jQuery(function($){ $('.logo_container a').attr('href','https://feelagile.com'); });

Exigences du référentiel HDS

Exigences du référentiel Hébergeur de Données de Santé HDS

Pour obtenir la certification HDS, vous devez répondre aux exigences du référentiel Hébergeur de Données de Santé publié par l’ASIP Santé. La version applicable est la version est la version 1.1 de juillet 2018.

Le cadre légal

Toute entreprise qui propose un service d’hébergement doit disposer d’une certification HDS.

Article L. 1111-8 du code de santé publique

Cette obligation porte sur les sociétés et les services qui remplissent les deux conditions suivantes :

  • Porte sur des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social
  • Est fait pour le compte du patient ou pour le compte des professionnels de santé, des établissements et services de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social à l’origine de ces données.

Toute entreprise doit vérifier si la certification HDS est applicable lors de ces traitements de données de santé.

exigences HDS

Téléchargement du référentiel HDS

 

Le référentiel HDS applicable est téléchargeable ci-dessous en langue française et anglaise, il regroupe toutes les exigences applicables pour les entreprises ou les organismes qui veulent se faire certifier HDS.

Organisation générale du référentiel HDS

1 - Exigences de sécurisation de l'information de l'ISO 27001

La norme ISO 27001 définie un système de management de la sécurité de l’information à mettre en place dans l’entreprise. Le SMSI est l’organisation (processus, responsabilités, actions…) que l’entreprise doit mettre en place pour améliorer la sécurité de l’information.

3 - Exigences sur la gestion des données personnelles

Il s’agit notamment de garantir que les données personnelles de santé sont correctement protégées, qu’une information claire contribue à la protection des données clients.

2 - Exigences sur la planification des services

Les exigences sur la planification des services, de leur conception et de l’implémentation de ces services sont aussi à mettre en oeuvre. 

4 - Exigences complémentaires sur la responsabilité

Le référentiel précise également les exigences applicables aux deux certifications du HDS :

  • Certaines exigences sont applicables aux hébergeurs d’infrastructures physiques et aux hébergeurs infogéreurs.
  • D’autres sont uniquement applicables aux hébergeurs infogéreurs

Êtes vous déjà certifié ISO 27001 ?

La certification HDS nécessite et implique d’être certifié ISO 27001.

Si vous êtes déjà certifié ISO 27001 vous pouvez valider cette partie des exigences sous plusieurs conditions :

  • Le périmètre de l’ISO 27001 contient l’hébergement des données de santé et tiens compte des enjeux associés
  • La DDA (déclaration d’applicabilité) comprends l’ensemble des exigences du HDS
  • Laisser la possibilité d’auditer les applications en production

Si vous n’êtes pas certifiés ISO 27001, il faudra soit obtenir la certification ISO 27001 indépendement ou lors de l’audit HDS.

Exigences relatives à la protection des données de santé à caractère personnel

La mise en place de la certification HDS nécessite la mise en place de moyens spécifiques et de procédures pour protéger les droits des personnes et garantir la protection des données personnelles de santé.

Obligation de coopérer et transparence sur les traitements

L’entreprise doit garantir la conformité au RGPD (article 15 à 22) et mettre en place les procédures et moyens associés.

L’entreprise doit formaliser les traitements réalisés pour le compte du responsable de traitement et s’interdir tout traitement à d’autres fin.

Communication et transmissions des données

Concernant la communication des données, l’entreprise :

  • doit établir une durée de conservation des données temporaires
  • doit conserver une preuve de leur destruction
  • De plus, doit mettre ne place une procédure pour les saisies judiciaire et l’information client
  • doit journaliser les transmissions de données
  • doit contrôler la réception des données par le système cible
  • Enfin, doit informer / obtenir l’accord en cas de recours à la sous-traitance

Responsabilité

L’entreprise doit :

  • informer son client de toute violation des données personnelles
  • définir des durées de conservation des politiques de sécurité
  • définir une politique concernant la mise à disposition, restitution, destruction des données personnelles
  • Aussi, définir une procédure de restitution des données en fin de contrat

Sécurité des données

L’entreprise doit :

  • signer des accords de confidentialité avec les salariés et les prestataires
  • limiter les copies papiers
  • créer une procédure et journaliser les restaurations de données
  • protéger par chiffrement les sauvegardes externalisées ou sur support
  • chiffrer les données personnelles transmises sur les réseaux publics
  • l’accès aux systèmes doit se faire avec des identifiants uniques et nominatifs
  • les accès génériques doivent être limités et encadrés
  • Une gestion des habilitations doit être en place
  • mettre en place la journalisation des évènements et actions
  • journaliser et communiquer les opérations d’administration
  • absence de réutilisation des comptes
  • Les contrats avec les clients doivent préciser les mesures de sécurité
  • en cas de sous-traitance préciser les mesures de sécurité dans les contrats et maîtriser la sécurité des sous-traitants
  • maîtrise de la réutilisation des espaces de stockage

Localisation des données

L’entreprise doit spécifier la liste de l’ensemble des pays au sein desquels les données du client sont ou peuvent être hébergées.

Elle doit informer son client des lieux d’hébergement. Sans oublier de lui permettre de choisir le(s) pays d’hébergement dans le(s)quel(s) les données de santé seront hébergées. Et enfin mettre en œuvre les mesures permettant de respecter ce choix.

Les exigences complémentaires 

Définition des responsabilités

Décrire les responsabilités en termes de sécurité de l’information entre l’hébergeur et son client.

PGSSI-S – obligations

Informer les clients de l’obligation de mettre en oeuvre la PGSSI-S

Recueillir l’engagement des clients au respect de la PGSSI-S

Rapports d’audits 

L’entreprise doit communiquer les rapports d’audit de certification aux clients qui en font la demande.

Listes des contacts clients

Liste des points de contact pour chacun des clients.

Transmettre sans délai cette liste à l’autorité compétente sur demande

Régionalisation

Mettre à disposition en langue française :

  • La déclaration d’applicabilité (liste des mesures de sécurité)
  • Un support niveau 1
  • Une interfaçe en langue française

Exigences de gestion des services ISO 20000-1

L’application des exigences de l’ensemble du référentiel du Système de Management des Services ISO 20000-1 n’est pas exigée. Cependant certaines exigences sont applicables dans le cadre du HDS.

exigences HDS

Planification de nouveaux services ou de services modifiés 

Mettre en place un processus pour les nouveaux services et les changements majeurs pour les services :

  • Documenter les changements et les services (responsabilités, autorités, les ressources …)
  • Planifier les changements
  • Prioriser les changements et déterminer la criticité
  • Définir les étapes de test et de validation pour les services
  • Maîtriser le retrait des services
    exigences HDS

    Continuité de services et gestion de la disponibilité

    • Mettre en place un processus de gestion des risques de la continuité
    • Mettre en place un plan de continuité
    • Tester les plans de continuité
    • Construire un plan de capacité technique et humain sur les services et le surveiller

    Notre accompagnement HDS

    Découvrez nos documentations sur l’accompagnement HDS

    Je m’informe ➜

    Comprendre la certification HDS

    Comment fonctionne la certification HDS ?

    Je m’informe ➜

    La formation HDS

    Nos formations HDS et ISO 27001 sont éligibles au CPF. 

    Je m’informe ➜