L’essor du digital ces dernières années a véritablement impacté tous les secteurs d’activité. Plus que les autres domaines, celui de la santé profite de l’évolution des recherches et des technologies. Si ces dernières permettent de sauver plus de vies et d’apporter des solutions plus efficaces contre les différents problèmes de santé, elles ont également un impact sur le mode de travail des professionnels du secteur.
Parmi les impacts de la digitalisation, il y a l’avènement du DMP (Dossier Médical Partagé). Grâce à ce dernier, tous les professionnels qui participent aux soins peuvent avoir accès au dossier médical du patient. Toutefois, ces solutions sont concernées par un enjeu majeur : le stockage et la sécurisation des données.
Pour répondre à cet enjeu, des solutions dédiées comme la certification HDS ont été créées. De quoi s’agit-il exactement ? Quels sont ses avantages et comment l’obtenir ? Focus sur la certification HDS et son enjeu dans la sécurisation des données de santé.
La certification HDS : de quoi s’agit-il ?
La certification HDS ou Hébergeurs de Données de Santé est une solution d’hébergement dédiée pour les données de santé. Pour rappel, les données de santé sont les informations relatives à la santé physique et/ou mentale et l’état de santé passé, présent et futur d’un patient. Vous l’aurez compris, ces données sont particulièrement sensibles, d’où la nécessité de bien les protéger.
Pour sécuriser ces données, la certification HDS est devenue obligatoire. En effet, toutes les entreprises qui proposent l’hébergement, le stockage, la gestion et l’exploitation de données médicales doivent avoir une certification HDS.
Cette obligation concerne également les entreprises qui proposent des services d’externalisation ou de sauvegarde pour le compte d’un centre de santé, d’un hôpital, d’un laboratoire d’analyse médicale, etc. La certification HDS a pour principal rôle d’augmenter le niveau de sécurité des données gérées par ces différents établissements.
Si vous souhaitez quelques informations supplémentaires pour en savoir plus sur la certification HDS et ses enjeux, découvrez qui est concerné par la certification et quelles sont les procédures dans la suite de l’article.
La certification HDS : qui est concerné ?
La certification HDS touche les organismes publics et privés qui œuvrent dans l’hébergement et l’exploitation de données médicales. Elle touche également ceux qui font des sauvegardes pour un établissement ou des professionnels de santé.
Ainsi, la certification est une obligation pour les datacenters qui hébergent les données de santé, les éditeurs qui s’occupent de la gestion d’un système d’Information de santé pour les clients.
Dans la pratique, un hébergeur doit être certifié HDS pour effectuer la mise à disposition et le maintien en condition des sites. La certification est indispensable pour l’hébergement de l’infrastructure matérielle relative au traitement des données de santé.
La certification HDS est également nécessaire pour la conception et la maintenance de l’infrastructure matérielle du SI pour le traitement de données médicales.
Par ailleurs, un hébergeur doit disposer d’une certification pour effectuer la conception et la maintenance de la plateforme d’hébergement, de l’infrastructure virtuelle du SI et la sauvegarde de données de santé.
Enfin, notez que la certification est indispensable pour l’administration et l’exploitation du SI qui contient des données médicales.
Quelle est la procédure pour avoir la certification HDS ?
Un hébergeur qui veut être certifié HDS doit suivre quelques étapes. La procédure de certification repose sur un contrôle de conformité par rapport au référentiel de certification. L’hébergeur doit faire appel à un organisme accrédité par le COFRAC ou un équivalent au niveau européen pour obtenir la certification.
L’organisme choisi va réaliser un audit précis pour l’évaluation de la conformité. Il va vérifier l’équivalence des certifications ISO 27001 ou ISO 20000 de l’hébergeur. L’audit se fait généralement en deux étapes.
D’une part, il y a l’audit documentaire dans le cadre duquel l’organisme va faire une revue documentaire du SI de l’hébergeur. Cette étape va permettre de vérifier la conformité documentaire du système vis-à-vis des points exigés par le référentiel.
D’autre part, il y a l’audit sur site dans le cadre duquel des preuves d’audit seront récoltées selon les recommandations du référentiel d’accréditation.
En principe, l’hébergeur peut modifier son offre et ses services dans un délai de trois mois après la fin de l’audit en cas de non-conformité. Ensuite, il peut encore faire auditer ses corrections. Un nouvel audit sera réalisé après ce délai.
Si les offres de l’hébergeur de données médicales sont bien conformes avec les exigences du référentiel, un certificat sera délivré. Ce dernier a une durée de trois ans, mais un audit de surveillance sera effectué par l’organisme une fois par an.
Les différents types de certificats HDS
Il y a 2 types de certificats HDS, à savoir le certificat hébergeur infogéreur et le certificat hébergeur d’infrastructure physique. Le type de certification dépend notamment du service proposé par les hébergeurs.
Quelle différence entre les 2 types de certificats HDS ?
Le certificat hébergeur d’infrastructure physique est celui dont bénéficient les hébergeurs dont le principal rôle consiste à la mise à disposition ou l’exploitation des données de santé. En général, c’est la certification dont bénéficie un hébergeur qui doit veiller à la maintenance des sites et de l’infrastructure matérielle qui abrite les logiciels et applications.
Le certificat hébergeur infogéreur, quant à lui, est donné :
- aux organismes qui ont pour rôle la mise à disposition ou l’exploitation des données médicales sur le cloud,
- aux sociétés d’hébergement qui proposent la sauvegarde externalisée de données médicales,
- aux hébergeurs qui se chargent du maintien en condition opérationnelle de la plateforme d’hébergement d’applications,
- aux hébergeurs qui s’occupent de l’infrastructure virtuelle du SI pour stocker et gérer les données.
Notez que les deux certifications sont obligatoires pour un hébergeur qui réalise les deux types d’activité.
Les données de santé : pourquoi sont-elles si délicates ?
Les données médicales sont soumises à des risques importants à cause de leur grande valeur. En effet, ce sont des informations confidentielles qui peuvent être exploitées de différentes manières par les hackers.
Les données de santé peuvent être des ordonnances, des résultats d’examen, des détails sur les assurances, des informations d’identification sur un compte médical… Ces différentes informations peuvent également être utilisées pour un chantage par les personnes malintentionnées.
Pour toutes ces raisons, la certification des hébergeurs est absolument nécessaire. En effet, cette dernière permet de mettre en place une sécurité optimale.
Lire plus d’articles sur DigiTechnologie :
– Tout savoir du Data Cloud de Snowflake, cliquez-ici
– Trouver une hébergeur de site web gratuit, cliquez-ici
– Découvrir les offres de l’hébergeur Infomaniak, cliquez-ici
– Connaître les possibilités d’hébergement de o2switch, cliquez-ici
– Réussir à comparer les différentes solutions pour héberger son site, cliquez-ici