Les exigences de la certification HDS

La norme HDS est devenue un label indispensable aux acteurs du secteur de la santé, qui manipulent des données de santé à caractère personnel. Pour obtenir ce label, il suffit de faire appel à un hébergeur certifié HDS comme Naitways. Celui-ci, en répondant aux exigences de la certification HDS, est habilité à stocker et à gérer ces données.

Qu’est-ce que la certification HDS ?

Définie par le décret n° 2018-137 du 26 février 2018, la certification HDS (Hébergeur de Données de Santé) est une norme réglementaire en France qui remplace l’agrément HADS. Elle s’adresse aux prestataires qui hébergent des données personnelles de santé sur un support numérique comme un serveur HDS.

Les principaux objectifs de la certification HDS

La certification HDS garantit la sécurité et la confidentialité des données de santé hébergées. Elle a pour objectif de protéger ces informations par des mesures de sécurité techniques et organisationnelles. Elle vise aussi à instaurer une meilleure gestion des risques associés à l’hébergement HDS.

En outre, cette norme permet d’instaurer la traçabilité des données tout en facilitant l’audit de leurs accès, assurant ainsi la conformité aux exigences de la certification HDS. Enfin, elle permet de sensibiliser le personnel aux bonnes pratiques de protection des informations médicales.

Les domaines couverts par la certification HDS

La certification HDS santé s’articule autour de plusieurs domaines clés, à savoir :

• Gouvernance, risque et conformité (GRC) : évaluation du management de la sécurité de l’information (SMSI) de l’hébergeur HDS ;
• Identité et gestion des accès (IAM) : garantie que seuls les utilisateurs autorisés ont accès aux données ;
• Sécurité des systèmes d’information (SSI) et maintien en condition opérationnelle (MCO) : protection des infrastructures contre les intrusions et les malwares ;
• Gestion des incidents et des sinistres (MII) : apport d’une capacité de réponse et de récupération en cas d’incidents de sécurité ;
• Protection des données personnelles (PDP) : assurance de la conformité au RGPD (Règlement Général sur la Protection des Données) ;
• Organisation et prestation de service : mesure de la fiabilité des services d’hébergement de données de santé.

Pourquoi la certification HDS est-elle importante pour les entreprises ?

Adressée aux entreprises manipulant des données sensibles de santé (prestataire Cloud HDS, infogéreur, datacenter HDS…), cette certification pour hébergement garantit leur conformité aux réglementations de protection des données. Elle renforce ainsi la confiance de ses utilisateurs et, indirectement, des patients. Qui plus est, elle implique des mesures de sécurité robustes, réduisant les risques d’accès non autorisé ou de perte de données – conférant par là un avantage concurrentiel à ses entreprises utilisatrices.

Les exigences de la certification HDS

Les exigences de la certification HDS ont pour but de garantir la sécurité, la confidentialité, la disponibilité et l’intégrité des données de santé. Elles sont basées sur la norme ISO 27001 et sont enrichies par le RGPD et les exigences spécifiques au secteur de la santé (ISO 27018).

Les exigences en termes de sécurité des données

Les exigences de la certification HDS imposent une protection contre les accès non autorisés et le chiffrement des données sensibles. Elles exigent la minimisation de la collecte et du stockage des données. En outre, l’hébergeur devra répondre à une exigence d’intégrité par le biais de contrôles de validation et de traçabilité des modifications. Il lui faudra également mettre en place des mesures de haute disponibilité et de gestion des incidents.

Les exigences en matière d’infrastructure et d’organisation

La norme DS préconise la sécurité des locaux et des réseaux, un système de management de la sécurité de l’information conforme à la certification ISO 27001, des contrôles de mise à disposition des données et des compétences appropriées du personnel. Elle inclut aussi une gestion des tiers, des processus de gestion des incidents et des sinistres, ainsi qu’un plan de continuité d’activité.

Les exigences en termes de gouvernance et de gestion des risques

En matière de gouvernance, les exigences de la certification HDS imposent un SMSI conforme à l’ISO 27001, l’engagement de la direction, l’élection d’un Responsable de la Sécurité des Systèmes d’Information (RSSI) et la formation du personnel. En outre, sont requis l’identification, l’évaluation, le traitement et la surveillance régulière des risques pour minimiser les interruptions d’activité et les incidents.

Comment obtenir la certification HDS ?

Cette certification santé constitue une extension de la norme ISO 27001 relative à la sécurité des systèmes d’information. Avant de pouvoir prétendre à la certification HDS, le prestataire doit lui-même obtenir en amont la certification ISO 27001. La norme HDS, quant à elle, s’obtient de manière contractuelle.

La newsletter des collab’ Naitways

Chaque mois, rencontrez nos talents et découvrez leur vision, nos solutions innovantes et les évènements à ne pas manquer.

Abonnez vous et inspirez-vous de nos experts. Je m’inscris