Certification HDS : tout savoir sur cette certification obligatoire
Aujourd’hui, la gestion des données informatiques occupe une place centrale dans le quotidien des entreprises et plus particulièrement dans le domaine de la santé. Celles-ci méritent d’être considérées, à juste titre, comme sensibles et doivent être protégées et sécurisées afin de garantir l’entière confidentialité des informations qu’elles contiennent concernant les patients. C’est pourquoi, il existe une certification connue sous l’appellation de certification HDS. À quoi sert-elle ? Quelle sécurité apporte-t-elle ? Nombreuses sont les interrogations qui se posent à nous et auxquelles nous allons tenter d’apporter des réponses.
Qui doit être certifié HDS ?
Parmi les acteurs qui doivent être certifiés HDS, on retrouve tous les organismes privés ou publics qui vont héberger et exploiter des informations et des données informatiques relatives à des patients ou qui réalisent des sauvegardes pour divers établissements de santé. Il est à noter que les établissements qui assurent la gestion de leur propre système d’information n’ont pas l’obligation d’avoir cette certification. Les data centers dans le cadre du stockage cloud et l’hébergement des informations sont quant à eux concernés.
Comment obtenir la certification HDS ?
La certification HDS s’obtient auprès d’un organisme qui doit être accrédité par le COFRAC (Comité Français d’Accréditation) qui est accrédité par l’État comme l’unique référent en France pour l’application d’un règlement européen datant de 2008.
Le COFRAC est une association à but non lucratif et qui a une fonction de mission de service public. Le certificat est délivré à l’issue d’une expertise pour une durée de 3 ans et chaque année l’organisme certificateur doit procéder à un audit de surveillance.
Quels sont les différents types de certifications ?
On va distinguer principalement deux types de certifications distinctes qui vont dépendre de l’activité :
- La certification HDS d’hébergeur d’infrastructure physique
La particularité de cette certification est qu’elle met au service des entreprises des locaux pour l’hébergement physique des données dont elle assure parallèlement la maintenance. L’hébergeur rend également disponible l’intégralité de l’infrastructure et assure l’entretien et la maintenance du matériel.
- La certification HDS infogérance
La particularité de cette certification est de reposer sur une mise à disposition en ligne qui peut s’effectuer via un cloud privé. L’hébergeur infogérant va assurer la maintenance de l’infrastructure virtuelle qu’il met à disposition de l’entreprise. En plus de cela, il assure la maintenance de la plateforme applicative. Dans le même temps, il se charge d’opérer des sauvegardes régulières des données dont il a la charge.
Comment se déroule la procédure de certification ?
La procédure de certification obéit à des impératifs précis que les hébergeurs sont tenus de respecter en vue de l’obtention finale. Après avoir choisi l’organisme certificateur qui pour rappel est accrédité par la SOFRAC, cet organisme va procéder à un audit qui se déroule en deux étapes. Tout d’abord, il va vérifier que des certifications ISO 27001 ou ISO 20000 sont déjà obtenues par les hébergeurs. Ces certifications garantissent que le data center qui héberge des informations sur son serveur cloud propose un management de très haute qualité pour atteindre le meilleur niveau de sécurité. En France, les datacenters de NEXEREN répondent à ces exigences et possèdent les plus hautes certifications.
- Première étape : L’organisme va réaliser un audit dit documentaire qui consiste à analyser le système d’information de la société qui assure l’hébergement de données de santé afin de vérifier que tout est en conformité avec les exigences qui vont permettre d’établir la certification.
- Seconde étape : L’organisme va auditer sur les sites des entreprises. Les renseignements relatifs à cette audition sont archivés dans ce que l’on appelle le référentiel d’accréditation.
À l’issue de ces audits établis par l’organisme accréditeur, les clients disposent de trois mois pour effectuer des mesures correctives aux exigences requises. Les hébergeurs peuvent alors faire procéder à des audits des corrections. Dans le cas où, les entreprises concernées n’auraient pas effectué les corrections dans les délais, une audition sur site devrait être à nouveau effectuée.
Pourquoi protéger une donnée sensible ?
Protéger les données sensibles relève d’un règlement :
Le RGPD (Règlement Général sur la protection des Données) en est le garant et il permet de protéger les données personnelles des individus. Il se définit comme « toute information se rapportant à une personne physique identifiée ou identifiable. » Pour faire simple, tout ce qui est relatif à la vie privée d’une personne et qui la concerne se doit d’être entièrement protégé pour demeurer strictement confidentiel.
Pour garantir la confidentialité des données en France, la CNIL (Commission nationale de l’informatique et des libertés) agit en tant que régulateur dans le domaine de monde numérique. La politique de sécurité cloud dérive de ce principe.
Concernant les données HDS leur sensibilité est particulièrement exposée, car on touche au domaine du médical. Elles sont directement en rapport avec la santé mentale ou physique d’un individu et peu importe à quelle période de sa vie elles font référence. Elles lui demeurent personnelles.
Quelles données sont concernées ?
Protéger les données HDS doit permettre de sécuriser les informations de santé qui prennent en compte un numéro de sécurité sociale ou un numéro d’identifiant à caractère médical propre à un patient comme un numéro d’hospitalisation.
Toutes informations recueillies lors d’un test médical ou pendant des examens médicaux (diverses analyses) constituent une donnée médicale méritant d’être protégée.
Toutes informations faisant référence à l’état de santé du patient. Ce peut être le cas de renseignements concernant un handicap, une maladie ou la possibilité d’en développer une, un traitement ou des antécédents médicaux qui évoquent une information de santé d’un patient.
Comment assurer la sécurisation d’une donnée de santé ?
Pour assurer la sécurisation d’une donnée de santé, il est nécessaire de faire appel à un prestataire qui va posséder des data centers qui offrent une sécurisation maximum. NEXEREN possède des accréditations ISO 27001 et ISO 14001 qui garantissent une sécurisation de vos informations ainsi qu’une performance environnementale de premier plan. Par ailleurs, NEXEREN propose des services implantés en France pour une garantie encore plus sécurisée grâce à un certificat TIER III de l’Uptime Institute qui atteste que les data centers sont opérationnels en permanence même en cas de danger critique. NEXEREN est l’un des seuls datacenters en Europe certifié TIER 4, qui correspond à la plus haute distinction.
> Stockage cloud : une solution adaptée pour votre entreprise ? > Certification HDS : tout savoir sur cette certification obligatoire
Rubrique CTA
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed ac odio massa. Pellentesque molestie ante turpis, eu tristique mi rutrum quis. Aliquam sapien metus, accumsan sed libero a, vulputate tristique risus.