0800200268
image hôpital et données qui transitent

HDS : nouveau référentiel applicable dès novembre 2024 !

L’Agence Numérique de la Santé en concertation avec la CNIL a terminé la révision du référentiel de certification HDS.

Le décret d’application est paru au JO le 16/05/2024 validant ainsi l’Arrêté du 26 avril 2024 modifiant l’arrêté du 11 juin 2018

Un peu de contexte

« Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet. »

En place depuis 2018, HDS est donc le garant des bonnes pratiques en matière de gestion et de sécurisation de ces données.

 

Précision sur le rôle de l’hébergeur :

L’Hébergeur, également désigné « organisation » dans la norme ISO 27001 est celui concerné par la certification. Il fournit tout ou partie d’un service d’hébergement de données de santé à caractère personnel (aussi appelé « données de santé »).

 

Ce qui change en 2024

La nouvelle version du référentiel HDS permet :

  • D’améliorer la lisibilité des garanties apportées par un hébergeur certifié
  • De clarifier le périmètre et les obligations contractuelles de l’hébergeur
  • D’intégrer le référentiel de certification HDS dans la norme ISO 27001
  • De renforcer les exigences de protection des données personnelles en cas de transfert en dehors de l’Union Européenne

 

Les dates à retenir :

médecin traitant des données médicales sur son ordinateur➡️ 16 novembre 2024 : il ne sera plus possible de réaliser d’audits initiaux et de renouvellement sur la version 1.1 datant de 2018
➡️ 16 mai 2026 : tous les certificats HDS devront avoir transité sur la nouvelle version

 

Les 6 d’activités d’hébergements qui existent

1) La mise à disposition et le maintien en condition opérationnelle de sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé.

2) La mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé.

3) La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé.

4) La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information.

5) L’administration et l’exploitation du système d’information contenant les données de santé

🔍 L’activité d’administration et exploitation du système d’information contenant les données de santé consiste en la maîtrise des interventions sur les ressources mises à la disposition du client de l’Hébergeur.
Elle comprend l’intégralité des activités annexes suivantes :
– la définition d’un processus d’attribution et de revue annuelle de droits d’accès nominatifs, justifiés et nécessaires,
– la sécurisation de la procédure d’accès,
– la collecte et la conservation des traces des accès effectués et de leurs motifs,
– la validation préalable des interventions (plan d’intervention, processus d’intervention).

La validation des interventions consiste à s’assurer qu’elles ne dégradent la sécurité de l’information hébergée ni pour le client concerné ni pour les autres clients de l’Hébergeur. Cette validation peut être effectuée dans les cas suivants :
– a priori, pour les interventions que le client pourrait effectuer en autonomie,
– lors de la demande d’intervention lorsqu’il sollicite l’Hébergeur.

La définition du processus d’attribution, la sécurisation, la collecte, la validation sont intrinsèques et obligatoires aux activités définies au 1 à 4 de l’article R. 1111-9 du code de la santé publique. Si elles sont effectuées uniquement en ce qu’elles sont liées et consubstantielle aux activités 1 à 4, l’Hébergeur n’est pas tenu d’être certifié pour l’activité 5. Il ne sera tenu de l’être que dans le cas où il exerce uniquement l’activité 5.

6) La sauvegarde des données de santé.
L’activité 6 de sauvegarde des données doit être interprétée comme comprenant uniquement les sauvegardes externalisées. Les sauvegardes intrinsèquement nécessaires aux activités 1 à 5 sont dans le périmètre des activités 1 à 5.

 

0800200268

Contactez-nous

  • * champs obligatoires
  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.
France Certification, une marque Trêves Organisation, SARL capital 300 000 €uro. Entreprise certifiée ISO 9001, 14001 et 27001 et enregistrée à la Direction régionale du Travail de Bretagne en qualité de centre de formation sous le numéro d’autorisation 53 29 09 27 129.

Développé par e-Ness, création de site internet et agence Web

Générique Qualité Environnement Énergie Voir la page
Accréditation COFRAC Voir la page
AGROALIMENTAIRE - COSMÉTIQUE Voir la page
SECURITE DE L’INFORMATION Voir la page
Santé et SECURITE Voir la page
DISPOSITIFS MEDICAUX Voir la page
AERONAUTIQUE-SPATIAL-DEFENSE-AUTOMOBILE Voir la page
PEFC™ FSC® Voir la page
Secteurs