L’Agence Numérique de la Santé en concertation avec la CNIL a terminé la révision du référentiel de certification HDS.
Le décret d’application est paru au JO le 16/05/2024 validant ainsi l’Arrêté du 26 avril 2024 modifiant l’arrêté du 11 juin 2018
Un peu de contexte
« Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet. »
En place depuis 2018, HDS est donc le garant des bonnes pratiques en matière de gestion et de sécurisation de ces données.
Précision sur le rôle de l’hébergeur :
L’Hébergeur, également désigné « organisation » dans la norme ISO 27001 est celui concerné par la certification. Il fournit tout ou partie d’un service d’hébergement de données de santé à caractère personnel (aussi appelé « données de santé »).
Ce qui change en 2024
La nouvelle version du référentiel HDS permet :
- D’améliorer la lisibilité des garanties apportées par un hébergeur certifié
- De clarifier le périmètre et les obligations contractuelles de l’hébergeur
- D’intégrer le référentiel de certification HDS dans la norme ISO 27001
- De renforcer les exigences de protection des données personnelles en cas de transfert en dehors de l’Union Européenne
Les dates à retenir :
➡️ 16 novembre 2024 : il ne sera plus possible de réaliser d’audits initiaux et de renouvellement sur la version 1.1 datant de 2018
➡️ 16 mai 2026 : tous les certificats HDS devront avoir transité sur la nouvelle version
Les 6 d’activités d’hébergements qui existent
1) La mise à disposition et le maintien en condition opérationnelle de sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé.
2) La mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé.
3) La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé.
4) La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information.
5) L’administration et l’exploitation du système d’information contenant les données de santé
🔍 L’activité d’administration et exploitation du système d’information contenant les données de santé consiste en la maîtrise des interventions sur les ressources mises à la disposition du client de l’Hébergeur.
Elle comprend l’intégralité des activités annexes suivantes :
– la définition d’un processus d’attribution et de revue annuelle de droits d’accès nominatifs, justifiés et nécessaires,
– la sécurisation de la procédure d’accès,
– la collecte et la conservation des traces des accès effectués et de leurs motifs,
– la validation préalable des interventions (plan d’intervention, processus d’intervention).
La validation des interventions consiste à s’assurer qu’elles ne dégradent la sécurité de l’information hébergée ni pour le client concerné ni pour les autres clients de l’Hébergeur. Cette validation peut être effectuée dans les cas suivants :
– a priori, pour les interventions que le client pourrait effectuer en autonomie,
– lors de la demande d’intervention lorsqu’il sollicite l’Hébergeur.
La définition du processus d’attribution, la sécurisation, la collecte, la validation sont intrinsèques et obligatoires aux activités définies au 1 à 4 de l’article R. 1111-9 du code de la santé publique. Si elles sont effectuées uniquement en ce qu’elles sont liées et consubstantielle aux activités 1 à 4, l’Hébergeur n’est pas tenu d’être certifié pour l’activité 5. Il ne sera tenu de l’être que dans le cas où il exerce uniquement l’activité 5.
6) La sauvegarde des données de santé.
L’activité 6 de sauvegarde des données doit être interprétée comme comprenant uniquement les sauvegardes externalisées. Les sauvegardes intrinsèquement nécessaires aux activités 1 à 5 sont dans le périmètre des activités 1 à 5.
