Nouveau référentiel HDS

Depuis le 1er avril 2018, une nouvelle procédure de certification remplace l’agrément auparavant délivré par le Ministère de la Santé. Cette nouvelle certification, portée par la réglementation, vise notamment à renforcer la sécurité et la confidentialité des données de santé. Cette certification  permet de répondre à l’exigence sur la protection des informations médicales à caractère confidentiel, de la  norme NF EN ISO 13485 :2016 “Systèmes de management de la qualité – Exigences à des fins réglementaires“.

L’arrêté portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel  est  paru au JORF vendredi 29 juin 2018.

Les hébergeurs de données de santé sur support numérique (en dehors des services d’archivage électronique) pourront donc prochainement entamer leur démarche de certification auprès d’organismes certificateurs.

Qu’est-ce que l’activité HDS ?

Il s’agit de l’hébergement des données de santé à caractère personnel qui sont recueillies à l’occasion d’activités de prévention, diagnostic, soin ou suivi social ou médico-social. Ce recueil peut être réalisé pour le compte d’une personne physique ou morale (qui devient de ce fait responsable de traitement) ou  pour le compte du patient lui-même.

Le responsable de traitement est la personne, l’autorité publique ou l’organisme qui détermine les finalités ou les moyens de ce traitement.

L’activité d’hébergement de santé comprend la mise à disposition et le maintien en condition opérationnelle des sites physiques,  de l’infrastructure matérielle, de l’infrastructure virtuelle,  de la plateforme d’hébergement de l’application ainsi que l’administration et l’exploitation de ce système d’information et la sauvegarde des données de santé.

Quel est le périmètre de la certification ?

Le référentiel prévoit deux types de certification :

• Un certificat « hébergeurs d’infrastructures physiques » (locaux, infrastructures matérielles) pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle ;
• Un certificat « hébergeurs  infogéreurs»  (plateformes logicielles, infrastructures virtuelles, infogérances d’exploitation et sauvegarde) pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’infogérance et de sauvegarde externalisée.

Si l’hébergeur exerce au moins une activité sur l’un ou l’autre de ces types de certification, il devra être certifié sur l’ensemble des activités du type concerné.

Lorsque l’hébergeur exerce au moins une activité sur chacun des deux types de certification, il est certifié sur les deux types.

Quelles sont les principales exigences du référentiel HDS ?

Le référentiel HDS demande à l’hébergeur de se conformer à l’intégralité des exigences de la norme ISO 27001:2013 « Systèmes de management de la sécurité de l’information », ainsi qu’à certaines exigences de l’ISO 20000-1 :2011 (conception et implémentation de nouveaux services, continuité de service et gestion de la disponibilité). Il doit également prendre en compte certaines exigences sur la protection des données de santé à caractère personnel (notamment en termes de droit des personnes, de finalité, de communication, de transparence, de responsabilité de sécurité des données et de localisation des données). Pour cela il pourra s’appuyer sur des dispositifs et mesures de l’ISO 27018 :2014 « Code of practice for protection of personally identifiable information (PII) in public clouds ». Enfin, il doit prendre en compte des exigences complémentaires (PGSSI-S, rapports d’audits, listes de contacts clients, régionalisation).

Comment se passe un audit initial HDS

Un audit initial sur le référentiel HDS est réalisé en 2 étapes :

L’audit d’étape 1 a pour objectif de s’assurer de la bonne compréhension des exigences de la norme applicable, d’identifier et de récolter les informations relatives au périmètre du système  de management, du site concerné, aux aspects réglementaires et juridiques auxquels l’entité doit se conformer. Il a également pour objectif de déterminer le niveau de préparation pour l’étape 2, de vérifier que les audits internes et la revue de direction ont été planifiés et réalisés, et de confirmer les modalités définies pour la réalisation de l’audit d’étape 2. Cette revue documentaire est réalisée sur site ou le cas échéant, à distance, selon des modalités particulières.

L’audit d’étape 2 est constitué par une évaluation de la conformité, de la mise en œuvre et de l’efficacité du système de management par rapport au référentiel HDS. Il est réalisé conformément aux modalités définies par la norme ISO 17021-1, et par les modalités spécifiques d’accréditation. Cet audit est réalisé sur site.

L’équipe d’audit est constituée d’un responsable d’audit, accompagné le cas échant d’une équipe d’auditeurs, qualifiés suivant les modalités et les critères définis par le LNE.

Le rapport d’audit rend compte :

• Des éléments significatifs du système de management permettant de donner confiance dans l’obtention de la conformité au référentiel visé ;
• Des non conformités et observations pertinentes ;
• Des pistes d’amélioration.

La décision de certification est prise par le LNE sur la base de l’examen du rapport d’audit.

Comment est maintenu et renouvelé la certification HDS

La certification est délivrée pour une durée de 3 ans sous réserve d’un audit de suivi annuel pour le maintien de cette certification. Au moins 3 mois avant l’échéance de la certification, un audit de renouvellement sera réalisé.

Comment sont accrédités les organismes de certification

Pour être habilité à délivrer des certificats HDS, les organismes de certification doivent être  accrédités par le COFRAC ou son équivalent dans d’autres pays, conformément au référentiel d’accréditation. Celui-ci est basé sur les exigences de l’ISO 17021-1. En complément, il inclut des exigences renforcées sur :

• la compétence du personnel dans les domaines de sécurité de l’information et de la santé
• les documents de certification
• la confidentialité des données
• les échanges d’informations avec l’autorité compétente
• les durées d’audit.

De manière transitoire, avant l’accréditation, l’extension d’accréditation nécessite le dépôt d’un dossier de candidature, la recevabilité administrative et technique par le COFRAC, la réalisation d’observations d’audits HDS et d’évaluation du siège afin d’obtenir d’extension de l’accréditation à la procédure HDS.

Le LNE met en place les dispositions nécessaires à l’extension de son accréditation.

L’offre LNE

Pour accompagner les hébergeurs d’infrastructure physique et les hébergeurs infogéreurs, le LNE propose les prestations suivantes :

• Formation : analyse de l’ensemble des exigences du référentiel et présentation des différentes étapes du processus de certification. En inter ou en intra entreprise
• Assistance technique réglementaire sur mesure : analyse des exigences du référentiel et réponses à vos questions relatives à la compréhension des exigences dans le cadre de votre écosystème d’hébergement de données de santé
• Audit de diagnostic sur site
• Certification ISO 27001 uniquement sur l’activité hébergement de données comme première étape vers la certification HDS. (lien vers https://www.lne.fr/certification/iso-27001-systeme-management-securite-information)
• Certification HDS sur un cycle de 3 ans  (lien vers la page en cours de création)

Pour aller plus loin

Inscrivez-vous à nos formations :

Contact

Pour toute question supplémentaire, contactez-nous via notre formulaire

S'abonner

Restez informé sur le marché, l'offre LNE et bénéficiez d'avis d'experts reconnus : 

>>Abonnez-vous