La certification HDS est obligatoire pour l’hébergement et l’infogérance des services et des applications contenant des données de santé identifiables et personnelles. Découvrez la certification en détail !
Qu’est-ce que la certification HDS ?
Délivrée par un organisme certificateur (accrédité par le COFRAC), la certification HDS vise à améliorer la sécurité des données personnelles de santé – des données sensibles. Elle a deux objectifs :
- renforcer la protection des données de santé à caractère personnel ;
- construire un environnement de confiance autour de l’e-Santé et du suivi des patients.
Les accès et traitements des données de santé font l’objet d’un cadre réglementaire précis, que toute entreprise doit respecter. La certification HDS est proche des certifications ISO et comprend plusieurs référentiels ISO (norme ISO 27001 et norme ISO 20000).
Les deux types de certification HDS
#1 Hébergeur infrastructure physique
Deux activités peuvent être certifiées dans ce premier cadre :
- La mise à disposition et le maintien en conditions opérationnelles des sites physiques. La certification porte sur les murs, les contrôles d’accès, l’installation électrique et les connexions internet, afin de vérifier que tout est en état de marche.
- La mise à disposition, la surveillance et le maintien en conditions opérationnelles des infrastructures matérielles et/ou logicielles. Cela concerne tous les matériels installés dans les sites physiques : borne wifi, pare-feu, serveur, etc.
L’hébergeur de données de santé peut choisir la certification sur l’une ou l’autre, voire les deux, de ces activités.
#2 Hébergeur infogérant
Ce type de certification HDS porte sur la couche logicielle, et comporte 4 activités :
- La mise à disposition et le maintien en conditions opérationnelles de l’infrastructure virtuelle du système d’information de santé et/ou de l’administration du système d’exploitation installé sur les serveurs. L’hébergeur aura, par exemple, l’obligation de réaliser les mises à jour et d’appliquer les patchs sur les systèmes d’exploitation.
- La mise à disposition et le maintien en conditions opérationnelles de l’infrastructure virtuelle et/ou de la plateforme d’hébergement d’applications du système d’information. L’hébergeur est ici responsable de la disponibilité de la machine virtuelle pour les clients.
- L’administration et l’exploitation du système d’information contenant les données de santé.
- La couche applicative. Si votre entreprise édite une application SaaS pour les clients, il est de votre responsabilité d’assurer la sauvegarde externalisée des données de santé.
Comment obtenir la certification HDS ?
Afin de certifier votre organisation, vous devez tout d’abord choisir un organisme certificateur accrédité par le COFRAC (ou un équivalent au niveau européen). L’audit d’évaluation de la conformité de l’hébergeur au référentiel est ensuite réalisé en deux étapes.
Étape #1 : audit documentaire
Lors de cette première phase, l’organisme de certification analyse le système d’information de votre entreprise, dans l’objectif de vérifier la conformité documentaire du système par rapport aux exigences du référentiel de certification.
Étape #2 : audit sur site
Le certificateur se rend dans vos locaux et recueille des preuves d’audit, dans les conditions définies par le référentiel d’accréditation.
Votre structure, en tant qu’hébergeur des données, dispose alors de trois mois, suite à l’audit sur site, pour corriger les éventuelles non-conformités, puis faire auditer ses corrections. Si les corrections ne sont pas réalisées sous ce délai, l’ensemble de la procédure d’audit sur site d’hébergement de données est à réaliser à nouveau.
Le certificat HDS est délivré par l’organisme certificateur pour une durée de trois ans. Un audit de surveillance est ensuite réalisé chaque année.
La certification HDS est indispensable pour les hébergeurs infogéreurs de données de santé, mais son objectif est avant tout de protéger les données des utilisateurs et de contrôler la mise en place réelle des mécanismes de protection requis.