En quoi consiste la certification HDS ?
Toute personne physique ou morale qui met à disposition de tout responsable de traitement de données de santé, un service d’Hébergement de Données de Santé (HDS) à caractère personnel a l’obligation d’être certifiée pour l’hébergement des données de santé.
Il existe deux types de certification HDS prévus par l’ASIP Santé
- Une certification « hébergeur d’infrastructure physique » pour les activités d’hébergement physique, de mise en œuvre de matériels informatiques et de maintenance de matériels informatiques
- Une certification « hébergeur infogéreur » pour les activités d’hébergement physique mais aussi l’activité d’infogérance et de sauvegardes externalisées.
Pourquoi réaliser la certification HDS ?
Cette certification HDS est obligatoire pour toute organisation gérant des données de santé. Depuis l’ordonnance n° 2017-27 du 13 janvier 2017, il s’agit d’une véritable démarche de certification à laquelle devront se soumettre les hébergeurs de données de santé sur support numérique (en dehors des services d’archivage électronique). Le décret d’application n° 2018-137 a été publié au Journal Officiel le 26 février dernier et est entré en vigueur le 1er avril 2018.
Cette démarche est sanctionnée par une évaluation de conformité technique à travers un audit sur site réalisé par un organisme certificateur accrédité par le COFRAC (comité français d’accréditation). Il existe un référentiel d’accréditation et un référentiel d’exigences et de contrôles afin de permettre aux organisations concernées de se mettre en conformité avec ces nouvelles exigences.
Quelles sont les exigences de la certification HDS ?
Les exigences auxquelles devront répondre les entreprises concernées sont issues de normes existantes et d’exigences spécifiques au contexte HDS. Le référentiel HDS comprend ainsi :
- Pour plus de 80% : les exigences de la norme ISO 27001:2013 (Systèmes de management de la sécurité de l’information) reprise dans son intégralité ;
- Pour les 20% restants : une partie des exigences énumérées dans la norme ISO 20000-1 :2011, Partie 1 : Exigences du système de management des services, et une partie des objectifs et mesures énumérés dans la norme ISO 27018 :2014, Code de bonnes pratiques pour la protection des Informations Personnelles Identifiables (PII) dans l’informatique en nuage public agissant comme processeur de PII.
Comment réussir sa certification HDS avec CARRON Consultants ?
Compte tenu de ses nombreuses interventions auprès des acteurs de Santé, et de son expérience sur la mise en place de l’ISO 27001, CARRON Consultants peut vous accompagner vers la certification HDS – Hébergement des Données de Santé, que ce soit dans le prolongement naturel d’une démarche de certification ISO 27001, ou dans le cadre d’un complément à une certification ISO 27001 existante.