La certification HDS est une obligation réglementaire pour les tiers et prestataires qui hébergent et exploitent des données de santé à caractère personnel et/ou archivent des documents en contenant. Elle a pour objectif d’assurer la sécurité de ces données. En quoi consiste la certification HDS et comment l’obtenir ? Quels sont les avantages d’avoir recours à un prestataire certifié ? Arkhineo vous explique.
Qu’est-ce que la certification HDS ?
La certification Hébergeurs de Données de Santé (HDS) permet à tout organisme public ou privé traitant des données de santé de pouvoir faire appel à des prestataires tiers de confiance pour l’hébergement de ces données. Avec la certification HDS, un hébergeur peut en effet garantir la qualité, la sécurité et la fiabilité de son service quant à la gestion des données de santé à caractère personnel. Elle est obligatoire pour tout hébergement et infogérance des services et applications contenant des données de santé identifiables et personnelles.
La certification HDS est délivrée par des organismes indépendants accrédités par le COFRAC (Comité Français d’Accréditation). L’organisme s’assure que les modalités et les conditions attendues par la règlementation pour héberger des données de santé soient bien respectées. Depuis 2018, elle remplace l’agrément HDS avec des exigences de sécurité plus élevées. Elle est en effet désormais rattachée à la norme et qualification ISO 27001.
Comment l’obtenir ?
Afin de pouvoir être certifié HDS, il est nécessaire d’être préalablement qualifié ISO 27001. De plus, la certification HDS est agrémentée d’exigences additionnelles en lien avec le Règlement Général sur la Protection des Données personnelles (RGPD) et le domaine de la santé.
Pour délivrer la certification HDS, l’organisme certificateur procède à un audit en deux étapes. Dans un premier temps, il effectue une revue documentaire du système d’information du candidat afin de déterminer la conformité documentaire du système par rapport aux exigences du référentiel de certification basé sur la norme ISO 27001. La deuxième étape consiste en un audit sur site. L’hébergeur dispose de trois mois après la fin de cet audit pour corriger les éventuelles non-conformités et faire auditer ses corrections. Si les résultats sont concluants, la certification HDS est délivrée pour une durée de 3 ans et un audit de surveillance est réalisé chaque année.
Quel est le périmètre d’application de la certification ?
On distingue 2 catégories d’activités concernées par la certification :
- Les hébergeurs d’infrastructure physique qui mettent à disposition et maintiennent en condition opérationnelle les sites physiques et les infrastructures matérielles des systèmes d’information utilisés pour le traitement de données de santé.
- Les hébergeurs infogéreurs qui mettent à disposition et maintiennent en condition opérationnelle les infrastructures virtuelles des systèmes d’information de santé et les plateformes d’hébergement d’applications. Ils assurent également l’administration, la sauvegarde externalisée et l’exploitation de données de santé.
Quels établissements sont susceptibles d’avoir recours à un prestataire certifié HDS ?
De nombreux établissements utilisant de près ou de loin des données de santé sont concernés : les hôpitaux mais aussi d’autres types d’établissements de santé et de prise en charge médico-sociale comme les cliniques, les pharmacies, les mutuelles, etc.
Recourir aux services d’un prestataire hébergeur de données de santé certifié permet à ces établissements de :
Respecter les obligations règlementaires du nouvel environnement e-santé.Sécuriser l’ensemble de leurs données de santé à caractère personnel.Améliorer la gestion et le traitement sécurisé de ces données.Garantir le respect de la vie privée des patients et le secret médical.
- Respecter les obligations règlementaires du nouvel environnement e-santé.
- Sécuriser l’ensemble de leurs données de santé à caractère personnel.
- Améliorer la gestion et le traitement sécurisé de ces données.
- Garantir le respect de la vie privée des patients et le secret médical.
En sa qualité de prestataire de service de confiance, Arkhineo est certifié HDS depuis 2018 et dispose d’infrastructures physiques (datacenters) en France dans lesquelles sont archivées les données de santé à caractère personnel de façon dématérialisée. Sa certification HDS garantit la qualité de son service d’archivage et de protection des données.
#transformationnumerique #archivageelectronique #SAE #confiancenumérique #conservation