À l’heure du big data, du carnet de santé numérique, du cloud et des millions de données enregistrées chaque jour par les usagers d’internet, la sécurité des informations partagées est essentielle et pourtant complexe à garantir. Parmi les principales normes en la matière, citons le RGPD, « Règlement général sur la Protection des Données », qui concerne l’ensemble des organismes de la zone UE liés au traitement des données personnelles, et le certificat HDS, « Hébergement de données de santé », qui concerne quant à lui, les professionnels européens de l’hébergement et de l’infogérance en matière de données de santé à caractère personnel.
Norme HDS : des garanties pour la sécurité de vos informations de santé
Obligatoire depuis 2018 pour tous les professionnels hébergeurs ou exploitants des données relatives au système d’information de santé français pour leur compte ou pour celui d’un tiers (hébergeur, datacenter, solution d’exploitation ou de stockage des données personnelles de santé…) à l’exception des services d’archives informatiques et des établissements de santé titulaires de leur propre système d’Information, la certification HDS vient soutenir la création d’un écosystème sain et sécurisé autour de l’e-santé.
Référentiels et normes ISO permettent la délivrance pour une durée de trois ans, d’une certification attribuée après le déroulement d’un audit complet. C’est l’ANS France (Agence du Numérique en Santé) qui procède à l’audit, lequel doit déterminer si le niveau de conformité et de sécurité exigé est atteint. La présence des certifications ISO 27001 (Management de la Protection de la vie privée) et ISO 20000 (Management des services informatiques) est par ailleurs vérifiée. Si l’audit est validé, la certification HDS est attribuée par la COFRAC (Comité Français d’Accréditation).
Deux types de certificats HDS
En fonction de l’activité et du périmètre d’action de chaque société et service, deux certifications différentes sont proposées. À noter que les professionnels dont les missions sont présentes dans les deux catégories doivent s’acquitter des deux certificats.
- Hébergement d’infrastructures physiques :
- mise à disposition et maintien de locaux pour l’hébergement physique des données de santé,
- mise à disposition et maintien de l’infrastructure matérielle nécessaire à l’hébergement des données de santé.
- Hébergement et infogestion :
- mise à disposition et maintien de l’infrastructure virtuelle pour la gestion des données de santé,
- mise à disposition et maintien de plateformes applicatives liées à la gestion des données de santé,
- infogérance du système d’information traitant de données de santé,
- mise à disposition et maintien des sauvegardes externalisées.
Dans les deux cas, la certification HDS assure la sécurité de vos données, le professionnalisme et la qualité du service fourni par l’hébergeur choisi.
Niwanet : infogérance, sécurité des données et hébergements HDS
Hébergement et sécurité des données de santé, depuis 2008, Niwanet est un partenaire d’expérience en matière d’infogérance, de maintenance et de supervision pour vos projets web et sites internet.
Pour cela, l’équipe se compose de professionnels aguerris : ingénieurs DevOps, RSSI (Responsable de la Sécurité des Systèmes d’Information), pentesters (professionnel de la cybersécurité) et admins SYS (administrateur système) qui vous accompagnent pour un hébergement sécurisé de vos données de santé. Conformément aux directives d’état et en tant que spécialiste de l’optimisation de vos projets hébergés, Niwanet est logiquement titulaire de la certification HDS et ISO 27001.
HDS et RGPD : complémentarité et sécurité des données
En matière de traitement des informations personnelles et de santé, les droits français et européen sont exigeants. Ainsi, le RGPD piloté par la CNIL et la norme HDS régie par l’ANS, gèrent conjointement les devoirs des organismes gestionnaires et hébergeurs de données à caractère personnel. Le but ? Élaborer un système transparent de protection des données personnelles et de santé, parfaitement sécurisé.
Le RGPD concerne l’ensemble des organismes implantés en zone UE ou hors zone UE, mais qui ciblent les résidents européens, habilités à recueillir, traiter et conserver des données personnelles en rapport avec une personne physique identifiée ou identifiable. Dans la continuité de la Loi française Informatique et Libertés promulguée en 1978, le « Règlement Général sur la Protection des Données » entré en vigueur le 25 mai 2018, s’adapte à l’évolution des modes de communication et de consommation (échanges numériques et achats en ligne entre autres) pour en renforcer le contrôle et la sécurité.
Ainsi, les professionnels — comme c’est le cas des professionnels de santé — qui constituent un fichier client doivent notamment :
- pouvoir légitimer la collecte des données de leurs patients,
- collecter uniquement les données relatives aux soins, de diagnostic ou activités de prévention de leurs patients,
- informer leurs patients de la récolte et du stockage de leurs données et des droits qui en découlent,
- indiquer une durée maximale de conservation des ces informations, compatible avec le cadre légal prévu,
- protéger et sécuriser les données de santé recueillies (notamment par le recours à un prestataire certifié HDS)
- contrôler l’accès aux données par les seuls professionnels habilités et mettre en place un système de chiffrement adéquat.
Si le RGPD concerne l’ensemble des organismes susceptibles de collecter et traiter des données personnelles et contient des obligations telles que la déclaration des incidents de sécurité ou encore la réalisation d’analyse d’impact sur la vie privée, la certification HDS est complémentaire, dans la mesure où elle cible plus précisément les données de santé hébergées et renforce les mesures de sécurité à mettre en œuvre.
