI-S
Rapports d’audits
L’entreprise doit communiquer les rapports d’audit de certification aux clients qui en font la demande.
Listes des contacts clients
Liste des points de contact pour chacun des clients.
Transmettre sans délai cette liste à l’autorité compétente sur demande
Régionalisation
Mettre à disposition en langue française :
- La déclaration d’applicabilité (liste des mesures de sécurité)
- Un support niveau 1
- Une interfaçe en langue française
Exigences de gestion des services ISO 20000-1
L’application des exigences de l’ensemble du référentiel du Système de Management des Services ISO 20000-1 n’est pas exigée. Cependant certaines exigences sont applicables dans le cadre du HDS.
Planification de nouveaux services ou de services modifiés
Mettre en place un processus pour les nouveaux services et les changements majeurs pour les services :
- Documenter les changements et les services (responsabilités, autorités, les ressources …)
- Planifier les changements
- Prioriser les changements et déterminer la criticité
- Définir les étapes de test et de validation pour les services
- Maîtriser le retrait des services
Continuité de services et gestion de la disponibilité
- Mettre en place un processus de gestion des risques de la continuité
- Mettre en place un plan de continuité
- Tester les plans de continuité
- Construire un plan de capacité technique et humain sur les services et le surveiller
