Hébergement de données de santé : ce qui va changer !

En pratique, le changement est profond. Il s’agit de compléter l’audit documentaire, aujourd’hui réalisé conjointement par l’Asip Santé et la Cnil sur la base d’un dossier de demande d’agrément, par une évaluation de conformité technique et organisationnelle réalisée dans les locaux du demandeur. S’agissant des nouveaux contrôles, les exigences sont essentiellement celles de la norme ISO 27001 version 2013 dont l’objet est la sécurité de l’information (confidentialité, intégrité etdisponibilité des données de santé).

D’autres exigences viennent compléter ce socle qui a l’avantage d’apporter d’emblée une reconnaissance internationale. Si la version finale du référentiel HDS n’a pas encore été publiée à la suite de la consultation publique menée par l’Asip Santé à l’automne dernier, les grandes lignes sont d’ores et déjà tracées.

Un décret viendra fixer le calendrier précis de cette transition annoncée pour 2018, année décidément chargée avec, entre autres, la conformité au règlement européen sur la protection des données personnelles à mettre en œuvre pour le mois de mai 2018. Une raison supplémentaire pour anticiper cette transition.

Quels sont les hébergeurs concernés ?

La certification HDS concerne tout hébergeur qui met à disposition une infrastructure matérielle opérationnelle pour répondre aux besoins d’un système d’information de santé (hébergeur dit « d’infrastructure physique ») ou qui propose une offre de services ou d’infogérance (hébergeur dit « infogéreur »).

Cette activité peut être réalisée pour le compte d’un responsable de traitement ou l’un de ses sous-traitants. À titre d’exemple, l’hébergeur certifié HDS peut proposer une offre de housing permettant l’hébergement des équipements de ses clients ou une offre virtualisée de type Infrastructure as a Service reposant sur des machines dédiées ou partagées.

L’hébergeur certifié HDS peut également proposer une offre de service Cloud de sauvegardes externalisées de données de santé, une prestation d’infogérance d’exploitation ou encore une offre Platform as a service adaptée aux besoins d’un système d’information de santé.

Comment se préparer ?

Pour obtenir une certification HDS, les candidats auront la possibilité de faire valoir une certification ISO 27001 préexistante dont le périmètre inclut l’hébergement de données de santé. La certification ISO 27001 présente donc le double avantage de se préparer dès maintenant à l’échéance d’un agrément à l’hébergement de données de santé, mais aussi d’alléger le premier audit de certification HDS d’un très grand nombre d’exigences.

Afnor Certification propose d’accompagner les hébergeurs de données de santé dans la préparation de leur certification. En particulier, la visite d’évaluation ISO 27001 est un outil performant et personnalisé pour s’assurer de la cohérence du périmètre de certification envisagé, en amont de l’audit de certification et en faisant appel à un auditeur qualifié. En somme, cette visite d’évaluation est un excellent outil pour pouvoir identifier ses forces et les axes d’amélioration à développer.