La certification Hébergeurs Données de Santé (HDS)

blog-08.jpg

La législation sur l’hébergement des données de santé a récemment évolué. L’agrément a été remplacé par la certification HDS par le décret n° 2018-137 du 26 février 2018 qui pose les fondements de la nouvelle procédure. Cette certification est obtenue auprès d’un organisme accrédité par le COFRAC (ou équivalent européen). Après un processus d’audit documentaire et sur site, la certification est délivrée pour 3 ans, avec une surveillance annuelle. Des certificats sont délivrés pour deux métiers d’hébergement distincts :

  • Un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et infrastructure matérielle.
  • Un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de de plateforme logicielle, d’infogérance et de sauvegarde externalisée.

 Certification ISO 27001 (Système de Management de la Sécurité de l’Information)

Le décret impose à l’hébergeur de détenir la certification ISO 27001 sur le périmètre d’hébergement des données de santé. Une série de points de conformité obligatoires ont été ajoutés et en particulier :

  • La nécessité d’intégrer à la DdA (déclaration d’applicabilité) les exigences spécifiques santé requises par le référentiel HDS.
  • La prise en compte de la sécurité des sauvegardes en cas d’externalisation.
  • La possibilité pour les clients de l’hébergeur de réaliser des audits sur ses applications en production.

Les points fondamentaux nécessaires à la mise en œuvre d’un SMSI ISO 27001 restent valables : analyse et traitement des risques, gestion rigoureuse de la documentation, engagement de la direction, objectifs de sécurité, traitement des non conformités, amélioration continue.

Conformité à certaines exigences ISO 20000

Certaines exigences ISO 20000 (services informatiques découlant des bonnes pratiques ITIL) doivent être mises en œuvre pour obtenir la certification HDS :

  • Planification, conception et implémentation des services nouveaux ou modifiés (paragraphe 5.2 et 5.3 de l’ISO 20000).
  • Critères d’acceptation du service pour les nouveaux services ou services modifiés.
  • Exigences de continuité et de disponibilité de services (paragraphe 6.3 de l’ISO 20000).
  • Gestion de la capacité (paragraphe 6.5 de l’ISO 20000).

La nécessité d’un plan de continuité des activités pour l’hébergeur est donc renforcée.

Lex exigences ISO 27017 et ISO 27018

Le référentiel HDS reprend plusieurs exigences des normes ISO 27017 (protection des données à caractère personnel) et ISO 27018 (sécurité de l’information dans le Cloud). Ces points doivent être suivis avec rigueur pour obtenir la certification et intégrés à la déclaration d’applicabilité. Ils recoupent plusieurs exigences imposées par le RGPD / GDPR (règlement européen pour la protection des données personnelles). Rappelons à ce titre qu’une donnée de santé fait explicitement partie de la catégorie des données sensibles. Quelques exemples de points importants sont : l’interdiction d’utiliser les données de santé à d’autres fins que l’exécution de la prestation d’hébergement, la notification au(x) client(s) en cas d’atteinte à la sécurité des données, l’obligation d’information en cas de sous-traitance, la gestion des traces(logs) et des habilitations, la localisation des données, la communication des rapports d'audit de certification aux clients qui en font la demande ou encore l’ Information des clients qu’ils sont tenus de respecter la PGSSI-S (Politique de sécurité des systèmes d’information Santé).

Quel processus de certification ?

Deux choix sont possibles pour l’hébergeur :

  • Soit démarrer par la mise en place d’un SMSI sur le périmètre HDS pour obtenir la certification ISO 27001 puis demander un complément HDS pour prendre en compte les exigences ISO 20000, 27017 et ISO 27018.
  • Soit demander un audit complet HDS en prenant en compte dès le départ tout le périmètre.

Dans tous les cas, l’hébergeur détiendra en fin de processus les deux certificats ISO 27001 et HDS.

PROSICA propose des missions de conseil et des formations pour assister les hébergeurs de données de santé à la mise en œuvre de ces certifications. Demandez un rendez vous avec un de nos consultants spécialisés pour définir la meilleure démarche à suivre (contact at prosica.fr) ou identifier la meilleure formation (formation at prosica.fr)

 

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Mots clés: GDPR ISO 27001 Certification HDS ISO27017 ISO 27018 Sécurité données de santé