Hébergement des données de santé (HDS) : un nouveau référentiel pour créer la confiance concernant la protection des données de santé.
Depuis le 1er avril 2018, une nouvelle procédure de certification remplace l’agrément auparavant délivré par le Ministère de la Santé. Cette nouvelle certification, portée par la réglementation, vise notamment à renforcer la sécurité et la confidentialité des données de santé. Cette certification permet de répondre à l’exigence sur la protection des informations médicales à caractère confidentiel, de la norme NF EN ISO 13485 :2016 “Systèmes de management de la qualité – Exigences à des fins réglementaires“.
L’arrêté portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel est paru au JORF vendredi 29 juin 2018.
Les hébergeurs de données de santé sur support numérique (en dehors des services d’archivage électronique) pourront donc prochainement entamer leur démarche de certification auprès d’organismes certificateurs.
Il s’agit de l’hébergement des données de santé à caractère personnel qui sont recueillies à l’occasion d’activités de prévention, diagnostic, soin ou suivi social ou médico-social. Ce recueil peut être réalisé pour le compte d’une personne physique ou morale (qui devient de ce fait responsable de traitement) ou pour le compte du patient lui-même.
Le responsable de traitement est la personne, l’autorité publique ou l’organisme qui détermine les finalités ou les moyens de ce traitement.
L’activité d’hébergement de santé comprend la mise à disposition et le maintien en condition opérationnelle des sites physiques, de l’infrastructure matérielle, de l’infrastructure virtuelle, de la plateforme d’hébergement de l’application ainsi que l’administration et l’exploitation de ce système d’information et la sauvegarde des données de santé.
Le référentiel prévoit deux types de certification :
Si l’hébergeur exerce au moins une activité sur l’un ou l’autre de ces types de certification, il devra être certifié sur l’ensemble des activités du type concerné.
Lorsque l’hébergeur exerce au moins une activité sur chacun des deux types de certification, il est certifié sur les deux types.
Le référentiel HDS demande à l’hébergeur de se conformer à l’intégralité des exigences de la norme ISO 27001:2013 « Systèmes de management de la sécurité de l’information », ainsi qu’à certaines exigences de l’ISO 20000-1 :2011 (conception et implémentation de nouveaux services, continuité de service et gestion de la disponibilité). Il doit également prendre en compte certaines exigences sur la protection des données de santé à caractère personnel (notamment en termes de droit des personnes, de finalité, de communication, de transparence, de responsabilité de sécurité des données et de localisation des données). Pour cela il pourra s’appuyer sur des dispositifs et mesures de l’ISO 27018 :2014 « Code of practice for protection of personally identifiable information (PII) in public clouds ». Enfin, il doit prendre en compte des exigences complémentaires (PGSSI-S, rapports d’audits, listes de contacts clients, régionalisation).
Un audit initial sur le référentiel HDS est réalisé en 2 étapes :
L’audit d’étape 1 a pour objectif de s’assurer de la bonne compréhension des exigences de la norme applicable, d’identifier et de récolter les informations relatives au périmètre du système de management, du site concerné, aux aspects réglementaires et juridiques auxquels l’entité doit se conformer. Il a également pour objectif de déterminer le niveau de préparation pour l’étape 2, de vérifier que les audits internes et la revue de direction ont été planifiés et réalisés, et de confirmer les modalités définies pour la réalisation de l’audit d’étape 2. Cette revue documentaire est réalisée sur site ou le cas échéant, à distance, selon des modalités particulières.
L’audit d’étape 2 est constitué par une évaluation de la conformité, de la mise en œuvre et de l’efficacité du système de management par rapport au référentiel HDS. Il est réalisé conformément aux modalités définies par la norme ISO 17021-1, et par les modalités spécifiques d’accréditation. Cet audit est réalisé sur site.
L’équipe d’audit est constituée d’un responsable d’audit, accompagné le cas échant d’une équipe d’auditeurs, qualifiés suivant les modalités et les critères définis par le LNE.
Le rapport d’audit rend compte :
La décision de certification est prise par le LNE sur la base de l’examen du rapport d’audit.
La certification est délivrée pour une durée de 3 ans sous réserve d’un audit de suivi annuel pour le maintien de cette certification. Au moins 3 mois avant l’échéance de la certification, un audit de renouvellement sera réalisé.
Pour être habilité à délivrer des certificats HDS, les organismes de certification doivent être accrédités par le COFRAC ou son équivalent dans d’autres pays, conformément au référentiel d’accréditation. Celui-ci est basé sur les exigences de l’ISO 17021-1. En complément, il inclut des exigences renforcées sur :
De manière transitoire, avant l’accréditation, l’extension d’accréditation nécessite le dépôt d’un dossier de candidature, la recevabilité administrative et technique par le COFRAC, la réalisation d’observations d’audits HDS et d’évaluation du siège afin d’obtenir d’extension de l’accréditation à la procédure HDS.
Le LNE met en place les dispositions nécessaires à l’extension de son accréditation.
Pour accompagner les hébergeurs d’infrastructure physique et les hébergeurs infogéreurs, le LNE propose les prestations suivantes :
Inscrivez-vous à nos formations :
Hébergeur de données de santé : maîtrisez le référentiel |
L'essentiel normatif et réglementaire de la sécurité des systèmes d'information dans le domaine de la santé |
Cette formation a pour objectif de vous aider à vous approprier les exigences du référentiel, à identifier l’articulation entre le référentiel HDS et les normes NF/ISO 27001, NF/ISO 20000-1 et à appréhender le processus de certification. |
Cette formation a pour objectif de vous aider à identifier et comprendre les principaux textes réglementaires et normatifs du domaine, et définir les responsabilités des différents acteurs. |
Date et lieu : Le 19 octobre à Paris | Date et lieu : Le 20 septembre à Paris |
>>Programme et inscription | >>Programme et inscription |
Pour toute question supplémentaire, contactez-nous via notre formulaire
Restez informé sur le marché, l'offre LNE et bénéficiez d'avis d'experts reconnus :