Exigences du référentiel HDS

Exigences du référentiel Hébergeur de Données de Santé

Pour obtenir la certification HDS (Hébergeur de Données de Santé) vous devez répondre aux exigences du référentiel Hébergeur de Données de Santé publié par l’ASIP Santé.

La version applicable est la version est la version 1.1 de juillet 2018.

Nous avons conçu cette page pour vous aider à comprendre les principales exigences du référentiel.

Organisation générale du référentiel HDS

Le référentiel HDS couvre :

1. les exigences de sécurisation de l’information contenue dans l’ISO 27001.

La norme ISO 27001 définie un système de management de la sécurité de l’information (SMSI lien vers la FAQ) à mettre en place dans l’entreprise. – Le SMSI est l’organisation (processus, responsabilités, actions…) que l’entreprise doit mettre en place pour améliorer la sécurité de l’information.

L’ISO 27001 est à appliquer en totalité. Des exigences complémentaires aux exigences ISO 27001 sont également à mettre en place.

2. Des exigences sur la planification des services, leur conception et l’implémentation des services sont à mettre en oeuvre.

3. Des exigences concernant la gestion des données personnelles sont à mettre en oeuvre

Il s’agit notamment de garantir que les données personnelles de santé sont correctement protégées, qu’une information claire contribue à la protection des données clients.

4. Des exigences complémentaires sur la responsabilité, la régionalisation, la localisation des données sont à implémenter.

Le référentiel précise également les exigences applicables aux deux certifications du HDS :

  • Certaines exigences sont applicables aux hébergeurs d’infrastructures physiques et aux hébergeurs infogéreurs
  • D’autres sont uniquement applicables aux hébergeurs infogéreurs

Obtention de la certification ISO 27001

Obtention de la certification l'ISO 27001

Comme expliqué précedement être certifié HDS nécessite et implique d’être certifié ISO 27001.

Si vous êtes déjà certifié ISO 27001 vous pouvez valider cette partie des exigences sous plusieurs conditions :

  • Le périmètre de l’ISO 27001 comprends l’hébergement des données de santé et tiens compte des enjeux associés
  • La DdA (déclaration d’applicabilité) comprends l’ensemble des exigences du HDS
  • Laisser la possibilité d’auditer les applications en production

Si vous n’êtes pas certifiés ISO 27001 il faudra soit obtenir la certification ISO 27001 indépendement ou lors de l’audit HDS.

Exigences de gestion des services ISO 20000-1

L’application des exigences de l’ensemble du référentiel du Système de Management des Services ISO 20000-1 n’est pas exigée. Nous avons détaillé ci-dessous les exigences applicables dans le cadre du HDS.

Planification de nouveaux services ou de services<br /> modifiés

Mettre en place un processus pour les nouveaux services et les changements majeurs pour les services :

  • Documenter les changements et les services (responsabilités, autorités, les ressources …)
  • Planifier les changements 
  • Prioriser les changements et déterminer la criticité
  • Définir les étapes de test et de validation pour les services
  • Maîtriser le retrait des services
Continuité de services et gestion de la disponibilité
  • Mettre en place un processus de gestion des risques de la continuité
  • Mettre en place un plan de continuité
  • Tester les plans de continuité
  • Construire un plan de capacité technique et humain sur les services et le surveiller

Pour comprendre mieux le référentiel ISO 20000-1 de système de management des services, vous pouvez consulter notre page sur cette certification ISO 20000.

Exigences relatives à la protection des données de santé à caractère personnel

La mise en place de la certification HDS nécessite la mise en place de moyens spécifiques et de procédures pour protéger les droits des personnes et garantir la protection des données personnelles de santé.

Obligation de coopérer et transparence sur les traitements

L’entreprise doit garantir la conformité au RGPD (article 15 à 22) et mettre en place les procédures et moyens associés.

L’entreprise doit formaliser les traitements réalisés pour le compte du responsable de traitement et s’interdir tout traitement à d’autres fin.

Communication / transmissions des données

Concernant la communication des données, l’entreprise :

  • doit établir une durée de conservation des données temporaires
  • doit conserver une preuve de leur destruction
  • doit mettre ne place une procédure pour les saisies judiciaire et l’information client
  • doit journaliser les transmissions de données
  • doit contrôler la réception des données par le système cible
  • doit informer / obtenir l’accord en cas de recours à la sous-traitance

Responsabilité

L’entreprise doit :

  • informer son client de toute violation des données personnelles
  • définir des durées de conservation des politiques de sécurité
  • définir une politique concernant la mise à disposition, restitution, destruction des données personnelles
  • définir une procédure de restitution des données en fin de contrat

Sécurité des données

 L’entreprise doit :

  • signer des accords de confidentialité avec les salariés et les prestataires
  • limiter les copies papiers
  • créer une procédure et journaliser les restaurations de données
  • protéger par chiffrement les sauvegardes externalisées ou sur support
  • chiffrer les données personnelles transmises sur les réseaux publics
  • l’accès aux systèmes doit se faire avec des identifiants uniques et nominatifs
  • les accès génériques doivent être limités et encadrés
  • Une gestion des habilitations doit être en place
  • mettre en place la journalisation des évènements et actions
  • journaliser et communiquer les opérations d’administration
  • absence de réutilisation des comptes
  • Les contrats avec les clients doivent préciser les mesures de sécurité
  • en cas de sous-traitance préciser les mesures de sécurité dans les contrats et maîtriser la sécurité des sous-traitants
  • maîtrise de la réutilisation des espaces de stockage

Localisation des données

L’entreprise doit spécifier la liste de l’ensemble des pays au sein desquels les données du client sont ou peuvent être hébergées.

Elle doit informer son client des lieux d’hébergement et lui permettre de choisir le(s) pays d’hébergement dans le(s)quel(s) les données de santé seront hébergées et mettre en oeuvre les mesures permettant de respecter ce choix.

Les exigences complémentaires

Définition des responsabilités
  • décrire les responsabilités en termes de sécurité de l’information entre l’hébergeur et son client
PGSSI-S – obligations
  • Informer les clients de l’obligation de mettre en oeuvre la PGSSI-S
  • Recueillir l’engagement des clients au respect de la PGSSI-S
Rapports d’audits

L’entreprise doit communiquer les rapports d’audit de certification aux clients qui en font la demande.

Liste des contacts clients
  • liste des points de contact pour chacun des clients.
  • transmettre sans délai cette liste à l’autorité compétente sur demande
Régionalisation

Mettre à disposition en langue française :

  • la déclaration d’applicabilité (liste des mesures de sécurité)
  • un support niveau 1
  • interfaçe en langue française

Pour toutes questions complémentaires vous pouvez nous envoyer une demande à l’aide de notre formulaire de contact.