Certification HDS (Hébergement de Données de Santé)

Après l’Agrément, la Certification HDS

Toute personne physique ou morale qui met à disposition de tout responsable de traitement de données de santé, un service d’hébergement de données de santé à caractère personnel al’obligation d’être certifiée pour l’hébergement des données de santé.

Jusqu’à présent, l’agrément « Hébergement de Données de Santé » était délivré par le ministère de la santé sur examen d’un dossier déclaratif constitué de pièces justificatives tel que défini par le décret n°2006-6 du 4 janvier 2006. Par Ordonnance n° 2017-27 du 13 janvier 2017, il a été décidé de remplacer ces agréments par une véritable démarche de certification à laquelle devront se soumettre les hébergeurs de données de santé sur support numérique (en dehors des services d’archivage électronique).Le décret d’application n° 2018-137 a été publié au Journal Officiel le 26 février dernier et est entré en vigueur le 1er avril 2018.

Cette démarche sera sanctionnée par une évaluation de conformité technique à travers un audit sur site réalisé par un organisme certificateur accrédité par le COFRAC (comité français d’accréditation). Les organismes certificateurs (Bureau Veritas Certification, AFNOR Certification, BSI, …) sont déjà en cours d’accréditation par le COFRAC et pourront réaliser leurs premiers audits HDS dès le 2ème trimestre 2018.

Un référentiel d’accréditation et un référentiel d’exigences et contrôles ont été publiés en novembre 2017 pour permettre aux organisations concernées de se mettre en conformité avec ces nouvelles exigences. Les versions définitives de ces référentiels devraient être disponibles courant avril 2018.

Types de certification HDS

2 types de certifications sont prévus par l’ASIP Santé :

  • une certification « hébergeur d’infrastructure physique» pour les activités d’hébergement physique, de mise en œuvre de matériels informatiques et de maintenance de matériels informatiques
  • une certification « hébergeur infogéreur » pour les activités d’hébergement physique mais aussi l’activité d’infogérance et de sauvegardes externalisées.

Exigences de la certification HDS

Les exigences auxquelles devront répondre les entreprises concernées sont issues de normes existantes et d’exigences spécifiques au contexte HDS. Le référentiel HDS comprend ainsi :

==> Pour plus de 80% :

  • les exigences de la norme ISO 27001:2013 (Systèmes de management de la sécurité de l’information) reprise dans son intégralité ;

==> Pour les 20% restants :

  • une partie des exigences énumérées dans la norme ISO 20000-1 :2011, Partie 1 : Exigences du système de management des services
  • une partie des objectifs et mesures énumérés dans la norme ISO 27018 :2014Code de bonnes pratiques pour la protection des Informations Personnelles Identifiables (PII) dans l’informatique en nuage public agissant comme processeur de PII.

Délais de mise en oeuvre

Les demandes déposées avant la date d’entrée en vigueur de la procédure de certification (01/04/18) seront encore traitées comme des demandes d’agrément ou de renouvellement, même si le délai d’instruction du dossier dépasse la date de changement de modèle.

Pour ceux dont l’échéance de renouvellement arrive après le 01/04/18, ils disposeront d’un délai de 12 mois, soit jusqu’au 01/04/19, pour se mettre en conformité et obtenir la certification HDS auprès d’un organisme certificateur accrédité.

Accompagnement à la certification HDS – Hébergement des Données de Santé

Compte tenu de ses nombreuses interventions auprès des acteurs de Santé, et de son expérience sur la mise en place de l’ISO 27001,  CARRON Consultants peut vous accompagner vers la certification HDS – Hébergement des Données de Santé, que ce soit dans le prolongement naturel d’une démarche de certification ISO 27001, ou dans le cadre d’un complément à une certification ISO 27001 existante.

ISO 45001 : Renforcez vos pratiques Santé Sécurité au travail !

Après plus de 15 ans de débats et 4 ans de travaux, l’ISO a  édité…

Pharmacies suisses : l’ISO 9001 – QMS Pharma à l’honneur !

Environ 250 participants se sont réunis le 30 avril 2018 au Musée Paul Klee de…

BCMS certifié ISO 9001-14001

Créé en janvier 2017, BCMS France (Burn Cable Management System) fabrique du matériel électrique (certifié…