comprendre la certification hébergeurs de données de santé (Certification HDS)

Les hébergeurs de données de santé (HDS) sont soumis depuis le 1er avril 2018 à l’obtention de la certification HDS. La certification HDS a pour objectif de garantir la qualité de service des hébergeurs de santé.

Les professionnels qui hébergent des données de santé à caractère personnel ont l’obligation d’être certifiés HDS par un organisme accrédité.

Les éléments clés de la démarche de certification HDS


La certification HDS est obligatoire pour les hébergeurs de données personnelles de santé

 

Principales normes qui ont servies à l'élaboration du référentiel


Quelques dates clés liées à la certification HDS

1er avril 2018 

  • La certification est retenue pour garantir la qualité de service des hébergeurs de santé
  • Disparition progressive de l’agrément délivré par l’ASIP santé

29juin2018

  • Publication de l’arrêté déterminant les référentiels d'accréditation et de certification HDS

Fin 2018 

  • Obtention des accréditation pour les organismes de certification

Fin 2018 – début 2019

  • Obtention des certifications HDS pour les hébergeurs

Différents types de la certification HDS

Il existe deux types de certificats en fonction de l’activité :

  • La certification « Hébergeur d’infrastructure physique  » :
    •  la mise à disposition, le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé
    • la mise à disposition, le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé
  • La certification « hébergeurs infogéreurs » :
    • la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information de santé
    • la mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information
    • l’administration et l’exploitation du système d’information contenant les données de santé
    • la sauvegarde externalisée des données de santé

Quel est le référentiel de la certification HDS ?

Quel est le référentiel de certification ? A quelles exigences doivent se conformer les hébergeurs de données de santé ?

 

 

Comment se déroule la certification HDS ?

Une fois que vous avez mis en place votre système de management et que vous vous êtes assuré que vous répondez aux différentes exigences du référentiel, le processus est le suivant :

La processus d'audit et de certification HDS

  • Dépôt d'un dossier auprès de l'organisme certificateur (qui doit être accrédité COFRAC)
  • Au bout d'un mois, une journée de pré-audit pour prendre connaissance du système d'un point de vue documentaire et vérifier l'auditabilité,
  • La première année, l'audit de certification sur site sur le plan technique et organisationnel,
  • L'examen du rapport en commission,
  • 1 mois après environ la réponse sur la certification (favorable ou avec non-conformité),
  • Généralement les organismes vous délivre une certification ISO 27001 et une certification HDS.

Si vous possédez déjà une certification ISO 27001 vous aurez alors un audit allégé.

La complémentarité entre la certification HDS et le RGPD


Ces deux dispositifs contribuent à construire un système renforçant la confiance sur le traitement des données personnelles de  santé.

 

En savoir plus sur le RGPD

Exigences communes

L'obtention d’une certification HDS va largement aider le responsable de traitement ou le sous-traitant à être conforme à la règlementation sur le RGPD. Par exemple un des critères de l'ISO 27001 est le traitement des données à caractère personnel.


Quelle stratégie adopter pour la certification HDS ?


Dans la plus part des cas il est utile d'engager une démarche de certification 27001 : 2013 référentiel qui comprends une grande part des exigences du référentiel HDS. De plus la certification ISO 27001 est reconnue internationalement dans tous les secteurs d'activité.

 

Ensuite il est nécessaire de réaliser une étude pour identifier le périmètre exact et les activités précises qui seront certifiées et répondre aux questions suivantes :

  • Certification Hébergeur d’infrastructure physique (40 exigences / 45) OU Certification Hébergeur infogérant (45 exigences) ?
  • Quelles certifications complémentaires ? (27001, 20000-1, 9001, SecNumCloud, ...)
  • Comment intégrer le RGPD ?
  • Quel est mon taux de conformité actuel ?
  • ... 

Pourquoi nous choisir pour accompagner votre certification HDS ?


  • Expertise en sécurité de l'information ISO 27001
  • La certification ICA ISO 20000-1 - Responsable d'audit services informatiques
  • Une connaissance du système d'information dans sa globalité
  • Une approche agile pour la certification

En savoir plus sur nos accompagnements à la certification HDS ?


Liens

Etre contacté


Note : veuillez remplir les champs marqués d'un *.