Le décret n° 2018-137 relatif à la certification HDS a été publié ce 28 février 2018 au Journal officiel de la République française.
Les hébergeurs de données de santé sur support numérique (en dehors des services d’archivage électronique) devront désormais se faire certifier, ce qui remplace la procédure de demande d’agrément jusqu’ici délivré par le ministre de la Santé.
L’activité d’hébergement de données de santé à caractère personnel sur support numérique consiste à exercer pour le compte d’un tiers (responsable de traitement, patient, etc.) tout ou partie des activités suivantes :
- la mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé
- la mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé
- la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé
- la mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information
- l’administration et l’exploitation du système d’information contenant les données de santé
- la sauvegarde de données de santé.
Il existe deux types de certifications, Hébergeur infogéreur et Hébergeur d’infrastructure physique qui se définissent en fonction du type d’activités rentrant dans le périmètre de certification, l’ASIP les a définis de cette manière :
Si le périmètre pour lequel l’hébergeur souhaite obtenir la certification comprend au moins une activité appartenant aux deux périmètres de certification, l’hébergeur est évalué pour la conformité à toutes les exigences et obtient les deux certifications.
La certification est basée sur la norme ISO 27001v2013, et complétant l’annexe A de celle-ci par les exigences issues des normes ISO 20000v2011, 27017v2015, 27018v2014 et spécifiques santé.
4 exigences issues de l’ISO 20000
25 exigences issues de l’ISO 27018
1 exigences issues de l’ISO 27017
11 exigences renforçant des exigences existantes (27001, 20000, 27018 et 27017)
4 exigences dédiées santé sur le recueil d’un engagement client sur la conformité à la PGSSI (Politique générale de sécurité des systèmes d’information de santé), la mise à disposition des rapports d’audit de certification aux clients, l’identification d’un point de contact chez le client et la prise en compte de la langue française.
Pour obtenir la certification Hébergeur d’infrastructure physique il faut répondre à 40 exigences sur les 45 exigences et pour obtenir la certification Hébergeur infogérant il faut répondre à l’ensemble des 45 exigences.
Un hébergeur qui a déjà obtenu une certification ISO 27001 ou une certification ISO 20000-1 peut faire prévaloir ces certifications s’il remplit un certain nombre de conditions.
Sources :
esante.gouv.fr
Référentiel de certification HDS – ASIP